QM-System aufbauen – Der praktische Fahrplan für ISO 9001 Zertifizierung
In diesem Beitrag
Text Link
Text Link
Text Link
Beitrag teilen

Discover
HOME
/
blog
/
QM-System aufbauen – Der praktische Fahrplan

QM-System aufbauen – Der praktische Fahrplan

Bettina Stearn

ISO/IEC 27001 Auditorin & QM-Fachexpertin (ISO 9001)

24 Mar 2026

8 min

Bettina Stearn ist zertifizierte ISO/IEC 27001 Auditorin und Beraterin für Datenschutz und Informationssicherheit. Mit mehr als 15 Jahren Erfahrung in Informationssicherheit, Qualitätsmanagement und Datenschutz begleitet sie Organisationen bei der Einführung und Zertifizierung von Managementsystemen nach internationalen Standards. Neben ihrer Spezialisierung auf ISO 27001 und TISAX® verfügt sie über umfangreiche Erfahrung in der Implementierung und Auditierung von Managementsystemen nach ISO 9001 sowie eine Ausbildung zur QM-Fachexpertin (TÜV SÜD). Ihr Fokus liegt auf der sicheren und effizienten Umsetzung regulatorischer Anforderungen – von NIS2 über TISAX® bis hin zur KI-Compliance nach EU-Vorgaben. Dabei verbindet sie technisches Know-how mit strategischem Blick für nachhaltige Sicherheitsstrukturen.

Key Takeaways

Bestandsaufnahme ist nicht langweilig, sie ist fundamental. Wer seine Ist-Prozesse nicht kennt, baut das QM-System am Leeren auf.

Prozesslandkarte auf eine DIN-A4 Seite. Das ist nicht PR-Fluff, das ist Grundlage. Mitarbeiter müssen sehen: Wo passe ich rein?

Schulung ist nicht einmalig. Nach der initialen Schulung braucht es regelmäßige Auffrischung und neue Mitarbeiter brauchen Onboarding ins QM-System.

Internes Audit ≠ Compliance-Theater. Es geht darum, echte Schwachstellen zu finden und abzustellen, nicht Haken zu setzen.

QM-System aufbauen: Strukturierter Fahrplan für ISO 9001

QM-System aufbauen – Der praktische Fahrplan

Qualitätsmanagement wirkt auf viele Mittelständler zunächst abschreckend: hoher Aufwand, viel Papier, fraglich ob sich's lohnt. Dabei zeigt die Realität: Unternehmen, die ein QM-System systematisch aufbauen, senken ihre Fehlerquoten um 20–40 Prozent und gewinnen Sicherheit in der Produktion. Das klingt aufwändig, ist es aber nicht, wenn man es richtig angeht. Dieser Leitfaden zeigt die sechs Phasen, nach denen Unternehmen ein QM-System praktizierbar und nachhaltig aufbauen.

QM-System aufbauen - Der Fahrplan

Ein QM-System ist keine Einmalmaßnahme. Es ist ein organisatorischer Schichtaufbau: Bestandsaufnahme, Design, Dokumentation, Schulung, Verbesserung, Zertifizierung. Wer diese Phase-für-Phase durchläuft, vermeidet die Fehler, die in 80 Prozent der gescheiterten QM-Projekte wiederkehren: zu viel auf einmal, zu wenig Mitarbeiterbeteiligung, zu viele abstrakte Dokumente ohne Praxisanbindung.

Der Fahrplan funktioniert für Unternehmen ab Einzelfertigung bis Großserienfertigung, für Dienstleister genauso wie für Produktion. Die Phasen sind wie eine Blaupause, nicht ein starres Drehbuch.

7 Schritte zum QM-System Aufbau: Ist-Analyse, Qualitätspolitik, Prozesse definieren, Dokumentation, Schulungen, Internes Audit, Zertifizierung – strukturierter Fahrplan für ISO 9001 in 6–12 Monaten
7 Schritte zum QM-System Aufbau nach ISO 9001 – Zeitrahmen: 6–12 Monate

Phase 1: Bestandsaufnahme und Gap-Analyse

Bevor du etwas neu aufbaust, musst du wissen, was du hast. Die Bestandsaufnahme ist die unterschätzteste Phase, weil sie nicht glänzend aussieht und keine sichtbaren Ergebnisse liefert. Dennoch: Unternehmen, die hier schlampern, merken das drei Phasen später und müssen nachbessern.

Ist-Zustand dokumentieren

Sammelt, was bereits vorhanden ist:

  • Vorhandene Verfahrensanweisungen, Standards, Checklisten (auch handschriftliche!)
  • Wer trägt heute Qualitätsverantwortung? Wer entscheidet über Abweichungen?
  • Fehlererfassungssysteme, Reklamationsprozesse, Verbesserungsmechanismen
  • Schulungsunterlagen, Mitarbeiterdokumentation
  • Qualitätsziele (falls vorhanden) und deren Verfolgung
  • Interner Audit-Zustand: Prüfen wir regelmäßig selber? Wie systematisch?

Tipp: Befrage zuerst die Führungsebene, dann die Mitarbeiter vor Ort. Zwischen Theorie und Praxis gärt oft die wertvollste Information.

Abgleich mit ISO 9001

Jetzt vergleichst du den Ist-Zustand mit den Anforderungen der ISO 9001. Das ist nicht bloßes „Abhäkchen", sondern eine ehrliche Bestandsaufnahme:

  • Wo haben wir 80 Prozent schon? (Dann muss nur dokumentiert werden.)
  • Wo fehlt es grundsätzlich? (Dann braucht es Neubau.)
  • Wo ist es chaotisch? (Dann braucht es Struktur.)

Das Ergebnis ist eine Gap-Analyse: ein Überblick, in welchen Normkapiteln ihr umfassend aufbauen müsst und wo nur Dokumentation fehlt.

Viele Mittelständler unterschätzen an dieser Stelle bereits die Komplexität. Plattformen wie SECJUR bilden diese ISO-9001-Anforderungen systematisch ab und zeigen dir Lücke für Lücke, anstatt dass du manuell mit Excel-Sheets arbeiten musst.

Phase 2: Prozesslandkarte erstellen

Aus der Gap-Analyse leitet sich ab: Was ist Kern, was ist Unterstützung? Diese Unterscheidung ist das Skelett des QM-Systems.

Kern-, Führungs- und Unterstützungsprozesse definieren

ISO 9001 teilt die Prozesse eines Unternehmens in drei Klassen:

  • Kernprozesse: Die Prozesse, bei denen der Kunde bezahlt. Beispiele: Produktion, Kundenservice, Beratung, Verkauf. Diese Prozesse müssen tadellos laufen.
  • Führungsprozesse: Management, Strategieentwicklung, Qualitätspolitik. Wer steuert das Unternehmen und sagt, wo es hingeht?
  • Unterstützungsprozesse: HR, IT, Einkauf, Instandhaltung. Diese ermöglichen die Kernprozesse, brauchen aber nicht für sich allein Wertschöpfung zu sein.

Zeichnet diese Prozesse auf, nicht als komplexes Flussdiagramm, sondern als simple Prozesslandkarte, ein Überblick auf einer DIN-A4-Seite.

Warum? Weil dieser Überblick später jeder Mitarbeiter verstehen muss. Und weil die Prozesslandkarte die Vorlage für Phase 3 ist: Was muss ich dokumentieren?

Phase 3: Dokumentation aufbauen

Jetzt wird's konkret. Für jeden Prozess brauchst du zwei Typen von Dokumenten: Vorgaben und Nachweise.

Qualitätspolitik und Qualitätsziele

Die Qualitätspolitik ist nicht ein Marketing-Manifesto. Sie ist ein kurzer, ehrlicher Satz: Was verpflichten wir uns gegenüber unserem Kunden? Welche Qualitätsstandards mögen wir uns nicht unterschreiten?

Beispiel: "Wir liefern Komponenten, die ersten Durchgang fehlerfrei sind. Reklamationen bearbeiten wir innerhalb von 48 Stunden."

Die Qualitätsziele leiten sich ab: Fehlerquote unter 2 Prozent, Reklamationen unter 10 pro Quartal, Zahlen, an denen du messen kannst.

Verfahrensanweisungen und Arbeitsstandards

Für jeden Kernprozess brauchst du eine Verfahrensanweisung: Step-by-step, wie läuft dieser Prozess ab? Wer macht was? Wo gibt es Prüfpunkte?

Wichtig: Schreib die Verfahrensanweisungen NICHT aus dem Chefzimmer auf. Hol die Fachleute vor Ort ins Boot. Sie wissen, wie es läuft, nicht der QM-Manager. Dein Job ist, das Wissen zu strukturieren, nicht zu erfinden.

Häufiger Fehler: Zu viel Papier, zu wenig Praxisanbindung. Eine gute Verfahrensanweisung ist zwei bis drei Seiten lang, hat Bilder und Links zu den Formularen, die Mitarbeiter nutzen müssen.

Phase 4: Schulung und Bewusstsein schaffen

Die beste Dokumentation ist nutzlos, wenn die Mitarbeiter sie nicht kennen oder nicht verstehen.

Plane für jede Abteilung Schulungen ein, die zielgerichtet sind: Was ist meine Rolle im QM-System? Welche Verfahren betreffen mich? Wo hole ich mir Hilfe, wenn etwas unklar ist?

Das funktioniert nicht als Großveranstaltung "QM für alle". Es funktioniert als Abteilungs-Schulungen, moderiert von den Fachleuten, die die Verfahrensanweisung mitgeschrieben haben.

Danach braucht es Nachweise: Wer wurde wann geschult? Was ist die Auffrischungsfrist?

Phase 5: Internes Audit und Managementbewertung

Nach sechs Monaten machst du deine erste interne Prüfung: Laufen die Prozesse wie dokumentiert? Wo klappt es nicht? Wieso nicht?

Die interne Prüfung ist nicht Compliance-Theater. Sie ist deine Chance zu sehen: Meine Dokumentation ist falsch (dann musst ich sie anpassen), oder die Mitarbeiter haben nicht verstanden (dann braucht es Schulung), oder der Prozess ist nicht durchdacht (dann braucht er Redesign).

Jede Abweichung, die du findest, führt zu einer Korrekturmaßnahme. Diese Maßnahmen leitest du ein, verfolgst sie, und schließt sie, wenn sie wirksam sind.

Anschließend macht das Management eine Bewertung: Funktioniert unser QM-System? Erreichen wir unsere Qualitätsziele? Wo müssen wir nachsteuern? Diese Managementbewertung ist gesetzlich gefordert und ist zugleich deine Chance, das System im Top-Management zu verankern.

Phase 6: Externe Zertifizierung

Nach dem internen Audit und der Managementbewertung, typischerweise nach 6-12 Monaten, bist du reif für die externe Zertifizierung. Ein unabhängiger Auditor prüft dein System, findet letzte Schwachstellen, und wenn alles passt, gibt er dir das ISO-9001-Zertifikat.

Die externe Zertifizierung ist nicht das Ziel, sie ist die Bestätigung, dass dein System funktioniert. Nach der Zertifizierung beginnt die echte Arbeit: das System am Leben halten, regelmäßig überprüfen, kontinuierlich verbessern.

QMS-Aufbau mit SECJUR - Von der Gap-Analyse zur Zertifizierung

Der Aufbau eines QM-Systems ist machbar, wenn man den richtigen Partner hat. Viele Unternehmen gehen diesen Weg alleine und merken zu spät: Die Dokumentation ist lückenhaft, die Prozesse sind nicht aufeinander abgestimmt, die Managementbewertung ist eine Formalität statt ein echtes Führungsinstrument.

Hier setzt SECJUR an. Das System führt Unternehmen durch alle sechs Phasen und bildet dabei die ISO 9001 Anforderung für Anforderung ab. Anstelle dass Unternehmen Excel-Sheets und Word-Dokumente parallel verwalten, arbeiten sie in einer strukturierten Plattform, die den Aufbau leitet.

Die Differenzierung: Bei klassischem Consulting sitzt der Berater im Unternehmen, schreibt Verfahren auf und verschwindet dann wieder. Das Wissen bleibt beim Berater. Mit einer Plattform wie SECJUR bleibt das Wissen im Unternehmen, die Prozesse sind dokumentiert, und die nächste interne Auditorin kann nahtlos anknüpfen. Für Unternehmen, die planen, das QM-System nach der Zertifizierung selbst zu betreuen, das ist der große Unterschied.

"Ein QM-System ist nicht fertig, wenn die Zertifizierung kommt. Es ist fertig, wenn es die Geschäftsprozesse tatsächlich abbildet und die Mitarbeiter wissen, warum es wichtig ist. Wer versucht, das allein zu tun, unterschätzt den Aufwand. Wer es mit einer strukturierten Methode und Plattform tut, hat nach sechs Monaten ein System, auf das das Management stolz ist."

Bettina Stearn, ISO/IEC 27001 Auditorin & QM-Fachexpertin bei SECJUR

Mehr erfahren
Bettina Stearn

Bettina Stearn ist zertifizierte ISO/IEC 27001 Auditorin und Beraterin für Datenschutz und Informationssicherheit. Mit mehr als 15 Jahren Erfahrung in Informationssicherheit, Qualitätsmanagement und Datenschutz begleitet sie Organisationen bei der Einführung und Zertifizierung von Managementsystemen nach internationalen Standards. Neben ihrer Spezialisierung auf ISO 27001 und TISAX® verfügt sie über umfangreiche Erfahrung in der Implementierung und Auditierung von Managementsystemen nach ISO 9001 sowie eine Ausbildung zur QM-Fachexpertin (TÜV SÜD). Ihr Fokus liegt auf der sicheren und effizienten Umsetzung regulatorischer Anforderungen – von NIS2 über TISAX® bis hin zur KI-Compliance nach EU-Vorgaben. Dabei verbindet sie technisches Know-how mit strategischem Blick für nachhaltige Sicherheitsstrukturen.

Über SECJUR

SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.

Compliance, completed

Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office

Mehr erfahren

Häufig gestellte Fragen

Die häufigsten Fragen zum Thema

Wie lange dauert es, ein QM-System aufzubauen?

Typischerweise 6-12 Monate für die Grundstruktur und bis zur Zertifizierung. Der Zeitrahmen hängt ab von der Unternehmensgröße und der Komplexität. Ein Einmann-Betrieb ist schneller durch als ein Unternehmen mit fünf Abteilungen. Mit externer Unterstützung beschleunigt sich der Prozess um etwa 30 Prozent.

Muss ich ISO-9001-zertifiziert sein, um ein QM-System zu haben?

Nein. Viele Unternehmen haben funktionsfähige QM-Systeme ohne ISO-9001-Zertifikat. Der Zertifikat ist äußerliche Bestätigung und spielt eine Rolle, wenn Kunden das verlangen (z.B. Automotive, Luft- und Raumfahrt). Aber ein QM-System, das Fehler senkt und Prozesse verbessert, funktioniert auch ohne externen Stempel.

Kann ein KMU ein QM-System allein aufbauen?

Ja, aber mit Risiko. Ohne externe Erfahrung oder Plattform-Anleitung übersehen KMUs regelmäßig: die Dokumentation ist zu akademisch, die Prozesse sind nicht aufeinander abgestimmt, die Schulung fällt unter den Tisch. Mit einer Plattform oder Berater ist die Erfolgsquote höher.

Wie oft muss ich mein QM-System überprüfen?

Das System muss mindestens einmal jährlich überprüft werden, das ist die Managementbewertung. Interne Audits sollten systematisch geplant werden, mindestens zwei pro Jahr. Nach der Zertifizierung kommt ein externer Auditor alle drei Jahre zur Überwachungs-Audit.

Was ist der Unterschied zwischen Qualitätsmanagementsystem und Qualitätssicherung?

Qualitätssicherung (QS) ist eine Abteilung oder Rolle, Menschen, die kontrollieren, ob Qualität stimmt. Qualitätsmanagementsystem (QMS) ist die ganze Infrastruktur: Prozesse, Dokumentation, Verantwortlichkeiten, kontinuierliche Verbesserung. Ein gutes QMS ist das Dach über allen Qualitätsaktivitäten.

Ist ISO 9001 für meinen Betriebstyp geeignet?

ISO 9001 ist branchen-neutral und gilt für Produktion, Dienstleistung, Handwerk, Beratung. Für Automotive, Medizintechnik und Luft- und Raumfahrt gibt es zusätzliche, strengere Standards (VDA ISA, TISAX, AS9100). Aber die Grundstruktur von ISO 9001 ist universell einsetzbar.

Weiterlesen

January 5, 2026
5 Minuten
EU AI Act: Daten-Bias bei Hochrisiko-KI nachweisen

Viele Unternehmen entwickeln leistungsstarke KI, doch beim Nachweis von Fairness und Datenqualität scheitern sie oft. Erfahren Sie, wie Sie Daten-Bias in Hochrisiko-KI-Systemen nach dem EU AI Act

Lesen
March 13, 2026
8 min
TISAX® Kosten: Was die Zertifizierung wirklich kostet [2026]

Was kostet eine TISAX® Zertifizierung wirklich? Alle Kostenblöcke aufgeschlüsselt: von Auditgebühren bis versteckten Kosten.

Lesen
January 7, 2026
5 Minuten
EU AI Act: Whistleblowing und sichere Meldewege

Whistleblowing wird im EU AI Act zu einem zentralen Schutzinstrument für faire und sichere KI. Dieser Leitfaden zeigt, wie Mitarbeitende Verstöße gegen Hochrisiko- und verbotene KI-Systeme sicher melden können, welche internen und externen Meldewege bestehen und welche rechtlichen Schutzmechanismen greifen. Erfahren Sie, wie der AI Act, das Hinweisgeberschutzgesetz und neue EU-Meldestellen zusammenwirken, um Diskriminierung, Manipulation und Sicherheitsrisiken in KI-Systemen frühzeitig zu stoppen – und warum Whistleblower damit zu einem entscheidenden Faktor für vertrauenswürdige KI werden.

Lesen
Related Resources
ISO 27001:2022 – Was sich geändert hat und was Sie jetzt tun müssen
November 24, 2023
11 min
NIS2 Software für den Mittelstand. Der Buyer's Guide für 2026
March 23, 2026
14 min
NIS2 Umsetzung in Deutschland: Gesetz, Fristen und nächste Schritte
March 22, 2026
9 min
Marketing Tips for Niche Industries
TISAX Zertifizierung: Ablauf, Kosten und Dauer im Überblick
March 17, 2026
11 min
Datenschutz-Folgenabschätzung: So funktioniert das Risiko-Werkzeug
June 5, 2023
10 min
ISO 9001 und ISO 27001 Synergien: Ein integriertes Managementsystem (IMS)
March 23, 2026
6 Min. Lesezeit
TO TOP