Der Ablauf der ISO 9001 Zertifizierung besteht aus wenigen, aber klar getakteten Schritten: Auf die Einführung und Erprobung des Qualitätsmanagementsystems folgen ein optionales Voraudit, der Zertifizierungsantrag und das eigentliche Zertifizierungsaudit in zwei Stufen – Stufe 1 prüft die Dokumentation, Stufe 2 das gelebte System vor Ort. Erst danach stellt die Zertifizierungsstelle das Zertifikat aus, das in der Regel drei Jahre gültig ist und durch jährliche Überwachungsaudits abgesichert wird. Als externe QM-Auditorin erlebe ich immer wieder, dass genau an den Übergängen zwischen Papierform und Betriebsalltag die meisten Verzögerungen entstehen. Im Detail erkläre ich im Folgenden, worauf es bei jedem einzelnen Schritt ankommt.
Was bedeutet „ISO 9001 Zertifizierung“ eigentlich?
Der Begriff Zertifizierung ist in der DIN EN ISO/IEC 17000:2020 definiert, die sich mit Konformitätsbewertung befasst. Demnach handelt es sich um eine Maßnahme durch einen unparteiischen Dritten, mit der bestätigt wird, dass ein System – hier: das Qualitätsmanagementsystem eines Unternehmens – den Anforderungen der Norm DIN EN ISO 9001:2015 entspricht. Wichtig dabei: Der Begriff „Zertifizierung“ ist nicht gesetzlich geschützt. Theoretisch kann jede Person oder Organisation eine ISO 9001 Zertifizierung anbieten.
Für Unternehmen bedeutet das: Nicht jedes Zertifikat ist gleich viel wert. Achten Sie darauf, dass die Zertifizierungsstelle akkreditiert ist – also in Übereinstimmung mit der Verordnung (EG) Nr. 765/2008 und dem deutschen Akkreditierungsstellengesetz arbeitet. Nur dann wird das Zertifikat von Kunden, Lieferanten und Behörden als verlässlicher Nachweis anerkannt. Eine Nachfrage nach der Akkreditierungsurkunde gehört deshalb in jedes Erstgespräch.
Hinweis: Fragen Sie eine Zertifizierungsstelle aktiv nach ihrer Akkreditierungsnummer und prüfen Sie diese bei der zuständigen nationalen Akkreditierungsstelle. Das dauert wenige Minuten und schützt vor Anbietern, deren Zertifikat am Markt nicht anerkannt wird.
Wer die Norm selbst und den dahinterliegenden Begriff des Qualitätsmanagementsystems vertiefen möchte, kann die Normtexte beim DIN-Verlag (www.din.de) einsehen oder sich an die Deutsche Gesellschaft für Qualität (DGQ) wenden – diese Quellen bieten verlässliche fachliche Orientierung und ersetzen nicht die Auseinandersetzung mit dem Normtext selbst.
Warum Unternehmen sich überhaupt zertifizieren lassen
Die Bedeutung von Qualitätsmanagement als verlässliches Zeichen für Qualität und Transparenz nimmt zu. Kunden bevorzugen zunehmend zertifizierte Betriebe, die hohe Qualitätsstandards und Kundenorientierung nachweislich dokumentieren. Für viele Unternehmen ist die ISO 9001 Zertifizierung deshalb längst kein rein internes Anliegen mehr, sondern eine Voraussetzung, um in Ausschreibungen überhaupt berücksichtigt zu werden oder als Lieferant für größere Kunden infrage zu kommen.
In meiner Beratungspraxis erlebe ich beide Motivationen nebeneinander: Unternehmen, die ein Zertifikat vor allem als Türöffner für neue Kunden brauchen, und Unternehmen, die ihr Qualitätsmanagement ohnehin professionalisieren wollen und die Zertifizierung als Bestätigung dieses Weges verstehen. Beide Ausgangspunkte sind legitim – sie führen aber zu unterschiedlichen Vorbereitungszeiten, je nachdem, wie weit das bestehende System bereits entwickelt ist. Wer nur des Zertifikats wegen antritt, unterschätzt regelmäßig, wie viel Substanz Stufe 2 tatsächlich abfragt.
Voraussetzung für die Zertifizierung: Ein QM-System, das im Alltag funktioniert
Bevor überhaupt ein Zertifizierungsantrag sinnvoll ist, muss ein Qualitätsmanagementsystem nach DIN EN ISO 9001:2015 im Unternehmen bereits bestehen – und zwar nicht nur auf dem Papier. Die Norm verlangt dokumentierte Prozesse, vor allem aber verlangt sie, dass diese Prozesse im Betriebsalltag tatsächlich angewendet werden. Genau hier liegt der Unterschied zwischen einem System, das ein Audit besteht, und einem System, das dem Unternehmen wirklich nützt.
Das bedeutet konkret: Wir erleben in Audits immer wieder ein System, das auf dem Papier tadellos aussieht, im Tagesgeschäft aber niemand danach arbeitet. Genau solche Systeme bestehen oft Stufe 1, scheitern aber an Stufe 2, sobald der Auditor mit Beschäftigten spricht. Ein Managementsystem, das nur für das Zertifikat existiert, verfehlt seinen Zweck – und das zeigt sich spätestens am Audittag.
Ein Beispiel aus meiner Auditpraxis zeigt das besonders anschaulich: Ein Fertigungsbetrieb mit 45 Mitarbeitern in Bayern baute 2023 sein QMS auf – Dokumentenlenkung formal korrekt, alle Prozessbeschreibungen vollständig. Doch im Betrieb arbeitete ein großer Teil der Schicht weiterhin nach den alten, gewohnten Abläufen. Der Auditor erkannte diese Lücke bereits in den ersten Mitarbeitergesprächen auf der Fläche. Meine Erfahrung zeigt: Bei einem großen Teil der Betriebe, die ich vor dem Audit besuche, klaffen Dokumentation und gelebte Realität auseinander – und Stufe 2 deckt das auf.
Wer diesen Punkt vor der Anmeldung ernst nimmt, spart sich in aller Regel Nacharbeiten nach Stufe 1 und geht deutlich entspannter in das eigentliche Zertifizierungsaudit.
Vor dem Zertifizierungsantrag lohnt sich deshalb ein ehrlicher Blick auf den eigenen Stand. Die folgenden Punkte sollten Sie sich beantworten können, bevor Sie eine Zertifizierungsstelle kontaktieren:
- Sind die zentralen Prozesse dokumentiert und werden sie im Tagesgeschäft tatsächlich so angewendet?
- Kennen Beschäftigte die für ihren Arbeitsbereich relevanten Abläufe – nicht nur vom Hörensagen, sondern aus eigener Anwendung?
- Werden Nachweise (Prüfprotokolle, Schulungen, Freigaben) fortlaufend geführt statt kurz vor dem Audit nachgetragen?
- Gibt es für erkannte Abweichungen nicht nur Korrekturmaßnahmen, sondern auch eine Prüfung, ob diese tatsächlich gewirkt haben?
Lässt sich eine dieser Fragen nicht klar mit Ja beantworten, ist das kein Grund, die Zertifizierung zu verschieben – aber ein guter Grund, genau dort vor dem Antrag anzusetzen.
Der Ablauf der ISO 9001 Zertifizierung im Überblick
In der Praxis unterscheiden sich einzelne Zertifizierungsstellen in Details, der grundsätzliche Ablauf ist branchenübergreifend aber vergleichbar.
Bevor der eigentliche Zertifizierungsprozess mit einer Zertifizierungsstelle beginnt, steht eine Vorbereitungsphase im eigenen Haus. Sie beginnt meist mit einer Gap-Analyse und Bestandsaufnahme: Wo steht das Unternehmen im Vergleich zu den Anforderungen der Norm? Darauf folgt der Auf- oder Ausbau des Qualitätsmanagementsystems selbst, bevor interne Audits als betriebsinterner Versuchslauf zeigen, ob die Prozesse im Alltag tatsächlich funktionieren. Erst danach beginnt der offizielle Weg über die Zertifizierungsstelle, der sich in folgende Schritte gliedert:
- Vorgespräch beziehungsweise Infogespräch (optional): Ein erstes Gespräch mit der gewählten Zertifizierungsstelle klärt Umfang, Zeitrahmen und die grundsätzliche Vorgehensweise.
- Zertifizierungsantrag: Das Unternehmen beantragt die Zertifizierung offiziell und legt dabei Eckdaten wie Anwendungsbereich, Standorte und Mitarbeiterzahl offen – diese Angaben bestimmen den Aufwand, den die Zertifizierungsstelle für das Audit einplant.
- Voraudit (optional): Ein Voraudit durch die Zertifizierungsstelle dient als externer Probelauf – zu unterscheiden vom internen Audit, das Sie im Vorfeld in Eigenregie durchführen. Es ist kein Bestandteil des eigentlichen Zertifizierungsverfahrens, deckt aber Schwachstellen auf, bevor sie im echten Audit zum Problem werden.
- Zertifizierungsaudit Stufe 1: Die Zertifizierungsstelle prüft die Dokumentation des Qualitätsmanagementsystems auf Vollständigkeit und Übereinstimmung mit der Norm.
- Zertifizierungsaudit Stufe 2: Vor Ort im Unternehmen prüft der Auditor, ob die dokumentierten Prozesse tatsächlich gelebt werden – unter anderem durch Gespräche mit Beschäftigten und die Sichtung von Nachweisen.
- Auditbericht und Bewertung: Die Ergebnisse beider Stufen werden im Auditbericht festgehalten und bewertet. Bei Abweichungen muss das Unternehmen Korrekturmaßnahmen nachweisen.
- Zertifikatserteilung: Erst nach erfolgreicher Bewertung stellt die Zertifizierungsstelle das ISO 9001 Zertifikat aus.
- Überwachungsaudits: Nach der Zertifizierung folgen regelmäßige Überwachungsaudits, die die fortlaufende Wirksamkeit des Systems prüfen.
Diese acht Schritte sind kein starres Schema, das jede Zertifizierungsstelle exakt gleich anwendet. DEKRA beispielsweise beschreibt den Weg als Projektgespräch, Zertifizierung vor Ort, Auditbericht und Bewertung sowie Zertifikat und Prüfsiegel, gefolgt vom ersten Überwachungsaudit nach zwölf Monaten. TÜV Rheinland wiederum betont das Zertifizierungsaudit als Prüfung der Dokumentation des Qualitätsmanagementsystems, gefolgt von der Zertifikatserteilung. Der Kern bleibt bei allen Anbietern derselbe: erst Dokumentenprüfung, dann Praxisprüfung, dann Zertifikat.
Tipp: Nutzen Sie das Vorgespräch aktiv, um den zeitlichen Rahmen realistisch zu planen. Zertifizierungsstellen sind je nach Auslastung teils Wochen bis Monate im Voraus ausgebucht – wer den Termin erst kurz vor dem gewünschten Zertifizierungsdatum anfragt, riskiert Verzögerungen, die mit dem eigentlichen Qualitätsmanagementsystem gar nichts zu tun haben.
Für Unternehmen, die zum ersten Mal ein Zertifizierungsverfahren durchlaufen, lohnt sich vor allem eines: die beiden Audit-Stufen nicht als eine einzige Prüfung zu behandeln. Sie unterscheiden sich in Ziel, Ablauf und Prüftiefe erheblich – dazu mehr im nächsten Abschnitt.
Audit Stufe 1 und Stufe 2: Das eigentliche Zertifizierungsaudit
Das Zertifizierungsaudit ist in zwei Stufen unterteilt, die unterschiedliche Fragen beantworten. Stufe 1 ist eine Dokumentenprüfung: Der Auditor prüft, ob das Qualitätsmanagementsystem auf dem Papier vollständig ist und die Anforderungen der DIN EN ISO 9001:2015 formal abdeckt. Fehlen zentrale Dokumente oder Nachweise, wird das im Stufe-1-Bericht festgehalten – Nachbesserungen sind an dieser Stelle noch unkompliziert möglich.
Stufe 2 findet vor Ort im Unternehmen statt. Hier interessiert den Auditor nicht mehr nur, was dokumentiert ist, sondern was tatsächlich passiert: Werden Prozesse so durchgeführt, wie sie beschrieben sind? Kennen Beschäftigte die für sie relevanten Abläufe? Werden Nachweise korrekt geführt? Diese Stufe entscheidet in der Praxis über Erfolg oder Nachbesserungsbedarf.
Im Detail sieht das so aus: Die häufigste Abweichung in ISO-9001-Audits betrifft nicht die Dokumentation selbst, sondern den Nachweis der Wirksamkeit von Korrekturmaßnahmen. Unternehmen erkennen Abweichungen zwar und dokumentieren auch Maßnahmen dagegen, prüfen aber selten systematisch, ob diese Maßnahmen tatsächlich gewirkt haben. Genau das verlangt die Norm jedoch ausdrücklich. Aus meinen Auditerfahrungen stelle ich fest, dass dieser Punkt – Korrekturmaßnahmen ohne Wirksamkeitsprüfung – bei etwa der Hälfte aller geprüften Betriebe zu Abweichungen führt.
Achtung: Eine Korrekturmaßnahme ohne Wirksamkeitsprüfung gilt im Audit nicht als abgeschlossen. Planen Sie von Anfang an einen Termin ein, an dem Sie kontrollieren, ob die Ursache eines Problems tatsächlich beseitigt wurde – nicht nur, ob die Maßnahme umgesetzt wurde.
Werden in Stufe 2 Abweichungen festgestellt, unterscheiden Auditoren üblicherweise zwischen kleineren und schwerwiegenderen Abweichungen. Kleinere Abweichungen lassen sich meist mit einer nachgereichten Korrekturmaßnahme innerhalb einer gesetzten Frist beheben, ohne dass das gesamte Audit wiederholt werden muss. Schwerwiegende Abweichungen bei zentralen Anforderungen der Norm können dagegen dazu führen, dass die Zertifizierung zunächst nicht erteilt wird.
Nach dem Audit: Zertifikatserteilung, Gültigkeit und Überwachungsaudits
Fällt die Bewertung nach Stufe 2 positiv aus, stellt die Zertifizierungsstelle das ISO 9001 Zertifikat aus. Es ist in der Regel drei Jahre gültig – die Zertifizierung ist damit kein einmaliger Vorgang, sondern der Auftakt zu einem mehrjährigen Zyklus.
Innerhalb dieser drei Jahre finden jährliche Überwachungsaudits statt, die prüfen, ob das Managementsystem weiterhin wirksam betrieben wird. Nach der Norm DIN EN ISO 9001:2015 wird das erste Überwachungsaudit spätestens zwölf Monate nach dem letzten Audittag der Erstzertifizierung durchgeführt. Nach weiteren zwölf Monaten folgt das zweite Überwachungsaudit. Nach Ablauf der drei Jahre steht die Rezertifizierung an, die den gesamten Zertifizierungsprozess in kompakterer Form wiederholt.
Hinweis: Ein Überwachungsaudit ist kein Termin, den man einfach übersteht. Es prüft gezielt, ob Verbesserungsmaßnahmen aus dem Vorjahr tatsächlich umgesetzt wurden – wer diese Nachweise nicht pflegt, gerät bei der nächsten Überwachung schnell in Erklärungsnot.
Für die betriebliche Planung bedeutet das: Der Aufwand für die ISO 9001 Zertifizierung endet nicht mit der Übergabe des Zertifikats. Wer das System nur bis zum Audittag pflegt und danach liegen lässt, verschiebt die eigentliche Arbeit lediglich um ein Jahr – bis zum nächsten Überwachungsaudit.
Welche Zertifizierungsstellen kommen infrage?
In Deutschland bieten mehrere etablierte Anbieter die ISO 9001 Zertifizierung an, darunter TÜV Rheinland, DEKRA, DQS und Bureau Veritas. Alle folgen demselben normativen Rahmen, unterscheiden sich aber in Branchenschwerpunkten, Terminverfügbarkeit und im Ablauf der begleitenden Beratung.
Entscheidend ist weniger der Name auf dem Zertifikat als die Akkreditierung dahinter. Eine Zertifizierungsstelle, die in Übereinstimmung mit der Verordnung (EG) Nr. 765/2008 und dem Akkreditierungsstellengesetz arbeitet, unterliegt selbst einer unabhängigen Kontrolle. Diese Akkreditierung ist der eigentliche Qualitätsnachweis – nicht das Logo der Zertifizierungsstelle.
Neben den Zertifizierungsstellen selbst gibt es Beratungs- und Schulungsunternehmen, die Betriebe auf die Zertifizierung vorbereiten, etwa beim Aufbau der QM-Dokumentation oder bei internen Audits als Versuchslauf vor dem eigentlichen Zertifizierungsaudit. Diese Vorbereitung ersetzt die Zertifizierungsstelle nicht, kann den Weg dorthin aber deutlich glätten – vorausgesetzt, sie endet nicht bei der Dokumentation, sondern begleitet auch die praktische Umsetzung im Betrieb.
Zertifizierungsstelle und Beratung sollten dabei personell getrennt bleiben: Wer sein QM-System von derselben Organisation aufbauen und anschließend zertifizieren lässt, gerät leicht in einen Interessenkonflikt, den unabhängige Auditoren kritisch hinterfragen. Klären Sie deshalb schon im Erstgespräch, ob die angefragte Stelle ausschließlich zertifiziert oder auch als Berater auftritt – und wählen Sie im Zweifel getrennte Ansprechpartner für Aufbau und Prüfung des Systems.
Typische Fehler aus der Auditpraxis
Aus zahlreichen Betriebsbegehungen und Audits lassen sich wiederkehrende Muster ableiten, die den Weg zur Zertifizierung unnötig erschweren.
- Dokumentation ohne gelebte Praxis: Prozesse sind beschrieben, werden im Alltag aber anders gehandhabt – dieses Muster zeigt sich in Audits regelmäßig und führt fast immer zu Abweichungen in Stufe 2.
- Korrekturmaßnahmen ohne Wirksamkeitsprüfung: Abweichungen werden erkannt und bearbeitet, aber niemand kontrolliert im Nachhinein, ob die Maßnahme das Problem tatsächlich gelöst hat.
- Beschäftigte werden zu spät einbezogen: Wer erst kurz vor dem Audit über neue Prozesse informiert, statt sie von Anfang an einzubinden, riskiert unsichere Antworten in Stufe 2.
- Zertifizierungsstelle ohne Prüfung der Akkreditierung gewählt: Der ungeschützte Begriff „Zertifizierung“ macht eine kurze Prüfung der Akkreditierung zur Pflichtaufgabe, nicht zur Kür.
Alle vier Muster haben eines gemeinsam: Sie fallen erst auf, wenn jemand mit den Beschäftigten spricht statt nur die Akten zu lesen. Genau diesen Abgleich zwischen Aktenlage und Betriebsalltag sollten Unternehmen selbst vorziehen, statt ihn dem Auditor am Prüfungstag zu überlassen.
Häufige Fragen zur ISO 9001 Zertifizierung
Wie lange ist ein ISO 9001 Zertifikat gültig?
Ein ISO 9001 Zertifikat ist in der Regel drei Jahre gültig. Innerhalb dieses Zeitraums finden jährliche Überwachungsaudits statt, die die fortlaufende Wirksamkeit des Managementsystems prüfen. Nach Ablauf der drei Jahre ist eine Rezertifizierung erforderlich, damit das Zertifikat weiter gilt.
Ist der Begriff „Zertifizierung“ gesetzlich geschützt?
Nein, der Begriff ist nicht geschützt. Theoretisch kann jede Person oder Organisation eine ISO 9001 Zertifizierung anbieten. Deshalb lohnt sich vor der Beauftragung immer ein Blick auf die Akkreditierung der Zertifizierungsstelle nach der Verordnung (EG) Nr. 765/2008.
Was passiert beim Übergang von Stufe 1 zu Stufe 2?
Zwischen den beiden Audit-Stufen liegt üblicherweise Zeit für Nachbesserungen. Werden in Stufe 1 Lücken in der Dokumentation festgestellt, kann das Unternehmen diese vor dem Vor-Ort-Termin in Stufe 2 schließen. Stufe 2 selbst prüft dann, ob die überarbeiteten Prozesse im Betrieb auch tatsächlich angewendet werden.
Ist ein Voraudit vor der ISO 9001 Zertifizierung Pflicht?
Nein, ein Voraudit ist kein verpflichtender Bestandteil des Zertifizierungsverfahrens. Es dient als freiwilliger Probelauf, der Schwachstellen sichtbar macht, bevor sie im eigentlichen Zertifizierungsaudit zu einer Abweichung werden.
Was kostet eine ISO 9001 Zertifizierung?
Eine pauschale Zahl gibt es nicht. Die Kosten hängen von Faktoren wie Unternehmensgröße, Anzahl der Standorte, Komplexität der Prozesse und dem Umfang des Anwendungsbereichs ab und unterscheiden sich je nach Zertifizierungsstelle spürbar. Vergleichsangebote von mehreren akkreditierten Zertifizierungsstellen einzuholen, ist der zuverlässigste Weg, die tatsächlichen Kosten für den eigenen Betrieb einzuschätzen.
Was passiert, wenn im Audit eine Abweichung festgestellt wird?
Das kommt auf das Gewicht der Abweichung an. Kleinere Abweichungen lassen sich meist mit einer nachgereichten Korrekturmaßnahme innerhalb einer gesetzten Frist beheben, ohne dass das gesamte Audit wiederholt werden muss. Schwerwiegende Abweichungen bei zentralen Anforderungen der Norm können dagegen dazu führen, dass die Zertifizierung zunächst nicht erteilt wird.
Der Weg zur ISO 9001 Zertifizierung ist ein Prozess, kein Ereignis
Der Ablauf der ISO 9001 Zertifizierung folgt einem klaren Muster: Vorbereitung im Haus, Dokumentenprüfung (Stufe 1), Praxisprüfung vor Ort (Stufe 2), Zertifikat, jährliche Überwachung, Rezertifizierung nach drei Jahren. Wer diesen Rhythmus von Anfang an so plant, statt nur auf den Audittag hinzuarbeiten, erspart sich die Hektik, die viele Unternehmen jedes Jahr vor dem Überwachungsaudit neu erleben.
Der entscheidende Punkt ist: Ein ISO 9001 Zertifikat ist nicht das Ziel der Qualitätsarbeit, sondern ein Nachweis dafür, dass Sie sie ernst nehmen. Wer sein System vor der Anmeldung von einer erfahrenen Auditorin auf echte Substanz prüfen lässt, statt diese Erkenntnis erst im laufenden Audit zu gewinnen, reduziert Überraschungen deutlich und geht entspannter in den Prozess – nicht nur am Audittag, sondern auch danach.