ISO 9001 Zertifizierung: Ablauf, Anforderungen und Rolle des QMB

DIN EN ISO 9001:2015 ist der international meistverbreitete Standard für Qualitätsmanagementsysteme (QMS). Er legt Anforderungen fest, die eine Organisation erfüllen muss, um konsistent Produkte und Dienstleistungen zu liefern, die Kunden- und regulatorische Anforderungen erfüllen. Eine Zertifizierung nach ISO 9001 ist für zahlreiche Branchen de facto Voraussetzung für Lieferantenfreigaben, öffentliche Ausschreibungen und Vertragsabschlüsse mit Konzernen.

Die Norm wurde 2015 grundlegend überarbeitet und stärkt seitdem den risikobasierten Ansatz, die Prozessorientierung und die Kontextanalyse der Organisation. Dieser Artikel erläutert, was ISO 9001:2015 von Unternehmen verlangt, wie der Zertifizierungsablauf strukturiert ist, welche Aufgaben der Qualitätsmanagementbeauftragte (QMB) übernimmt und wie die laufende Aufrechterhaltung der Zertifizierung sichergestellt wird.

DIN EN ISO 9001:2015 ist in zehn Hauptabschnitte (Klauseln) gegliedert, die der High Level Structure (HLS) aller neueren ISO-Managementsystemnormen folgen. Die normativen Anforderungen beginnen mit Klausel 4 (Kontext der Organisation) und enden mit Klausel 10 (Verbesserung). Klausel 4 verlangt, dass die Organisation ihre internen und externen Einflussfaktoren sowie die Anforderungen interessierter Parteien systematisch analysiert.

Klausel 6 führt den risikobasierten Ansatz ein: Die Organisation muss Risiken und Chancen identifizieren, bewerten und Maßnahmen planen. Das ersetzt das bisherige Vorbeugungsmaßnahmen-Konzept der ISO 9001:2008. Klausel 7 regelt Ressourcen, Kompetenzen und dokumentierte Information; Klausel 8 deckt die operative Planung ab. Klausel 9 fordert Leistungsbewertung durch interne Audits und Managementbewertung.

Die Norm schreibt keine Stellenbezeichnung „Qualitätsmanagementbeauftragter” vor, verlangt aber, dass die oberste Leitung Rollen, Verantwortlichkeiten und Befugnisse zuweist (Klausel 5.3). In der Praxis übernimmt der QMB die koordinierende Funktion für das gesamte QMS. Er ist Ansprechpartner für interne und externe Audits, pflegt die dokumentierten Informationen und stellt sicher, dass Klausel-10-Verbesserungsmaßnahmen verfolgt werden.

Klausel 5 stärkt die Führungsverantwortung der obersten Leitung: Sie muss die Qualitätspolitik festlegen, auf die strategische Ausrichtung abgestimmt, und sicherstellen, dass QMS-Anforderungen in die Geschäftsprozesse integriert werden. Diese Anforderung zielt darauf ab, Qualitätsmanagement aus einer isolierten Abteilungsfunktion heraus in die Unternehmensstrategie einzubetten.

Weitere Informationen zur Rolle des QMB und zur Beauftragung bei CIVAC finden Sie auf der Seite Qualitätsmanagementbeauftragter.

Eine ISO 9001 Zertifizierung gliedert sich in drei Hauptphasen. Die erste Phase ist die interne Vorbereitung: Das Unternehmen analysiert den Ist-Zustand seines QMS gegenüber den Normanforderungen (Gap-Analyse), schließt identifizierte Lücken, erstellt oder überarbeitet erforderliche dokumentierte Informationen und führt ein internes Audit durch. Anschließend führt die oberste Leitung eine Managementbewertung nach Klausel 9.3 durch.

Die zweite Phase ist das Zertifizierungsaudit, das aus zwei Stufen besteht. Im Stufe-1-Audit (Stage 1) prüft der Auditor der akkreditierten Zertifizierungsstelle die Dokumentation des QMS, bewertet die Reife des Systems und identifiziert mögliche Schwerpunkte für das Stufe-2-Audit. Dieses erfolgt in der Regel einige Wochen nach dem Stufe-1-Audit. Im Stufe-2-Audit (Stage 2) prüft der Auditor vor Ort, ob das beschriebene QMS tatsächlich gelebt wird und die Normanforderungen erfüllt. Festgestellte Abweichungen werden als Major Non-Conformity (führt zu Nicht-Zertifizierung bis zur Behebung) oder Minor Non-Conformity (kann nach Zertifizierung behoben werden) eingestuft.

Die dritte Phase ist die Aufrechterhaltung: Das Zertifikat gilt in der Regel drei Jahre. Im ersten und zweiten Jahr nach der Erstzertifizierung finden jährliche Überwachungsaudits (Surveillance Audits) statt. Am Ende des dreijährigen Zertifizierungszyklus erfolgt ein Re-Zertifizierungsaudit (Recertification Audit), das den Dreijahres-Zyklus erneuert.

Zwischen Stufe-1-Audit und Stufe-2-Audit liegt in der Regel ein Zeitraum von vier bis acht Wochen. Dieses Zeitfenster sollte das Unternehmen nutzen, um die im Stufe-1-Audit identifizierten Schwerpunkte zu adressieren und die betreffenden Prozesse und Dokumente zu vervollständigen. Ein erfahrener QMB koordiniert diese Phase und bereitet die Belegschaft auf typische Interviewfragen des Stufe-2-Auditorts vor.

Klausel 9.2 der ISO 9001:2015 verlangt, dass die Organisation interne Audits in geplanten Abständen durchführt, um zu überprüfen, ob das QMS die eigenen Anforderungen der Organisation und die Normanforderungen erfüllt und ob das QMS wirksam verwirklicht und aufrechterhalten wird. Das interne Audit ist damit nicht nur Vorbereitungsinstrument, sondern dauerhaftes Kontroll- und Verbesserungswerkzeug.

Der Auditplan muss Häufigkeit, Methode, Verantwortlichkeit und Berichtsanforderungen festlegen. Die Auswahl der internen Auditoren erfolgt unter Beachtung der Objektivität und Unparteilichkeit: Auditoren dürfen nicht ihre eigene Arbeit prüfen. In kleineren Unternehmen kann ein externer QMB die internen Audits durchführen, da er keine operative Linienfunktion im Unternehmen hat.

Audit-Ergebnisse müssen dokumentiert werden. Abweichungen führen zu Korrekturmaßnahmen nach Klausel 10.2, deren Wirksamkeit bei einem Folgeaudit verifiziert wird. Die Dokumentation des gesamten Auditprogramms, inklusive Nachweis durchgeführter Maßnahmen, ist ein zentrales Prüfobjekt externer Auditoren. Ein unvollständiges internes Auditprogramm ist einer der häufigsten Befunde bei Zertifizierungsaudits.

Der CIVAC-Workspace stellt 37 einsatzbereite Audit-Vorlagen bereit, darunter Vorlagen für interne QMS-Audits. Der QMB kann Audit-Pläne, Checklisten, Befunde und Korrekturmaßnahmen direkt im Workspace verwalten, ohne externe Tools einzusetzen.

Die Frequenz interner Audits sollte risikobasiert festgelegt werden: Prozesse mit hohem Qualitätsrisiko oder häufigen Abweichungen werden öfter auditiert als stabile Standardprozesse. Ein ausdifferenzierter Auditplan, der diese Risikogewichtung abbildet, wird von externen Auditoren als Zeichen eines reifen QMS bewertet.

ISO 9001:2015 unterscheidet nicht mehr zwischen Qualitätshandbuch, Verfahrensanweisungen und Aufzeichnungen wie die Vorgängerversion von 2008. Stattdessen verwendet die Norm den Begriff „dokumentierte Information” und schreibt an verschiedenen Stellen vor, welche dokumentierten Informationen aufrechtzuerhalten (Dokumente) und welche beizubehalten (Aufzeichnungen) sind.

Pflichtdokumente umfassen unter anderem den Anwendungsbereich des QMS (Klausel 4.3), die Qualitätspolitik (Klausel 5.2), die Qualitätsziele (Klausel 6.2), die Risiko- und Chancenbewertung (Klausel 6.1) sowie die Ergebnisse der Managementbewertung (Klausel 9.3). Pflichtaufzeichnungen umfassen Kalibriernachweise (Klausel 7.1.5), Kompetenz-Nachweise (Klausel 7.2), interne Auditberichte (Klausel 9.2), Nichtkonformitäten und Korrekturmaßnahmen (Klausel 10.2) sowie Ergebnisse der Lieferantenbewertung (Klausel 8.4).

Die Norm schreibt kein Qualitätshandbuch vor, empfiehlt es aber für Unternehmen, die ihre QMS-Struktur klar kommunizieren wollen. Externe Auditoren erwarten zumindest eine dokumentierte Übersicht der Prozesse und ihrer Wechselwirkungen. Ein QMB, der die Dokumentationsstruktur klar aufgebaut und alle normativen Pflichtdokumente vollständig implementiert hat, reduziert den Zeitaufwand bei Stufe-2-Audits erheblich. Audit-fest, dokumentiert, ISO 9001:2015-fest ist der Maßstab.

Lenkung dokumentierter Informationen bedeutet auch: Veraltete Versionen müssen aus dem Umlauf genommen werden. Externe Auditoren prüfen regelmäßig, ob an Arbeitsplätzen noch veraltete Verfahrensanweisungen oder Formulare vorhanden sind. Ein strukturiertes Versionskontrollsystem, das sicherstellt, dass nur aktuelle Dokumente an den relevanten Arbeitsplätzen und in den zugehörigen IT-Systemen verfügbar sind, ist eine der einfachsten und wirksamsten Maßnahmen zur Reduktion von Minor-Nonconformity-Befunden bei Überwachungsaudits.

Der risikobasierte Ansatz ist das zentrale methodische Merkmal der ISO 9001:2015 gegenüber ihrer Vorgängerversion. Klausel 6.1 verlangt, dass die Organisation bei der Planung des QMS Risiken und Chancen bestimmt, die für die Erreichung der gewünschten Ergebnisse relevant sind, und Maßnahmen zur Behandlung dieser Risiken und Chancen plant.

Die Norm schreibt keine spezifische Methodik vor. Verbreitet sind FMEA (Failure Mode and Effects Analysis), SWOT-Analysen, risikobasierte Prozessbewertungen oder einfachere Risikomatrizen. Entscheidend ist, dass die gewählte Methode systematisch, nachvollziehbar und dokumentiert ist. Auditoren bewerten den Ansatz anhand seiner Angemessenheit für die Komplexität der Organisation.

In der Praxis unterschätzen viele Unternehmen den Aufwand für eine belastbare Risikoanalyse. Eine Risikoanalyse, die aus einer halbseitigen Tabelle besteht und nie aktualisiert wurde, wird von erfahrenen Auditoren kritisch bewertet. Die Risikoanalyse muss die realen Risiken der Geschäftstätigkeit widerspiegeln und mit den Qualitätszielen nach Klausel 6.2 verknüpft sein.

Für Unternehmen, die mehrere Managementsystemnormen pflegen, bietet sich eine integrierte Risikoanalyse an, die ISO 9001:2015, ISO 14001:2015 (Umwelt) und ISO/IEC 27001:2022 (IT-Sicherheit) kombiniert. Der CIVAC-Workspace unterstützt kombinierte Audit- und Risikobewertungsworkflows, sodass Doppelarbeit zwischen Beauftragten verschiedener Disziplinen vermieden wird.

Die Risikoanalyse sollte mindestens einmal jährlich sowie anlassbezogen bei wesentlichen Veränderungen der Geschäftstätigkeit, des Produktportfolios oder des Kundenkreises aktualisiert werden. Risikobehandlungsmaßnahmen sind zu dokumentieren, und ihre Wirksamkeit muss im Rahmen der Managementbewertung bewertet werden.

ISO 9001 Zertifizierungen dürfen nur durch akkreditierte Konformitätsbewertungsstellen ausgestellt werden. In Deutschland akkreditiert die Deutsche Akkreditierungsstelle (DAkkS) Zertifizierungsstellen auf Basis der DIN EN ISO/IEC 17021:2011 und der IAF MD 5. Nur Zertifikate akkreditierter Stellen werden von Auftraggebern und Behörden als gleichwertig anerkannt.

Bekannte akkreditierte Zertifizierungsstellen in Deutschland sind unter anderem TÜV SÜD, TÜV Rheinland, DEKRA, DQS, Bureau Veritas und Lloyd's Register. Die Wahl der Zertifizierungsstelle sollte sich an Branchenerfahrung, Reaktionszeiten und dem Preis-Leistungs-Verhältnis orientieren.

Die Zertifizierungskosten variieren stark nach Unternehmensgröße und Komplexität des QMS. Für kleine und mittelständische Unternehmen sind Gesamtkosten für das Erstzertifizierungsverfahren inklusive Stufe-1- und Stufe-2-Audit von mehreren Tausend Euro branchenüblich. Dazu kommen die jährlichen Kosten für Überwachungsaudits sowie die internen Aufwände für Vorbereitung, QMB-Funktion und Dokumentationspflege.

Externe QMB-Beauftragungen können Zertifizierungskosten insgesamt reduzieren, da die Vorbereitung professioneller strukturiert wird, Abweichungen früher erkannt werden und das Stufe-2-Audit komplikationsärmer verläuft. Ein QMB, der die Anforderungen der ISO 9001:2015 kennt und die Zertifizierungsstelle aus früheren Audits kennt, beschleunigt den Prozess erheblich. Informationen zur externen QMB-Beauftragung finden Sie unter Qualitätsmanagementbeauftragter bei CIVAC.

Empfehlenswert ist es, mindestens zwei Angebote von akkreditierten Zertifizierungsstellen einzuholen und dabei neben dem Preis auch die Auditordauer, die Branchenerfahrung des vorgesehenen Auditors und die Flexibilität bei der Terminplanung zu vergleichen. Manche Zertifizierungsstellen bieten Remote-Audits für den Stufe-1-Teil an, was Reisekosten reduzieren kann.

Klausel 9.3 der ISO 9001:2015 verpflichtet die oberste Leitung, das QMS in geplanten Abständen zu bewerten, um dessen fortlaufende Eignung, Angemessenheit, Wirksamkeit und Ausrichtung auf die strategische Ausrichtung der Organisation sicherzustellen. Die Managementbewertung ist keine Formsache, sondern ein strukturierter Prozess mit festgelegten Eingaben und Ergebnissen.

Pflichtinhalte der Managementbewertung umfassen den Status von Maßnahmen aus vorangegangenen Bewertungen, Änderungen relevanter interner und externer Themen, Informationen zur QMS-Leistung (Kundenreklamationen, interne Auditbefunde, Qualitätszielerfüllung), Ressourcen, Chancen zur Verbesserung sowie strategische Ausrichtung. Die Ergebnisse müssen als dokumentierte Information vorliegen und Beschlüsse über Verbesserungsmaßnahmen enthalten.

In der Praxis wird die Managementbewertung von Unternehmen häufig als administrative Last betrachtet und minimal dokumentiert. Externe Auditoren erkennen ein „Pro-forma-Protokoll” in der Regel sofort. Ein QMB, der die Managementbewertung inhaltlich vorbereitet und strukturiert, sichert zu, dass die Sitzung die normativen Anforderungen erfüllt und als Steuerungsinstrument wirkt.

Frist läuft ab dem Zeitpunkt, zu dem die oberste Leitung die Bewertung hätte durchführen müssen. Eine fehlende oder unvollständige Managementbewertung ist ein typischer Minor-Nonconformity-Befund bei Überwachungsaudits und kann bei Wiederholung zum Major-Befund werden.

Die Qualitätsziele nach Klausel 6.2, die in der Managementbewertung auf ihre Erfüllung überprüft werden, müssen SMART formuliert sein: spezifisch, messbar, erreichbar, relevant und terminiert. Vage Ziele wie „Qualität verbessern” ohne Messgröße und Zielwert werden von Auditoren als nicht normkonform bewertet. Ein externer QMB definiert Ziele gemeinsam mit der Geschäftsleitung und stellt sicher, dass Messung und Nachverfolgung im laufenden Betrieb funktionieren.

Viele Unternehmen betreiben neben ISO 9001 weitere Managementsysteme: ISO 14001:2015 (Umwelt), ISO 45001:2018 (Arbeitssicherheit), ISO/IEC 27001:2022 (IT-Sicherheit) oder IATF 16949:2016 (Automobilindustrie). Die gemeinsame High Level Structure (HLS) aller neueren ISO-Normen wurde entwickelt, um die Integration zu erleichtern.

Ein integriertes Managementsystem (IMS) kombiniert die Anforderungen mehrerer Normen in einer gemeinsamen Dokumentationsstruktur, einer gemeinsamen Risikobewertung und einem gemeinsamen internen Auditprogramm. Das reduziert den Gesamtaufwand erheblich im Vergleich zu parallelen, isolierten Systemen. Zertifizierungsstellen bieten kombinierte Audits für mehrere Normen an.

Bei der Integration ist auf die Unterschiede in den normenspezifischen Anforderungen zu achten: ISO/IEC 27001:2022 verlangt eine Erklärung zur Anwendbarkeit (Statement of Applicability), die ISO 9001 nicht kennt. ISO 14001:2015 erfordert eine Umweltaspektbewertung, die sich methodisch von der ISO 9001-Risikoanalyse unterscheidet.

Ein externer QMB, der mehrere Normenwelten kennt, kann die Integration koordinieren und sicherstellen, dass keine Anforderungen zwischen den Normen verloren gehen. Der CIVAC-Workspace unterstützt kombinierte Audit-Workflows und ermöglicht Beauftragten unterschiedlicher Disziplinen, auf einer gemeinsamen Plattform zusammenzuarbeiten. Mehr zu kombinierten Beauftragungen finden Sie auf der Rollen-Übersicht von CIVAC.

In der Praxis beginnt die Integration sinnvollerweise mit einem gemeinsamen Kontext- und Risikoanalyseprozess, der die Anforderungen aller betroffenen Normen gleichzeitig adressiert. Anschließend werden normspezifische Anforderungen wie das ISO 27001 Statement of Applicability als Ergänzungsebene aufgebaut. Dieses Vorgehen vermeidet redundante Dokumente und schafft eine konsistente Grundlage für kombinierte externe Audits.

CIVAC ist eine Compliance-Plattform und Officer-as-a-Service für deutsche Unternehmen. Für Qualitätsmanagementaufgaben stellt CIVAC qualifizierte externe Qualitätsmanagementbeauftragte (QMB) bereit, die die ISO 9001 Zertifizierungsvorbereitung, das interne Auditprogramm und die laufende QMS-Pflege übernehmen. Die Bestellung erfolgt innerhalb von zwei Werktagen inklusive Bestellurkunde und Briefing der Geschäftsleitung.

Der CIVAC-Workspace stellt 37 einsatzbereite Audit-Vorlagen bereit, darunter Vorlagen für Gap-Analysen nach ISO 9001:2015, interne Audit-Checklisten und Managementbewertungs-Templates. Alle dokumentierten Informationen werden revisionssicher im Workspace verwaltet. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder bestellen Sie unsere Beauftragten direkt über das Officer-as-a-Service-Modell.

Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Das bedeutet für ISO 9001: Wenn der externe Auditor der Zertifizierungsstelle prüft, sind interne Auditberichte, Korrekturmaßnahmen, Managementbewertungsprotokoll und Risikobewertung in einem strukturierten Audit-Log abrufbar. Kein Suchen in Netzlaufwerken, kein Nachpflegen veralteter Tabellen.

Für Unternehmen, die mehrere Normen gleichzeitig pflegen oder eine integrierte Zertifizierung anstreben, bietet CIVAC kombinierte Beauftragungen an. Ein QMB kann dabei mit einem Lieferanten-Auditor oder einem Umweltbeauftragten auf derselben Plattform zusammenarbeiten, ohne Doppelstrukturen aufzubauen. Das reduziert den Verwaltungsaufwand und schafft ein konsistentes Evidenzbild für alle externen Prüfer.

Aus dem Lesen einen Auftrag machen. Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de. Das Team meldet sich innerhalb eines Werktages.