Managementbewertung nach ISO 9001 mit Inputs und Outputs
In diesem Beitrag
Text Link
Text Link
Text Link
Beitrag teilen

Discover
HOME
/
blog
/
Managementbewertung nach ISO 9001

Managementbewertung nach ISO 9001

Bettina Stearn

ISO/IEC 27001 Auditorin & QM-Fachexpertin (ISO 9001)

26 Mar 2026

7 Min. Lesezeit

Bettina Stearn ist zertifizierte ISO/IEC 27001 Auditorin und Beraterin für Datenschutz und Informationssicherheit. Mit mehr als 15 Jahren Erfahrung in Informationssicherheit, Qualitätsmanagement und Datenschutz begleitet sie Organisationen bei der Einführung und Zertifizierung von Managementsystemen nach internationalen Standards. Neben ihrer Spezialisierung auf ISO 27001 und TISAX® verfügt sie über umfangreiche Erfahrung in der Implementierung und Auditierung von Managementsystemen nach ISO 9001 sowie eine Ausbildung zur QM-Fachexpertin (TÜV SÜD). Ihr Fokus liegt auf der sicheren und effizienten Umsetzung regulatorischer Anforderungen – von NIS2 über TISAX® bis hin zur KI-Compliance nach EU-Vorgaben. Dabei verbindet sie technisches Know-how mit strategischem Blick für nachhaltige Sicherheitsstrukturen.

Key Takeaways

Definition und Bedeutung der Managementbewertung

Sieben Inputs für die Management Review

Outputs und Entscheidungen der Management Review

Häufigkeit, Dokumentation und Best Practices

Managementbewertung nach ISO 9001

Die ISO 9001 fordert von Organisationen, ihr Qualitätsmanagementsystem regelmäßig zu überprüfen und zu bewerten. Diese Überprüfung heißt Managementbewertung oder Management Review. Sie ist kein einmaliges Audit, sondern ein laufender Prozess, bei dem die Geschäftsleitung die Effektivität des QMS prüft, Abweichungen erkennt und Verbesserungen einleitet.

Was ist eine Managementbewertung nach ISO 9001?

Definition Kapitel 9.3

Kapitel 9.3 der ISO 9001 definiert die Managementbewertung als ein strukturiertes Überprüfungsverfahren. Die oberste Leitung muss in regelmäßigen Abständen das QMS überprüfen, um sicherzustellen, dass es weiterhin wirksam, angemessen und dem strategischen Geschäftszweck förderlich ist. Die Management Review ist keine technische Prüfung wie ein Audit, sondern eine strategische Führungsaufgabe.

Die Norm schreibt vor, dass diese Bewertung Inputs (Eingangsinformationen) verarbeitet und zu Outputs (Ergebnissen und Entscheidungen) führt. Was als Input und Output gilt, ist in der Norm genau definiert. Viele Organisationen verwechseln Management Reviews mit Compliance-Audits. Der Unterschied ist fundamental: Ein Audit prüft die Einhaltung von Anforderungen. Eine Management Review bewertet die Wirksamkeit des Systems als Ganzes.

Warum Management Review?

Eine Management Review soll zwei Dinge sicherstellen: Erstens, dass das QMS noch passt. Es darf nicht durch veränderte Geschäftsanforderungen, neue Risiken oder organisatorische Veränderungen überholt sein. Zweitens, dass das System tatsächlich funktioniert und die geplanten Maßnahmen zum Erfolg führen, nicht nur auf dem Papier existieren.

Ohne regelmäßige Management Reviews verkommt das QMS zu Dokumentation ohne praktischen Nutzen. Mit Management Reviews wird es zu einem Steuerungsinstrument, das die Geschäftsleitung bei strategischen Entscheidungen unterstützt.

Inputs der Managementbewertung

Die Management Review kann nur so gut sein wie die Eingangsdaten, auf denen sie basiert. Die Norm nennt sieben Eingangsinformationen, die berücksichtigt werden müssen:

Auditergebnisse

Die Ergebnisse interner und externer Audits sind zentrale Inputquellen. Interne Audits zeigen, wo das QMS in der eigenen Organisation nicht funktioniert. Externe Audits (z.B. ISO-9001-Audits durch Zertifizierungsstellen) geben eine unabhängige Perspektive. Bei der Managementbewertung werden diese Auditergebnisse kritisch analysiert: Welche Abweichungen deuten auf systematische Schwächen hin? Welche Bereiche des QMS sind besonders anfällig?

Kundenzufriedenheit

Kundenfeedback ist ein Indikator für die externe Wirksamkeit des QMS. Ist die Kundenreklamationsquote gestiegen? Sind Rückgaben häufiger geworden? Hat die Zufriedenheit abgenommen? Diese Metriken zeigen, dass das QMS nicht mehr die Kundenerwartungen erfüllt, auch wenn intern alle Prozesse ordnungsgemäß ablaufen.

Prozessleistung

Die Leistung der Schlüsselprozesse ist ein harter Messstab für die QMS-Wirksamkeit. Hierzu gehören Durchlaufzeiten, Fehlerquoten, Effizienzindikatoren und Kostenentwicklungen in den kritischen Prozessen (Produktion, Einkauf, Lieferkette, Service). Wenn die Prozessleistung sinkt, während die Dokumentation unverändert bleibt, ist das QMS überholt.

Status Korrekturmaßnahmen

Aus früheren Management Reviews resultierten Korrekturmaßnahmen. Der Status dieser Maßnahmen (umgesetzt, verzögert, nicht angefangen) muss in jeder neuen Management Review überprüft werden. Wenn drei Managementbewertungen hintereinander dasselbe Problem identifizieren, ohne dass eine wirksame Maßnahme erfolgt, ist das ein Umsetzungsdefizit, das nicht ignoriert werden darf.

Outputs und Entscheidungen

Die Managementbewertung führt zu Entscheidungen. Diese müssen dokumentiert werden und sind in der Norm als Outputs aufgelistet:

  • Entscheidungen zur Verbesserung der Wirksamkeit des QMS
  • Bedarf an Ressourcen (Personal, Budget, Infrastruktur)
  • Bedarf an Änderungen am QMS selbst (z.B. neue Prozesse, andere Dokumentation)
  • Maßnahmen zur Risikominderung und Chancennutzung
  • Verbesserungen für die Qualitätsziele und deren Erreichung

Diese Outputs sind nicht optionale Ideen, sondern Verpflichtungen. Die Geschäftsleitung dokumentiert, welche Maßnahmen aus der Management Review folgen, wer verantwortlich ist und bis wann die Umsetzung erfolgt.

Häufigkeit und Dokumentation

Die ISO 9001 schreibt vor, dass Management Reviews in "angemessenen Zeitabständen" durchgeführt werden. Die Norm nennt keine konkrete Häufigkeit. Typischerweise ist eine jährliche Management Review der Standard. Manche Organisationen führen zwei pro Jahr durch: eine strategische im Frühjahr und eine Nachkontrolle im Herbst. Kleinere Organisationen können mit einer halbjährlichen Bewertung ausreichend abgesichert sein.

Entscheidend ist: Die Häufigkeit muss dokumentiert sein. Die Managementbewertung muss protokolliert werden mit Datum, Teilnehmern, Inputs, diskutierten Ergebnissen, Entscheidungen und nächsten Schritten. Das Protokoll ist ein Pflichtdokument, das bei der Zertifizierungsaudit vorgelegt wird.

Managementbewertung mit SECJUR vorbereiten und dokumentieren

Viele Organisationen bereiten die Management Review unstrukturiert vor: Daten werden notfalls zusammengesucht, Inputs sind verstreut in E-Mails oder Tabellen, die Debatte läuft ohne klare Agenda. Das Ergebnis sind vage Entscheidungen, die sich nicht in Maßnahmen übersetzen.

Mit einer ISMS-Plattform wie SECJUR können Organisationen die Managementbewertung strukturiert vorbereiten. Die Plattform sammelt Auditergebnisse, Kundenfeedback und Prozessmetriken an einer zentralen Stelle, statt dass die Geschäftsleitung jedes Jahr neu nach Daten suchen muss. Vorlagen für Management-Review-Protokolle sind hinterlegt und können an die Organisationsstruktur angepasst werden. Die Vorbereitungszeit sinkt erheblich.

Ein weitere Vorteil: Dokumentierte Korrekturmaßnahmen sind im System verfolgbar. Bei der nächsten Management Review wird automatisch sichtbar, welche Maßnahmen aus der letzten Bewertung umgesetzt wurden und welche verzögert sind. Plattformen wie SECJUR bieten auch Workflows für die regelmäßige Nachverfolgung, sodass Maßnahmen nicht vergessen werden.

"Die Managementbewertung ist kein Erfüllungspflicht-Haken neben dem Qualitätsmanagement. Sie ist das Steuerinstrument, mit dem die Geschäftsleitung überprüft, ob das QMS dem Unternehmen noch dient oder ob es angepasst werden muss. Wer das nicht ernst nimmt, hat kein wirksames QMS, sondern nur ein dokumentiertes."

Bettina Stearn, ISO/IEC 27001 Auditorin & QM-Fachexpertin bei SECJUR

Mehr erfahren
Bettina Stearn

Bettina Stearn ist zertifizierte ISO/IEC 27001 Auditorin und Beraterin für Datenschutz und Informationssicherheit. Mit mehr als 15 Jahren Erfahrung in Informationssicherheit, Qualitätsmanagement und Datenschutz begleitet sie Organisationen bei der Einführung und Zertifizierung von Managementsystemen nach internationalen Standards. Neben ihrer Spezialisierung auf ISO 27001 und TISAX® verfügt sie über umfangreiche Erfahrung in der Implementierung und Auditierung von Managementsystemen nach ISO 9001 sowie eine Ausbildung zur QM-Fachexpertin (TÜV SÜD). Ihr Fokus liegt auf der sicheren und effizienten Umsetzung regulatorischer Anforderungen – von NIS2 über TISAX® bis hin zur KI-Compliance nach EU-Vorgaben. Dabei verbindet sie technisches Know-how mit strategischem Blick für nachhaltige Sicherheitsstrukturen.

Über SECJUR

SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.

Compliance, completed

Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office

Mehr erfahren

Häufig gestellte Fragen

Die häufigsten Fragen zum Thema

Wer muss an der Managementbewertung teilnehmen?

Die oberste Leitung muss teilnehmen — bei größeren Organisationen ist das der Vorstand, bei KMU oft der Geschäftsführer. Der Leiter des Qualitätsmanagementsystems muss anwesend sein, um Auditergebnisse und Metriken zu erläutern. Je nach Struktur können auch Prozessverantwortliche, der CFO (für Ressourcenthemen) oder der CSO (für Risiken) eingebunden werden. Die Teilnahme muss dokumentiert werden.

Kann die Managementbewertung online stattfinden?

Ja. Ein Videokonferenz-Protokoll ist genauso gültig wie ein Präsenz-Treffen. Wichtig ist, dass die Debatte dokumentiert ist und alle Inputs systematisch durchgegangen werden.

Was ist der Unterschied zwischen Managementbewertung und Audit?

Ein Audit prüft, ob die Vorgaben des QMS eingehalten werden. Eine Management Review bewertet, ob die Vorgaben des QMS noch richtig und wirksam sind. Ein Audit sagt: "Folgt ihr eurem Prozess?" Die Management Review sagt: "Ist der Prozess noch der richtige?"

Was passiert, wenn ich keine Management Review durchführe?

Das QMS wird nicht zertifiziert, und bei einer existierenden Zertifizierung kann diese entzogen werden. Auditor:innen prüfen immer die Dokumente und Protokolle der Management Review. Eine fehlende oder unzureichend dokumentierte Managementbewertung ist ein Findings-Grund.

Kann ich die Managementbewertung delegieren?

Nein. Die oberste Leitung muss persönlich teilnehmen und die Ergebnisse und Entscheidungen verantworten. Das ist nicht delegierbar. Der QM-Leiter kann vorbereiten und moderieren, aber die Geschäftsentscheidungen müssen von der obersten Leitung getroffen werden.

Weiterlesen

March 19, 2026
9 min
TISAX Prototypenschutz: Anforderungen und Maßnahmen für Automobilzulieferer

TISAX Prototypenschutz im Detail: Anforderungen nach VDA ISA 6.0, konkrete Schutzmaßnahmen und was beim Audit geprüft wird.

Lesen
January 7, 2026
5 Minuten
EU AI Act: Whistleblowing und sichere Meldewege

Whistleblowing wird im EU AI Act zu einem zentralen Schutzinstrument für faire und sichere KI. Dieser Leitfaden zeigt, wie Mitarbeitende Verstöße gegen Hochrisiko- und verbotene KI-Systeme sicher melden können, welche internen und externen Meldewege bestehen und welche rechtlichen Schutzmechanismen greifen. Erfahren Sie, wie der AI Act, das Hinweisgeberschutzgesetz und neue EU-Meldestellen zusammenwirken, um Diskriminierung, Manipulation und Sicherheitsrisiken in KI-Systemen frühzeitig zu stoppen – und warum Whistleblower damit zu einem entscheidenden Faktor für vertrauenswürdige KI werden.

Lesen
March 23, 2026
8 Min. Lesezeit
ISO 9001 Zertifizierung – Der komplette Prozess in 7 Schritten

Die unabhängige Bestätigung, dass ein Unternehmen ein funktionierendes Qualitätsmanagementsystem (QMS) hat. Sie wird von akkreditierten Zertifizierungsstellen vergeben und gilt international als Vertrauenssignal.

Lesen
Related Resources
Überwachungsaudit – Was Sie wissen müssen
March 23, 2026
7 min
EU AI Act: Datenbereinigung und Validierung automatisieren
January 6, 2026
5 Minuten
NIS2 und DSGVO: Synergien erkennen und Compliance effizient umsetzen
November 14, 2025
7 min
Marketing Tips for Niche Industries
Hinweisgeberschutzgesetz – das HinSchG im Überblick
June 7, 2023
12 min
NIS2 Business Continuity: Notfallplanung, die im Ernstfall funktioniert
March 21, 2026
8 min
iso-9001-checkliste
March 23, 2026
7 Min. Lesezeit
TO TOP