Interne Audits in Managementsystemen: planen, durchführen und wirksam nachverfolgen

  • Beitrags-Kategorie:ISO 9001

Lesezeit: ca. 14 Minuten

Hinweis zum Normstand: Dieser Beitrag berücksichtigt die Anforderungen der ISO 9001:2015 einschließlich Amendment 1:2024. ISO erwartet die Veröffentlichung der überarbeiteten ISO 9001 im September 2026. Als aktuelle methodische Leitlinie für Managementsystemaudits steht seit Mai 2026 die ISO 19011:2026 zur Verfügung. (ISO)

Was ist ein internes Audit?

Ein internes Audit ist eine systematische und nachvollziehbare Prüfung des eigenen Managementsystems. Es soll feststellen, ob festgelegte Anforderungen eingehalten werden, Prozesse wie vorgesehen funktionieren und das Managementsystem wirksam umgesetzt und aufrechterhalten wird.

Das interne Audit wird häufig auch als First-Party-Audit bezeichnet. Es wird durch die Organisation selbst oder in ihrem Auftrag durchgeführt. Davon zu unterscheiden sind Lieferantenaudits als Second-Party-Audits und Zertifizierungsaudits als Third-Party-Audits.

Ein gutes internes Audit ist keine reine Dokumentenkontrolle. Es untersucht vielmehr, ob zwischen Vorgaben, tatsächlicher Arbeitsweise und erzielten Ergebnissen ein nachvollziehbarer Zusammenhang besteht.

Die ISO 9001 Auditing Practices Group beschreibt interne Audits als Rückmeldemechanismus für die oberste Leitung. Sie sollen zeigen, ob das Qualitätsmanagementsystem wie vorgesehen funktioniert, Schwachstellen erkennen und Verbesserungsmöglichkeiten sichtbar machen. (ISO)

Welche Ziele verfolgt ein internes Audit?

Interne Audits dienen mehreren Zwecken gleichzeitig.

ZielLeitfrage
Konformität bewertenWerden interne, normative, gesetzliche und vertragliche Anforderungen erfüllt?
Umsetzung prüfenWerden festgelegte Prozesse und Regelungen tatsächlich angewendet?
Wirksamkeit bewertenErreichen Prozesse und Maßnahmen die vorgesehenen Ergebnisse?
Risiken erkennenWo können Fehler, Ausfälle oder unerwünschte Auswirkungen entstehen?
Verbesserungen identifizierenWelche Abläufe können sicherer, einfacher oder wirksamer gestaltet werden?
Führung informierenWelche Entscheidungen oder Ressourcen werden benötigt?
Auditfähigkeit sichernSind Nachweise nachvollziehbar, aktuell und verfügbar?
Maßnahmen überwachenWurden frühere Feststellungen nachhaltig bearbeitet?

Ein internes Audit sollte damit einen erkennbaren Nutzen für die Organisation erzeugen. Ein Audit, das Jahr für Jahr dieselben allgemeinen Fragen stellt und keine belastbaren Erkenntnisse liefert, erfüllt zwar möglicherweise eine formale Pflicht, unterstützt aber kaum die Steuerung des Managementsystems.

Normative Grundlage interner Audits

Interne Audits nach ISO 9001

Die Anforderungen an interne Audits befinden sich in Abschnitt 9.2 der ISO 9001:2015.

Die Organisation muss interne Audits in geplanten Abständen durchführen. Dabei ist zu beurteilen, ob das Qualitätsmanagementsystem:

  • die eigenen Anforderungen der Organisation erfüllt,
  • die Anforderungen der ISO 9001 erfüllt,
  • wirksam umgesetzt ist,
  • wirksam aufrechterhalten wird.

Darüber hinaus ist ein Auditprogramm zu planen, einzuführen und aufrechtzuerhalten. Dabei sind unter anderem Häufigkeit, Methoden, Verantwortlichkeiten, Planung und Berichterstattung zu regeln. Die Bedeutung der Prozesse, Veränderungen sowie Ergebnisse früherer Audits müssen berücksichtigt werden. (ISO)

ISO 19011 als methodische Leitlinie

Die ISO 19011:2026 enthält Leitlinien für:

  • Auditprinzipien,
  • Steuerung von Auditprogrammen,
  • Planung und Durchführung einzelner Audits,
  • Bewertung der Kompetenz von Auditorinnen und Auditoren,
  • interne und externe Managementsystemaudits.

ISO 19011 ist eine Leitlinie und keine Zertifizierungsnorm. Ihre Anwendung führt daher nicht zu einer eigenen Zertifizierung. Die ISO 9001 schreibt ihre Nutzung nicht ausdrücklich vor; sie bietet jedoch einen international abgestimmten Rahmen für konsistente und wirksame Audits. (ISO)

Auditprogramm, Auditplan und Auditbericht unterscheiden

Die Begriffe werden in der Praxis häufig verwechselt.

DokumentZweckTypischer Inhalt
AuditprogrammSteuerung aller Audits eines ZeitraumsProzesse, Standorte, Häufigkeit, Methoden, Auditoren und Termine
AuditplanPlanung eines konkreten AuditsZiel, Umfang, Kriterien, Zeitplan, Gesprächspartner und Stichproben
AuditchecklisteArbeitshilfe für das AuditFragen, Anforderungen, mögliche Nachweise und Notizen
AuditaufzeichnungDokumentation der PrüfungGesprächsnotizen, Stichproben und objektive Nachweise
AuditberichtZusammenfassung der ErgebnisseUmfang, Feststellungen, Bewertung, Abweichungen und Folgemaßnahmen
MaßnahmenplanNachverfolgung der ReaktionenUrsache, Korrektur, Korrekturmaßnahme, Verantwortlichkeit und Termin

Das Auditprogramm betrachtet somit die Gesamtheit der Audits. Der Auditplan bezieht sich dagegen auf ein einzelnes Audit.

Das Auditprogramm risikoorientiert planen

Die ISO 9001 verlangt nicht, jeden Prozess jedes Jahr mit derselben Dauer und Intensität zu auditieren. Auditfrequenz, Umfang und Dauer sollen sich aus der Bedeutung und Risikosituation der Prozesse ergeben.

Die ISO 9001 Auditing Practices Group empfiehlt, Prozesse mit höheren Risiken, früheren Nichtkonformitäten oder erkennbaren Problemen im Auditprogramm stärker zu priorisieren. Die Norm selbst legt keine festen Auditintervalle oder Auditdauern fest. (ISO)

Kriterien für die Auditpriorität

KriteriumMögliche Auswirkung auf die Auditplanung
hohe Bedeutung für Kunden oder Produktqualitäthäufigere oder umfangreichere Audits
gesetzlich oder vertraglich kritischer Prozessgezielte Prüfung der verbindlichen Anforderungen
wiederkehrende Reklamationenzusätzliche Stichproben und Ursachenprüfung
hohe Fehler- oder AusschussquoteSchwerpunkt auf Prozesssteuerung und Wirksamkeit
wesentliche organisatorische Änderungzeitnahes Audit nach der Umsetzung
neue Technologie oder SoftwarePrüfung von Freigabe, Kompetenz und Betriebsstabilität
frühere AuditabweichungenNachaudit oder vertiefte Folgestichprobe
stabiler Prozess ohne Auffälligkeitengegebenenfalls geringere Frequenz
kritische LieferantenabhängigkeitVerbindung mit Beschaffungs- und Lieferantenprozessen
hohe PersonalfluktuationSchwerpunkt auf Kompetenz und Wissenssicherung

Beispiel für ein risikobasiertes Auditprogramm

ProzessRisikoeinstufungBesonderheitAuditintervall
Auftragsprüfunghochwiederkehrende unklare Kundenanforderungenhalbjährlich
Produktionhochdirekter Einfluss auf Produktkonformitätjährlich
Lieferantenmanagementmittel bis hochQualitätsprobleme bei Schlüssellieferantenjährlich
Personalqualifikationmittelneue Beschäftigte und neue Tätigkeitenjährlich
Dokumentenlenkungmittelneues Dokumentenmanagementsystemnach Einführung und danach zweijährlich
Verwaltunggeringstabile Abläufe ohne wesentliche Feststellungenzweijährlich

Die Intervalle sind keine Normvorgabe. Sie müssen zur tatsächlichen Organisation, ihren Risiken und ihrem Änderungsumfang passen.

Kompetenz und Unabhängigkeit der Auditoren

Ein internes Audit ist nur so belastbar wie die Kompetenz und Objektivität der Personen, die es durchführen.

Auditorinnen und Auditoren benötigen unter anderem:

  • Kenntnisse der relevanten Managementsystemnorm,
  • Verständnis der internen Prozesse,
  • Kenntnisse der Auditmethodik,
  • Fähigkeit zur Gesprächsführung,
  • analytisches Denken,
  • sachliche und verständliche Berichterstattung,
  • angemessene Branchen- und Fachkenntnisse,
  • Fähigkeit zur Bewertung objektiver Nachweise.

Die Organisation sollte festlegen, welche Kompetenz für unterschiedliche Audits erforderlich ist und wie diese Kompetenz nachgewiesen und weiterentwickelt wird. Die aktuelle ISO 19011 enthält hierfür einen Rahmen zur Auditorenkompetenz und -bewertung. Die ISO 9001 Auditing Practices Group hebt zusätzlich Objektivität, Unparteilichkeit und geeignete Fachkenntnisse hervor. (ISO)

Unabhängigkeit praktisch sicherstellen

In kleineren Unternehmen kann eine vollständige organisatorische Trennung schwierig sein. Dennoch sollte eine Person möglichst nicht die eigene Arbeit auditieren.

Mögliche Lösungen sind:

  • gegenseitige Audits zwischen unterschiedlichen Abteilungen,
  • Einsatz eines internen Auditteams,
  • Auditierung durch eine andere Niederlassung,
  • Beauftragung einer externen qualifizierten Person,
  • Kombination aus internem Prozesswissen und unabhängigem Lead-Auditor.

Entscheidend ist, dass Interessenkonflikte vermieden werden und die Bewertung nachvollziehbar bleibt.

Ein internes Audit vorbereiten

Eine sorgfältige Vorbereitung verbessert sowohl die Qualität als auch die Effizienz des Audits.

Auditziele bestimmen

Das Auditziel beschreibt, was mit der Prüfung erreicht werden soll.

Beispiele:

  • Wirksamkeit des Reklamationsprozesses bewerten,
  • Umsetzung eines neuen Beschaffungsprozesses prüfen,
  • Bearbeitung früherer Auditfeststellungen nachverfolgen,
  • Auditfähigkeit vor einer Zertifizierung beurteilen,
  • Wirksamkeit von Maßnahmen gegen Lieferverzögerungen bewerten.

Auditumfang festlegen

Der Auditumfang grenzt die Prüfung ab.

Er kann beispielsweise umfassen:

  • einen Prozess,
  • eine Abteilung,
  • einen Standort,
  • mehrere miteinander verbundene Prozesse,
  • ein Projekt,
  • ein Managementsystem,
  • ausgewählte Anforderungen verschiedener Managementsysteme.

Auditkriterien definieren

Auditkriterien sind die Anforderungen, mit denen die festgestellte Praxis verglichen wird.

Mögliche Auditkriterien sind:

  • Anforderungen der ISO 9001,
  • interne Richtlinien und Prozessbeschreibungen,
  • gesetzliche und behördliche Vorgaben,
  • Kundenanforderungen,
  • Verträge und Spezifikationen,
  • Qualitätsziele,
  • Freigabekriterien,
  • technische Regeln,
  • Maßnahmen aus früheren Audits.

Ohne eindeutige Kriterien lässt sich keine belastbare Konformitätsbewertung durchführen.

Relevante Informationen prüfen

Vor dem Audit sollten insbesondere folgende Informationen betrachtet werden:

  • Prozessbeschreibung und Prozesslandkarte,
  • Risiken und Chancen,
  • Prozesskennzahlen,
  • Qualitätsziele,
  • Beschwerden und Reklamationen,
  • frühere Auditberichte,
  • offene Maßnahmen,
  • Änderungen im Prozess,
  • Schulungs- und Kompetenznachweise,
  • relevante Formulare und Aufzeichnungen.

Audits prozessorientiert durchführen

Ein prozessorientiertes Audit folgt nicht ausschließlich den Kapiteln einer Norm. Es betrachtet den tatsächlichen Ablauf einer Leistung.

Typische Leitfragen sind:

ProzessbestandteilAuditfrage
ZweckWelches Ergebnis soll der Prozess erreichen?
VerantwortungWer steuert den Prozess und trifft Entscheidungen?
EingabenWelche Informationen, Materialien oder Anforderungen werden benötigt?
DurchführungWie wird sichergestellt, dass der Ablauf beherrscht wird?
ErgebnisseWelche Produkte, Leistungen oder Informationen entstehen?
SchnittstellenWelche anderen Prozesse sind beteiligt?
RessourcenWelche Personen, Systeme und Betriebsmittel werden benötigt?
KompetenzWie wird die erforderliche Qualifikation sichergestellt?
RisikenWelche Fehler oder unerwünschten Ergebnisse können auftreten?
KennzahlenWoran wird Prozessleistung und Wirksamkeit erkannt?
NachweiseWelche dokumentierten Informationen belegen die Durchführung?
VerbesserungWelche Änderungen oder Verbesserungen wurden umgesetzt?

Beispiel einer Auditspur

Bei einem Audit der Auftragsabwicklung könnte die Auditspur so aussehen:

  • Einen aktuellen Kundenauftrag auswählen.
  • Kundenanforderungen und Vertragsprüfung nachvollziehen.
  • Übergabe an Planung oder Leistungserbringung prüfen.
  • Freigaben und Änderungen betrachten.
  • Liefer- oder Leistungsergebnis nachvollziehen.
  • Rückmeldung oder Reklamation des Kunden prüfen.
  • Kennzahlen und gegebenenfalls eingeleitete Maßnahmen bewerten.

Durch diese Auditspur wird sichtbar, ob verschiedene Prozesse und Nachweise tatsächlich zusammenwirken.

Geeignete Auditfragen stellen

Gute Auditfragen sind offen, sachlich und auf Nachweise ausgerichtet.

Weniger geeignete Frage

Diese Frage kann mit „Ja“ beantwortet werden, ohne dass die Wirksamkeit erkennbar wird.

Bessere Fragen

  • Wie stellen Sie sicher, dass Kundenanforderungen vollständig verstanden werden?
  • Zeigen Sie mir bitte ein aktuelles Beispiel.
  • Was geschieht, wenn Angaben fehlen oder widersprüchlich sind?
  • Woran erkennen Sie, dass der Prozess wirksam funktioniert?
  • Welche Kennzahlen werden verwendet?
  • Welche Entwicklung zeigen die letzten Monate?
  • Welche Risiken wurden für diesen Prozess bestimmt?
  • Welche Maßnahmen wurden daraus abgeleitet?
  • Wie wurde die Wirksamkeit dieser Maßnahmen geprüft?
  • Was hat sich seit dem letzten Audit verändert?

Eine Checkliste ist dabei eine Orientierung. Sie sollte nicht verhindern, dass der Auditor einer interessanten oder kritischen Auditspur weiter folgt.

Objektive Auditnachweise gewinnen

Auditfeststellungen müssen auf nachvollziehbaren Nachweisen beruhen.

Mögliche Nachweise sind:

  • freigegebene Dokumente,
  • ausgefüllte Aufzeichnungen,
  • Systemeinträge,
  • Kennzahlen und Auswertungen,
  • Beobachtungen am Arbeitsplatz,
  • Interviews,
  • Prüf- und Freigabenachweise,
  • Schulungsunterlagen,
  • Stichproben aus Aufträgen oder Projekten,
  • Protokolle und Maßnahmenlisten.

Ein einzelnes Gespräch kann wertvolle Hinweise liefern. Für eine belastbare Feststellung sollte es jedoch, soweit möglich, mit weiteren Nachweisen verbunden werden.

Stichproben richtig einordnen

Ein Audit ist grundsätzlich eine Stichprobenprüfung. Der Auditor sieht daher nicht jeden Auftrag, jede Aufzeichnung oder jeden Standort.

Die Stichprobe sollte risikoorientiert gewählt werden, beispielsweise:

  • kritische Kundenaufträge,
  • neue Beschäftigte,
  • besonders komplexe Produkte,
  • wiederkehrende Reklamationen,
  • überfällige Maßnahmen,
  • neue Lieferanten,
  • Prozesse nach einer wesentlichen Änderung.

Ein unauffälliger Einzelfall beweist nicht automatisch, dass der gesamte Prozess wirksam ist. Umgekehrt muss ein einzelner Fehler zunächst in seinem Zusammenhang bewertet werden.

Auditfeststellungen richtig formulieren

Auditfeststellungen können unter anderem zeigen:

  • Konformität,
  • gute Praxis,
  • Verbesserungspotenzial,
  • Risiko oder Hinweis,
  • Nichtkonformität.

Eine tatsächliche Nichtkonformität sollte nicht als unverbindlicher Hinweis abgeschwächt werden.

Die ISO 9001 Auditing Practices Group beschreibt drei Bestandteile einer nachvollziehbaren Nichtkonformität:

  1. den objektiven Auditnachweis,
  2. die nicht erfüllte Anforderung,
  3. die eindeutige Beschreibung der Abweichung. (ISO)

Beispiel einer unzureichenden Feststellung

Diese Aussage ist zu allgemein. Weder Anforderung noch Nachweis oder konkrete Abweichung sind erkennbar.

Beispiel einer nachvollziehbaren Nichtkonformität

BestandteilFormulierung
AnforderungFür Tätigkeiten mit Einfluss auf die Produktqualität müssen erforderliche Kompetenzen nachgewiesen werden.
AuditnachweisFür zwei von fünf geprüften Beschäftigten an Prüfplatz P-04 lagen weder Qualifikationsfreigaben noch dokumentierte Kompetenzbewertungen vor.
NichtkonformitätDie erforderliche Kompetenz für die selbstständige Durchführung der Prüfung an Prüfplatz P-04 war in den geprüften Fällen nicht nachgewiesen.

Die Feststellung sollte sachlich sein und keine Lösung vorgeben. Ursachenanalyse und Auswahl geeigneter Korrekturmaßnahmen bleiben Aufgabe des verantwortlichen Bereichs.

Auditbericht erstellen

Der Auditbericht soll den Beteiligten eine klare und ausgewogene Bewertung ermöglichen.

Sinnvolle Inhalte

AbschnittInhalt
GrunddatenDatum, Auditoren und auditierter Bereich
Auditzielbeabsichtigtes Ergebnis der Prüfung
AuditumfangProzesse, Standorte und Abgrenzungen
AuditkriterienNormen und interne Anforderungen
Gesprächspartnerbeteiligte Funktionen
Stichprobengeprüfte Vorgänge und Nachweise
positive Feststellungenfunktionierende oder besonders wirksame Ansätze
Verbesserungspotenzialemögliche Weiterentwicklungen
Nichtkonformitätenkonkrete Abweichungen mit Nachweisen
GesamtbewertungAussage zu Konformität und Wirksamkeit
FolgemaßnahmenVerantwortlichkeiten, Termine und Nachverfolgung

Ein Bericht sollte weder beschönigen noch unnötig dramatisieren. Er muss so klar sein, dass auch eine nicht am Audit beteiligte Person die wesentlichen Ergebnisse nachvollziehen kann.

Abweichungen und Maßnahmen nachverfolgen

Das Audit endet nicht mit der Versendung des Berichts.

Bei einer Nichtkonformität sind mehrere Schritte zu unterscheiden:

SchrittBedeutung
Sofortkorrekturfestgestellten Einzelfehler unmittelbar beheben
Ursachenanalyseermitteln, warum die Abweichung entstehen konnte
KorrekturmaßnahmeUrsache beseitigen, damit der Fehler nicht erneut auftritt
Umsetzungbeschlossene Maßnahme durchführen
Wirksamkeitsprüfungnachweisen, dass die Ursache nachhaltig beherrscht ist
AbschlussMaßnahme nachvollziehbar schließen

Die ISO 9001 Auditing Practices Group nennt Ursache, Korrektur und Korrekturmaßnahme als zentrale Bestandteile der Reaktion auf eine Nichtkonformität. Der Abschluss sollte erst erfolgen, wenn die Umsetzung und die Wirksamkeit angemessen geprüft wurden. (ISO)

Beispiel

Feststellung: Drei Reklamationen wurden ohne dokumentierte Ursachenanalyse geschlossen.

Sofortkorrektur: Die drei Fälle werden erneut geprüft.

Ermittelte Ursache: Das Reklamationsformular enthält kein verbindliches Feld für die Ursachenanalyse, und die zuständigen Mitarbeitenden wurden nicht zur geänderten Vorgehensweise informiert.

Korrekturmaßnahme:

  • Formular überarbeiten,
  • Verantwortlichkeiten festlegen,
  • Mitarbeitende unterweisen,
  • abgeschlossene Reklamationen monatlich stichprobenartig prüfen.

Wirksamkeitsprüfung: Nach drei Monaten werden zehn abgeschlossene Reklamationen geprüft. Bei allen Fällen sind Ursachenanalyse, Maßnahme und Abschlussentscheidung nachvollziehbar dokumentiert.

Internes Audit und Managementbewertung verbinden

Ergebnisse interner Audits sind eine wichtige Eingabe für die Managementbewertung.

Die Geschäftsführung sollte nicht nur die Anzahl der Feststellungen betrachten, sondern insbesondere:

  • wiederkehrende Abweichungen,
  • kritische Prozessrisiken,
  • überfällige Maßnahmen,
  • systematische Schwachstellen,
  • positive Entwicklungen,
  • benötigte Ressourcen,
  • Veränderungs- und Verbesserungsbedarf.

Geeignete Auditkennzahlen

KPIAussage
Erfüllungsgrad des AuditprogrammsWurden die geplanten Audits durchgeführt?
Anteil überfälliger MaßnahmenWie konsequent werden Feststellungen bearbeitet?
WiederholungsabweichungenWerden Ursachen nachhaltig beseitigt?
durchschnittliche AbschlussdauerWie schnell reagiert die Organisation?
MaßnahmenwirksamkeitErreichen Korrekturmaßnahmen das gewünschte Ergebnis?
Feststellungen nach ProzessWo bestehen Schwerpunkte oder Trends?
Auditabdeckung risikokritischer ProzesseWerden wesentliche Risiken angemessen geprüft?

Die reine Anzahl von Abweichungen ist für sich genommen kein zuverlässiger Qualitätsindikator. Ein intensiveres und kompetenteres Auditprogramm kann vorübergehend mehr Feststellungen erzeugen, obwohl sich das Managementsystem langfristig verbessert.

Remote- und Hybrid-Audits

Interne Audits können vollständig vor Ort, teilweise remote oder als Hybrid-Audit durchgeführt werden.

Remote-Methoden eignen sich beispielsweise für:

  • Dokumenten- und Systemprüfungen,
  • standortübergreifende Interviews,
  • Nachverfolgung von Maßnahmen,
  • Prüfung digitaler Arbeitsabläufe,
  • Vorbereitung eines Vor-Ort-Audits.

Sie sind weniger geeignet, wenn körperliche Arbeitsbedingungen, Produktionsabläufe, Infrastruktur oder tatsächliches Verhalten unmittelbar beobachtet werden müssen.

Die ISO/IEC TS 17012:2024 enthält ergänzende Leitlinien für Remote-Auditmethoden. Sie stellt klar, dass Remote-Methoden Vor-Ort-Audits nicht grundsätzlich ersetzen, sondern als geeignetes Werkzeug eingesetzt werden sollen. (ISO)

Typische Fehler bei internen Audits

Typischer FehlerMögliche Folge
jedes Jahr identische FragenVeränderungen und neue Risiken bleiben unberücksichtigt
reine Normkapitel-Abfragetatsächliche Prozessleistung wird kaum bewertet
Auditieren der eigenen TätigkeitObjektivität wird beeinträchtigt
keine risikobasierte Planungkritische Prozesse erhalten zu wenig Aufmerksamkeit
fehlende StichprobenbeschreibungFeststellungen sind später schwer nachvollziehbar
Vermutungen statt NachweiseAuditbericht verliert an Belastbarkeit
unklare AbweichungenUrsachenanalyse und Maßnahmen greifen zu kurz
keine WirksamkeitsprüfungMaßnahmen werden formal geschlossen
Audit nur vor ZertifizierungManagementsystem wird nicht kontinuierlich überwacht
keine Auswertung von Trendswiederkehrende systematische Probleme bleiben verborgen
Checkliste wird mechanisch abgearbeitetwichtige Auditspuren werden nicht verfolgt
Fokus auf SchuldigeMitarbeitende werden defensiv und Informationen bleiben verborgen

Besonders problematisch ist eine Auditkultur, in der Audits als persönliche Kontrolle verstanden werden. Der Gegenstand der Prüfung ist grundsätzlich der Prozess und seine Wirksamkeit, nicht die Suche nach einem Schuldigen.

Praxisbeispiel: Internes Audit im Beschaffungsprozess

Ein mittelständisches Unternehmen verzeichnet zunehmende Lieferverzögerungen. Der Beschaffungsprozess wird deshalb im Auditprogramm priorisiert.

Auditvorbereitung

ElementFestlegung
AuditzielWirksamkeit der Lieferantenauswahl und Lieferantenüberwachung bewerten
AuditumfangEinkauf, Wareneingang und Lieferantenbewertung
KriterienProzessbeschreibung, Freigaberegeln, Kundenanforderungen und ISO 9001
Stichprobenfünf neue Lieferanten und drei Reklamationsfälle
GesprächspartnerEinkaufsleitung, operativer Einkauf und Wareneingang

Auditergebnisse

Das Audit zeigt:

  • Neue Lieferanten wurden grundsätzlich geprüft.
  • Bei zwei Lieferanten fehlte jedoch die dokumentierte Erstfreigabe.
  • Liefertermintreue wurde nur jährlich bewertet.
  • Wiederkehrende Verzögerungen führten nicht zu abgestuften Eskalationsmaßnahmen.
  • Der Wareneingang verfügte über aktuelle Prüfanweisungen.
  • Reklamationen wurden nachvollziehbar an Lieferanten kommuniziert.

Beschlossene Maßnahmen

  • elektronische Pflichtfreigabe vor der ersten Bestellung,
  • monatliche Bewertung kritischer Lieferanten,
  • Eskalationsstufen bei wiederholten Verzögerungen,
  • Wirksamkeitsprüfung nach sechs Monaten.

Das Audit liefert damit nicht nur eine Abweichung, sondern auch eine belastbare Grundlage für die Verbesserung der Lieferfähigkeit.

Praktische Checkliste für interne Audits

Auditprogramm

PrüffrageErfüllt
Sind alle relevanten Prozesse und Standorte berücksichtigt?
Werden Risiken, Veränderungen und frühere Ergebnisse berücksichtigt?
Sind Frequenz, Methoden und Verantwortlichkeiten festgelegt?
Werden kritische Prozesse angemessen priorisiert?
Sind Auditoren kompetent und ausreichend unabhängig?

Auditvorbereitung

PrüffrageErfüllt
Sind Auditziel, Umfang und Kriterien eindeutig?
Wurden relevante Dokumente und Kennzahlen geprüft?
Sind geeignete Gesprächspartner eingeplant?
Wurden risikobasierte Stichproben vorbereitet?
Sind frühere Feststellungen einbezogen?

Auditdurchführung

PrüffrageErfüllt
Werden offene und nachweisorientierte Fragen gestellt?
Wird der tatsächliche Prozess verfolgt?
Werden Schnittstellen, Risiken und Kennzahlen betrachtet?
Sind Feststellungen durch objektive Nachweise belegt?
Werden positive Aspekte und Verbesserungspotenziale erfasst?

Auditabschluss

PrüffrageErfüllt
Sind Feststellungen eindeutig und verständlich formuliert?
Wurden die Ergebnisse mit den Verantwortlichen besprochen?
Liegt ein freigegebener Auditbericht vor?
Sind Maßnahmen, Verantwortlichkeiten und Termine festgelegt?
Ist eine Wirksamkeitsprüfung vorgesehen?
Fließen relevante Ergebnisse in die Managementbewertung ein?

Häufig gestellte Fragen

Wie oft muss ein internes Audit durchgeführt werden?

Die ISO 9001 schreibt kein allgemeines jährliches Intervall für jeden einzelnen Prozess vor. Audits müssen in geplanten Abständen durchgeführt werden. Die konkrete Häufigkeit sollte sich aus Prozessbedeutung, Risiken, Veränderungen und früheren Auditergebnissen ergeben. (ISO)

Muss das komplette Managementsystem jedes Jahr auditiert werden?

Nicht zwingend in einem einzigen Audit. Die Organisation kann ein mehrjähriges und risikobasiertes Auditprogramm verwenden, sofern die erforderliche Abdeckung und Wirksamkeitsbewertung nachvollziehbar sichergestellt sind.

Darf der Qualitätsmanagementbeauftragte interne Audits durchführen?

Ja, sofern die Person kompetent ist und die erforderliche Objektivität gewahrt bleibt. Problematisch wird es, wenn sie ausschließlich Tätigkeiten oder Regelungen prüft, für die sie selbst unmittelbar verantwortlich ist.

Muss eine Auditcheckliste verwendet werden?

Eine Checkliste ist eine sinnvolle Arbeitshilfe, aber kein Selbstzweck. Entscheidend sind ein systematisches Vorgehen, geeignete Auditkriterien, nachvollziehbare Stichproben und belastbare Nachweise.

Muss jede Feststellung zu einer Korrekturmaßnahme führen?

Eine tatsächliche Nichtkonformität erfordert eine angemessene Reaktion. Hinweise und Verbesserungspotenziale können anders behandelt werden. Die internen Kategorien und Folgeregeln sollten eindeutig festgelegt sein.

Kann ein extern beauftragter Auditor ein internes Audit durchführen?

Ja. Das Audit bleibt ein internes Audit, wenn es im Auftrag der Organisation zur Bewertung des eigenen Managementsystems durchgeführt wird. Der externe Auditor sollte unabhängig, fachlich geeignet und mit dem Unternehmen ausreichend vertraut sein.

Darf ein internes Audit vollständig remote durchgeführt werden?

Das hängt von Auditziel, Risiken, Prozessen und verfügbaren Nachweisen ab. Dokumenten- und Systemprüfungen können gut remote funktionieren. Wo Beobachtungen vor Ort wesentlich sind, sollte ein Präsenz- oder Hybridansatz gewählt werden. (ISO)

Mini-Zusammenfassung

Interne Audits sind ein zentrales Instrument zur Bewertung und Verbesserung von Managementsystemen.

Ein wirksames internes Audit:

  • folgt einem risikobasierten Auditprogramm,
  • wird durch kompetente und objektive Personen durchgeführt,
  • prüft Prozesse statt nur Dokumente,
  • verbindet Anforderungen mit objektiven Nachweisen,
  • bewertet Konformität und Wirksamkeit,
  • formuliert Feststellungen eindeutig,
  • verfolgt Korrekturmaßnahmen bis zur Wirksamkeitsprüfung,
  • liefert belastbare Informationen für die Managementbewertung.

Der eigentliche Wert eines Audits entsteht nicht durch die Anzahl ausgefüllter Checklisten. Er entsteht durch Erkenntnisse, Entscheidungen und nachweisbare Verbesserungen.

Passender Onlinekurs

Unterstützung bei internen Audits