- Zielgruppe
- QM-Beauftragte, interne Auditoren und Qualitätsteams in Medizintechnik, Automotive und allgemeinem QMS
- Normgrundlage
- ISO 13485:2016 §8.2.4 · ISO 19011:2018 §6.5 · ISO 13485 §8.5.2 · IATF 16949:2016 §9.2.2
- Lesezeit
- ca. 8 Minuten
Audit abgeschlossen.
Befunde notiert.
Normbezug fehlt. Kategorie unklar. CAPA-Frist nicht eingetragen.
Der Auditbericht ist das zentrale Dokument des internen Auditprozesses — er entscheidet, ob Befunde bei der Benannten Stelle standhalten oder angreifbar sind. Ein Befund ohne Normbezug ist nicht substanziiert. Eine Hauptabweichung ohne CAPA-Referenz ist §8.5.2 nicht erfüllbar. Eine Reaktionsfrist die fehlt, macht Maßnahmen-Tracking unmöglich. Diese Seite zeigt, welche Pflichtinhalte ein Auditbericht braucht — und wie der Übergang vom Befund zur Korrekturmaßnahme dokumentiert wird.
Der Auditbericht ist Qualitätsaufzeichnung, nicht Gesprächsnotiz
ISO 13485 §8.2.4 verlangt, dass Audit-Ergebnisse aufgezeichnet und aufbewahrt werden — und §4.2.5 regelt, dass diese Aufzeichnungen lesbar, identifizierbar und wiederauffindbar sein müssen. Ein Auditbericht ist kein Gesprächsprotokoll, das nach dem Termin abgelegt wird — er ist der formale Nachweis, dass der Auditprozess planvoll, vollständig und nach Norm durchgeführt wurde. Benannte Stellen und Registrierungsbehörden prüfen Auditberichte aus mehreren Audit- Zyklen: Der Bericht muss auch in drei Jahren noch nachvollziehbar sein.
Was ISO 19011 §6.5 zur Berichterstattung fordert
ISO 19011 als Leitlinie für das Auditieren von Managementsystemen beschreibt in §6.5, was ein Auditbericht enthalten muss: Auditumfang und -kriterien, Auditziele und -zeitraum, Auditoren und Auditierte mit Qualifikationsnachweis, alle Befunde mit Kategorisierung und Objektivem Nachweis, Schlussfolgerungen zu Konformität und Wirksamkeit des auditierten Systems sowie Verteilerliste und Vertraulichkeitsstatus. Kein einzelnes Element davon ist optional — fehlt es, ist der Bericht methodisch unvollständig.
Der Übergang Auditbefund → CAPA
Der Auditbericht ist nicht das Ende des Auditprozesses — er ist der Startpunkt des Maßnahmen-Trackings. Jede Hauptabweichung (Major Nonconformity) löst nach ISO 13485 §8.5.2 eine CAPA-Pflicht aus: Ursachenanalyse, Maßnahme, Umsetzungs- termin und Wirksamkeitsprüfung. Die CAPA-Nummer muss im Auditbericht referenziert werden — die Verknüpfung Befund → Maßnahme muss dokumentiert, nicht nur mündlich vereinbart sein. Wer diesen Übergang nicht strukturiert dokumentiert, findet beim nächsten Audit offene Hauptabweichungen ohne CAPA-Nachweis — das ist ein eigenständiger Befund, oft mit Hochstufung.
Auditmanagement-Überblick
Die acht Phasen eines internen Audits — von Auditplanung (P1) bis Follow-up und CAPA (P8) — mit risikobasierter Auditprogramm-Logik und vollständiger Normverankerung:
Auditmanagement im QMS — vollständiger Leitfaden →Datum, Ort, auditierter Prozess, Scope — was geprüft wurde, wann und wo.
Scope fehlt — unklar was tatsächlich geprüft wurde. Befunde sind nicht zuordenbar.
Namen, Qualifikationsnachweis und dokumentierte Unabhängigkeit vom auditierten Prozess.
Nur Name ohne Qualifikations-Referenz — Unabhängigkeit nicht nachvollziehbar für Benannte Stelle.
Normanforderungen (ISO 13485, IATF) und interne Vorgaben (SOPs, Arbeitsanweisungen) als Bewertungsmaßstab.
Nur Norm — interne Prozessanweisungen fehlen als Kriterium. Befunde gegen interne Vorgaben nicht substanziierbar.
Konkrete Evidenz je Befund: Dokumentennummer, Version, Datum der Begehung, Stichprobenbeschreibung.
Befund ohne Nachweis — „wurde nicht gefunden" ohne Referenz. Nicht nachprüfbar, methodisch angreifbar.
Hauptabweichung / Nebenabweichung / Beobachtung — klar kategorisiert, nicht interpretationsoffen.
Kategorie fehlt oder verwechselt — CAPA-Pflicht unklar, Reaktionsfrist nicht zuordenbar.
Je Befundkategorie: Hauptabweichung typisch 3 Monate, Nebenabweichung 6 Monate — mit konkretem Datum.
Keine Frist eingetragen — Follow-up kann beliebig verzögert werden. Maßnahmen-Tracking nicht möglich.
Aus Hauptabweichungen: CAPA-Nummer und Öffnungsdatum — Verknüpfung Befund → Maßnahme dokumentiert.
CAPA-Nummer fehlt — kein Nachweis dass der Befund systematisch bearbeitet wird. §8.5.2 nicht erfüllbar.
Auditor und Auditierter bestätigen Befunde — Akzeptanz und Kenntnis der Reaktionsfristen schriftlich.
Fehlende Unterschrift — Akzeptanz der Befunde nicht dokumentiert. Im Streitfall kein Nachweis.
ISO 13485 §8.2.4 schreibt kein Berichtsformat vor — aber alle acht Elemente müssen inhaltlich abgedeckt und nachvollziehbar dokumentiert sein. Ein Auditbericht ist Qualitätsaufzeichnung nach §4.2.5 — keine interne Arbeitsnotiz.
Die Befundkategorie entscheidet über CAPA-Pflicht und Reaktionsfrist — sie ist nicht eine stilistische Einschätzung des Auditors, sondern eine normative Einstufung mit konkreten Konsequenzen. Eine fehlende oder falsch gewählte Kategorie lässt den Auditierten im Unklaren über seine Handlungspflichten — und die Benannte Stelle ohne nachvollziehbare Differenzierung.
Normanforderung vollständig nicht erfüllt oder Systemversagen das das QMS wesentlich beeinträchtigt.
Kein dokumentiertes Auditprogramm. Keine CAPA-Nachweise zu Hauptabweichungen aus dem Vorjahr. Fehlendes Risikomanagementdossier.
CAPA-Pflicht. Typisch 3 Monate Reaktionsfrist. Nachprüfung durch Benannte Stelle möglich.
Isolierte Lücke ohne systemische Auswirkung — Einzelfall, kein Systemmuster erkennbar.
Einzelnes Dokument im falschen Revisionsstatus. Kalibriernachweis für ein Gerät abgelaufen. Schulungsnachweis für einen Mitarbeiter fehlt.
Korrektur ausreichend. CAPA empfohlen bei systemischem Muster. Typisch 6 Monate Reaktionsfrist.
Hinweis auf mögliches zukünftiges Problem — keine Normverletzung, aber Handlungsbedarf aus Auditor-Sicht.
Dokumentenlenkungsprozess funktioniert — einzelner Revisionszyklus wurde verlängert ohne Eskalation dokumentiert.
Kein CAPA-Zwang. Dokumentierte Bewertung und ggf. Präventivmaßnahme sinnvoll.
Befund korrekt formuliert — Positiv-Beispiel
„Prüfanweisung PA-012 Version 2.1 war in der Fertigung ausgehängt, obwohl Version 2.3 (Änderungsdatum 2025-11-14) freigegeben war. Nachweis: Begehung Linie 3, 2026-05-20. Normbezug: ISO 13485 §4.2.4. Befundkategorie: Nebenabweichung. Reaktionsfrist: 30.08.2026."
Substanziiert · Normbezug · Kategorie · FristBefund fehlerhaft formuliert — Negativ-Beispiel
„Dokumentenlenkung teilweise unvollständig."
Kein Normbezug. Kein Objektiver Nachweis. Keine Befundkategorie. Keine Reaktionsfrist. Nicht nachprüfbar, nicht zuordenbar — für die Benannte Stelle wertlos.
Kein Normbezug · Kein Nachweis · Keine KategorieMaßnahmen-Tracking beginnt nicht nach dem Audit — es beginnt im Auditbericht. Wer Reaktionsfristen und CAPA-Referenzen bereits im Bericht verankert, schafft die Grundlage für nachvollziehbares Follow-up. Wer sie weglässt, schafft eine Grauzone, in der Maßnahmen informell bleiben — und beim nächsten Audit als offene Befunde wieder auftauchen.
Aus jeder Hauptabweichung eine formal eröffnete CAPA — Ursachenanalyse, geplante Maßnahme, Umsetzungsverantwortung und Termin.
CAPA-Nummer im Auditbericht referenzieren — Verknüpfung Befund → Maßnahme dokumentiert.
Reaktionsfrist je Befundkategorie überwachen — Hauptabweichungen typisch 90 Tage, Nebenabweichungen 180 Tage.
Fristablauf ohne Maßnahmen-Update ist beim nächsten Audit ein eigenständiger Befund.
Nach Umsetzung der Maßnahme: Wirksamkeitsprüfung durchführen und dokumentiert nachweisen — nicht nur „erledigt" setzen.
Fehlende Wirksamkeitsprüfung ist nach ISO 13485 §8.5.2c ein Kernbefund — häufigste Lücke im Follow-up.
CAPA-Akte mit Wirksamkeitsnachweis formal schließen — Abschluss-Datum, Verantwortung und Freigabe dokumentieren.
Offene CAPAs aus Vorjahr-Audits ohne formalen Abschluss: beim nächsten Audit sofortiger Befund.
CAPA im QMS — vollständiger Prozess
Wie CAPA nach ISO 13485 §8.5.2 aufgebaut wird — Ursachenanalyse, Maßnahmen- plan, Wirksamkeitsprüfung und formaler Abschluss der CAPA-Akte:
CAPA im QMS — Prozess und Wirksamkeitsprüfung →Ein Auditbefund, der keinen Normbezug enthält — „Dokumentenlenkung nicht vollständig" — ist für die Benannte Stelle nicht verifizierbar. Sie kann nicht prüfen, ob §4.2.4 verletzt wurde oder eine interne Verfahrensanweisung. Ohne Normbezug ist der Befund nicht substanziiert — und der Auditbericht kein belastbarer Nachweis, sondern eine persönliche Einschätzung.
Wenn ein Befund keine Kategorie trägt — Hauptabweichung, Nebenabweichung oder Beobachtung — ist weder die CAPA-Pflicht noch die Reaktionsfrist ableitbar. Der Auditierte weiß nicht, ob er eine CAPA eröffnen muss. Das Follow-up-Tracking ist nicht möglich. Im nächsten Zertifizierungsaudit: Befund wegen fehlender Abarbeitung.
Befunde ohne konkreten Objektiven Nachweis — Dokumentennummer, Datum, Stichprobe — sind methodisch angreifbar. Der Auditierte kann widersprechen. Die Benannte Stelle kann die Substanz nicht prüfen. Ein Befund ist nur so belastbar wie sein Nachweis: was nicht referenziert ist, kann bestritten werden.
Eine Hauptabweichung ohne CAPA-Referenz im Auditbericht bedeutet: Die Verknüpfung Befund → Maßnahme ist nicht dokumentiert. Ob eine CAPA wirklich eröffnet wurde, ist nachträglich nicht nachvollziehbar. ISO 13485 §8.5.2 ist formal nicht erfüllt — beim nächsten Audit taucht die Lücke als eigenständiger Befund auf.
Das typische Auditbericht-Problem ist kein Inhaltsproblem — es ist ein Strukturproblem. Befunde werden in Word-Vorlagen oder PDF-Formularen dokumentiert, Normbezug muss manuell nachgeschlagen werden, CAPA-Nummer wird per E-Mail kommuniziert und irgendwo in einem anderen System eingetragen. Ob die Reaktionsfrist läuft, wer zuständig ist und ob die Wirksamkeitsprüfung durchgeführt wurde — das steht in drei verschiedenen Dateien, die nicht miteinander verknüpft sind.
QIMS führt den Auditbericht strukturiert: Befunde werden mit Normbezug, Objektivem Nachweis und Befundkategorie direkt im System dokumentiert — kein manuelles Nachschlagen, keine freie Formulierung ohne Struktur. Hauptabweichungen triggern automatisch einen CAPA-Vorschlag mit Verlinkung zum Befund. Reaktionsfristen laufen systemseitig — kein Fristablauf unbemerkt. Maßnahmen-Status, Wirksamkeits- prüfung und formaler Abschluss der CAPA-Akte sind im selben System wie der Bericht. Entwickelt nach den Anforderungen aus ISO 13485 §8.2.4 und §8.5.2.
Normbezug, Objektiver Nachweis und Befundkategorie als Pflichtfelder — kein Bericht ohne die Grundlage für Follow-up-Tracking.
Hauptabweichungen öffnen direkt eine CAPA — Verknüpfung Befund → Maßnahme dokumentiert, keine manuelle E-Mail-Kommunikation.
Reaktionsfristen laufen systemseitig — Wirksamkeitsprüfung und CAPA-Abschluss mit Status, Frist und Verantwortlichkeit im Blick.
Auditbericht der bei der Benannten Stelle standhält
In einer 30-Minuten-Demo zeigen wir, wie QIMS den Auditbericht strukturiert führt — Befunde mit Normbezug, automatischer CAPA-Trigger aus Hauptabweichungen und vollständiges Frist-Tracking bis zum formalen CAPA-Abschluss.
Was muss ein Auditbericht nach ISO 13485 mindestens enthalten?
Ein Auditbericht nach ISO 13485 §8.2.4 und ISO 19011 §6.5 muss mindestens enthalten: Auditdaten (Datum, Ort, auditierter Prozess, Scope), Auditoren mit Qualifikations- und Unabhängigkeitsnachweis, Auditkriterien (Normanforderungen und interne Vorgaben), jeden Befund mit Objektivem Nachweis und Normbezug, Befundkategorie (Hauptabweichung, Nebenabweichung, Beobachtung), Reaktionsfrist je Befund, CAPA-Referenz für Hauptabweichungen sowie Abschluss-Signaturen von Auditor und Auditiertem. Fehlt eines dieser Elemente, ist der Auditbericht für eine Benannte Stelle oder einen Registrierungsauditor nicht vollständig nachvollziehbar — Befunde können nicht verifiziert, Reaktionsfristen nicht verfolgt und CAPA-Maßnahmen nicht zugeordnet werden.
Was ist der Unterschied zwischen Hauptabweichung, Nebenabweichung und Beobachtung?
Eine Hauptabweichung (Major Nonconformity) liegt vor, wenn eine Normanforderung vollständig nicht erfüllt ist oder ein Systemversagen vorliegt, das das Qualitätsmanagementsystem wesentlich beeinträchtigt — zum Beispiel: kein dokumentiertes Auditprogramm, keine CAPA-Nachweise für Hauptabweichungen aus dem Vorjahr, fehlendes Risikomanagementdossier. Hauptabweichungen verlangen eine CAPA und typischerweise eine Nachprüfung durch die Benannte Stelle innerhalb von drei Monaten. Eine Nebenabweichung (Minor Nonconformity) ist eine isolierte Lücke ohne systemische Auswirkung — zum Beispiel ein einzelnes Dokument im falschen Revisionsstatus. Nebenabweichungen können mit einer Korrektur behoben werden, eine CAPA ist nicht zwingend, aber empfohlen. Eine Beobachtung (Observation) ist ein Hinweis auf ein mögliches zukünftiges Problem — keine Normverletzung, aber Handlungsbedarf aus Sicht des Auditors. Kein CAPA-Zwang, Dokumentation dennoch sinnvoll.
Wann muss aus einem Auditbefund eine CAPA werden?
ISO 13485 §8.5.2 schreibt vor, dass Korrekturmaßnahmen ergriffen werden, wenn eine Nichtkonformität festgestellt wird. In der Auditpraxis bedeutet das: Jede Hauptabweichung (Major Nonconformity) erfordert eine formal eröffnete CAPA mit Ursachenanalyse, geplanter Maßnahme, Umsetzungstermin und Wirksamkeitsprüfung. Die CAPA-Nummer muss im Auditbericht referenziert werden, damit die Verknüpfung Befund → Maßnahme dokumentiert ist. Nebenabweichungen können mit einer einfachen Korrektur geschlossen werden — eine CAPA ist empfohlen wenn die Ursache systemisch erscheint. Beobachtungen lösen keine CAPA-Pflicht aus — eine dokumentierte Bewertung und ggf. Präventivmaßnahme ist dennoch sinnvoll. Die Benannte Stelle prüft beim nächsten Audit, ob aus Hauptabweichungen formal eine CAPA entstand und ob die Wirksamkeit nachgewiesen ist. Fehlt der CAPA-Nachweis, wird die Hauptabweichung wiederholt als Befund eingetragen — oft mit Hochstufung.
Was ist ein Objektiver Nachweis im Auditbericht?
Ein Objektiver Nachweis (Objective Evidence) ist die konkrete, verifizierbare Grundlage für jeden Auditbefund — nicht die Interpretation, sondern die Evidenz dahinter. Er besteht aus Dokumentenreferenzen (Dokumentennummer, Version, Freigabedatum), Stichproben-Beschreibungen (Datum der Begehung, geprüfte Charge oder Linie) sowie Beobachtungsprotokollen oder Interview-Notizen. Ein Befund ohne Objektiven Nachweis ist methodisch angreifbar — der Auditierte kann widersprechen, die Benannte Stelle kann die Befund-Substanz nicht prüfen. Beispiel: Statt „Dokumentenlenkung mangelhaft" — „Prüfanweisung PA-012 Version 2.1 war in der Fertigung ausgehängt, obwohl Version 2.3 (Änderungsdatum 2025-11-14) freigegeben war. Nachweis: Begehung Linie 3, Datum 2026-05-20." Der Objektive Nachweis schützt auch den Auditor: Im Streitfall ist der Befund substanziiert, nicht interpretativ.
Wie lange müssen Auditberichte nach ISO 13485 aufbewahrt werden?
ISO 13485 §4.2.5 schreibt für Qualitätsaufzeichnungen eine Aufbewahrungszeit vor, die mindestens der Lebens- bzw. Nutzungsdauer des Produkts entsprechen muss — mindestens jedoch zwei Jahre nach dem Datum der Freigabe des Medizinprodukts für die Lieferung (in der EU häufig mindestens 15 Jahre für implantierbare Produkte). Auditberichte sind Qualitätsaufzeichnungen des internen Auditprogramms nach §8.2.4 und unterliegen dieser Verpflichtung. In der Praxis empfiehlt sich eine Aufbewahrungszeit von mindestens zehn Jahren, da Benannte Stellen im Überwachungsaudit auf Auditberichte und CAPA-Nachweise aus mehreren Zyklen zurückgreifen. Alle Auditberichte müssen lesbar, identifizierbar und wiederauffindbar sein — eine Anforderung, die bei verteilten Laufwerken ohne Versionskontrolle regelmäßig zum Befundanlass wird.
Auditmanagement im QMS: Auditprogramm, 8 Phasen interner Audits und CAPA-Übergang — vollständiger Leitfaden →
Internes Audit · ISO 13485 §8.2.4 · Auditplanung · AuditfrequenzInternes Audit ISO 13485: §8.2.4, risikobasiertes Auditprogramm und die vier häufigsten Fallen →
Audit-Vorbereitung · Auditplan · Checkliste · Dokumenten-CheckAudit-Vorbereitung: Auditplan, Checkliste und Dokumenten-Check Schritt für Schritt →
CAPA · Korrekturmaßnahmen · ISO 13485 §8.5.2CAPA im QMS: Korrektur- und Vorbeugungsmaßnahmen — Prozess, Wirksamkeitsprüfung und Audit-Nachweis →
Lieferantenaudit · 2nd Party Audit · ISO 13485 §7.4Lieferantenaudit im QMS: Planung, Durchführung und Übergang zur Lieferantenbewertung →
Dokumentenlenkung · ISO 13485 §4.2 · VersionskontrolleDokumentenlenkung nach ISO 13485 §4.2: Revisionsstatus, Freigabe und Archivierung korrekt umsetzen →
Befund dokumentiert.
Normbezug eingetragen.
CAPA geöffnet.
Frist läuft. Wirksamkeit nachgewiesen.
Strukturierter Auditbericht mit digitalen Befundfeldern, Normbezug als Pflichtangabe, automatischem CAPA-Trigger aus Hauptabweichungen und vollständigem Frist-Tracking — QIMS führt den Auditbericht so, dass der nächste Auditor findet, was er erwarten darf: vollständige Dokumentation mit nachvollziehbarem Maßnahmen-Nachweis.
Entwickelt nach den Anforderungen aus ISO 13485 §8.2.4 und §8.5.2. Einsetzbar für Medizintechnik, Automotive und allgemeines QMS.