Internes Audit: ISO 9001, 14001 und 27001 kombiniert durchführen

DIN EN ISO 9001:2015, DIN EN ISO 14001:2015 und ISO/IEC 27001:2022 verlangen jeweils ein internes Auditprogramm – Art. 9.2 jeder der drei Normen stellt dieselbe Grundforderung: Das Unternehmen muss in geplanten Abständen interne Audits durchführen, um festzustellen, ob das Managementsystem die eigenen Anforderungen sowie die Normenanforderungen erfüllt und wirksam umgesetzt wird. Wer alle drei Systeme betreibt, steht vor der Frage, ob drei getrennte Auditprogramme oder ein integriertes Vorgehen sinnvoller ist.

Ein kombiniertes internes Audit spart Ressourcen, setzt aber voraus, dass Auditoren die relevanten Normenbereiche abdecken können und die Auditplanung nachvollziehbar dokumentiert ist. Dieser Artikel beschreibt die normativen Grundlagen, den Aufbau eines integrierten Auditprogramms, die Anforderungen an Auditoren und die häufigsten Schwachstellen, die bei Rezertifizierungen auffallen.

Art. 9.2 ist in ISO 9001:2015, ISO 14001:2015 und ISO/IEC 27001:2022 inhaltlich nahezu identisch formuliert. Die Norm fordert, dass das Unternehmen ein Auditprogramm plant, einführt und aufrechterhält, das Häufigkeit, Methoden, Verantwortlichkeiten, Planungsanforderungen und Berichterstattung umfasst. Dabei sind der Umfang der betreffenden Managementsysteme, Änderungen am System und die Ergebnisse früherer Audits zu berücksichtigen.

Für ISO/IEC 27001:2022 kommen ergänzend die 93 Controls des Annex A hinzu, die im Statement of Applicability (SoA) verankert sind. Das interne Audit muss prüfen, ob die anwendbaren Controls tatsächlich umgesetzt und wirksam sind – ein Prüfschritt, den ISO 9001 und ISO 14001 in dieser Form nicht kennen. Dieser normspezifische Tiefgang ist der Hauptgrund, warum kombinierte Audits eine sorgfältige Kompetenzplanung erfordern.

ISO 14001:2015 legt zusätzlich Wert auf die Prüfung der Umweltaspekte (Kap. 6.1.2) und der Compliance-Verpflichtungen (Kap. 9.1.2). Wer Umweltrechtsvorschriften oder behördliche Auflagen nicht im Auditumfang erfasst, riskiert beim externen Audit eine Abweichung. DIN EN ISO 19011:2018 liefert den methodischen Rahmen für alle drei Systeme und empfiehlt ausdrücklich die kombinierte Auditdurchführung, sofern die Kompetenz der Auditoren sichergestellt ist.

Wer einen externen Lieferanten-Auditor über CIVAC bestellt, erhält einen Beauftragten mit dokumentierter Kompetenz in QM, Umwelt- und Informationssicherheitsmanagement, der kombinierte Auditprogramme nach DIN EN ISO 19011:2018 aufbauen und durchführen kann.

Ein integriertes Auditprogramm beginnt mit der Risikoanalyse der zu auditierenden Bereiche. Für jede Norm sind die kritischen Prozesse und Systemelemente zu identifizieren: Für ISO 9001 sind das typischerweise die wertschöpfungsnahen Prozesse wie Entwicklung, Fertigung und Lieferantensteuerung. Für ISO 14001 stehen Umweltaspekte mit signifikanter Auswirkung im Fokus, etwa Energieverbrauch, Abfallströme oder Emissionen. Für ISO/IEC 27001 sind es Informationswerte mit hohem Schutzbedarf, Zugriffskonzepte und die Sicherheitsereignis-Prozesse.

Die Jahresplanung legt fest, welche Normenbereiche in welchem Quartal auditiert werden. Eine bewährte Struktur sieht vor, normübergreifende Themen wie Führung (Kap. 5), Planung (Kap. 6) und Managementbewertung (Kap. 9.3) in einem gemeinsamen Auditblock zu behandeln. Normenspezifische Tiefenprüfungen werden separat terminiert, damit die Auditzeit realistisch bleibt.

Das Auditprogramm selbst muss dokumentiert sein. Dazu gehören Auditplan, Auditkriterien, Auditumfang, Auditmethode, Auditoren und Terminierungslogik. ISO 19011:2018 empfiehlt, das Programm jährlich zu überprüfen und auf Basis der Befunde der Vorjahre anzupassen. Bereiche mit wiederholten Abweichungen oder erhöhtem Risiko erhalten höhere Auditfrequenz.

Im CIVAC-Workspace stehen 37 einsatzbereite Audit-Vorlagen zur Verfügung, die sich normenspezifisch konfigurieren lassen. Die fünf Kernschritte Scope, Uploads, Rückfragen, Risiken und Bericht führen das Auditteam strukturiert durch jeden Auditblock, unabhängig davon, ob ISO 9001, ISO 14001 oder ISO/IEC 27001 im Fokus steht.

ISO 19011:2018 widmet der Auditorenkompetenz ein eigenes Kapitel (Kap. 7). Für kombinierte Audits bedeutet das: Der Auditor oder das Auditteam muss kollektiv alle relevanten Normen abdecken können. Ein Auditor mit alleiniger ISO 9001-Qualifikation kann kein wirksames kombiniertes Audit über ISO 14001 und ISO/IEC 27001 durchführen.

Die Norm unterscheidet zwischen persönlichen Eigenschaften, allgemeinem Auditoren-Know-how und normenspezifischem Fachwissen. Für ISO/IEC 27001:2022 wird erwartet, dass der Auditor die 93 Controls des Annex A kennt, das SoA lesen kann und Risikobewertungen nach ISO/IEC 27005 einordnen kann. Für ISO 14001 sind Kenntnisse des einschlägigen Umweltrechts in der jeweiligen Jurisdiktion erforderlich. Für ISO 9001 zählen Prozessorientierung und Produktionskenntnis.

Die Kompetenz muss nachgewiesen werden – typischerweise durch Schulungsnachweise, Lead-Auditor-Zertifikate oder dokumentierte Erfahrung. Bei der internen Auditfunktion reicht keine mündliche Bestätigung. Die Zertifizierungsstelle prüft im externen Audit die Qualifikation der internen Auditoren. Fehlt ein Nachweis, ist das eine potenzielle Abweichung.

Wer die interne Auditfunktion nicht selbst besetzen kann oder eine neutrale Perspektive bevorzugt, kann einen Lieferanten-Auditor als externen Beauftragten über CIVAC bestellen. CIVAC stellt die Bestellurkunde aus, dokumentiert die Qualifikation und liefert den Audit-Workspace mit allen normenspezifischen Vorlagen.

Ein häufiger Fehler in kombinierten Audits ist der normübergreifende Sammelbericht. Befunde werden ohne Normenreferenz aufgelistet, sodass weder das Unternehmen noch die Zertifizierungsstelle erkennen kann, ob eine Abweichung das Qualitätsmanagement, das Umweltmanagementsystem oder das ISMS betrifft. Dieser Mangel führt bei Rezertifizierungen regelmäßig zu Rückfragen.

Ein normgerechter Auditbericht trennt Befunde konsequent nach Norm und Normabschnitt. Für jede festgestellte Abweichung oder Beobachtung werden mindestens folgende Felder dokumentiert: betroffener Normabschnitt (z. B. ISO/IEC 27001:2022 Kap. 9.1), Art des Befunds (Abweichung, Beobachtung, Verbesserungspotenzial), Auditnachweis (welche Unterlagen oder Interviews die Feststellung belegen) und Korrekturmaßnahme mit Verantwortlichem und Fälligkeitsdatum.

ISO 19011:2018 Kap. 6.5 spezifiziert den Mindestinhalt eines Auditberichts. Ergänzend sollte der Bericht festhalten, welche Normbereiche nicht auditiert wurden und aus welchem Grund – zum Beispiel wegen planmäßiger Rotation. Diese Transparenz schützt bei externen Audits vor dem Vorwurf unvollständiger interner Auditprogramme.

Im CIVAC-Workspace werden alle Befunde direkt im digitalen Auditbericht erfasst und dem jeweiligen Normenabschnitt zugeordnet. Das Exportformat ist sofort einreichbar bei Zertifizierungsstellen. Der Prüfer ruft an, der Nachweis liegt bereit.

ISO 19011:2018 Kap. 5.1 verlangt, dass Auditoren unparteiisch sind und frei von Interessenkonflikten handeln. Für interne Audits bedeutet das nicht zwingend eine externe Person, aber der Auditor darf den auditierten Bereich nicht selbst verantworten. Wer das Qualitätsmanagementsystem aufgebaut hat, kann es nicht objektiv auditieren.

In kleinen und mittelständischen Unternehmen (50 bis 500 Mitarbeiter) ist die personelle Trennung oft schwierig. Die Qualitätsmanagementbeauftragte oder der CISO kann nicht gleichzeitig das eigene System auditieren. Hier sind zwei Lösungswege zulässig: Erstens ein interner Auditor aus einem anderen Bereich, der für die Auditaufgabe qualifiziert und beauftragt wird. Zweitens ein externer Auditor, der formal beauftragt ist und keine sonstige Funktion im Unternehmen hat.

Die Unabhängigkeit des Auditors ist bei kombinierten Audits besonders kritisch, weil ein einziger Auditor drei Normen prüft und ein Interessenkonflikt in einer Norm den gesamten kombinierten Bericht kompromittiert. Eine dokumentierte Interessenkonflikt-Erklärung vor jedem Auditauftrag ist gute Praxis und wird von Zertifizierungsstellen erwartet.

CIVAC ermöglicht es, einen unabhängigen externen Lieferanten-Auditor oder internen Beauftragten im Workspace zu führen. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder bestellen Sie unsere Beauftragten – die Unabhängigkeitsanforderung ist in beiden Modellen strukturell erfüllt, weil Bestellung und Fachverantwortung sauber getrennt dokumentiert sind.

Auf Basis von Rezertifizierungsberichten lassen sich für kombinierte Audits wiederkehrende Abweichungsmuster erkennen. Die häufigsten Befunde betreffen folgende Bereiche:

• Unvollständiges Auditprogramm: Nicht alle Normabschnitte wurden im Auditprogramm der vergangenen 12 Monate abgedeckt. Art. 9.2 lit. a ISO 9001 verlangt, dass das Programm den gesamten Umfang des Managementsystems erfasst.
• Fehlende Auditorenkompetenz-Nachweise: Die Qualifikation interner Auditoren ist nicht dokumentiert. ISO 19011:2018 Kap. 7.2 verlangt nachvollziehbare Kompetenzbelege.
• Keine Trennung von Befunden nach Norm: Sammelbefunde ohne Normenreferenz erschweren die Nachverfolgung von Korrekturmaßnahmen.
• Korrekturmaßnahmen nicht abgeschlossen: Offene Maßnahmen aus Voraudits ohne Fälligkeitsdatum oder Verantwortlichkeit sind ein Klassiker und führen oft zu Folgeabweichungen.
• Für ISO 14001 spezifisch: Umweltrechtliche Compliance-Verpflichtungen (Kap. 9.1.2) wurden nicht auditiert, obwohl sie explizit im Auditumfang stehen müssen.
• Für ISO/IEC 27001 spezifisch: Das SoA wurde zuletzt geprüft, aber die tatsächliche Control-Implementierung nicht verifiziert. Ein SoA-Eintrag ersetzt keine Auditprüfung der Control-Wirksamkeit.

Wer diese Muster kennt, kann das interne Auditprogramm gezielt präventiv ausrichten. Die CIVAC-Audit-Vorlagen decken alle genannten Prüfpunkte systematisch ab und verhindern, dass Standardlücken bei der nächsten Zertifizierung erst auffallen.

Eine realistische Aufwandsschätzung ist Voraussetzung für eine glaubwürdige Auditplanung. Zu kurz angesetzte Audits enden in oberflächlichen Prüfungen, die Zertifizierungsstellen als unzureichend bewerten. Folgende Orientierungswerte gelten für ein mittelständisches Unternehmen mit 100 bis 500 Mitarbeitern:

• Einzelnes ISO 9001-Audit: 1,5 bis 2,5 Tage je nach Prozesstiefe und Anzahl der Standorte.
• Einzelnes ISO 14001-Audit: 1 bis 2 Tage, inklusive Begehung relevanter Umweltaspekte vor Ort.
• ISO/IEC 27001-Audit (Annex A): 2 bis 3,5 Tage, abhängig von der Anzahl anwendbarer Controls und der Systemkomplexität.
• Kombiniertes Audit aller drei Normen: 3 bis 4,5 Tage bei guter Vorbereitung und klar strukturiertem Auditprogramm.

Die Zeitersparnis durch Kombination liegt typischerweise zwischen 30 und 45 Prozent gegenüber drei getrennten Audits. Der Spareffekt entsteht vor allem durch gemeinsame Kontextgespräche mit der Führungsebene, gemeinsame Dokumentensichtung sowie übergreifende Prüfthemen wie interne Kommunikation, Managementbewertung und Risikomanagement.

Voraussetzung für diese Effizienz ist eine sorgfältige Vorbereitung: Checklisten pro Norm, vorab bereitgestellte Dokumente und klare Zeitblöcke im Auditplan. Ohne Vorbereitung entstehen kombinierte Audits, die weder in der Tiefe noch in der Breite ausreichen.

ISO/IEC 27001:2022 wurde im Oktober 2022 veröffentlicht und hat die Fassung von 2013 abgelöst. Die Übergangsfrist für Zertifizierungen nach der alten Version endete im Oktober 2025. Für kombinierte Audits bedeutet das: Wer noch nach ISO/IEC 27001:2013 auditiert hat, muss das Auditprogramm auf die neue Normstruktur umstellen.

Die wichtigsten strukturellen Änderungen für das interne Auditprogramm betreffen die Kontrollenstruktur: Die 114 Controls aus Annex A der Fassung 2013 wurden auf 93 Controls in vier Themenbereiche (organisational, people, physical, technological) konsolidiert. Elf Controls sind neu hinzugekommen, darunter Bedrohungsaufklärung (5.7), Informationssicherheit in der Cloud (5.23) und sicheres Codieren (8.28). Diese neuen Controls müssen im SoA bewertet und – soweit anwendbar – auditiert werden.

Für kombinierte Audits mit ISO 9001 und ISO 14001 hat die ISO 27001-Revision keine unmittelbare Auswirkung auf die anderen Normen, aber die Auditoren müssen die neue Kontrollenlandschaft kennen. Schulungsnachweise für ISO/IEC 27001:2022 sind für alle internen Auditoren zu aktualisieren, die das ISMS prüfen.

Den detaillierten Übergangsfahrplan beschreibt der CIVAC-Artikel ISO 27001:2022 Übergang. Im CIVAC-Workspace sind alle 93 Controls als Audit-Vorlagen bereits in der aktualisierten Fassung hinterlegt.

Ein kombiniertes internes Auditprogramm für ISO 9001, ISO 14001 und ISO/IEC 27001 ist kein Mammutprojekt, wenn es strukturiert angegangen wird. Der Ausgangspunkt ist eine Bestandsaufnahme der vorhandenen Managementsysteme: Welche Normabschnitte existieren, welche Controls sind im SoA als anwendbar markiert, welche Prozesse sind normenübergreifend relevant?

Auf dieser Basis entsteht ein konsolidiertes Auditprogramm mit klarer Jahresplanung, normenspezifischen Tiefenblöcken und einer Liste qualifizierter Auditoren. Das Programm wird der Geschäftsleitung vorgelegt, genehmigt und dokumentiert. Audit-fest, dokumentiert, normkonform.

CIVAC stellt für diesen Aufbau zwei Modelle zur Verfügung. Im Workspace-Lizenz-Modell erhalten Ihre internen Auditoren Zugang zu 37 einsatzbereiten Audit-Vorlagen, strukturierten Berichtsmodulen und einem vollständigen Auditprogramm-Management. Im Officer-as-a-Service-Modell übernimmt ein zertifizierter CIVAC-Auditor die Funktion des internen Auditors, führt das kombinierte Auditprogramm durch und liefert normengerechte Berichte. Bestellurkunde, unterschrieben, abgelegt, belegbar.

Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder bestellen Sie unsere Beauftragten. Beide Wege führen zu einem auditfesten, dokumentierten Auditprogramm, das bei der nächsten Rezertifizierung standhält.

Aus dem Lesen einen Auftrag machen. Wenden Sie sich mit Ihrer Auditprogramm-Anfrage an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de.