Qualitätsmanagementbeauftragter: Aufgaben, Pflichten und Stellung nach ISO 9001:2015

Die Rolle des Qualitätsmanagementbeauftragten ist seit der Revision der ISO 9001:2015 nicht mehr ausdrücklich vorgeschrieben. Abschnitt 5.3 verlangt stattdessen, dass die oberste Leitung Verantwortlichkeiten und Befugnisse für die Aufgaben des Qualitätsmanagementsystems zuweist. In der Praxis bleibt der Qualitätsmanagementbeauftragte (QMB) in den meisten zertifizierten Organisationen der zentrale Funktionsträger, weil Auditoren, Kunden und regulierte Märkte eine identifizierbare Ansprechperson erwarten.

Dieser Beitrag richtet sich an Geschäftsleitungen, Qualitätsleiter und Bewerber für die QMB-Funktion. Sie erfahren, welche Aufgaben die Rolle nach ISO 9001:2015 operativ umfasst, welche Qualifikationen sich am Markt etabliert haben, wie die Bestellung sauber dokumentiert wird, welche Schnittstellen zu anderen Beauftragten bestehen und wann eine externe Besetzung sinnvoll ist. Im Mittelpunkt steht die Frage, woran ein wirksamer QMB im Zertifizierungsaudit gemessen wird.

Mit der Revision der Norm im September 2015 entfiel die ausdrückliche Forderung nach einem Qualitätsmanagementbeauftragten. Abschnitt 5.3 der ISO 9001:2015 spricht stattdessen davon, dass die oberste Leitung Verantwortlichkeiten und Befugnisse zuweist. Vorgesehen sind insbesondere die Sicherstellung der Konformität des QM-Systems mit der Norm, die Sicherstellung der Prozessleistung, die Berichterstattung an die oberste Leitung sowie die Förderung der Kundenorientierung und der Pflege der Integrität bei Änderungen.

Faktisch bestehen damit alle Aufgaben fort, die unter der Vorgängernorm dem QMB zugewiesen waren. Auch die meisten Zertifizierer und Kundenaudits erwarten eine konkrete Person als Ansprechpartner. Wer die Aufgaben breit über mehrere Funktionen streut und keine Verantwortlichkeit identifiziert, riskiert im Audit eine Hauptabweichung im Kapitel 5.3.

Sektorale Spezialnormen verschärfen die Lage. ISO 13485 für Medizinprodukte fordert nach Abschnitt 5.5.2 weiterhin ausdrücklich einen Beauftragten der obersten Leitung. IATF 16949 für die Automobilindustrie kennt Customer Representative und Quality Manager. ISO/IEC 17025 für Prüflaboratorien spricht von Qualitätsmanager. Wer in regulierten Branchen tätig ist, kann ohne dedizierte QMB-Rolle die Zertifizierung praktisch nicht halten. Audit-fest, dokumentiert, Abschnitt-5.3-fest.

Die operative Aufgabenliste eines Qualitätsmanagementbeauftragten lässt sich in sieben Blöcke gliedern, die sich an der Struktur der ISO 9001:2015 (Kapitel 4 bis 10) orientieren.

• Kontext der Organisation: Pflege der interessierten Parteien, Aktualisierung des QM-Anwendungsbereichs, Prozesslandkarte.
• Führung: Vorbereitung der Managementbewertung, Berichterstattung an die oberste Leitung, Kundenfokus-Reviews.
• Planung: Risiko- und Chancenanalyse, Qualitätsziele, Änderungsmanagement.
• Unterstützung: Steuerung der dokumentierten Information, Schulungs- und Kompetenznachweise, Lenkung von Mess- und Prüfmitteln.
• Betrieb: Begleitung der Produkt- und Dienstleistungserbringung, Lieferantenbewertung, Reklamationsmanagement.
• Bewertung der Leistung: Planung und Durchführung interner Audits, Auswertung der KPI, Kundenzufriedenheitsmessung.
• Verbesserung: Steuerung der Korrekturmaßnahmen, Ursachenanalyse, kontinuierliche Verbesserungsprozesse.

Diese Aufgaben sind Pflicht der Organisation, nicht der Person. Der QMB ist der operative Koordinator, der die Erfüllung sicherstellt und Lücken an die Geschäftsleitung eskaliert. Wer die Rolle als reinen Dokumentenverwalter besetzt, verfehlt den Sinn der Norm. Der Prüfer ruft an, der Nachweis liegt bereit.

Die Bestellung erfolgt durch die oberste Leitung. Auch wenn ISO 9001:2015 keine Form vorschreibt, hat sich die schriftliche Bestellurkunde durchgesetzt. Sie schafft Klarheit über Aufgaben, Befugnisse und Berichtslinie und ist im Audit ein verlässlicher Nachweis nach Abschnitt 5.3.

Eine belastbare Bestellurkunde enthält: Name und Funktion der bestellten Person, Geltungsbereich (Standorte, Gesellschaften, Sparten), zugewiesene Aufgaben unter Bezugnahme auf die ISO 9001:2015, Befugnisse (Auditrechte, Eskalationsrechte, Zugang zu Daten), Berichtslinie an die oberste Leitung, Dauer der Bestellung und Vertretungsregelung. Bestellurkunde, unterschrieben, abgelegt, belegbar.

Wichtig ist die Abgrenzung zu anderen Beauftragten. Der QMB ist nicht der Datenschutzbeauftragte und nicht der Informationssicherheitsbeauftragte. Schnittstellen sind in der Bestellung zu benennen, etwa zur Lenkung dokumentierter Information, zu Korrekturmaßnahmen und zu Audits in integrierten Managementsystemen.

Für integrierte Managementsysteme (ISO 9001, ISO 14001, ISO 45001, ISO/IEC 27001) ist eine kombinierte Rolle möglich, sofern Qualifikation, Kapazität und Unabhängigkeit der internen Audits gewährleistet sind. Die Norm verlangt keine Trennung der Personen, wohl aber eine Trennung der Audittätigkeit vom auditierten Bereich.

Die ISO 9001:2015 verlangt in Abschnitt 7.2 Kompetenz auf Basis angemessener Ausbildung, Schulung oder Erfahrung. Konkrete Stundenvorgaben oder Zertifikatspflichten existieren nicht. Am Markt haben sich zwei Wege etabliert.

Weg 1: zertifizierte Lehrgänge. Anbieter wie TÜV, DGQ, DEKRA und ähnliche Institute bieten modulare Ausbildungen, die in der Regel mit einer Personenzertifizierung enden. Typisch sind eine QMB-Ausbildung (etwa 40 Unterrichtsstunden) und eine Aufbaustufe zum internen Auditor (weitere 16 bis 32 Stunden). Die Personenzertifizierung ist auf einige Jahre befristet und an Weiterbildungsnachweise gebunden.

Weg 2: nachgewiesene Berufserfahrung. Mehrjährige Tätigkeit in QM-Funktionen, dokumentiert durch Audit-Mandate, Schulungsleitungen, Projekt- oder Prozessverantwortungen, kann eine formale Zertifizierung ersetzen, wenn sie nachvollziehbar dokumentiert ist und ein Kompetenzprofil im Sinne von Kapitel 7.2 ergibt.

Für regulierte Branchen sind branchenspezifische Nachweise zusätzlich erforderlich. ISO 13485 verlangt ein Verständnis der Medizinprodukteregulierung (MDR, IVDR), IATF 16949 Branchenkenntnis (Core Tools, Customer Specific Requirements), ISO/IEC 17025 fachliche Kompetenz im Prüflaborbereich.

Die Kompetenzbewertung ist regelmäßig zu erneuern. Wer einen QMB bestellt hat, dessen Schulungsstand drei Jahre alt ist und der seitdem an keiner Auditschulung oder Norm-Update-Veranstaltung teilgenommen hat, schwächt die Verteidigungslinie im Zertifizierungsaudit.

Die wirkmächtigsten Aufgaben des QMB liegen in Kapitel 9 der ISO 9001:2015. Interne Audits nach Abschnitt 9.2 müssen geplant, durchgeführt, dokumentiert und in Korrekturmaßnahmen überführt werden. Der QMB ist regelmäßig Verantwortlicher für das Auditprogramm, nicht zwingend für jedes einzelne Audit. Auditoren müssen unabhängig vom auditierten Bereich sein, was bei kleinen Organisationen häufig zur Beauftragung externer Auditoren führt.

Das Auditprogramm muss alle Prozesse und Standorte über einen mehrjährigen Zyklus abdecken, üblich sind drei Jahre. Pflichtbestandteile sind: Auditziele, -kriterien, -umfang, Auditdaten, Auditberichte, identifizierte Abweichungen, Korrekturmaßnahmen und Wirksamkeitsprüfungen.

Die Managementbewertung nach Abschnitt 9.3 wird durch den QMB vorbereitet. Die ISO 9001:2015 listet die Eingangs- und Ausgangsdaten exakt: Status früherer Bewertungen, Veränderungen externer und interner Themen, Informationen zur Leistung des QMS, Angemessenheit der Ressourcen, Wirksamkeit der Maßnahmen zu Risiken und Chancen, Verbesserungspotenziale. Die Bewertung ist mindestens jährlich durchzuführen und als dokumentierte Information aufzubewahren.

Wer die Managementbewertung als Pflichttermin ohne Vorbereitung behandelt, vergibt eines der wenigen Foren, in denen die oberste Leitung formell Verantwortung übernimmt. Im Workspace von CIVAC sind Audit-Programm, Auditberichte, Maßnahmenliste und Managementbewertung in einem Datenpfad verzahnt. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software.

In den meisten Organisationen ist der QMB nur eine von mehreren Beauftragten-Rollen. Eine saubere Schnittstellenmatrix verhindert Doppelarbeit und Lücken.

Im Mittelstand werden mehrere dieser Rollen häufig in Personalunion geführt. Das ist zulässig, solange Qualifikation, Kapazität und die Unabhängigkeit der internen Auditfunktion sichergestellt sind. Wo eine Personalunion an Belastungs- oder Qualifikationsgrenzen stößt, ist eine externe Besetzung einzelner Rollen die regelmäßige Lösung.

Ein externer Qualitätsmanagementbeauftragter ist normativ zulässig und in der Praxis besonders im Mittelstand verbreitet. Vier Konstellationen sprechen für eine externe Besetzung.

Erstens: Fehlende interne Kapazität. Wo der QMB neben anderen Vollzeitaufgaben nicht ausreichend Stunden für interne Audits, Managementbewertung und Korrekturmaßnahmenpflege findet, bleibt das System unauffällig im Tagesgeschäft, aber sichtbar im Audit.

Zweitens: Fehlende Spezialkompetenz. Insbesondere bei integrierten Managementsystemen oder regulierten Branchen (Medizinprodukte, Automotive, Luftfahrt) sind die normativen Anforderungen tief. Externe QMB bringen das aktuelle Norm-Know-how mit.

Drittens: Unabhängigkeit. In kleinen Organisationen lässt sich die Trennung zwischen ausführender und prüfender Funktion intern oft nicht herstellen. Ein externer QMB löst dieses Problem strukturell.

Viertens: Übergang oder Vakanz. Bei Personalwechsel, Krankheit oder Aufbau eines neuen Standorts überbrückt ein externer QMB den Zeitraum bis zur stabilen internen Besetzung.

CIVAC stellt den Qualitätsmanagementbeauftragten als Officer-as-a-Service bereit, mit Bestellurkunde, Berichtslinie an die Geschäftsleitung und Anbindung an die 37 einsatzbereiten Audit-Vorlagen im Workspace. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. Die Wahl folgt der Kapazität, nicht der Form.

Auswertungen großer Zertifizierer zeigen wiederkehrende Schwachpunkte in der Praxis des QMB. Sechs Muster treten besonders häufig auf und führen regelmäßig zu Nebenabweichungen oder Hauptabweichungen.

1. Unklare Zuweisung nach Abschnitt 5.3. Aufgaben werden auf mehrere Funktionen verteilt, ohne dass eine Person identifizierbar verantwortlich ist. Lösung: dokumentierte Bestellung mit eindeutiger Aufgabenzuweisung.
2. Veraltete Managementbewertung. Die letzte Bewertung liegt länger als zwölf Monate zurück oder enthält nicht alle in Abschnitt 9.3.2 geforderten Eingangsdaten.
3. Auditprogramm ohne Abdeckungslogik. Einzelne Prozesse werden seit Jahren nicht auditiert, weil das Programm nicht risikobasiert geführt wird.
4. Korrekturmaßnahmen ohne Ursachenanalyse. Maßnahmen werden umgesetzt, ohne die Ursache nach Abschnitt 10.2 zu analysieren. In Folgeaudits tauchen die gleichen Befunde wieder auf.
5. Dokumentenlenkung ohne Versionsdisziplin. Alte Formulare zirkulieren parallel zu neuen, was die Konformität der dokumentierten Information nach Abschnitt 7.5 verletzt.
6. Schulungsnachweise unvollständig. Kompetenznachweise nach Abschnitt 7.2 fehlen für Schlüsselrollen, insbesondere für den QMB selbst.

Wer diese sechs Felder im Quartalsrhythmus durchgeht, reduziert das Risiko einer Hauptabweichung deutlich und entlastet die Vorbereitung des nächsten Zertifizierungsaudits.

Der Qualitätsmanagementbeauftragte ist nach ISO 9001:2015 nicht mehr vorgeschrieben, aber praktisch unverzichtbar. Wer die Aufgaben sauber bestellt, qualifiziert besetzt und in geführten Audit-, Bewertungs- und Maßnahmenprozessen betreibt, erfüllt nicht nur die Norm, sondern schafft eine Steuerungslinie, an der die oberste Leitung tatsächlich entscheiden kann.

CIVAC ist eine Compliance-Plattform und Officer-as-a-Service mit 25 Beauftragten-Rollen, 37 einsatzbereiten Audit-Vorlagen und EU-Datenresidenz. Für die QMB-Rolle bündelt der Workspace die Bestellurkunde, das Audit-Programm, die Managementbewertung, die Korrekturmaßnahmen, die Kompetenznachweise und die Schnittstellenmatrix zu DSB, ISB, Umwelt- und Compliance-Beauftragten in einer revisionssicheren Linie. Die normative Verzahnung zu ISO/IEC 27001:2022 erleichtert den Aufbau eines integrierten Managementsystems.

Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. Aus dem Lesen einen Auftrag machen. Wenn Sie Ihre QMB-Funktion neu aufstellen oder eine externe Besetzung als Qualitätsmanagementbeauftragter prüfen möchten, schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de. Wir melden uns innerhalb von zwei Werktagen mit einer Einschätzung, ob ein Workspace-Setup oder eine externe Bestellung der geeignete Weg ist.