Internes Audit nach ISO 9001 durchführen: Der Praxisleitfaden für den Mittelstand

Wie Sie ein internes Audit nach ISO 9001 durchführen: Planung, Ablauf, Auditbericht und Korrekturmaßnahmen aus der Praxis einer erfahrenen QM-Auditorin.

Martina Vogt
Fachkraft für Arbeitssicherheit (Sifa) & QM-Auditorin
Aktualisiert am 13. Juli 2026 8 Min Lesezeit Fachlich geprüft

Ein internes Audit nach ISO 9001 durchzuführen bedeutet, in geplanten Abständen selbst zu prüfen, ob Ihr Qualitätsmanagementsystem den Anforderungen der Norm entspricht und im Betrieb tatsächlich gelebt wird – nicht nur auf dem Papier existiert. Die Norm verlangt das verbindlich in Abschnitt 9.2. Wie Sie ein solches Audit planen, durchführen und auswerten, zeige ich Ihnen im Folgenden aus meiner Beratungspraxis.

Was ist ein internes Audit nach ISO 9001 – und wozu dient es?

Ein internes Audit, in der Fachsprache auch First-Party-Audit genannt, ist das zentrale Werkzeug, mit dem Sie Ihr Qualitätsmanagementsystem selbst auf Wirksamkeit überprüfen – im Unterschied zum externen Zertifizierungsaudit, das eine unabhängige Stelle durchführt.

Im Kern soll das Audit zwei Fragen beantworten: Entspricht Ihr Managementsystem den eigenen Vorgaben und den Anforderungen der ISO 9001:2015? Und wird es im Tagesgeschäft tatsächlich angewendet, oder existiert es nur in Ordnern und auf dem Server? Diese zweite Frage ist aus meiner Erfahrung die wichtigere – und die, die in der Praxis am häufigsten zu kurz kommt.

Für die Geschäftsführung liefert das interne Audit zudem eine ehrliche Standortbestimmung: Wo funktionieren Prozesse gut, wo entstehen Risiken, und wo lassen sich Chancen für Verbesserungen nutzen, bevor der externe Auditor – oder schlimmer, ein Kunde – sie findet. Ein Managementsystem, das nur auf dem Papier existiert, ist aus meiner Sicht ein Haftungsrisiko und kein Schutz.

Typische Anlässe, ein internes Audit anzusetzen, sind die reguläre Jahresplanung, die Vorbereitung auf die externe Rezertifizierung sowie größere Änderungen an Prozessen, Maschinen oder Verantwortlichkeiten.

Anforderungen der ISO 9001 und optimale Auditfrequenz

Die Anforderungen an interne Audits sind im Abschnitt 9.2 der ISO 9001:2015 festgehalten. Kapitel 9.2.1 verlangt, dass Sie in geplanten Abständen interne Audits durchführen, um festzustellen, ob das Qualitätsmanagementsystem den eigenen Anforderungen und denen der Norm entspricht.

Als methodischen Leitfaden können Sie sich an der ISO 19011:2018 orientieren, die allgemeine Grundsätze für Audits von Managementsystemen beschreibt – etwa zu den Inhalten eines Auditplans (Kapitel 6.3.2) oder zu den erforderlichen Kompetenzen von Auditoren (Anhang A.1). Verpflichtend ist die ISO 19011 nicht, in der Praxis hat sie sich aber als Referenz bewährt.

In der Praxis hat sich ein Rhythmus von mindestens einem internen Audit pro Jahr etabliert, sodass innerhalb des dreijährigen Zertifizierungszyklus jeder relevante Prozessbereich mindestens einmal geprüft wurde. Sinnvoller jedoch ist es, die Frequenz risikobasiert zu staffeln: Prozesse mit hoher Fehleranfälligkeit, häufigen Reklamationen oder personellem Wechsel gehören öfter auf den Prüfplan als stabile, unauffällige Abläufe.

Wer die Jahresfrequenz nur abhakt, ohne die tatsächlichen Risikobereiche zu berücksichtigen, verschenkt den eigentlichen Nutzen des internen Audits. Ich empfehle Betrieben deshalb, das Auditprogramm jährlich anhand der Vorjahresfeststellungen und aktueller Risiken neu zu justieren.

Internes Audit planen: Auditplan, Rollen und Kompetenzen

Bevor Sie ein internes Audit durchführen, braucht es einen Auditplan. Er legt fest, welche Prozesse und Bereiche geprüft werden, an welchem Termin, mit welchem Auditor und anhand welcher Kriterien. Ein guter Auditplan klärt insbesondere:

  • welche Prozesse, Standorte oder Abteilungen im Fokus stehen
  • welche normativen und internen Anforderungen als Prüfkriterien gelten
  • wer als Auditor eingesetzt wird und wer im auditierten Bereich Ansprechpartner ist
  • welcher Zeitrahmen realistisch ist, um Dokumente, Begehung und Gespräche abzudecken

Wer darf das interne Audit durchführen? Wichtig ist vor allem die Unabhängigkeit: Ein Auditor darf nicht die eigene Arbeit oder den eigenen Verantwortungsbereich prüfen. In kleineren Betrieben lösen wir das häufig durch wechselseitige Audits zwischen Abteilungen oder durch geschulte externe Auditoren. Fachlich braucht der Auditor Kenntnisse der ISO 9001, der betrieblichen Prozesse und der Audittechnik selbst – Schulungen sind sinnvoll investiertes Geld.

Checkliste: Diese Punkte sollten Sie vor dem Audit klären

  • Ist der Auditplan mit dem auditierten Bereich rechtzeitig abgestimmt, nicht erst am Vortag?
  • Liegen die relevanten Prozessbeschreibungen, Aufzeichnungen und Vorjahresfeststellungen dem Auditor vor?
  • Ist die Unabhängigkeit des Auditors zum geprüften Bereich sichergestellt?
  • Sind Ansprechpartner für Begehung und Mitarbeitergespräche vor Ort erreichbar?
  • Ist eine Checkliste mit den zu prüfenden Kriterien vorbereitet?

Eine Auditcheckliste ist dabei ein Hilfsmittel, kein Selbstzweck: Sie soll sicherstellen, dass keine relevanten Anforderungen vergessen werden – sollte den Auditor aber nicht daran hindern, unerwarteten Beobachtungen nachzugehen.

Internes Audit durchführen: Der Ablauf Schritt für Schritt

Der eigentliche Ablauf eines internen Audits orientiert sich in vielen Betrieben am PDCA-Zyklus – Plan, Do, Check, Act – und folgt typischerweise diesen Schritten:

  1. Eröffnungsgespräch: Auditor und auditierter Bereich klären Ziel, Umfang und Ablauf des Audits kurz und verbindlich.
  2. Dokumentenprüfung und Begehung: Der Auditor prüft relevante Aufzeichnungen und verschafft sich vor Ort ein Bild vom tatsächlichen Prozessablauf.
  3. Gespräche mit den Beschäftigten: Stichprobenartige Interviews zeigen, ob Prozesse verstanden und angewendet werden – nicht nur, ob sie dokumentiert sind.
  4. Feststellungen dokumentieren: Abweichungen, Verbesserungspotenziale und positive Beobachtungen werden nachvollziehbar festgehalten.
  5. Abschlussgespräch: Der Auditor stellt die Ergebnisse vor, bevor der offizielle Auditbericht folgt.

Aus meiner Praxis kann ich sagen: Die Dokumentenprüfung allein reicht nicht aus. In einem QM-Audit war die Dokumentenlenkung eines Betriebs tadellos – jedes Formular aktuell, jede Revision sauber nachverfolgt. Im Tagesgeschäft arbeitete jedoch niemand nach den beschriebenen Prozessen. Erst die Begehung und die Gespräche mit den Beschäftigten deckten das auf. Planen Sie daher für Begehung und Mitarbeitergespräche mindestens so viel Zeit ein wie für die Dokumentenprüfung.

Nach dem Audit: Feststellungen, Bericht und Korrekturmaßnahmen

Nach dem internen Audit folgt die Auswertung. Der Auditbericht sollte die Feststellungen so konkret beschreiben, dass die Verantwortlichen im Fachbereich daraus handeln können – vage Formulierungen helfen niemandem weiter. Ein brauchbarer Bericht nennt den betroffenen Prozess, die konkrete Abweichung, den Bezug zur Anforderung und – wo sinnvoll – auch positive Feststellungen, die gut funktionieren.

Für jede Abweichung braucht es eine Korrekturmaßnahme mit klarer Zuständigkeit und Termin. Entscheidend ist dabei die Ursachenanalyse: Wer nur das Symptom behebt, ohne die eigentliche Ursache zu klären, wird dieselbe Abweichung im nächsten Audit erneut vorfinden. Aus den gesammelten Feststellungen mehrerer Audits lässt sich außerdem ablesen, ob sich Schwachstellen in bestimmten Prozessen wiederholen.

Achtung: Eine Korrekturmaßnahme ist erst abgeschlossen, wenn ihre Wirksamkeit geprüft wurde – nicht schon, wenn die Maßnahme umgesetzt ist. Bei einer Rezertifizierung habe ich einmal erlebt, dass die Korrekturmaßnahmen des Vorjahres zwar umgesetzt, aber nie auf ihre Wirksamkeit geprüft worden waren. Das ursprüngliche Problem war zu diesem Zeitpunkt längst wieder aufgetreten.

Häufige Fehler und Praxisfragen

In der Beratungspraxis wiederholen sich bestimmte Muster bei internen Audits:

  • Reine Dokumentenprüfung ohne Begehung: Papierlage und betriebliche Realität weichen fast immer voneinander ab.
  • Fehlende Unabhängigkeit: Auditoren prüfen den eigenen Verantwortungsbereich und übersehen dadurch Schwachstellen.
  • Zu vage Feststellungen: Ohne konkrete Zuordnung zu Prozess, Ursache und Verantwortlichem verläuft die Korrekturmaßnahme im Sand.
  • Keine Wirksamkeitsprüfung: Maßnahmen gelten als erledigt, sobald sie umgesetzt sind – ob sie wirken, bleibt ungeprüft.
  • Auditprogramm ohne Risikobezug: Immer dieselben unauffälligen Bereiche werden geprüft, während risikoreiche Prozesse selten an die Reihe kommen.

Zu den häufigsten Fragen aus der Praxis:

Wer darf ein internes Audit durchführen?
Grundsätzlich jede fachlich qualifizierte Person, die mit der Norm und der Audittechnik vertraut ist – solange sie nicht ihren eigenen Verantwortungsbereich prüft. Das können geschulte eigene Beschäftigte sein oder externe Auditoren von akkreditierten Zertifizierungsstellen wie DEKRA, TÜV oder DQS.

Wie lange dauert ein internes Audit?
Das hängt von der Größe des Betriebs und dem Umfang der Prozesse ab. Ausschlaggebend ist weniger die reine Dauer als die Frage, ob genug Zeit für Dokumentenprüfung, Begehung und Mitarbeitergespräche eingeplant wurde.

Was passiert bei Abweichungen?
Abweichungen werden im Auditbericht dokumentiert und mit Korrekturmaßnahmen hinterlegt. Entscheidend ist die anschließende Ursachenanalyse sowie die Prüfung, ob die Maßnahme tatsächlich wirkt.

Ist ein internes Audit für die Zertifizierung Pflicht?
Ja. Abschnitt 9.2 der ISO 9001:2015 verlangt ausdrücklich, dass Sie in geplanten Abständen interne Audits durchführen.

Was das für Ihr Managementsystem bedeutet

Ein internes Audit nach ISO 9001 durchzuführen ist mehr als eine Formalie zur Zertifikatssicherung: Richtig geplant und ausgewertet, zeigt es Ihnen, wo Ihr Qualitätsmanagementsystem im Alltag trägt – und wo es nur auf dem Papier existiert. Begehung und Mitarbeitergespräche sind dabei genauso wichtig wie die Dokumentenprüfung, und ohne Wirksamkeitskontrolle bleibt jede Korrekturmaßnahme Stückwerk.

Wer sein Auditprogramm risikobasiert plant, seine Auditoren unabhängig einsetzt und Korrekturmaßnahmen konsequent auf Wirksamkeit prüft, macht aus der Normanforderung ein Instrument, das tatsächlich Risiken senkt. Prüfen Sie Ihr aktuelles Auditprogramm: Deckt es Ihre tatsächlichen Risikobereiche ab, oder wiederholt es Jahr für Jahr denselben Ablauf? Wenn Sie sich dabei unsicher sind, ist ein guter Ausgangspunkt, das nächste interne Audit gemeinsam mit einer erfahrenen QM-Auditorin vorzubereiten.

AnzeigeDieser Beitrag kann bezahlte Kooperationen enthalten. Fachliche Bewertungen bleiben davon unberührt.