- Zielgruppe
- QM-Beauftragte, Qualitätsleiter und Auditprogramm-Verantwortliche in Medizintechnik, Automotive und allgemeinem QMS
- Normgrundlage
- ISO 13485:2016 §8.2.4 · IATF 16949:2016 §9.2.2 · ISO 9001:2015 §9.2 · ISO 19011:2018 · VDA 6.3:2023 · EU-MDR Anhang IX/XI
- Lesezeit
- ca. 14 Minuten
Auditprogramm steht.
Drei Audits durchgeführt.
Zertifizierungsauditor fragt nach Scope, Normbezug und CAPA-Nachweis. Stille im Raum.
Das häufigste Auditmanagement-Problem beim Zertifizierungsaudit ist nicht die fehlende Checkliste — es ist das, was danach kommt. Befunde ohne Normbezug. Hauptabweichungen ohne CAPA-Nummer. CAPAs ohne formalen Wirksamkeitsnachweis. ISO 13485 §8.2.4 und IATF 16949 §9.2.2 fordern ein durchgängiges System: vom risikobasierten Auditplan bis zum geschlossenen CAPA-Eintrag. Dieser Leitfaden erklärt alle drei Audittypen mit Norm-Anker — und warum P8 der kritischste Schritt ist.
Auditprogramm und Auditdurchführung — zwei verschiedene Dinge
Die meisten Qualitätsteams verstehen interne Audits als Pflicht-Durchführung: Checkliste ausfüllen, Befunde notieren, Bericht ablegen. ISO 13485 §8.2.4 definiert mehr als das — ein dokumentiertes Auditprogramm das sicherstellt, dass alle QMS-Elemente in einem risikobasierten Turnus geprüft werden, Befunde mit Normbezug und Befundkategorie dokumentiert sind, und aus Hauptabweichungen systematisch Korrekturmaßnahmen entstehen deren Wirksamkeit bewertet wird. Das Programm schließt sich erst wenn die CAPA-Akte aus dem Auditbefund formal geschlossen ist.
Drei Audittypen — eine Norm-Systematik
ISO 19011 unterscheidet Audits nach der Partei-Logik: wer auditiert wen, mit welchem Zweck und welcher normativen Basis. Die drei Audittypen haben unterschiedliche Anforderungen an Planung, Durchführung und Nachweisführung — werden aber in einem integrierten Auditprogramm koordiniert. IATF 16949 geht weiter und fordert innerhalb des eigenen Unternehmens drei getrennte Audittypen: System-Audit, Prozessaudit (VDA 6.3) und Produktaudit — mit separaten Plänen und Berichten je Audittyp.
Internes Audit
Organisation auditiert sich selbst
ISO 13485 §8.2.4 · ISO 9001 §9.2 · IATF §9.2.2.1
Eigene QMS-Effizienz und Normkonformität prüfen
Lieferantenaudit
Organisation auditiert ihre Lieferanten
ISO 13485 §7.4.1 · IATF §8.4.1 · ISO 9001 §8.4.1
Lieferanten-QMS und Prozesse bewerten — Input für Lieferantenbewertung
Zertifizierungsaudit
Unabhängige Zertifizierungsstelle oder Benannte Stelle
ISO 13485 §8.2.4 · ISO 9001 §9.2 · EU-MDR Anhang IX/XI
Normkonformität durch externe Stelle bestätigen — Voraussetzung für Zertifikat
IATF 16949: Automotive-Ergänzung — drei Audittypen intern
IATF 16949 fordert über die drei Partei-Typen hinaus drei separate interne Audittypen: System-Audit nach §9.2.2.1, Manufacturing Process Audit nach §9.2.2.3 (Methode: VDA 6.3) und Produktaudit nach §9.2.2.4. Alle drei müssen im Jahresauditplan separat geplant, durchgeführt und dokumentiert werden — ein kombinierter Audit der alle drei Aspekte gleichzeitig abdeckt, erfüllt §9.2.2 nicht vollständig.
VDA 6.3 Prozessaudit: Turtle-Modell, P1–P7 und IATF-Anforderungen →ISO 13485 §8.2.4 · ISO 19011 §6.3
Scope, Kriterien, Auditziel und Ressourcen definieren — vor Checkliste und Teamauswahl
Scope zu breit: „Gesamtes QMS" in einem Tag — keine tiefe Prüfung möglich, kein belastbarer Nachweis für Benannte Stelle
ISO 13485 §8.2.4 · ISO 19011 §5
Jahresplan: welche Prozesse, welcher Turnus, risikobasierte Priorisierung dokumentiert
Alle Prozesse jährlich gleichbehandelt — kein Risikonachweis, nicht §8.2.4-konform hinsichtlich Bedeutung und Vorhistorie
ISO 19011 §6.3
Normbezogene Checklisten erstellen, Dokumente anfordern, Auditteam briefen
Vorjahres-Checkliste kopiert ohne Anpassung — neue Normanforderungen und Scope-Änderungen nicht berücksichtigt
ISO 19011 §6.4.2
Scope bestätigen, Ablauf erklären, Vertraulichkeit und Gesprächsregeln klären
Übersprungen — Auditierter kennt Scope und Erwartungen nicht, Ergebnisse später bestritten
ISO 19011 §6.4.5
Interviews, Dokumentenstichproben, Prozessbeobachtung — objektive Nachweise sammeln
Nur Dokumentenprüfung, keine Interviews — Prozess-Implementierung im Alltag nicht verifiziert
ISO 19011 §6.4.9
Befunde kommunizieren, Kategorien erläutern, Reaktionsfristen und nächste Schritte klären
Befundkategorie nicht erläutert — CAPA-Pflicht kommt für Auditoriertes überraschend, Übergabe scheitert
ISO 13485 §8.2.4 · ISO 19011 §6.5
Befunde mit Normbezug, Objektivem Nachweis, Kategorie und Reaktionsfrist dokumentieren
Bericht ohne Normbezug — „Dokumentation unvollständig" als Befund ist keine normverweisung, Benannte Stelle kann nicht nachvollziehen
ISO 13485 §8.5.2 · §8.2.4
CAPA aus Hauptabweichungen öffnen, Wirksamkeit prüfen, Akte dokumentiert formal schließen
Follow-up als E-Mail — kein formaler Wirksamkeitsnachweis, CAPA-Akte nie geschlossen, beim nächsten Überwachungsaudit selber Befund
Auditprozess nach ISO 19011:2018 Leitlinien, angepasst an ISO 13485 §8.2.4 und IATF 16949 §9.2.2. P2 (Auditprogramm) ist strategisch — P1 und P3–P8 sind taktisch je Einzelaudit. P8 ist der häufigste Engpass: Das Follow-up ohne formalen Wirksamkeitsnachweis ist der meistgezogene §8.2.4-Befund in Zertifizierungsaudits.
Internes Audit nach ISO 13485 §8.2.4 — Tiefensektion
§8.2.4 vollständig erklärt: risikobasierte Auditfrequenz, Auditor-Qualifikation, Unabhängigkeitsgebot und die vier häufigsten Benannte-Stelle-Befunde:
Internes Audit nach ISO 13485 §8.2.4 →Auditor-Qualifikation — ISO 19011 §7 Kompetenzrahmen
Was ISO 19011 §7 für Auditor-Kompetenzen fordert, Lead-Auditor vs. interner Auditor, Unabhängigkeitsgebot und Schulungsnachweise:
Auditor-Qualifikation nach ISO 19011 §7 →Was ISO 19011 leistet — und was nicht
ISO 19011 „Leitfaden zur Auditierung von Managementsystemen" ist kein Normierungsdokument für Zertifizierungen — es ist die anerkannte Best-Practice für die Auditdurchführung. Keine Zertifizierungspflicht, keine Benannte Stelle prüft ISO 19011 als eigenständige Anforderung. Was ISO 19011 leistet: Es definiert die Sprache, Methoden und Prozesslogik für Audits, die alle anderen Normen (ISO 13485 §8.2.4, IATF §9.2.2, ISO 9001 §9.2) voraussetzen — ohne diese Grundlage selbst zu erklären.
Die drei relevantesten ISO-19011-Kapitel für QM-Beauftragte
§5 Auditprogramm-Management erklärt, wie ein systematisches Auditprogramm aufgebaut, gepflegt und bewertet wird — risikobasierte Priorisierung, Ressourcenplanung und Programmüberprüfung. §6 Auditdurchführung gibt die 8-Phasen-Logik vor: von der Auditvorbereitung über Eröffnungsgespräch, Befunderhebung mit objektivem Nachweis und Abschlussgespräch bis zum Auditbericht und Follow-up. §7 Auditor-Kompetenzen beschreibt den Kompetenzrahmen für Auditoren: fachliche Kenntnisse, Auditprozess-Know-how, Persönlichkeitseigenschaften und das Unabhängigkeitsgebot.
Auditprogramm-Management
Aufbau, Pflege und Überprüfung des Auditprogramms — risikobasierte Priorisierung, Ressourcenplanung, Programmziele und periodische Programmüberprüfung. Grundlage für das, was §8.2.4 als „Auditprogramm" fordert, aber nicht erklärt.
Auditdurchführung
8-Phasen-Logik von der Auditvorbereitung bis zum Follow-up. Kernkonzepte: Objektiver Nachweis als Befundgrundlage, Befundkategorien nach Konvention, Eröffnungs- und Abschlussgespräch als formale Schritte.
Auditor-Kompetenzen
Kompetenzrahmen für interne und externe Auditoren: normspezifisches Wissen, Auditprozess-Kenntnisse, fachliche Kompetenz im auditierten Bereich. Unabhängigkeit als nicht verhandelbares Grundprinzip.
VDA 6.3: Prozessaudit-Norm der Automotive-Industrie
VDA 6.3 (herausgegeben vom Verband der Automobilindustrie) definiert die Methodik für Prozessaudits in der Automobilzulieferindustrie. Es ist keine eigenständige Zertifizierungsnorm wie ISO 9001 oder IATF 16949 — sondern ein Prozessaudit-Leitfaden der von IATF 16949 §9.2.2.3 als anerkannte Methode für Manufacturing Process Audits referenziert wird. Für Automotive-Zulieferer die Kunden mit OEM-Kundensonderforderungen (z. B. VW, BMW, Mercedes-Benz) beliefern, ist VDA-6.3-Kompetenz in vielen Fällen explizite Lieferantenanforderung.
Das häufigste VDA-6.3-Problem im IATF-Audit:
Prozessaudit nach VDA 6.3 steht im Auditprogramm. Auditor fragt nach dem P6-Nachweis: Wurde das Turtle-Modell für jeden auditierten Prozessschritt ausgefüllt? Antwort: Wir haben die Checkliste abgehakt. Auditor: P6 verlangt Prozessbeobachtung am Arbeitsplatz und Soll-Ist-Abgleich für alle acht Turtle-Dimensionen — nicht nur Dokumentenprüfung.
Das Turtle-Modell ist die visuelle Analyse-Grundlage des VDA-6.3-Prozessaudits. Es bewertet jeden Prozessschritt aus acht Perspektiven — vier „Gliedmaßen" (Input/Output/Maschinen/Material) und vier „Körper"-Dimensionen (Methoden/Mitarbeiter/Messung/Umwelt). Ein P6-Audit der nur Dokumente prüft ohne alle acht Dimensionen am realen Prozess zu verifizieren, ist kein vollständiger VDA-6.3-Prozessaudit.
Input
Kundenanforderungen, Zeichnungen, Spezifikationen, Auftragsdaten
Maschinen / Equipment
Fertigungsmittel, Vorrichtungen, Prüfmittel — Wartungsstatus und Freigabenachweise
Material
Roh-, Hilfs- und Betriebsstoffe, Zukaufteile — Eingangsqualität und Spezifikationserfüllung
Methoden
Arbeitsanweisungen, Control Plan, PFMEA — Aktualität und Gültigkeit
Mitarbeiter
Qualifikation, Schulungsnachweise, Unterweisungen — Kompetenzmatrix aktuell
Messung / Monitoring
Messpläne, Prüffrequenz, Prüfmittelüberwachung, Prozess-Kennzahlen
Umwelt
Arbeitsbedingungen, Sauberkeit, Ergonomie, Störgrößen im Prozessumfeld
Output
Produktqualität, Ausschuss- und Nacharbeitsrate, Prozesskennzahlen vs. Zielwerte
Nur bei Lieferantenaudit / Pre-Qualification
Potenzial des Lieferanten bewerten: Unternehmensführung, QM-System-Reife, Fertigungsressourcen — Entscheidungsgrundlage für Lieferantenfreigabe
P1 wird auch bei Serienaudits eingesetzt — nur bei Lieferanten-Erstaudits oder nach gravierenden Qualitätsereignissen relevant
Entwicklungsprojekte · APQP
Wie werden Neuprojekte geplant und gesteuert? Ressourcen, Zeitplan, Risiken, Kundenkommunikation in der Anlaufphase
P2 ohne APQP-Bezug — für Automotive-OEM-Kunden ist Advanced Product Quality Planning Kernreferenz
Design · Entwicklung · FMEA
Werden Anforderungen vollständig in Produktspezifikationen und Prozessdefinitionen überführt? DFMEA und PFMEA im Entwicklungsprozess
FMEA als nachträgliche Dokumentation — nicht als Entwicklungswerkzeug eingesetzt, P3 nicht erfüllt
Bemusterung · PPAP · Erstmuster
Lieferung der vereinbarten Qualitätsnachweise — Erstmusterprüfberichte, Messsystemanalysen, Prozessfreigaben vor Serienbeginn
PPAP unvollständig oder zu spät — Serienbeginn ohne vollständige Freigabenachweise
Sub-Supplier · Einkauf · §8.4
Werden Zulieferer qualifiziert, bewertet und auditiert? Wie fließen Lieferanten-Qualitätsdaten in den Prozess zurück?
Keine Lieferantenaudits trotz kritischen Materialien — P5 ohne Nachweis der Sub-Supplier-Überwachung
Kernfragen des Turtle-Modells
Tiefenprüfung des laufenden Produktionsprozesses nach dem Turtle-Modell: Input, Output, Maschinen, Methoden, Material, Messung, Mitarbeiter, Umwelt
P6 nur auf Dokumentenebene geprüft — ohne Prozessbeobachtung am Arbeitsplatz bleibt der Soll-Ist-Abgleich unvollständig
After-Sales · Reklamation · Kommunikation
Wie werden Kundenfeedback und Reklamationen bearbeitet? Reaktionszeiten, Eskalationspfade, Kundenzufriedenheits-Monitoring
P7 ohne Reklamationsauswertung — 8D-Berichte vorhanden, aber kein Nachweis ob Probleme systemisch behoben wurden
VDA 6.3 Prozessaudit — vollständiger Leitfaden mit P6-Tiefensektion
VDA 6.3 vollständig erklärt: Turtle-Modell-Anwendung am Produktionsprozess, P1–P7 Fragenkategorien mit Beispielen, Potenzialanalyse vs. Prozessaudit und Schnittstelle zu IATF 16949 §9.2.2.3:
VDA 6.3 Prozessaudit — Turtle-Modell und P1–P7 vollständig →Was risikobasiert bedeutet — in der Auditplanung
ISO 13485 §8.2.4 verlangt, dass das Auditprogramm den Status und die Bedeutung der Prozesse sowie frühere Auditergebnisse berücksichtigt. Das ist risikobasierte Auditplanung in der Praxis: Fertigungsprozesse mit direktem Produktbezug, Prozesse mit häufigen Abweichungen oder kritischen Qualitätsereignissen, und Prozesse die bei vorigen Audits Hauptabweichungen gezeigt haben, werden häufiger geprüft als administrative Unterstützungsprozesse mit stabiler Compliance-Geschichte.
Auditfrequenz aus Daten ableiten — nicht pauschal festlegen
Die Praxis zeigt: Wer alle Prozesse im Jahresrhythmus undifferenziert durchprüft, kann den Buchstaben der Norm erfüllen — aber die Benannte Stelle fragt: Warum wird ein Prozess mit drei Hauptabweichungen im Vorjahr genauso selten geprüft wie ein administrativer Prozess ohne Qualitätsereignisse? Konkrete Quellen für die Risikobewertung in der Auditplanung: CAPA-Rate je Prozess, Kundenbeschwerden mit Prozessreferenz, Ergebnisse der Risikobewertung (FMEA oder ISO 14971), und Historik aus dem Auditprogramm der letzten zwei bis drei Zyklen.
CAPA-Rate je Prozess
Prozesse mit hoher CAPA-Dichte in den letzten 12–24 Monaten sind risikoerhöhte Prozesse — im Auditprogramm häufiger planen. CAPA-Register als direkte Eingabe für die risikobasierte Auditfrequenz-Entscheidung.
Kundenbeschwerden mit Prozessreferenz
Reklamationen die auf einen spezifischen Fertigungs- oder Prüfprozess zurückgeführt wurden, erhöhen die Priorisierung dieses Prozesses im nächsten Auditprogramm — Reklamationsmanagement-Daten als Auditplanungs-Eingabe.
Vorjahres-Auditergebnisse
Prozesse mit Hauptabweichungen im vorigen Auditturnus werden im Folgejahr bevorzugt auditiert — um die CAPA-Wirksamkeit zu verifizieren. ISO 13485 §8.2.4 nennt frühere Auditergebnisse explizit als Planungseingabe.
Risikomanagement als Quelle für die Auditplanung
Risikobewertungen nach ISO 14971 oder FMEA-Auswertungen können direkte Eingaben für das Auditprogramm liefern: Prozesse mit hoher Risikobewertung verdienen häufigere Auditierung. Der Übergang zwischen Risikomanagement und Auditplanung:
Risikomanagement: Risikoerkennung als Auditplanungs-Quelle →ISO-13485-zertifizierter Medtech-Hersteller
Dokumentiertes Auditprogramm, alle QMS-Elemente im risikobasierten Turnus, Befunde mit CAPA-Nachweis bei Hauptabweichungen — Benannte Stelle prüft Vollständigkeit
IATF-16949-zertifizierter Automotive-Zulieferer
Drei Audittypen separat nachweisen: System-Audit (§9.2.2.1), Manufacturing Process Audit mit VDA 6.3 (§9.2.2.3), Produktaudit (§9.2.2.4) — je eigener Plan und Bericht
ISO-9001-Unternehmen
Risikobasiertes Auditprogramm, objektive und unparteiische Auditoren, Abweichungen mit Korrekturmaßnahmen dokumentiert — weniger formal als ISO 13485
EU-MDR-Hersteller (Benannte Stelle)
Benannte Stelle prüft ob interne Audits vollständig dokumentiert sind und Befunde systematisch mit CAPA-Nachweis und Wirksamkeitsprüfung bearbeitet wurden
Kombiniertes QMS (ISO 13485 + IATF 16949)
Integriertes Auditprogramm möglich — Scope und Kriterien müssen beide Normen explizit abdecken und getrennt dokumentierbar sein. IATF-Drei-Audittypen bleiben Pflicht
Zertifizierungsaudit — Vorbereitung aus QMB-Perspektive
Was eine Benannte Stelle oder akkreditierte Zertifizierungsstelle im Zertifizierungsaudit prüft — Phasen Erstzertifizierung, Überwachung und Re-Zertifizierung aus Sicht des QM-Beauftragten:
Zertifizierungsaudit: Vorbereitung und typische Befunde →Lieferantenaudit — 2nd-Party-Audit und Lieferantenbewertung
Wann ein Lieferantenaudit verpflichtend ist, wie die Befunde in die Lieferantenbewertungsmatrix fließen und was ISO 13485 §7.4.1 und IATF §8.4.1 konkret fordern:
Lieferantenaudit: Planung, Durchführung und Bewertungsübergang →Interne Audits sind nach Reklamationen der häufigste CAPA-Auslöser im QMS. Welche Reaktion ein Befund auslöst, hängt von der Befundkategorie ab — und diese Kategorie muss im Auditbericht explizit benannt und begründet sein. Die Benannte Stelle prüft nicht nur ob CAPAs existieren, sondern ob die Kategorisierung der Befunde korrekt ist und ob die CAPA-Reaktion zur Kategorie passt.
Hauptabweichung
Major Nonconformity
Schwerwiegende Abweichung — ein QMS-Element oder eine normative Anforderung ist grundlegend nicht erfüllt
CAPA verpflichtend — formale Ursachenanalyse und Wirksamkeitsprüfung nach §8.5.2
Typisch 3 Monate — bei Zertifizierungsaudit kann Zertifikat verwehrt werden
Nebenabweichung
Minor Nonconformity
Anforderung grundsätzlich erfüllt, aber inkonsistent oder unvollständig dokumentiert
CAPA oder Korrektur — Entscheidung und Begründung dokumentieren
Typisch 6 Monate — erneutes Auftreten führt zur Hochstufung als Hauptabweichung
Beobachtung / Hinweis
Observation
Kein Normverstoß — Hinweis auf potenzielle Schwäche oder Verbesserungspotenzial
Keine CAPA-Pflicht — Dokumentation empfohlen, Tendenz beobachten
Keine normative Frist — Adressierung im nächsten Überwachungsaudit empfohlen
Befundkategorien nicht normativ in ISO 13485 oder ISO 9001 festgelegt — ISO 19011 §6.5 gibt die Grundlogik vor. Benannte Stellen und akkreditierte Zertifizierungsstellen verwenden eigene Definitionen die diesem Standard entsprechen. IATF 16949 und OEM-Kundensonderforderungen können abweichende Kategorien verwenden.
Auditbefund → CAPA: Der Prozessübergang im Detail
Wann öffnet ein Auditbefund eine CAPA, wie dokumentiert man den Übergang korrekt nach §8.5.2 und was prüft die Benannte Stelle bei der CAPA-Nachverfolgung:
CAPA: Korrekturmaßnahmen aus Auditbefunden →Lieferantenaudit-Befunde und Lieferantenbewertung
Wie Befunde aus Lieferantenaudits in die Lieferantenbewertungsmatrix einfließen und wann ein Lieferantenaudit-Befund zur CAPA beim Lieferanten wird:
Lieferantenbewertung: Auditbefunde als Bewertungsinput →Das häufigste Auditmanagement-Problem in der Praxis ist nicht fehlendes Prozesswissen — es ist fehlende Nachverfolgung. Der Auditbericht ist geschrieben. Die Hauptabweichung ist dokumentiert. Eine CAPA wurde geöffnet. Und dann: nichts. Kein Frist-Tracking, keine Wirksamkeitsprüfung, kein formaler Abschluss. Zwölf Monate später findet die Benannte Stelle dieselbe offene CAPA — und eine neue Hauptabweichung zu §8.5.2.
QIMS bildet das vollständige Auditprogramm digital ab: Jahreskalender mit risikobasierter Turnus-Steuerung, alle drei Audittypen in einem System (intern, Lieferant, Zertifizierungsvorbereitung), normbezogene Befunddokumentation mit Kategorie und Reaktionsfrist, automatischer CAPA-Trigger aus Hauptabweichungen und Follow-up-Tracking mit Wirksamkeitsnachweis. M54-Modul: digitaler Audit-Workflow vom Auditplan bis zum CAPA-Abschluss. Entwickelt nach den Anforderungen aus ISO 13485 §8.2.4.
Jahreskalender mit risikobasierter Priorisierung und allen drei Audittypen — kein Excel-Plan der in keinem Audit-Nachweis landet.
Befunde mit Normbezug, Kategorie und Reaktionsfrist — nachvollziehbar für Benannte Stellen und Kunden-Auditoren ohne Rückfragen.
Hauptabweichung direkt als CAPA-Eintrag weiterführbar — Wirksamkeitsprüfung integriert, formaler Abschluss dokumentiert.
Auditmanagement das beim Zertifizierungsaudit standhält
In einer 30-Minuten-Demo zeigen wir, wie QIMS Ihr Auditprogramm vollständig digital abbildet — von der risikobasierten Jahresplanung über den strukturierten Auditbericht mit Normbezug bis zum automatischen CAPA-Trigger und Follow-up-Tracking mit dokumentiertem Wirksamkeitsnachweis. Alle drei Audittypen in einem System.
Was ist der Unterschied zwischen internem Audit, Lieferantenaudit und Zertifizierungsaudit?
Die drei Audittypen unterscheiden sich nach Partei und Zweck: Ein internes Audit (1st-Party-Audit) wird von der eigenen Organisation durchgeführt — qualifizierte interne Auditoren prüfen das eigene QMS. Norm-Anker: ISO 13485 §8.2.4, ISO 9001 §9.2. Ein Lieferantenaudit (2nd-Party-Audit) führt das eigene Unternehmen beim Lieferanten durch — Ziel ist die Bewertung des Lieferanten-QMS und der Prozesse. Norm-Anker: ISO 13485 §7.4.1, IATF 16949 §8.4.1. Ein Zertifizierungsaudit (3rd-Party-Audit) wird von einer unabhängigen, akkreditierten Zertifizierungsstelle oder Benannten Stelle durchgeführt — Ergebnis ist Zertifikat oder Zertifizierungsempfehlung. Alle drei Audittypen erfordern ein Auditprogramm, dokumentierte Befunde und bei Abweichungen einen CAPA-Nachweis. Bei IATF 16949 sind System-Audit, Prozessaudit und Produktaudit zusätzlich als drei getrennte Audittypen innerhalb der eigenen Organisation Pflicht.
Wie oft muss ich nach ISO 13485 interne Audits durchführen?
ISO 13485 §8.2.4 legt keine absolute Mindestfrequenz fest — fordert aber ein Auditprogramm das sicherstellt, dass alle Prozesse des QMS in einem risikobasierten Turnus geprüft werden. Die Frequenz muss sich am Status und der Bedeutung der Prozesse orientieren sowie an früheren Auditergebnissen. In der Praxis gilt für kritische Prozesse mit direktem Produktbezug eine jährliche Auditfrequenz als Mindest-Erwartung von Benannten Stellen. Administrative Prozesse mit stabiler Compliance-Geschichte können seltener auditiert werden — wenn die Risikoentscheidung dokumentiert ist. Was beim Überwachungsaudit geprüft wird: Wurde das geplante Auditprogramm vollständig umgesetzt? Wurden alle QMS-Elemente im Turnus abgedeckt? Sind Befunde mit Normbezug und CAPA-Nachweis dokumentiert?
Was fordert IATF 16949 an Audittypen — und warum sind es drei getrennte?
IATF 16949 §9.2.2 fordert drei unterschiedliche Audittypen mit separaten Plänen, Berichten und Nachweisen: System-Audit nach §9.2.2.1 — Prüfung ob das QMS als Gesamtsystem wirksam ist, analog ISO 9001 §9.2. Manufacturing Process Audit nach §9.2.2.3 — prozessspezifische Tiefenprüfung nach VDA 6.3 oder OEM-Kundensonderforderungen, mit dem Turtle-Modell als Analysewerkzeug. Produktaudit nach §9.2.2.4 — stichprobenartige Überprüfung eines Endprodukts gegen alle Anforderungen. Die Trennung ist normativ, weil jeder Typ einen anderen Scope und andere Methoden hat: Das System-Audit prüft ob Prozesse definiert und dokumentiert sind. Der Prozessaudit prüft ob sie tatsächlich funktionieren. Der Produktaudit verifiziert das Ergebnis. Alle drei müssen im Jahresauditplan separat geplant und ausgewertet werden — ein integrierter Systemaudit der gleichzeitig Prozesse und Produkte prüft, erfüllt §9.2.2 nicht.
Wann muss aus einem Auditbefund eine CAPA werden?
ISO 13485 §8.5.2 verlangt, dass aus Nichtkonformitäten Korrekturmaßnahmen entstehen — bei Hauptabweichungen aus internen Audits ist eine formale CAPA in der Praxis obligatorisch. Benannte Stellen erwarten den direkten Nachweis: Auditbefund → CAPA-Nummer → Wirksamkeitsprüfung → formaler Abschluss. Bei Nebenabweichungen reicht eine einfache Korrektur wenn die Ursache eindeutig und einmalig ist — aber auch dann muss dokumentiert sein, dass die Wirksamkeit bewertet wurde. Eine CAPA ist in jedem Fall notwendig wenn: dieselbe Abweichung wiederholt auftritt, die Abweichung auf einen systemischen Prozessfehler hinweist, ein Zertifizierungsaudit eine Hauptabweichung festgestellt hat, oder die Benannte Stelle explizit CAPA-Nachweis fordert. Was beim Audit fehlt: Nicht die fehlende CAPA-Eröffnung — sondern der fehlende Wirksamkeitsnachweis nach §8.5.2 Buchstabe f.
Was leistet ISO 19011 als Leitfaden — muss ich ihn umsetzen?
ISO 19011 ist kein Normierungsdokument für Zertifizierungen — es ist ein Leitfaden für die Auditdurchführung. Keine Zertifizierungspflicht, keine Benannte Stelle prüft ob ISO 19011 "eingehalten" wurde. Was ISO 19011 liefert: §5 Auditprogramm-Management — wie ein systematisches, risikobasiertes Auditprogramm aufgebaut wird. §6 Auditdurchführung — 8-Phasen-Logik von Eröffnungsgespräch bis Follow-up. §7 Auditor-Kompetenzen — Anforderungen an Wissen, Fähigkeiten und Persönlichkeitseigenschaften. In ISO-13485- und IATF-Audits gilt: ISO 19011 ist die anerkannte Best-Practice für den Auditprozess selbst. Auditoren die nach ISO 19011-Logik vorgehen (Eröffnungsgespräch, objektive Nachweise, Befundkategorien nach Konvention, Abschlussgespräch) liefern Berichte die Benannte Stellen und Kunden-Auditoren ohne Rückfragen nachvollziehen können.
Internes Audit nach ISO 13485: §8.2.4 Praxisinterpretation, risikobasierte Auditplanung und CAPA-Übergang →
Lieferantenaudit · 2nd Party Audit · §7.4.1Lieferantenaudit: Wann ist er verpflichtend, wie plant man ihn und wie fließen Befunde in die Lieferantenbewertung →
VDA 6.3 · Prozessaudit · Turtle-Modell · P1–P7Prozessaudit VDA 6.3: Turtle-Modell, P1–P7 Fragenkategorien und IATF-16949-Anforderungen vollständig erklärt →
Zertifizierungsaudit · ISO 13485 · ISO 9001 · 3rd PartyZertifizierungsaudit: Phasen Erstzertifizierung, Überwachung und Re-Zertifizierung aus QMB-Perspektive →
Produktaudit · IATF 16949 §9.2.2.4 · StichprobeProduktaudit nach IATF 16949 §9.2.2.4: Stichprobenlogik, Unterschied zu Prozessaudit und Prüfplananbindung →
Auditor Qualifikation · ISO 19011 §7 · UnabhängigkeitAuditor-Qualifikation nach ISO 19011 §7: Kompetenzrahmen, Unabhängigkeitsgebot und Schulungsnachweis →
Auditmanagement Software · M54-Modul · Auditprogramm digitalAuditmanagement Software: Kaufkriterien, Auditprogramm-Kalender und M54-Modul-Anbindung →
CAPA · Korrekturmaßnahmen · AuditbefundCAPA: Korrektur- und Vorbeugungsmaßnahmen — wann öffnet ein Auditbefund eine CAPA und wie dokumentiert man den Übergang →
Risikomanagement · Risikobasiert · AuditplanungRisikomanagement: Risikoerkennung als Grundlage für risikobasierte Auditplanung und Auditfrequenz →
Lieferantenbewertung · Lieferantenaudit · ErgebnisLieferantenbewertung: Wie Lieferantenaudit-Ergebnisse in die Bewertungsmatrix und Qualifizierungsentscheidung fließen →
Auditprogramm geplant.
Befunde kategorisiert.
CAPA eingeleitet.
Wirksamkeit nachgewiesen.
Risikobasierter Jahresauditplan mit allen drei Audittypen, normbezogener Auditbericht mit Befundkategorie, automatischer CAPA-Trigger aus Hauptabweichungen und Follow-up-Tracking mit Wirksamkeitsnachweis — QIMS bildet Auditprozesse ab die bei ISO-13485-, IATF-16949- und EU-MDR-Audits standhalten.
Entwickelt nach den Anforderungen aus ISO 13485 §8.2.4, IATF 16949 §9.2.2 und ISO 19011:2018. Einsetzbar für Medizintechnik, Automotive und allgemeines QMS.