.svg)
.svg)
.svg)
Die ISO 9001 fordert von Organisationen, ihr Qualitätsmanagementsystem regelmäßig zu überprüfen und zu bewerten. Diese Überprüfung heißt Managementbewertung — oder Management Review. Sie ist kein einmaliges Audit, sondern ein laufender Prozess, bei dem die Geschäftsleitung die Effektivität des QMS prüft, Abweichungen erkennt und Verbesserungen einleitet.
Was ist eine Managementbewertung nach ISO 9001?
Definition Kapitel 9.3
Kapitel 9.3 der ISO 9001 definiert die Managementbewertung als ein strukturiertes Überprüfungsverfahren. Die oberste Leitung muss in regelmäßigen Abständen das QMS überprüfen, um sicherzustellen, dass es weiterhin wirksam, angemessen und dem strategischen Geschäftszweck förderlich ist. Die Management Review ist kein technisches Audit — sie ist eine Führungsaufgabe.
Die Norm schreibt vor, dass diese Bewertung Inputs (Eingangsinformationen) verarbeitet und zu Outputs (Ergebnissen und Entscheidungen) führt. Was als Input und Output gilt, ist in der Norm genau definiert. Viele Organisationen verwechseln Management Reviews mit Compliance-Audits. Der Unterschied ist fundamental: Ein Audit prüft die Einhaltung von Anforderungen. Eine Management Review bewertet die Wirksamkeit des Systems als Ganzes.
Warum Management Review?
Eine Management Review soll zwei Dinge sicherstellen: Erstens, dass das QMS noch passt — dass es nicht durch veränderte Geschäftsanforderungen, neue Risiken oder organisatorische Veränderungen überholt wurde. Zweitens, dass das System tatsächlich funktioniert — dass die geplanten Maßnahmen zum Erfolg führen und nicht nur auf dem Papier existieren.
Ohne regelmäßige Management Reviews verkommt das QMS zu Dokumentation ohne praktischen Nutzen. Mit Management Reviews wird es zu einem Steuerungsinstrument, das die Geschäftsleitung bei strategischen Entscheidungen unterstützt.
Inputs der Managementbewertung
Die Management Review kann nur so gut sein wie die Eingangsdaten, auf denen sie basiert. Die Norm nennt sieben Eingangsinformationen, die berücksichtigt werden müssen:
Auditergebnisse
Die Ergebnisse interner und externer Audits sind zentrale Inputquellen. Interne Audits zeigen, wo das QMS in der eigenen Organisation nicht funktioniert. Externe Audits (z.B. ISO-9001-Audits durch Zertifizierungsstellen) geben eine unabhängige Perspektive. Bei der Managementbewertung werden diese Auditergebnisse nicht einfach zur Kenntnis genommen — sie werden danach befragt: Welche Abweichungen deuten auf systematische Schwächen hin? Welche Bereiche des QMS sind besonders fragil?
Kundenzufriedenheit
Kundenfeedback ist ein Indikator für die externe Wirksamkeit des QMS. Ist die Kundenreklamationsquote gestiegen? Sind Rückgaben häufiger geworden? Hat die Zufriedenheit abgenommen? Diese Metriken signalisieren, dass das QMS nicht mehr die Kundenerwartungen erfüllt — auch wenn intern alle Prozesse ordnungsgemäß laufen.
Prozessleistung
Die Leistung der Schlüsselprozesse ist ein harter Messstab für die QMS-Wirksamkeit. Hierzu gehören Durchlaufzeiten, Fehlerquoten, Effizienzindikatoren und Kostenentwicklungen in den kritischen Prozessen (Produktion, Einkauf, Lieferkette, Service). Wenn die Prozessleistung sinkt, während die Dokumentation unverändert bleibt, ist das QMS überholt.
Status Korrekturmaßnahmen
Aus früheren Management Reviews resultierten Korrekturmaßnahmen. Der Status dieser Maßnahmen — umgesetzt, verzögert, nicht angefangen — muss in jeder neuen Management Review überprüft werden. Wenn drei Managementbewertungen hintereinander dasselbe Problem identifizieren, ohne dass eine wirksame Maßnahme erfolgt, zeigt das ein Umsetzungsdefizit, das nicht ignoriert werden darf.
Outputs und Entscheidungen
Die Managementbewertung führt zu Entscheidungen. Diese müssen dokumentiert werden und sind in der Norm als Outputs aufgelistet:
- Entscheidungen zur Verbesserung der Wirksamkeit des QMS
- Bedarf an Ressourcen (Personal, Budget, Infrastruktur)
- Bedarf an Änderungen am QMS selbst (z.B. neue Prozesse, andere Dokumentation)
- Maßnahmen zur Risikominderung und Chancennutzung
- Verbesserungen für die Qualitätsziele und deren Erreichung
Diese Outputs sind nicht optionale Ideen — sie sind Verpflichtungen. Die Geschäftsleitung dokumentiert, welche Maßnahmen aus der Management Review folgen, wer verantwortlich ist, bis wann die Umsetzung erfolgt.
Häufigkeit und Dokumentation
Die ISO 9001 schreibt vor, dass Management Reviews in "angemessenen Zeitabständen" durchgeführt werden. Die Norm nennt keine konkrete Häufigkeit — typischerweise ist eine jährliche Management Review der Standard. Manche Organisationen führen zwei pro Jahr durch (strategisch im Frühjahr, Nachkontrolle im Herbst). Kleinere Organisationen können eine halbjährliche Bewertung ausreichend finden.
Entscheidend ist: Die Häufigkeit muss dokumentiert sein. Die Managementbewertung muss protokolliert werden — Datum, Teilnehmer, Inputs, diskutierte Ergebnisse, Entscheidungen, nächste Schritte. Das Protokoll ist ein Pflichtdokument, das bei der Zertifizierungsaudit vorgelegt werden kann.
Managementbewertung mit SECJUR vorbereiten und dokumentieren
Viele Organisationen bereiten die Management Review unstrukturiert vor: Daten werden notfalls zusammengesucht, Inputs sind verstreut in E-Mails oder Tabellen, die Debatte läuft ohne klare Agenda. Das Ergebnis sind vage Entscheidungen, die sich nicht in Maßnahmen übersetzen.
Mit einer ISMS-Plattform wie SECJUR können Organisationen die Managementbewertung strukturiert vorbereiten. Die Plattform sammelt Auditergebnisse, Kundenfeedback und Prozessmetriken an einer zentralen Stelle — statt dass die Geschäftsleitung jedes Jahr neu nach Daten suchen muss. Vorlagen für Management-Review-Protokolle sind hinterlegt und können an die Organisationsstruktur angepasst werden. Das reduziert die Vorbereitungszeit um Wochen.
Ein weiterer Vorteil: Nachfolgend dokumentierte Korrekturmaßnahmen sind im System verfolgbar. Bei der nächsten Management Review wird automatisch sichtbar, welche Maßnahmen aus der letzten Bewertung umgesetzt wurden und welche verzögert sind. Platforms wie SECJUR bieten auch Workflows für die regelmäßige Nachverfolgung, sodass Maßnahmen nicht einfach vergessen werden.
"Die Managementbewertung ist kein Erfüllungspflicht-Haken neben dem Qualitätsmanagement. Sie ist das Steuerinstrument, mit dem die Geschäftsleitung überprüft, ob das QMS dem Unternehmen noch dient oder ob es angepasst werden muss. Wer das nicht ernst nimmt, hat auch kein wirksames QMS — nur ein dokumentiertes."
Bettina Stearn, ISO/IEC 27001 Auditorin & QM-Fachexpertin bei SECJUR
Häufig gestellte Fragen
Wer muss an der Managementbewertung teilnehmen?
Die oberste Leitung muss teilnehmen — bei größeren Organisationen ist das der Vorstand, bei KMU oft der Geschäftsführer. Der Leiter des Qualitätsmanagementsystems muss anwesend sein, um Auditergebnisse und Metriken zu erläutern. Je nach Struktur können auch Prozessverantwortliche, der CFO (für Ressourcenthemen) oder der CSO (für Risiken) eingebunden werden. Die Teilnahme muss dokumentiert werden.
Kann die Managementbewertung online stattfinden?
Ja. Ein Videokonferenz-Protokoll ist genauso gültig wie ein Präsenz-Treffen. Wichtig ist, dass die Debatte dokumentiert ist und alle Inputs systematisch durchgegangen werden.
Was ist der Unterschied zwischen Managementbewertung und Audit?
Ein Audit prüft, ob die Vorgaben des QMS eingehalten werden. Eine Management Review bewertet, ob die Vorgaben des QMS noch richtig und wirksam sind. Ein Audit sagt: "Folgt ihr eurem Prozess?" Die Management Review sagt: "Ist der Prozess noch der richtige?"
Was passiert, wenn ich keine Management Review durchführe?
Das QMS wird nicht zertifiziert, und bei einer existierenden Zertifizierung kann diese entzogen werden. Auditor:innen prüfen immer die Dokumente und Protokolle der Management Review. Eine fehlende oder unzureichend dokumentierte Managementbewertung ist ein Findings-Grund.
Kann ich die Managementbewertung delegieren?
Nein. Die oberste Leitung muss persönlich teilnehmen und die Ergebnisse und Entscheidungen verantworten. Das ist nicht delegierbar. Der QM-Leiter kann vorbereiten und moderieren, aber die Geschäftsentscheidungen müssen von der obersten Leitung getroffen werden.
.svg){kind=small}