Internes ISO-Audit: Vollständiger Leitfaden mit Praxiswert
Unabhängige Beratung in Marketing, Compliance (ISO, ENS, DSGVO), Digitalisierung und B2B-Vertrieb aus Aranda de Duero (Kastilien und Leon) für ganz Spanien.
Unabhängige Beratung in Marketing, Compliance (ISO, ENS, DSGVO), Digitalisierung und B2B-Vertrieb aus Aranda de Duero (Kastilien und León) für ganz Spanien.
Das interne ISO-Audit wird jährlich nach ISO 19011 durchgeführt, um die Konformität des Managementsystems vor dem externen Audit zu überprüfen.
Das interne Audit zählt zu den wirkungsvollsten Werkzeugen eines jeden ISO-Managementsystems und wird zugleich am häufigsten verschenkt. Viele Unternehmen behandeln es als bloße Pflichtübung vor der externen Zertifizierung. In Wirklichkeit identifiziert ein professionell durchgeführtes internes Audit Ineffizienzen, die tausende Euro kosten, beugt Abweichungen im externen Audit vor und liefert greifbare Verbesserungen für das operative Geschäft. Dieser Leitfaden zeigt Ihnen, wie Sie interne Audits nach ISO 19011:2018 so planen und durchführen, dass sie echten Mehrwert schaffen.
Siehe unseren verwandten Leitfaden: Für den Gesamtkontext zu ISO 9001 lesen Sie meinen vollständigen Leitfaden zur Einführung und Zertifizierung.
ISO 19011: die Leitnorm für Audits
ISO 19011:2018 enthält Leitlinien zur Auditierung von Managementsystemen. Sie ist selbst nicht zertifizierbar, gilt aber als Referenz für professionelle Auditoren und wird von Zertifizierungsstellen erwartet, wenn Sie Ihre internen Audits durchführen.
Die sieben Auditprinzipien nach ISO 19011 lauten: Integrität (Grundlage der Professionalität), sachliche Darstellung (Pflicht zur wahrheitsgemäßen Berichterstattung), gebührende berufliche Sorgfalt (Sorgfalt und Urteilsvermögen bei der Auditierung), Vertraulichkeit (Informationssicherheit), Unabhängigkeit (Basis der Unparteilichkeit), faktenbasierter Ansatz (rationale Methode) und risikobasierter Ansatz (Konzentration auf das Wesentliche).
Werden diese sieben Prinzipien konsequent angewendet, wird aus dem Audit ein Diagnoseinstrument statt einer Abwehrmaßnahme. Das Team versteht: Der Auditor kommt nicht zur Kontrolle, sondern um das System besser zu machen.
Audittypen: erste, zweite und dritte Partei
Vor der Planung sollten Sie wissen, welchen Audittyp Sie durchführen. Die Unterscheidung bestimmt Umfang, Ressourcen und Druck auf das Team.
| Kriterium | 1. Partei (intern) | 2. Partei (Lieferant/Kunde) | 3. Partei (extern) |
|---|---|---|---|
| Wer auditiert | Eigene Mitarbeiter oder beauftragter Berater | Ihr Unternehmen auditiert einen Lieferanten (oder ein Kunde auditiert Sie) | Durch ENAC akkreditierte Zertifizierungsstelle |
| Zweck | Konformitätsprüfung + interne Verbesserung | Vertragliche Konformitätsprüfung | Ausstellung des offiziellen Zertifikats |
| Unabhängigkeit | Vom auditierten Prozess, nicht vom Unternehmen | Vollständig vom Auditierten | Vollständig |
| Typische Häufigkeit | Jährliches Gesamtaudit + vierteljährliche Teilaudits | Vor der Zulassung + regelmäßige Überprüfungen | Erstaudit + jährliche Überwachung + Rezertifizierung nach 3 Jahren |
| Kosten | 800-3.500 €/Jahr bei Externalisierung | Vergleichbar mit internem Audit | 1.500-8.000 €/Jahr je nach Norm und Größe |
| Folgeentscheidung | Verbesserungsplan | Lieferant freigeben / halten / sperren | Zertifikat erteilen / halten / aussetzen |
Dieser Leitfaden behandelt das interne Audit der ersten Partei. Es ist das einzige Audit, dessen Intensität, Tiefe und Frequenz Sie selbst steuern - und genau deshalb das Audit mit dem größten Wertschöpfungspotenzial.
Risikobasiertes jährliches Auditprogramm
Ein häufiger Fehler: alle Prozesse mit derselben Intensität auditieren. Der korrekte Ansatz ist ein risikobasiertes Programm, das die Auditressourcen dort konzentriert, wo sie die größte Wirkung erzielen.
Für die Erstellung des Jahresprogramms bewerten Sie jeden Prozess anhand folgender Kriterien:
- Seine Kritikalität für die Kundenzufriedenheit.
- Die Ergebnisse vergangener Audits (Prozesse mit wiederkehrenden Feststellungen brauchen mehr Aufmerksamkeit).
- Die jüngsten Änderungen (modifizierte oder neue Prozesse).
- Die Leistungskennzahlen (Prozesse, die ihre Ziele nicht erreichen).
- Die geltenden rechtlichen oder vertraglichen Anforderungen.
Auf Basis dieser Bewertung ordnen Sie Hochrisikoprozessen mehr Häufigkeit und Tiefe zu, stabilen Prozessen weniger. Ein mittelständischer Industriebetrieb kann etwa Produktion und Einkauf zweimal jährlich auditieren, HR und Vertrieb einmal jährlich, Instandhaltung alle zwei Jahre, sofern dort historisch wenig Feststellungen vorliegen.
Kompetenz des internen Auditors
Der interne Auditor muss vom auditierten Prozess unabhängig sein (kein Auditieren der eigenen Arbeit) und über Auditkompetenz verfügen. Eine Lead-Auditor-Zertifizierung ist nicht erforderlich, wohl aber Kenntnis der Auditprinzipien und grundlegender Techniken zur Beweiserhebung.
Die empfohlene Mindestausbildung umfasst:
- Kenntnis der einschlägigen ISO-Norm (9001, 14001, 27001, 45001).
- Schulung in Audittechniken nach ISO 19011 (ein Kurs von 16-24 Stunden reicht aus).
- Praktische Erfahrung (mindestens ein Audit als Begleitung eines erfahrenen Auditors).
Hat Ihr Unternehmen niemanden mit diesem Profil, gibt es zwei Wege: Sie bilden eine interne Person aus (typischerweise aus der Qualitätsabteilung oder einem Querschnittsbereich wie der Verwaltung) oder Sie beauftragen einen unabhängigen externen Auditor, der das Audit wie ein Erstparteienaudit durchführt. Die zweite Option wählen die meisten KMU (kleine und mittlere Unternehmen), da die Investition tragbar und das Ergebnis professionell ist.
Planung des einzelnen Audits
Jedes Einzelaudit benötigt einen Plan, der Folgendes festlegt:
- Zweck und Geltungsbereich des Audits.
- Zu auditierende Prozesse oder Bereiche.
- Auditkriterien (Anforderungen der Norm, interne Verfahren, gesetzliche Anforderungen).
- Auditteam.
- Zeitplan (Daten, Uhrzeiten, Dauer).
- Erforderliche Ressourcen (Dokumentenzugang, zu befragende Personen, zu besichtigende Standorte).
Kommunizieren Sie den Plan rechtzeitig an die Prozessverantwortlichen. Ziel ist nicht, jemanden zu überrumpeln, sondern Konformität zu überprüfen und Verbesserungspotenziale zu erkennen. Für KMU ist eine Vorankündigung von zwei Wochen angemessen.
Techniken der Beweiserhebung
Das Interview
Die wichtigste und schwierigste Technik. Stellen Sie offene Fragen, die mit Was, Wie, Wann, Wer und Wo beginnen. Vermeiden Sie Ja-Nein-Fragen. Hören Sie aktiv zu. Verifizieren Sie das Gesagte mit Dokumenten oder physischen Belegen. Verhören Sie nicht - führen Sie ein Gespräch.
Eine wirkungsvolle Aufforderung lautet: „Zeigen Sie mir, wie Sie es machen." So validieren Sie das söben Erklärte und sehen den Prozess in seinem realen Kontext. Was Sie am Bildschirm sehen, unterscheidet sich oft deutlich von der Verfahrensbeschreibung.
Die Dokumentenprüfung
Prüfen Sie, ob Dokumente existieren, aktuell sind, den Nutzern zugänglich und mit der gelebten Praxis übereinstimmen. Erfahrene Auditoren vergleichen das Verfahren mit dem beobachteten Verhalten.
Die direkte Beobachtung
Beobachten Sie Prozesse im Betrieb. Vergleichen Sie das Gesehene mit den Verfahrensbeschreibungen. Identifizieren Sie Diskrepanzen zwischen gelebter und dokumentierter Praxis. Der Gemba-Walk (vor Ort gehen, wo die Arbeit stattfindet) ist die wirksamste Form des operativen Audits.
Klassifikation der Feststellungen
Die Feststellungen werden klassifiziert in:
- Hauptabweichungen: systematische Nichterfüllung einer Normanforderung, die die Wirksamkeit des Qualitätsmanagementsystems beeinträchtigt.
- Nebenabweichungen: punktuelle oder teilweise Nichterfüllung, die das System nicht global gefährdet.
- Beobachtungen: Situationen, die zu Abweichungen werden könnten.
- Verbesserungspotenziale: Vorschläge zur Steigerung der Wirksamkeit.
Formulieren Sie jede Feststellung professionell: Beschreiben Sie den Nachweis, benennen Sie die nicht erfüllte Anforderung (Normklausel oder internes Verfahren) und schildern Sie die Abweichung objektiv und nachvollziehbar. Eine sauber formulierte Feststellung hält im externen Audit auch dann stand, wenn jemand nach der Herkunft fragt.
Nachverfolgung der Korrekturmaßnahmen
Der echte Mehrwert des Audits entsteht in der Nachverfolgung. Für jede Abweichung sind eine Korrekturmaßnahme mit Verantwortlichem und Frist festzulegen, die Grundursache (nicht nur die Sofortkorrektur) zu analysieren, die Maßnahme umzusetzen und ihre Wirksamkeit zu verifizieren. Beseitigt die Korrekturmaßnahme die Grundursache nicht, taucht die Abweichung im nächsten Audit erneut auf.
Siehe unseren verwandten Leitfaden zu Abweichungsmanagement und Korrekturmaßnahmen für eine vertiefte Behandlung der Grundursachenanalyse.
Praxisbeispiel: Zulieferer der Automobilindustrie in Castilla y León
Ein mittelständischer Industriebetrieb im Umfeld von Valladolid mit 38 Mitarbeitern, zertifiziert nach ISO 9001 und IATF 16949, hatte sich daran gewöhnt, in jedem externen Audit eine ganze Reihe Nebenabweichungen zu erhalten, mehrere davon Wiederholer aus dem Vorjahr. Ursache: das interne Audit wurde vom Qualitätsverantwortlichen an einem einzigen Tag im November durchgeführt, kurz vor dem externen Audit, mit einer Checklisten-Vorlage.
Wir haben das Jahresprogramm neu konzipiert: drei Runden (Februar, Juni und Oktober), jede konzentriert auf eine Prozessgruppe nach Risiko, und drei zusätzliche interne Auditoren in verschiedenen Bereichen ausgebildet. Das Oktober-Audit wurde zur kompletten Probe für das externe Audit.
Beim folgenden Zertifizierungsaudit sanken die Nebenabweichungen deutlich, und keine der historisch wiederkehrenden trat erneut auf. Wichtiger für die Geschäftsführung: Die in Februar und Juni entdeckten Feststellungen führten zu Verbesserungsmaßnahmen, die internen Nacharbeitsaufwand reduzierten und Kundenantwortzeiten verkürzten.
FAQ zum Thema interne ISO-Audits
Muss ich jedes Jahr ein vollständiges internes Audit durchführen?
ISO 9001 verlangt, dass im Zertifizierungszeitraum (3 Jahre) alle Prozesse des Qualitätsmanagementsystems mindestens einmal auditiert wurden. In der Praxis führen fast alle KMU jährlich ein Gesamtaudit durch, um das externe Audit gut vorzubereiten; die Norm erlaubt aber auch, den Geltungsbereich auf mehrere Teilaudits zu verteilen. Wichtig ist, dass das Programm risikobasiert begründet ist und kein Prozess länger als drei Jahre ungeprüft bleibt.
Darf der Qualitätsverantwortliche seine eigene Arbeit auditieren?
Nein. Das Unabhängigkeitsprinzip der ISO 19011 verbietet, dass ein Auditor einen Prozess prüft, für den er verantwortlich ist. In sehr kleinen KMU, in denen der Qualitätsverantwortliche zugleich der einzige geschulte Auditor ist, lautet die übliche Lösung: einen externen Auditor speziell für den Prozess Qualitätsmanagement beauftragen, während er die übrigen Prozesse selbst auditiert.
Was kostet die Externalisierung des internen Audits?
Für ein KMU mit 15-30 Mitarbeitern und einer Norm liegt ein extern durchgeführtes internes Audit von 1-2 Tagen bei 800 bis 1.500 Euro. Für integrierte Systeme (ISO 9001 + 14001 + 45001) zwischen 1.500 und 3.500 Euro. Eine Investition, die sich schnell amortisiert, wenn sie eine Hauptabweichung im externen Audit verhindert.
Was passiert, wenn ich im internen Audit eine Hauptabweichung finde?
Das Beste, was Ihnen vor dem externen Audit passieren kann. Sie protokollieren sie, öffnen eine Korrekturmaßnahme mit Grundursachenanalyse, schließen sie fristgerecht und dokumentieren die Wirksamkeitsprüfung. Der externe Auditor sieht dann ein System, das Probleme selbst erkennt und behebt - genau das fordert die Norm. Problematisch ist nicht, Abweichungen zu haben - sondern sie nicht zu entdecken.
Wie lange sollte ein internes Audit dauern?
Für ein KMU mit 20-30 Mitarbeitern und ISO 9001 sind 1,5 bis 2,5 Auditortage angemessen. Weniger ist meist oberflächlich, mehr meist übertrieben. Bei integrierten Systemen mit 3-4 Normen multiplizieren Sie mit 1,5-2.
Kann dasselbe interne Audit für mehrere Normen genutzt werden?
Ja, sofern die Auditoren in allen einbezogenen Normen kompetent sind. Ein integriertes Audit prüft jeden Prozess einmal gegen alle einschlägigen Anforderungen (Qualität, Umwelt, Sicherheit, Information). Das ist das effizienteste Modell und empfehlenswert, wenn das integrierte Managementsystem gut konzipiert ist.
Mini-Glossar
- ISO 19011: Leitnorm (nicht zertifizierbar) für die Auditierung von Managementsystemen.
- Auditteam: eine oder mehrere Personen, die das Audit durchführen, geleitet von einem Lead Auditor.
- Auditkriterien: Anforderungen, gegen die Nachweise verglichen werden (Norm, Verfahren, Gesetzgebung, Vertrag).
- Objektive Nachweise: überprüfbare, faktenbasierte Informationen aus Aufzeichnungen oder Aussagen.
- Feststellung: Ergebnis der Bewertung von Nachweisen gegen die Kriterien.
- Grundursache: der primäre Faktor, der eine Abweichung auslöst und dessen Beseitigung das Wiederauftreten verhindert.
- Lead Auditor: verantwortlich für Planung, Durchführung und Bericht des Audits.
Checkliste: 10 Schritte für ein wertstiftendes internes Audit
- Erstellen Sie ein risikobasiertes Jahresprogramm statt eines Gewohnheitsprogramms.
- Sichern Sie die Unabhängigkeit: niemand auditiert seinen eigenen Prozess.
- Bilden Sie mindestens zwei interne Auditoren aus, um nicht von einer Person abhängig zu sein.
- Verteilen Sie den Plan zwei Wochen vor dem Audit an die Auditierten.
- Erstellen Sie prozessspezifische Checklisten - nicht eine generische.
- Kombinieren Sie Interview, Dokumentenprüfung und direkte Beobachtung.
- Erfassen Sie objektive Nachweise für jede Feststellung (Fotos, Screenshots, Referenzen).
- Formulieren Sie Abweichungen mit Klausel, Nachweis und Abweichungsbeschreibung.
- Fordern Sie eine Grundursachenanalyse, nicht nur die Sofortkorrektur.
- Verifizieren Sie die Wirksamkeit der Korrekturmaßnahmen im folgenden Audit.
Benötigen Sie einen erfahrenen internen Auditor oder eine Schulung für Ihr Auditteam? Sprechen wir miteinander. Ich führe interne Audits durch und bilde interne Auditoren aus, damit die Audits in Ihrem Unternehmen echten Mehrwert schaffen.
Autor: Ángel Ortega Castro - unabhängiger Berater für Strategie, Qualität und Digitalisierung für KMU. Verwandt: ISO-Zertifizierung Spanien: Zertifizierungsstellen und Kosten im Vergleich.
Brauchen Sie Unterstützung dabei?
Arbeiten Sie mit mir an ISO-Implementierung und -Zertifizierung
Maßgeschneiderte Beratung zur ISO-Implementierung und -Zertifizierung. Erstgespräch kostenfrei.
Termin vereinbarenHäufig gestellte Fragen
Wie wirkt sich das auf mein KMU aus?
Es gilt, sobald Sie spanische Kunden bedienen oder spanische Daten verarbeiten; der Rahmen ist oberhalb der in der Tabelle zusammengefassten Schwellenwerte verbindlich.
Wie hoch sind die Kosten 2026?
Richtwerte für KMU mit 10-50 Mitarbeitenden: 2.500-12.000 EUR für die Dokumentation + Auditorenhonorare AENOR / BV / SGS / LRQA.
Welche spanische Regelung gilt?
Die BOE verweist auf RD 311/2022 (ENS), Verordnung EU 2016/679 (DSGVO), LOPDGDD, NIS2, DORA und EU AI Act 2024/1689 je nach Umfang.
Wie lange dauert die Implementierung?
Durchschnittlich 4-7 Monate pro ISO. Ein integriertes SGI (9001+14001+27001) dauert in der Regel 8-12 Monate.
Kann es über Kit Digital oder Kit Consulting kofinanziert werden?
Ja, Kit Consulting 2026 deckt bis zu 24.000 EUR Beratungsstunden ab; Kit Digital deckt Werkzeuge (CRM, ERP, Cybersicherheit) bis zu 29.000 EUR ab.
El marketing del cerebro es más predictible que el marketing de la opinión. — Ángel Ortega Castro