- Zielgruppe
- QM-Beauftragte, Auditprogramm-Verantwortliche und Qualitätsteams in Medizintechnik, Automotive und allgemeinem QMS
- Normgrundlage
- ISO 13485:2016 §8.2.4 · IATF 16949:2016 §9.2.2 · ISO 9001:2015 §9.2 · ISO 19011:2018 · EU-MDR Anhang IX/XI
- Lesezeit
- ca. 10 Minuten
Audit geplant.
Checkliste fertig.
Auditor fragt nach dem Auditprogramm der letzten zwei Jahre.
Das häufigste Auditmanagement-Problem beim Zertifizierungsaudit ist nicht die fehlende Checkliste — es ist das Auditprogramm. Wer hat welche Prozesse geprüft, nach welchen Kriterien, mit welchem Ergebnis — und welche CAPA-Einträge sind aus Hauptabweichungen entstanden? Das steht in einem Excel. Das Excel liegt auf einem Laufwerk. Ob die CAPAs formal geschlossen sind — unklar.
Auditmanagement ist kein Checklisten-Prozess — es ist ein Programm
Die meisten Qualitätsteams verstehen interne Audits als Pflicht-Durchführung: Checkliste ausfüllen, Befunde notieren, Bericht ablegen. ISO 13485 §8.2.4 definiert mehr: ein dokumentiertes Auditprogramm das sicherstellt, dass alle QMS-Elemente in einem risikobasierten Turnus geprüft werden, Befunde mit Normbezug dokumentiert sind und aus Hauptabweichungen systematisch Korrekturmaßnahmen entstehen — deren Wirksamkeit überprüft wird. Das Programm schließt sich erst wenn die CAPA-Akte aus dem Auditbefund formal geschlossen ist.
Risikobasierte Auditplanung: Nicht alle Prozesse gleich oft
ISO 13485 §8.2.4 verlangt ein Auditprogramm das den Status und die Bedeutung der Prozesse sowie frühere Auditergebnisse berücksichtigt. Das ist risikobasierte Auditplanung in der Praxis: Fertigungsprozesse mit direktem Produktbezug, Prozesse mit häufigen Abweichungen oder kritischen Qualitätsereignissen werden häufiger geprüft als administrative Unterstützungsprozesse mit stabiler Compliance-Geschichte. Wer alle Prozesse im Jahresrhythmus undifferenziert durchprüft, erfüllt den Buchstaben der Norm — aber nicht den Geist.
Warum Auditmanagement beim Zertifizierungsaudit scheitert: P8 ohne Nachweis
Die häufigste Hauptabweichung in Zertifizierungsaudits zu §8.2.4 ist nicht die fehlende Checkliste — es ist P8. Das Follow-up das als E-Mail-Bestätigung endet. Die Hauptabweichung aus dem Vorjahresaudit die im Bericht dokumentiert ist, aber in keiner CAPA-Akte auftaucht. ISO 13485 §8.5.2 ist klar: Korrekturmaßnahmen aus Nichtkonformitäten müssen eingeleitet, umgesetzt und auf Wirksamkeit bewertet werden. Wer das für interne Auditbefunde nicht dokumentieren kann, hat eine der am häufigsten gesehenen Hauptabweichungen des Jahres.
ISO 13485 §8.2.4
Scope, Kriterien, Auditziel und Ressourcen definieren — vor Checkliste und Teamauswahl
Scope zu weit: „Gesamtes QMS" in einem Tag — keine tiefe Prüfung möglich, kein belastbarer Nachweis
ISO 13485 §8.2.4 / ISO 19011 §5
Jahresplan: welche Prozesse, welcher Turnus, risikobasierte Priorisierung dokumentiert
Kein schriftlicher Jahresauditplan — kein Nachweis dass alle QMS-Elemente systematisch abgedeckt wurden
ISO 19011 §6.3
Normbezogene Checklisten erstellen, Dokumente anfordern, Auditierteam briefen
Checkliste aus dem Vorjahr kopiert ohne Anpassung — neue Normanforderungen und Scope-Änderungen nicht berücksichtigt
ISO 19011 §6.4.2
Scope und Kriterien bestätigen, Ablauf und Vertraulichkeit erklären, Ansprechpartner klären
Eröffnungsgespräch übersprungen — Auditierter kennt Scope und Erwartungen nicht, Ergebnisse später bestritten
ISO 19011 §6.4.5
Interviews, Dokumentenstichproben, Prozessbeobachtung — objektive Nachweise sammeln und dokumentieren
Nur Dokumentenprüfung, keine Interviews — Implementierung im Prozessalltag nicht verifiziert
ISO 19011 §6.4.9
Befunde kommunizieren, Kategorien erläutern (Haupt-/Nebenabweichung/Beobachtung), nächste Schritte klären
Befundkategorie nicht erläutert — Auditierter kennt Unterschied nicht, CAPA-Pflicht wird überraschend
ISO 13485 §8.2.4 / ISO 19011 §6.5
Befunde dokumentieren mit Normbezug, Objektivem Nachweis, Kategorie und Reaktionsfrist
Bericht ohne Normbezug — Abweichung für Benannte Stelle nicht nachvollziehbar verknüpft
ISO 13485 §8.5.2 / §8.2.4
CAPA aus Hauptabweichungen öffnen, Wirksamkeit prüfen, Akte dokumentiert schließen
Follow-up als E-Mail — keine dokumentierte Wirksamkeitsprüfung, CAPA-Akte formal nie geschlossen
Auditprozess nach ISO 19011:2018 Leitlinien, angepasst an ISO 13485 §8.2.4 und IATF 16949 §9.2.2. P2 Auditprogramm ist strategisch — P1–P8 sind taktisch je Einzelaudit. ISO 9001 §9.2 erfordert kein 8-Phasen-Format — der Programmgedanke (Planung → Durchführung → Bericht → Follow-up) ist normativ.
ISO-13485-zertifizierter Medtech-Hersteller
Dokumentiertes Auditprogramm, alle QMS-Elemente im risikobasierten Turnus geprüft, Befunde mit CAPA-Nachweis bei Hauptabweichungen
IATF-16949-zertifizierter Automotive-Zulieferer
Drei Audittypen separat nachweisen: System-Audit, Manufacturing Process Audit und Produktaudit — je mit eigenem Plan und Bericht
ISO-9001-Unternehmen
Auditprogramm nach Wichtigkeit und Auswirkung, objektive und unparteiische Auditoren, Abweichungen dokumentiert und CAPA eingeleitet
EU-MDR-Hersteller (Benannte Stelle)
Benannte Stelle prüft ob interne Audits vollständig dokumentiert sind und Befunde systematisch mit CAPA-Nachweis bearbeitet wurden
Kombiniertes QMS (ISO 13485 + ISO 9001)
Integriertes Auditprogramm möglich — Scope und Kriterien müssen beide Normen explizit abdecken und getrennt dokumentierbar sein
ISO 13485 §8.2.4 — Deep-Dive für Medizinprodukte-Hersteller
Vollständige §8.2.4-Anforderungen, risikobasierte Auditfrequenz, Auditor-Qualifikation und vier häufige Fallen bei Benannte-Stelle-Überwachungsaudits:
Internes Audit nach ISO 13485 — Leitfaden für Medizinprodukte-Hersteller →IATF 16949 §9.2.2 — System-Audit, Manufacturing Process Audit, Produktaudit
IATF 16949 fordert drei unterschiedliche Audittypen separat nachzuweisen — was jeder Typ prüft und wie man alle drei im Jahresauditprogramm dokumentiert:
Auditprogramm für IATF 16949 — drei Audittypen planen und dokumentieren →Kein risikobasiertes Auditprogramm — alle Prozesse gleich priorisiert
ISO 13485 §8.2.4 fordert, dass das Auditprogramm den Status und die Bedeutung der Prozesse sowie frühere Auditergebnisse berücksichtigt. Wer alle Prozesse jährlich undifferenziert prüft, erfüllt den Buchstaben — aber die Benannte Stelle fragt: Warum wird ein Prozess mit drei Abweichungen im Vorjahr genauso selten geprüft wie ein administrativer Prozess ohne Qualitätsereignisse?
Befund ohne Normbezug und ohne Objektiven Nachweis
„Dokumentenlenkung teilweise unvollständig" ist kein Befund — es ist eine Behauptung. Ein normkonformer Befund nach ISO 19011 enthält: konkreten Objektiven Nachweis (Dokument, Datum, Stichprobe), Normbezug (welche Anforderung verletzt) und Befundkategorie. Ohne diese drei Elemente kann die Benannte Stelle den Befund weder nachvollziehen noch prüfen ob die CAPA die richtige Ursache adressiert.
CAPA aus Hauptabweichungen nie formal geschlossen
ISO 13485 §8.5.2c verlangt, dass die Wirksamkeit der Korrekturmaßnahmen bewertet wird — auch für Maßnahmen aus Auditbefunden. Die häufigste Schwäche: Die CAPA ist geöffnet, Maßnahmen sind umgesetzt, aber die formale Wirksamkeitsprüfung fehlt und die Akte ist nie geschlossen worden. Beim nächsten Überwachungsaudit findet die Benannte Stelle dieselben offenen CAPAs wie beim letzten Mal.
Auditor-Unabhängigkeit nicht dokumentiert nachgewiesen
ISO 13485 §8.2.4 verlangt, dass Auditoren objektiv und unparteiisch sind und eigene Arbeit nicht auditen. Aber: Die Norm verlangt auch den Nachweis dieser Unabhängigkeit im Auditbericht. „Externer Auditor" oder „Abteilung B prüft Abteilung A" muss dokumentiert sein — ohne diesen Nachweis kann die Benannte Stelle nicht prüfen ob die Unabhängigkeitsanforderung tatsächlich erfüllt wurde.
Interne Audits sind nach Reklamationen der zweithäufigste CAPA-Auslöser im QMS. ISO 13485 §8.5.2 verlangt, dass aus Nichtkonformitäten Korrekturmaßnahmen entstehen und deren Wirksamkeit bewertet wird. Bei Hauptabweichungen aus internen Audits ist eine CAPA in der Praxis obligatorisch — die Benannte Stelle erwartet den direkten Nachweis: Auditbefund → CAPA-Nummer → Wirksamkeitsprüfung → Abschluss.
Bei Nebenabweichungen reicht oft eine einfache Korrektur — wenn die Ursache eindeutig und einmalig ist. Aber auch hier gilt: Die Wirksamkeit der Korrektur muss bewertet sein. Vier Situationen in denen auch eine Nebenabweichung zur CAPA werden muss: dieselbe Nebenabweichung zum zweiten Mal, Befund betrifft regulierten Kernprozess, Benannte Stelle fordert explizit CAPA-Nachweis, oder interne Qualitätsziele (Abweichungsrate) überschritten.
Auditbericht → CAPA: Der Prozessübergang im Detail
Wann öffnet ein Auditbefund eine CAPA, wie dokumentiert man den Übergang korrekt und was prüft die Benannte Stelle dabei:
CAPA: Korrekturmaßnahmen aus Auditbefunden — Übergang und Wirksamkeit →Das häufigste Auditmanagement-Problem in der Praxis ist nicht fehlendes Prozesswissen — es ist fehlende Nachverfolgung. Der Auditbericht ist geschrieben. Die Hauptabweichung ist dokumentiert. Eine CAPA wurde geöffnet. Und dann: nichts. Kein Frist-Tracking, keine Wirksamkeitsprüfung, kein formaler Abschluss. Zwölf Monate später findet die Benannte Stelle dieselbe offene CAPA — und eine neue Hauptabweichung.
QIMS bildet das vollständige Auditprogramm digital ab: Jahreskalender mit risikobasierter Turnus-Steuerung, normbezogene Checklisten für interne Audits und Lieferantenaudits, strukturierter Auditbericht mit Befundkategorie, Normbezug und Reaktionsfrist, automatischer CAPA-Trigger aus Hauptabweichungen und Follow-up-Tracking mit Wirksamkeitsnachweis. Entwickelt nach den Anforderungen aus ISO 13485 §8.2.4.
Jahreskalender mit risikobasierter Priorisierung — kein Excel-Plan der in keinem Audit-Nachweis landet.
Befunddokumentation mit Normbezug, Kategorie und Reaktionsfrist — nachvollziehbar für Benannte Stelle.
Hauptabweichung direkt als CAPA-Eintrag weiterführbar — Wirksamkeitsprüfung integriert.
Auditmanagement das beim Zertifizierungsaudit standhält
In einer 30-Minuten-Demo zeigen wir, wie QIMS Ihr Auditprogramm vollständig digital abbildet — von der risikobasierten Jahresplanung über den strukturierten Auditbericht mit Normbezug bis zum automatischen CAPA-Trigger und Follow-up-Tracking. Kein Auditbefund der irgendwo in einer CAPA-Akte verschwindet.
Wie oft muss ich nach ISO 13485 interne Audits durchführen?
ISO 13485 §8.2.4 schreibt keine absolute Mindestfrequenz vor — fordert aber ein Auditprogramm das sicherstellt, dass alle Prozesse des QMS in einem definierten Turnus geprüft werden. Die Frequenz muss risikobasiert festgelegt werden: Prozesse mit hohem Risiko oder häufigen Abweichungen sind häufiger zu auditen als administrative Prozesse mit stabiler Historie. In der Praxis gilt bei Medtech-Herstellern für kritische Prozesse eine jährliche Auditfrequenz als Mindestandard — was die Benannte Stelle bei Überwachungsaudits erwartet ist nicht die Frequenz selbst, sondern der Nachweis dass das Auditprogramm vollständig umgesetzt und alle QMS-Elemente abgedeckt wurden.
Muss der interne Auditor eine besondere Qualifikation haben?
ISO 13485 §8.2.4 verlangt, dass Auditoren objektiv und unparteiisch sind — sie dürfen eigene Arbeit nicht auditen. Eine spezifische Zertifizierung schreibt die Norm nicht vor. ISO 19011 gibt als Leitlinie Kompetenzkriterien für Auditoren: Kenntnis der zu auditierenden Norm, Kenntnisse des Auditprozesses selbst, und fachliche Kompetenz im auditierten Bereich. In der Praxis fordert die Benannte Stelle bei Überwachungsaudits oft Nachweise über Auditor-Schulungen — interne Trainingsaufzeichnungen oder externe Auditor-Ausbildungsnachweise (z. B. DGQ-Auditorenkurs) sind akzeptiert. Wichtiger als die Zertifizierung ist der dokumentierte Nachweis der Unabhängigkeit: Abteilung A wird von Auditor aus Abteilung B geprüft.
Was ist der Unterschied zwischen einem internen Audit und einem Zertifizierungsaudit?
Ein internes Audit (1st-Party-Audit) wird vom Unternehmen selbst durchgeführt — von eigenen, qualifizierten Auditoren die unabhängig von den auditierten Prozessen sind. Es dient der internen Prüfung ob das QMS wirksam implementiert ist. Ein Zertifizierungsaudit (3rd-Party-Audit) wird von einer akkreditierten Zertifizierungsstelle (z. B. TÜV, BSI, DNV) oder Benannten Stelle durchgeführt und ist Voraussetzung für die Zertifizierung nach ISO 13485 oder IATF 16949. Ein Lieferantenaudit (2nd-Party-Audit) liegt dazwischen: das eigene Unternehmen auditiert einen Lieferanten. Alle drei Audittypen erfordern dokumentierte Befunde, Nachweise und bei Abweichungen eine CAPA — aber nur beim Zertifizierungsaudit entscheidet das Ergebnis über die Zertifikatsvergabe.
Welche Befundkategorien gibt es und was ist der Unterschied zwischen Haupt- und Nebenabweichung?
Standardmäßig werden drei Befundkategorien unterschieden: Hauptabweichung (Major Nonconformity) — eine schwerwiegende Abweichung die ein QMS-Element oder eine normative Anforderung grundlegend nicht erfüllt. Folge: CAPA verpflichtend, typische Reaktionsfrist 3 Monate, bei Zertifizierungsaudit kann Zertifikat verwehrt werden. Nebenabweichung (Minor Nonconformity) — eine Abweichung die das QMS-Element grundsätzlich erfüllt, aber inkonsistent oder unvollständig dokumentiert. Folge: CAPA oder Korrektur, typische Reaktionsfrist 6 Monate. Beobachtung (Observation) — kein Normverstoß, aber Hinweis auf potenzielle Schwäche oder Verbesserungspotenzial. Keine Pflicht-CAPA, aber sinnvolle Dokumentation. In ISO 13485 ist die Kategorie nicht normativ festgelegt — Benannte Stellen verwenden ihre eigenen Definitionen, die aber diesem Standard entsprechen.
Wann muss aus einem Auditbefund eine CAPA werden?
ISO 13485 §8.5.2 verlangt, dass bei Nichtkonformitäten Korrekturmaßnahmen eingeleitet werden — bei Hauptabweichungen aus internen Audits ist eine CAPA in der Praxis obligatorisch. Nebenabweichungen können mit einer einfachen Korrektur bearbeitet werden, wenn die Ursache eindeutig und einmalig ist. Eine CAPA ist zwingend wenn: dieselbe Abweichung zum zweiten Mal auftritt, die Abweichung auf eine systemische Prozessschwäche hinweist, ein Zertifizierungsaudit eine Hauptabweichung festgestellt hat, oder die Benannte Stelle explizit CAPA-Nachweis fordert. Wichtig: Auch bei einfachen Korrekturen ohne CAPA muss dokumentiert werden, dass die Wirksamkeit bewertet wurde — ISO 13485 §8.5.2c gilt für alle Korrekturmaßnahmen, nicht nur formale CAPAs.
Internes Audit nach ISO 13485: §8.2.4 erklärt — Auditplan, Auditfrequenz, Auditor-Qualifikation und häufige Benannte-Stelle-Fallen →
Auditprogramm · Jahresplanung · RisikobasiertAuditprogramm erstellen: Risikobasierte Jahresplanung, Turnus-Steuerung und Nachweis der vollständigen QMS-Abdeckung →
Auditbericht · Befunddokumentation · NormbezugAuditbericht erstellen: Pflichtinhalte, Befundkategorien (Haupt-/Nebenabweichung) und was beim Schreiben von Befunden schiefgeht →
Lieferantenaudit · 2nd Party Audit · ISO 13485 §7.4Lieferantenaudit: Wann ist er verpflichtend, wie plant man ihn und wie fließen Befunde in die Lieferantenbewertung →
Audit Checkliste · ISO 13485 · IATF 16949Audit-Checkliste für interne Audits: Normbezogene Fragen-Sets für ISO 13485 §8.2.4 und IATF 16949 §9.2.2 →
CAPA · Korrekturmaßnahmen · AuditbefundCAPA: Korrektur- und Vorbeugungsmaßnahmen — wann öffnet ein Auditbefund eine CAPA und wie dokumentiert man den Übergang →
Lieferantenbewertung · QMS · LieferantenauditLieferantenbewertung im QMS: Wie Lieferantenaudit-Ergebnisse in die Bewertungsmatrix und Qualifizierungsentscheidung fließen →
ISO 13485 · §8.2.4 · Internes Audit PraxisInternes Audit nach ISO 13485: Vier Praxisszenarien wo die Dokumentation in Zertifizierungsaudits scheitert →
Auditprogramm geplant.
Befunde dokumentiert.
CAPA eingeleitet.
Wirksamkeit nachgewiesen.
Risikobasierter Jahresauditplan, strukturierter Auditbericht mit Normbezug, automatischer CAPA-Trigger aus Hauptabweichungen und Follow-up-Tracking mit Wirksamkeitsnachweis — QIMS bildet Auditprozesse ab, die bei ISO-13485- und IATF-Zertifizierungsaudits standhalten.
Entwickelt nach den Anforderungen aus ISO 13485 §8.2.4. Einsetzbar für Medizintechnik, Automotive und allgemeines QMS.