QM-Auditor in Deutschland: Rolle, Qualifikation und Aufgaben im ISO 9001 Audit

Der QM-Auditor ist die Person, die ein Qualitätsmanagementsystem nach ISO 9001:2015 prüft. Die Norm verlangt in Abschnitt 9.2 ein dokumentiertes internes Auditprogramm, das die Konformität und die Wirksamkeit des Systems bewertet. Externe Audits werden von akkreditierten Zertifizierungsstellen nach ISO/IEC 17021-1 durchgeführt, deren Auditoren bei der DAkkS oder einer äquivalenten Akkreditierungsstelle gelistet sind. In Deutschland zählt die ISO-Survey 2023 rund 40.000 gültige ISO 9001 Zertifikate, was den QM-Auditor zu einer der quantitativ wichtigsten Auditorenrollen macht.

Dieser Artikel grenzt den QM-Auditor von verwandten Rollen ab, beschreibt die geforderte Qualifikation nach ISO 19011, listet die Auditarten und ihre praktische Bedeutung, erklärt den Ablauf eines Audits von der Planung bis zur Berichterstattung und zeigt, wie der QM-Auditor in einem mittelständischen Unternehmen mit dem Qualitätsmanagementbeauftragten und der Geschäftsleitung zusammenarbeitet. Der Schwerpunkt liegt auf der operativen Realität, nicht auf der Normprosa.

Der QM-Auditor prüft, ob das Qualitätsmanagementsystem den Anforderungen einer Referenznorm entspricht und ob es wirksam ist. Die Referenznorm ist meist ISO 9001:2015, kann aber auch eine branchenspezifische Erweiterung sein, etwa IATF 16949 für Automotive, ISO 13485 für Medizinprodukte oder die AS 9100 für Luft- und Raumfahrt. Die Prüfung erfolgt durch Auditgespräche, Stichproben aus Aufzeichnungen, Begehungen und Nachverfolgung von Prozessen.

Drei Auditarten sind in der Praxis maßgeblich. Erstauditoren prüfen das eigene Unternehmen, das heißt das interne Audit nach Abschnitt 9.2 ISO 9001:2015. Zweitparteienauditoren prüfen einen Lieferanten im Auftrag eines Kunden. Drittparteienauditoren prüfen im Auftrag einer akkreditierten Zertifizierungsstelle und vergeben das Zertifikat. Die drei Auditarten verlangen jeweils eigene Qualifikationsprofile und unterschiedliche Unabhängigkeitsregeln.

Im mittelständischen Unternehmen gibt es typischerweise einen oder zwei interne QM-Auditoren neben dem Qualitätsmanagementbeauftragten. Größere Konzerne unterhalten ein Auditteam von fünf bis fünfzehn Personen, die rotierend mehrere Standorte und Standards abdecken. Die Rollendefinition gehört in die Stellenbeschreibung, die Bestellung dokumentiert die Geschäftsleitung. Eine Einordnung der Rolle finden Sie unter Qualitätsmanagementbeauftragter (QMB). CIVAC ist Compliance-Plattform und Officer-as-a-Service.

ISO 19011:2018 ist die maßgebliche Norm für die Auditierung von Managementsystemen. Sie beschreibt Auditprinzipien, Auditprogramm und Kompetenzanforderungen an Auditoren. Ein QM-Auditor benötigt eine berufliche Grundausbildung, eine Fachausbildung im Qualitätsmanagement, eine Auditorenschulung von mindestens 40 Lehrstunden, dokumentierte Teilnahmen an Audits unter Anleitung und Berufserfahrung im Qualitätsmanagement von mindestens fünf Jahren für externe Auditoren. Die Anforderungen sind in der Praxis je nach Auditart abgestuft, ein interner Auditor in einem kleinen Unternehmen muss weniger nachweisen als ein DAkkS-akkreditierter Zertifizierungsauditor.

Die Auditorenschulung ist nicht beliebig. Akkreditierte Schulungsanbieter sind in Deutschland unter anderem die DGQ, der TÜV, die DEKRA und der Beuth-Verlag. Eine erfolgreiche Schulung schließt mit einer Prüfung und einem Zertifikat ab. Daran schließt sich die persönliche Zertifizierung als Auditor an, etwa durch die DGQ oder einen Personalzertifizierer nach DIN EN ISO/IEC 17024. Die Personalzertifizierung wird regelmäßig erneuert, üblich ist ein Dreijahresturnus mit dokumentierter Weiterbildung von mindestens 40 Stunden pro Periode.

Neben der formalen Qualifikation zählt das praktische Verhalten. ISO 19011 nennt acht Auditprinzipien, darunter Integrität, faire Darstellung, gebührende berufliche Sorgfalt, Vertraulichkeit, Unabhängigkeit, evidenzbasierter Ansatz, risikobasierter Ansatz und neutrale Berichterstattung. Diese Prinzipien sind nicht dekorativ. Ein Auditor, der einen Hinweis verschweigt oder eine Feststellung weichspült, verletzt die Norm und gefährdet die Zertifizierung. Die Aufsicht der Personalzertifizierer prüft Verhaltensbeschwerden im Einzelfall und kann die Zertifizierung entziehen.

ISO 9001:2015 Abschnitt 9.2.2 verlangt ein dokumentiertes Auditprogramm. Das Programm legt fest, welche Bereiche in welchem Turnus auditiert werden, welche Auditoren eingesetzt sind, welche Auditkriterien gelten und wie die Ergebnisse berichtet werden. Üblich ist ein Dreijahres-Zyklus, in dem jede Anforderung der Norm und jeder Bereich des Unternehmens mindestens einmal geprüft wird. Der Zyklus wird in einer Auditmatrix dokumentiert, die Bereich, Norm-Abschnitt und Auditor in einer Tabelle abbildet.

Risikobasierte Schwerpunkte sind seit ISO 9001:2015 Pflicht. Bereiche mit hohem Risiko, etwa Produktion mit Sicherheitsrelevanz, Beschaffung mit Single-Sourcing oder Kundenservice nach Reklamationshäufung, werden häufiger und tiefer auditiert als Bereiche mit niedrigem Risiko. Der Auditplan reagiert auf Vorjahresfeststellungen, auf wesentliche Änderungen und auf das Ergebnis der Managementbewertung. Eine Eskalationsklausel im Programm regelt, wann außerplanmäßige Audits ausgelöst werden, etwa nach gehäuften Reklamationen oder einem Produktrückruf.

Der Auditplan ist ein lebendes Dokument. Der QMB aktualisiert ihn nach jeder Auditrunde, prüft ihn jährlich mit der Geschäftsleitung und passt ihn an, wenn neue Prozesse, neue Standorte oder neue Standards hinzukommen. Die Aktualisierung wird mit Datum und Begründung dokumentiert. CIVAC führt das Auditprogramm im Workspace mit Versionierung, Zuordnung zu den 37 Audit-Vorlagen und automatischer Erinnerungsfunktion. Der Prüfer ruft an, der Nachweis liegt bereit.

Ein Audit beginnt mit der Eröffnungsbesprechung. Der QM-Auditor stellt sich vor, erläutert Auditziel, Auditumfang und Auditkriterien, klärt die Vertraulichkeitsregeln und vereinbart die Vorgehensweise. Die Eröffnung wird protokolliert. In der Praxis dauert sie 20 bis 30 Minuten und schafft die Grundlage für eine sachliche Gesprächsführung im weiteren Verlauf. Die Teilnehmerliste wird mit Datum und Unterschrift festgehalten, da sie Bestandteil des späteren Auditdossiers ist.

Die Stichprobe ist das zentrale Instrument. Der Auditor wählt Aufträge, Reklamationen, Schulungsnachweise oder Prozessdurchläufe aus und prüft sie gegen die Norm. Beispiel: Bei der Prüfung der Beschaffung wählt der Auditor zehn aktuelle Bestellungen aus dem ERP-System und verfolgt sie von der Anforderung über die Lieferantenbewertung, die Wareneingangsprüfung bis zur Zahlungsfreigabe. Abweichungen werden notiert, Belege gesichert, Aussagen mit Zitat dokumentiert. Die Stichprobengröße richtet sich nach Risiko und Häufigkeit, eine pauschale Mindestanzahl gibt die Norm nicht vor.

Die Schlussbesprechung präsentiert die Feststellungen vor der Geschäftsleitung und den Prozessverantwortlichen. Feststellungen werden klassifiziert: Hauptabweichung, Nebenabweichung, Empfehlung. Eine Hauptabweichung blockiert die Zertifikatserteilung. Der Auditbericht folgt schriftlich innerhalb einer vereinbarten Frist, üblich sind zehn bis vierzehn Werktage. Die Maßnahmenplanung erfolgt durch den auditierten Bereich und wird vom QMB nachverfolgt. Die Wirksamkeit der Maßnahmen wird in einer Folgeprüfung verifiziert, bevor der Vorgang abgeschlossen wird.

Die zwei Rollen werden häufig vermischt, sie sind aber strikt zu trennen. Der Qualitätsmanagementbeauftragte ist verantwortlich für den Aufbau, die Pflege und die Weiterentwicklung des QMS. Er erstellt die Dokumentation, leitet die Managementbewertung vor, koordiniert externe Audits und führt das Auditprogramm. Der QM-Auditor prüft das System, in dem der QMB arbeitet. Eine Personalunion ist möglich, aber problematisch, weil sie die Unabhängigkeit gefährdet.

ISO 9001:2015 hat den Begriff Beauftragter der obersten Leitung formal entfernt, die Funktion bleibt in der Praxis bestehen. Die Verantwortung für das QMS liegt nach Abschnitt 5.3 bei der obersten Leitung, die operative Pflege wird typischerweise an den QMB delegiert. Eine schriftliche Bestellung ist üblich, auch wenn die Norm sie nicht mehr ausdrücklich verlangt. Bestellurkunde, unterschrieben, abgelegt, belegbar.

Im internen Audit darf der QMB sein eigenes Werk nicht auditieren. Die Unabhängigkeitsregel der Norm zwingt zur Rollenrotation oder zur Hinzuziehung eines externen Auditors. Mittelständler lösen das oft durch ein wechselseitiges Audit mit einer Schwesterfirma oder durch den Einsatz eines externen Auditpartners für die kritischen Prozesse. CIVAC stellt sowohl die Rolle des Qualitätsmanagementbeauftragten als auch externe Auditoren im Modell Officer-as-a-Service bereit.

Ein externes Zertifizierungsaudit verläuft in zwei Stufen. Stage 1 ist ein Dokumentations-Audit mit Standortbegehung. Der Auditor prüft das Handbuch, die Dokumentation, das Auditprogramm, die Managementbewertung und die Bereitschaft für Stage 2. Findet er wesentliche Lücken, wird Stage 2 verschoben. Stage 1 dauert je nach Unternehmensgröße einen halben bis zwei Tage.

Stage 2 ist das operative Audit. Der Auditor folgt Prozessen vor Ort, prüft Aufzeichnungen, interviewt Mitarbeiter und vergleicht das gelebte System mit der dokumentierten Norm. Die Dauer richtet sich nach den IAF-Mandatory-Documents, insbesondere IAF MD 5, die Audittage pro Mitarbeiterzahl und Risikokategorie festlegen. Ein Unternehmen mit 250 Mitarbeitern erhält typischerweise vier bis fünf Audittage.

Das Zertifikat hat eine Laufzeit von drei Jahren. In jedem der zwei Folgejahre erfolgt ein Überwachungsaudit, im dritten Jahr das Rezertifizierungsaudit. Findings werden klassifiziert und müssen je nach Schwere innerhalb von 30, 60 oder 90 Tagen geschlossen werden. Die Nachweisführung läuft über ein Audit-Tracking-System. CIVAC verknüpft jede Feststellung mit Eigentümer, Frist, Beleg und Verifikation und liefert dem Auditor beim nächsten Termin den Schließungsverlauf in einem Klick.

Ein QM-Auditor arbeitet selten isoliert. ISO 9001:2015, ISO 14001:2015, ISO 45001:2018 und ISO/IEC 27001:2022 teilen sich die High-Level-Struktur nach Annex SL. Die Klauseln zu Leitung, Planung, Unterstützung und Verbesserung sind harmonisiert. In integrierten Managementsystemen wird die Auditarbeit konsolidiert: ein Auditteam, ein Auditplan, ein Auditbericht für alle Standards. Der Vorteil zeigt sich besonders im mittelständischen Unternehmen, wo personelle Ressourcen begrenzt sind.

Die Konsolidierung spart Audittage und reduziert die Doppelarbeit in der Dokumentation. Ein integriertes Audit von ISO 9001 und ISO 14001 verkürzt die Gesamtauditzeit um etwa 25 bis 35 Prozent gegenüber zwei getrennten Audits. Voraussetzung ist eine fachliche Qualifikation des Auditors für beide Normen oder ein gemischtes Auditteam mit klarer Rollenverteilung. Die Zertifizierungsstelle bestätigt die Konsolidierung in der Auditplanung, die Tageszahl wird in IAF MD 11 geregelt.

Branchenspezifische Erweiterungen schaffen zusätzliche Anforderungen. IATF 16949 verlangt Auditoren, die nach den Automotive-Spezialregeln zertifiziert sind, ISO 13485 für Medizinprodukte fordert Auditoren mit dokumentierter Erfahrung im regulierten Bereich, AS 9100 für die Luftfahrt setzt den Zusatzqualifikationspfad des International Aerospace Quality Group voraus. Wer in einer regulierten Branche prüft, braucht beide Qualifikationen, die Basisnorm und die Branchenerweiterung. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software.

Die Honorarsätze für QM-Auditoren in Deutschland bewegen sich 2025 und 2026 in einem klar definierten Korridor. Interne Auditoren als Festangestellte werden tariflich oder außertariflich bezahlt, üblich sind Bruttojahresgehälter zwischen 55.000 und 85.000 Euro je nach Erfahrung und Branche. Externe Auditoren als Freiberufler arbeiten zu Tagessätzen zwischen 900 und 1.600 Euro netto, akkreditierte Drittparteienauditoren über Zertifizierungsstellen zu Verrechnungssätzen zwischen 1.400 und 2.200 Euro pro Audittag.

Ein typisches Einzelengagement umfasst zwischen drei und zehn Audittage. Eine vollständige interne Auditrunde in einem mittelständischen Unternehmen mit 200 Mitarbeitern dauert acht bis zwölf Tage über das Jahr verteilt. Die Vorbereitung, die Berichterstattung und die Nachverfolgung fallen zusätzlich an, üblich ist ein Aufschlag von 30 bis 50 Prozent auf die reinen Audittage. Ein Lieferantenaudit nach ISO 9001 oder IATF 16949 dauert in der Regel ein bis zwei Tage vor Ort plus Vor- und Nachbereitung.

Die Marktstruktur ist mittelständisch geprägt. Einzelne erfahrene Auditoren arbeiten freiberuflich, kleine Beratungsgesellschaften bündeln Auditoren in einem Team, die großen Zertifizierungsstellen wie TÜV, DEKRA, DQS und LRQA unterhalten eigene Audit-Pools. Die Wahl hängt vom Zweck ab. Für interne Audits eignet sich ein freiberuflicher Auditor mit Branchenerfahrung, für Lieferantenaudits oft eine Beratungsgesellschaft mit standardisiertem Auditberichtsformat, für Zertifizierungen zwingend eine DAkkS-akkreditierte Zertifizierungsstelle.

Der QM-Auditor sichert, dass das Qualitätsmanagementsystem nicht nur in der Dokumentation existiert, sondern im Alltag wirkt. Die Norm allein bewegt nichts. Erst die regelmäßige Auditierung, die ehrliche Feststellung von Abweichungen und die nachverfolgte Maßnahmenplanung machen aus einem QMS ein lebendes System. Wer den Auditor als Lästigkeit behandelt, verliert den größten Hebel zur Verbesserung der Prozesse.

CIVAC ist Compliance-Plattform und Officer-as-a-Service. Der Workspace bringt das Auditprogramm, die 37 Audit-Vorlagen, die ISO-9001-Klauselmatrix, die Feststellungs- und Maßnahmenverfolgung, die Bestellurkunden für QMB und Auditor sowie die ISO/IEC 27001:2022 ISMS-Schicht für den Schutz der Auditdaten mit. Die Plattform läuft unter EU-Datenresidenz. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen.

Aus dem Lesen einen Auftrag machen. Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular. Ein erfahrener QM-Auditor meldet sich binnen zwei Werktagen mit einem Scoping-Gespräch, einem Vorschlag für die nächste Auditrunde und einer Lückenliste zur Vorbereitung auf das nächste externe Zertifizierungsaudit.