Interne Audits ISO 9001 durchführen: Checkliste, Ablauf und Vorlagen für den QMB

ISO 9001:2015 Abschnitt 9.2 verlangt, dass die Organisation in geplanten Abständen interne Audits durchführt, um zu prüfen, ob das Qualitätsmanagementsystem den eigenen Anforderungen, den ISO-Anforderungen und den geplanten Regelungen entspricht und wirksam umgesetzt ist. Pflicht ist ein dokumentiertes Auditprogramm, Pflicht sind objektive und unparteiische Auditoren, Pflicht ist die Berichterstattung an die Leitung, Pflicht sind Korrekturmaßnahmen mit Wirksamkeitsprüfung.

Diese Checkliste begleitet den Qualitätsmanagementbeauftragten durch die fünf Phasen eines internen Audits: Programm, Plan, Durchführung, Bericht, Folgeaktivitäten. Sie nennt die Pflichtfragen, beschreibt die Vorlagen und benennt die typischen Befunde, die Zertifizierungsauditoren bei internen Audits sehen. Ziel ist ein Auditzyklus, der in zwei Wochen pro Bereich sauber durchläuft und bei der externen Zertifizierung nicht zur Schwachstelle wird.

ISO 9001:2015 Klausel 9.2.2 a) verlangt ein dokumentiertes Auditprogramm mit Häufigkeit, Methoden, Verantwortlichkeiten und Berichterstattung. Häufigkeit und Tiefe der Audits richten sich nach der Bedeutung der Prozesse, den Ergebnissen vorangegangener Audits und den Veränderungen in der Organisation. Das ist kein Aufruf zu Gleichmacherei, sondern zur Risikoorientierung: Ein Prozess mit hohem Reklamationsaufkommen, neuen Mitarbeitenden oder regulatorischen Änderungen wird häufiger und tiefer auditiert als ein etablierter Standardprozess.

Typische Programmstruktur: Drei-Jahres-Programm mit jährlicher Aktualisierung, in dem jeder Prozess mindestens einmal pro Zyklus auditiert ist, kritische Prozesse häufiger. Pro Audit werden Bereich, Auditor, Termin, Klauseln und Vorbereitungszeit festgehalten. Die Programmplanung erfolgt im vierten Quartal für das Folgejahr, gemeinsam mit der Leitung, abgestimmt mit Urlaubsplanung und Großprojekten. Ein häufiger Befund externer Zertifizierungsauditoren: Programm vorhanden, aber keine Risikoorientierung erkennbar, weil jeder Prozess gleich oft auditiert wird. Wer ein risiko-orientiertes Programm fährt, dokumentiert die Begründung der Auditfrequenzen, idealerweise mit Bezug auf KPIs, Reklamationen oder Vorjahresbefunde.

Jedes Einzelaudit benötigt einen schriftlichen Auditplan. Pflichtinhalte: Auditziel und -umfang, Auditkriterien (welche ISO-Klauseln, welche internen Verfahren), Datum und Dauer, Teilnehmer, geplanter Ablauf, Auditor und Co-Auditor, Berichtsweg. Der Plan wird zwei bis vier Wochen vor dem Audit an den auditierten Bereich verteilt, damit Vorbereitung möglich ist. Heimlichkeit ist keine Methodik interner Audits, der Zweck ist Verbesserung, nicht Überraschung.

Bei der Auditorenauswahl gilt ISO 9001:2015 Klausel 9.2.2 c): Auditoren müssen ausgewählt werden, dass Objektivität und Unparteilichkeit gewahrt sind. Das schließt Selbstauditierung aus, also ein Bereich darf nicht von dort tätigen Personen auditiert werden. In kleineren Organisationen löst man das durch kreuzweise Auditierung zwischen Bereichen oder durch externe Auditoren. Qualifikationsanforderungen sind nicht explizit normiert, in der Praxis bewährt sich ISO-9001-Auditor-Schulung mit Nachweis, plus Audit-Erfahrung als Co-Auditor vor der ersten Lead-Funktion. CIVAC stellt für externe Audits qualifizierte Lieferanten- und Prozess-Auditoren mit dokumentierten Qualifikationen bereit, falls die internen Kapazitäten knapp sind.

Die Auditcheckliste ist das operative Herzstück. Sie listet pro Klausel die Pflichtfragen, plus prozess- und risiko-spezifische Ergänzungen. Auszug für die zentralen Klauseln. Klausel 4 Kontext: Sind interessierte Parteien identifiziert? Sind Anforderungen dokumentiert? Wurde der Anwendungsbereich begründet? Klausel 5 Führung: Verpflichtung der obersten Leitung, Qualitätspolitik, Rollen und Verantwortungen, Bestellung des QMB. Klausel 6 Planung: Risiken und Chancen, Qualitätsziele, Maßnahmenpläne. Klausel 7 Unterstützung: Ressourcen, Kompetenz, Bewusstsein, Kommunikation, dokumentierte Information.

Klausel 8 Betrieb: Planung und Steuerung, kundenbezogene Prozesse, Entwicklung, externe Bereitstellung, Produktion und Dienstleistungserbringung, Freigabe, fehlerhafte Ergebnisse. Klausel 9 Bewertung: Überwachung, Kundenzufriedenheit, interne Audits, Managementbewertung. Klausel 10 Verbesserung: Korrekturmaßnahmen, fortlaufende Verbesserung. Pro Frage wird der zu prüfende Nachweis spezifiziert: welches Dokument, welche Aufzeichnung, welches Interview. Eine gute Checkliste enthält nicht nur Ja/Nein-Fragen, sondern offene Fragen, die Begründungen und Beispiele provozieren. Vorlagen-Empfehlung: 30 bis 60 Fragen pro Audit, abgestimmt auf den Bereich, mit Verweis auf konkrete Verfahrensanweisungen.

Das Audit beginnt mit einer Eröffnungsbesprechung, in der Zweck, Umfang, Methode und Zeitplan bestätigt werden. Anwesend sind Auditor, Auditierter und Bereichsleitung. Anschließend folgt die Datensammlung in drei Methoden: Befragung von Mitarbeitenden, Beobachtung von Tätigkeiten und Prüfung von Dokumenten und Aufzeichnungen. Die Methodik mischt offene Fragen mit konkreten Stichproben. Beispiel: „Zeigen Sie mir bitte die Wareneingangsprüfung der letzten Charge XY und erklären Sie mir, wie Sie die Spezifikation gegen die Lieferung prüfen."

Befunde werden während des Audits notiert, klassifiziert und dem Auditierten transparent gemacht. Klassifikation: Konformität (alles in Ordnung), Verbesserungspotenzial (Beobachtung), Abweichung (Nichtkonformität, geringfügig oder schwerwiegend). Der Auditor sammelt Belege, nicht Meinungen. Eine Abweichung muss durch Bezug auf eine Klausel und auf eine konkrete Beobachtung belegt sein, sonst ist sie im Abschlussgespräch nicht haltbar. Das Audit endet mit einer Abschlussbesprechung, in der Befunde präsentiert, Klassifikation und Frist für Korrekturmaßnahmen abgestimmt werden. Der Bericht folgt schriftlich innerhalb von ein bis zwei Wochen. Audit-fest, dokumentiert, ISO 9001:2015-fest.

Der Auditbericht ist die dokumentierte Information nach ISO 9001:2015 Klausel 9.2.2 e). Pflichtinhalte: Identifikation des Audits (Datum, Bereich, Auditor), Auditkriterien, Methode, Teilnehmer, Befunde nach Klassifikation, Korrekturmaßnahmen mit Verantwortlichem und Frist, Bewertung der Wirksamkeit des auditierten Bereichs, Verteiler. Der Umfang variiert je nach Bereich, typischerweise vier bis zwölf Seiten.

Häufige Schwäche in der Praxis: Berichte beschreiben Tätigkeiten, statt Befunde zu dokumentieren. Ein guter Auditbericht ist konkret. „Bei der Prüfung von fünf Lieferantenfreigaben aus 2025 fehlte in drei Fällen die dokumentierte Wareneingangsprüfung nach Verfahrensanweisung VA-04, was eine Abweichung von Klausel 8.4.2 darstellt." Das ist verwertbar, weil es Stichprobenumfang, Befund, Klauselbezug und Maßnahmenansatz enthält. „Wareneingang wurde besprochen, einige Lücken vorhanden" ist es nicht. Die Maßnahmenliste wird mit dem Auditierten abgestimmt, weil Termine realistisch sein müssen. Mit der CIVAC Compliance-Plattform und Officer-as-a-Service liegen 37 Audit-Vorlagen bereit, darunter Auditplan, Checklistenvorlage für ISO 9001:2015 mit Klauselbezug, Berichtsvorlage und Maßnahmenliste mit Wiedervorlage. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software.

Eine Abweichung allein erzeugt keine Verbesserung. ISO 9001:2015 Klausel 10.2 verlangt eine Ursachenanalyse, Korrekturmaßnahmen und eine Wirksamkeitsprüfung. In der Praxis bewährt sich folgender Ablauf. Erstens: Sofortmaßnahme zur Eindämmung der unmittelbaren Auswirkung, falls erforderlich. Zweitens: Ursachenanalyse mit einer geeigneten Methode (5-Why, Ishikawa, Fehlerbaum), nicht nur Symptombehandlung. Drittens: Korrekturmaßnahme mit Verantwortlichem, Frist und definiertem Ergebnis. Viertens: Umsetzung mit Nachweis. Fünftens: Wirksamkeitsprüfung nach einem definierten Zeitraum, häufig drei bis sechs Monate nach Umsetzung.

Der häufigste Befund externer Zertifizierungsauditoren bei internen Audits: Korrekturmaßnahmen wurden umgesetzt, aber die Wirksamkeitsprüfung fehlt oder wurde nur formal vorgenommen. Wirksamkeitsprüfung heißt: Wir prüfen erneut, ob die Ursache beseitigt ist und der Befund nicht wieder auftritt. Das setzt voraus, dass die Maßnahme messbar formuliert war. „Schulung durchgeführt" ist keine wirksame Maßnahme, „Stichprobenprüfung von zehn Vorgängen drei Monate nach Schulung mit Quote der korrekt durchgeführten Wareneingangsprüfungen über 95 Prozent" ist es. Die Maßnahmenliste muss diesen Vollzyklus abbilden, sonst entstehen wiederkehrende Befunde, die externe Auditoren als systemische Schwäche werten.

ISO 9001:2015 Klausel 9.3 verlangt eine Managementbewertung in geplanten Abständen, in die Ergebnisse interner Audits einfließen. Die Bewertung ist mehr als ein Statusbericht: Sie ist die Steuerungsentscheidung der Leitung über das QMS. Eingaben (Klausel 9.3.2): Status früherer Managementbewertungen, externe und interne Themen, Kundenzufriedenheit, Zielerreichung, Prozessleistung, Auditergebnisse, Lieferantenleistung, Ressourcen, Risiken und Chancen, Verbesserungsmöglichkeiten.

Ergebnisse (Klausel 9.3.3): Entscheidungen zu Verbesserungsmaßnahmen, Anpassungen am QMS, Ressourcenbedarf. Häufige Befunde: Managementbewertung erfolgt jährlich, deckt die geforderten Eingaben formal ab, enthält aber keine erkennbaren Entscheidungen. Eine starke Bewertung enthält drei bis sieben Beschlüsse mit Frist, Verantwortlichem und Erfolgskriterium. Das Auditprogramm wird im Rahmen der Managementbewertung überprüft und für das Folgejahr angepasst. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. CIVAC liefert eine Managementbewertungs-Vorlage mit Eingaben, Ergebnisliste und Verlinkung zu Audit- und Risikoinventar.

Bei der externen ISO-9001-Zertifizierung prüft der Zertifizierer die internen Audits intensiv, weil sie zentrale Selbstkontrolle des QMS sind. Fünf wiederkehrende Befunde. Erstens: Auditprogramm vorhanden, aber Risikoorientierung nicht erkennbar. Zweitens: Auditoren-Unabhängigkeit verletzt, weil Personen ihre eigenen Prozesse auditieren. Drittens: Auditbericht zu allgemein, keine konkreten Befunde mit Klausel- und Belegbezug. Viertens: Maßnahmen umgesetzt, aber Wirksamkeitsprüfung fehlt. Fünftens: Audit-Befunde fließen nicht in die Managementbewertung ein, weil die Schnittstelle nicht etabliert ist.

Die Gegenmaßnahmen sind organisatorischer Natur. Das Auditprogramm wird mit Risikobegründung versehen. Auditoren werden aus anderen Bereichen ausgewählt oder extern bestellt. Die Checklisten werden klauselbezogen aufgebaut, Berichte enthalten Stichproben mit Daten. Maßnahmen werden mit messbaren Ergebnissen und Wirksamkeitsprüfung versehen. Die Managementbewertung agendiert Audit-Ergebnisse fix. Wer diese fünf Bausteine in einer Plattform mit Audit-Vorlagen, Wiedervorlage und Versionierung führt, übersteht die externe Zertifizierung ohne Hauptabweichung. Der Prüfer ruft an, der Nachweis liegt bereit.

Wenn Ihr Auditprogramm in einer Excel-Datei ohne Risikobegründung lebt, wenn Berichte allgemein bleiben und Wirksamkeitsprüfungen ausfallen, ist der Handlungsbedarf bekannt. Vor der nächsten externen Zertifizierung lohnt sich der Sprung von Karteikarten zu strukturierten Audit-Workflows, weil die Hauptabweichungen sonst regelmäßig im internen Audit-Prozess selbst entstehen.

CIVAC stellt die Compliance-Plattform und Officer-as-a-Service: Workspace mit Auditprogramm, Auditplan, Checklisten nach ISO 9001:2015, Berichtsvorlage, Maßnahmenliste und Wirksamkeitsprüfung, EU-Datenresidenz, ISO 27001:2022 ISMS. Wahlweise mit Ihrem internen QMB oder mit unserem bestellten Qualitätsmanagementbeauftragten und externen Auditoren. Aus dem Lesen einen Auftrag machen: Schreiben Sie an info@civac.de oder buchen Sie einen 20-minütigen Audit-Check über das Kontaktformular. Sie erhalten innerhalb von zwei Werktagen eine Einschätzung Ihres aktuellen Auditprogramms und einen Vorschlag zur Optimierung.