- Zielgruppe
- QM-Beauftragte, interne Auditoren und Qualitätsteams in Medizintechnik, Automotive und allgemeinem QMS
- Normgrundlage
- ISO 13485:2016 §8.2.4 · ISO 13485 §8.5.2 · ISO 19011:2018 §6.7 · IATF 16949:2016 §9.2.2
- Lesezeit
- ca. 9 Minuten
CAPA geschlossen.
Maßnahme umgesetzt.
Aber wirkt sie wirklich? Und wann kommt das Re-Audit?
Das Audit ist vorbei, der Bericht liegt vor, die CAPA ist geöffnet — aber das ist erst die Hälfte der Arbeit. Folgeaktivitäten entscheiden, ob Maßnahmen wirklich greifen oder beim nächsten Audit als Wiederholungsbefund auftauchen. Diese Seite zeigt, wie Wirksamkeitsprüfung substanziiert dokumentiert wird, welche Trigger ein Re-Audit auslösen — und wie Befundergebnisse systematisch ins Auditprogramm einfließen.
Das Audit endet — der Zyklus nicht
ISO 13485 §8.2.4 verlangt nicht nur, dass Audits geplant und durchgeführt werden — es verlangt, dass das Auditprogramm risikobasiert ist und die Ergebnisse früherer Audits berücksichtigt. Das bedeutet: Folgeaktivitäten sind kein Anhang des Auditprozesses, sondern seine letzte Phase. Wer Befunde dokumentiert, CAPAs öffnet und dann nichts mehr tut, hat einen Auditbericht — aber kein funktionierendes Auditmanagement-System.
Wirksamkeit ist kein Häkchen — sie ist ein Nachweis
§8.5.2c schreibt vor, dass die Wirksamkeit der ergriffenen Korrekturmaßnahmen bewertet wird. Das ist keine Formalie — die Benannte Stelle prüft im Überwachungsaudit, ob CAPA-Abschlüsse mit substanziiertem Wirksamkeitsnachweis versehen sind oder nur mit "erledigt" gestempelt wurden. Ein CAPA-Abschluss ohne Wirksamkeitsprüfung ist formal nicht §8.5.2c-konform. Wenn beim nächsten Audit derselbe Befund wieder auftaucht, ist die fehlende Wirksamkeitsprüfung der Beweis, dass das Problem nicht systematisch angegangen wurde.
Re-Audit: nicht Bestrafung, sondern Verifikation
Ein Re-Audit ist kein Misstrauensvotum — es ist die logische Konsequenz aus einem Major-Finding oder einem erkannten Systemmuster. Intern durchgeführt bevor die Benannte Stelle kommt, ist es Qualitätssicherung des eigenen Auditprogramms. Fehlt das Re-Audit nach einem dokumentierten Major-Finding ohne nachvollziehbaren Grund, wird das beim Zertifizierungsaudit als Lücke in der risikobasierten Auditprogramm-Steuerung bewertet.
Auditmanagement-Überblick
Die acht Phasen eines internen Audits — von Auditplanung (P1) bis Folgeaktivitäten und Re-Audit (P8) — mit risikobasierter Auditprogramm-Logik und vollständiger Normverankerung:
Auditmanagement im QMS — vollständiger Leitfaden →CAPA-Status je Befund überwachen — Fristablauf erkennen, Verantwortliche erinnern, Eskalation wenn keine Rückmeldung nach 70 % der Reaktionsfrist.
Kein systematisches Frist-Tracking — Reaktionsfrist läuft still ab. Beim nächsten Audit: offene Befunde ohne CAPA-Nachweis.
Nicht nur "CAPA erledigt" — prüfen ob die Grundursache tatsächlich behoben ist. Termin beim CAPA-Öffnen festlegen: typisch 3 Monate bei Major, 6 Monate bei Minor.
Wirksamkeit ohne Objektiven Nachweis dokumentiert — "geprüft, okay" reicht der Benannten Stelle nicht. §8.5.2c nicht erfüllbar.
Risikobasiert: Major-Finding → Re-Audit typisch 6 Monate nach CAPA-Abschluss. Wiederholungsbefund oder systematische Schwäche → kürzer. Neue Norm → zeitnah.
Re-Audit-Bedarf wird erkannt aber nicht terminiert — kein dokumentierter Entscheid. Beim Zertifizierungsaudit eigenständiger Befund.
Wiederholte Befunde im selben Bereich signalisieren Systemmuster — Auditfrequenz erhöhen, Scope des nächsten Audits anpassen.
Befundmuster werden nicht ausgewertet — Auditfrequenz bleibt gleich obwohl Bereich auffällig. Nächster Auditor findet dasselbe Problem.
Post-Audit-Review: Was hat die Vorbereitung nicht abgedeckt? Welche Checklisten werden ergänzt? Erkenntnisse schriftlich festhalten — ein Memo reicht.
Kein Post-Audit-Review — Lücken aus der Vorbereitung wiederholen sich im nächsten Zyklus. Kontinuierliche Verbesserung des Auditprogramms nicht nachweisbar.
Nach ISO 13485 §8.2.4: Auditprogramm unter Berücksichtigung der Befundergebnisse risikobasiert anpassen, freigeben und dokumentieren — vor Start des nächsten Zyklus.
Auditprogramm unverändert weitergeführt trotz Befunden — keine risikobasierte Anpassung nachweisbar. Benannte Stelle: Befund wegen fehlender §8.2.4-Konformität.
ISO 13485 §8.2.4 und §8.5.2 definieren die Pflichten — die Nachvollziehbarkeit der Umsetzung liegt beim Unternehmen. Ohne dokumentierte Folgeaktivitäten ist das Auditprogramm für die Benannte Stelle eine Planung ohne Wirkungsnachweis.
Ein Re-Audit ist kein Standardtermin im Kalender — es folgt einem Trigger. ISO 13485 §8.2.4 verlangt, dass das Auditprogramm die Ergebnisse früherer Audits berücksichtigt und Prozesse mit erhöhtem Risiko häufiger auditiert werden. Das Re-Audit ist die praktische Umsetzung dieser risikobasierten Logik: erkannter Trigger, bewertetes Risiko, dokumentierter Entscheid.
Hauptabweichung aus internem Audit oder Zertifizierungsaudit — CAPA-Pflicht, Wirksamkeitsprüfung und anschließendes Re-Audit des betroffenen Bereichs.
Re-Audit typisch 6 Monate nach CAPA-Abschluss und positiver Wirksamkeitsprüfung. Bei Hochstufung durch Benannte Stelle: 3 Monate.
Gleicher Befund wie im Vorjahresaudit — CAPA hat nicht nachhaltig gewirkt oder Grundursache wurde nicht behoben. Häufig Hochstufung zur Hauptabweichung.
Re-Audit innerhalb 3–6 Monate — kürzer als Standard. Auditfrequenz des Bereichs dauerhaft erhöhen.
Einzeln je Minor — zusammen ein Systemmuster. §8.2.4 verlangt risikobasierte Auditfrequenz: Häufung in einem Prozessbereich ist Risikoindikator.
Re-Audit innerhalb 6–12 Monate. Auditprogramm-Review: Scope für nächsten Zyklus erweitern.
Prozess funktioniert formal — aber Indikatoren zeigen strukturelles Problem: hohe Nacharbeitsquote, wiederkehrende Reklamationen, undokumentierte Abweichungen.
Re-Audit zeitnah nach Risikoidentifikation — nicht erst im regulären Jahrestakt. Scope gezielt auf den betroffenen Prozess.
Neue ISO-Revision, geänderter EU-MDR-Annex oder neue IATF-Clause — betroffene Prozesse re-auditieren um Implementierung zu verifikation.
Innerhalb der Übergangsfrist der Normänderung, spätestens vor dem nächsten Zertifizierungsaudit.
Re-Audit-Entscheid dokumentieren — Positiv-Beispiel
„Re-Audit Fertigungsprozess F-04 terminiert für 2026-11-15 — Grund: Major-Finding aus internem Audit 2026-05-20 (Befund AU-2026-007), CAPA CA-2026-041 positiv abgeschlossen 2026-08-12, Wirksamkeitsprüfung 2026-10-01. Re-Audit-Scope: Dokumentenlenkung und Prüfanweisungen Linie 3. Verantwortung: J. Berger (QM)."
Trigger · Referenz · Timing · Scope · VerantwortungRe-Audit ohne Entscheid — Negativ-Beispiel
„Re-Audit wird irgendwann nächstes Jahr gemacht."
Kein Trigger dokumentiert. Kein Termin. Kein Scope. Kein Verantwortlicher. Für die Benannte Stelle: Auditprogramm ohne risikobasierte Reaktion auf Befunde.
Kein Trigger · Kein Termin · Kein ScopeVom Auditbericht mit Major-Finding bis zum abgeschlossenen Re-Audit-Zyklus — alle sechs Stationen mit Inhalt und typischem Timing. Die Timeline zeigt den Idealfall: Maßnahme in Reaktionsfrist, Wirksamkeit substanziiert nachgewiesen, Re-Audit vor dem nächsten Zertifizierungsaudit abgeschlossen.
Auditbericht mit Major-Finding abgeschlossen
CAPA formal geöffnet, CAPA-Nummer im Auditbericht referenziert. Reaktionsfrist 90 Tage eingetragen, Verantwortlichkeit dokumentiert.
Ursachenanalyse abgeschlossen
Grundursache identifiziert und dokumentiert — Methode (5-Why, Ishikawa) festgehalten. Maßnahmenplan freigegeben, Umsetzungsverantwortung klar.
Maßnahme umgesetzt (Reaktionsfrist Major)
Maßnahme implementiert, dokumentiert und formal als "umgesetzt" in der CAPA-Akte vermerkt. Termin für Wirksamkeitsprüfung festgelegt: T+3 Monate.
Wirksamkeitsprüfung
Gezielter Check: Ist die Grundursache behoben? Stichprobe, Begehung oder Datenpunkt — mit Objektivem Nachweis dokumentiert. Ergebnis: wirksam oder CAPA-Akte bleibt offen.
Re-Audit des betroffenen Bereichs
Fokussiertes Re-Audit — nicht das gesamte QMS, nur der Bereich aus dem der Befund stammt. Ergebnis fließt in den Auditprogramm-Review ein.
Auditprogramm-Review
Jährlicher Review: Alle Befunde und Wirksamkeitsprüfungen des Zyklus auswerten. Auditfrequenzen anpassen, Scope für nächsten Zyklus freigeben.
Maßnahmen-Tracking im Auditbericht
Wie der Übergang vom Auditbefund zur CAPA im Auditbericht dokumentiert wird — Reaktionsfrist, CAPA-Referenz und Maßnahmen-Tracking von Befundkategorie bis formalem CAPA-Abschluss:
Auditbericht und Maßnahmen-Tracking →Das typische Folgeaktivitäten-Problem ist kein Informationsproblem — es ist ein Tracking-Problem. CAPA ist geöffnet, Maßnahme ist vereinbart, Termin ist notiert — aber in welchem System? Wer sieht, wenn die Frist in drei Wochen abläuft? Wer erinnert die Wirksamkeitsprüfung in sechs Monaten? Wer stellt sicher, dass das Re-Audit terminiert wurde und nicht in einem Kalender-Eintrag verloren geht, der nie zu einem Audit-Datensatz verknüpft war?
QIMS verwaltet Folgeaktivitäten im selben System wie den Auditbericht: Reaktionsfristen laufen systemseitig, Wirksamkeitsprüfungs-Termine werden beim CAPA-Öffnen gesetzt und erscheinen automatisch im Aufgaben-Dashboard. Re-Audit-Trigger werden dokumentiert, Entscheide freigegeben und Re-Audit-Termine mit Scope und Verantwortlichkeit im Auditprogramm verankert. Der Auditprogramm-Review am Jahresende hat alle Befundmuster des vergangenen Zyklus auf einem Blick — für risikobasierte Auditfrequenz-Entscheide ohne manuelle Auswertung über mehrere Systeme. Entwickelt nach den Anforderungen aus ISO 13485 §8.2.4 und §8.5.2.
Reaktionsfristen und Wirksamkeitsprüfungs-Termine laufen systemseitig — kein Fristablauf unbemerkt, kein Häkchen ohne Nachweis-Pflicht.
Trigger dokumentieren, Entscheid freigeben, Re-Audit terminieren — im selben System wie der Auditbericht, nicht im Kalender daneben.
Befundmuster aller Audits im Überblick — risikobasierte Auditfrequenz- Entscheide ohne manuelle Auswertung über mehrere Systeme.
Auditmanagement das den Re-Audit-Nachweis liefert
In einer 30-Minuten-Demo zeigen wir, wie QIMS Folgeaktivitäten strukturiert verwaltet — vom Frist-Tracking nach dem Audit bis zur dokumentierten Wirksamkeitsprüfung und terminiertem Re-Audit mit Scope und Verantwortlichkeit.
Wann muss nach einem internen Audit ein Re-Audit stattfinden?
ISO 13485 §8.2.4 schreibt kein fixes Re-Audit-Intervall vor — das Auditprogramm muss risikobasiert sein, und Re-Audits müssen aus dem Befundergebnis des vorangegangenen Audits abgeleitet werden. In der Praxis gelten folgende Richtwerte: Nach einer Hauptabweichung (Major Nonconformity) empfiehlt sich ein Re-Audit des betroffenen Bereichs typisch 6 Monate nach CAPA-Umsetzung und positiver Wirksamkeitsprüfung — um sicherzustellen, dass die Maßnahme nachhaltig trägt. Bei einem Wiederholungsbefund (gleicher Befund aus Vorjahresaudit) verkürzt sich das Intervall auf 3–6 Monate: Das Systemmuster ist erkannt, die Lösung hat bisher nicht gehalten. Bei mehreren Nebenabweichungen im selben Prozessbereich — die zusammen ein Systemmuster andeuten — ist ein Re-Audit innerhalb von 6–12 Monaten sinnvoll. Bei neu eingeführten oder geänderten Normanforderungen (z. B. neue ISO-Revision, geänderter EU-MDR-Annex) sollte der betroffene Prozessbereich zeitnah re-auditiert werden, um sicherzustellen, dass die Anpassungen korrekt implementiert sind. Für Benannte Stellen und Registrierungsauditoren ist relevant: Wird das Re-Audit-Bedürfnis erkannt, terminiert und dokumentiert — oder wurde es ignoriert? Fehlende Re-Audit-Terminierung bei bekanntem Major-Finding ist ein eigenständiger Befund.
Was ist eine Wirksamkeitsprüfung und wie wird sie dokumentiert?
Die Wirksamkeitsprüfung (Effectiveness Check) nach ISO 13485 §8.5.2c stellt sicher, dass eine CAPA nicht nur durchgeführt, sondern auch wirksam war — dass die Grundursache tatsächlich behoben ist und das Problem nicht erneut auftritt. Sie ist kein formales Re-Audit, sondern eine gezielte Überprüfung: War die Maßnahme geeignet, die festgestellte Ursache nachhaltig zu beseitigen? Methodisch kann das durch Stichproben-Check (z. B. Stichprobe von fünf Dokumenten im betroffenen Prozess, Protokolleinsicht), durch Begehung des auditierten Bereichs oder durch Überprüfung eines Datenpunkts (Fehlerrate, Reklamationsquote, KPI) erfolgen. Dokumentiert wird die Wirksamkeitsprüfung mit: Prüfdatum, geprüfter Methode, Objektivem Nachweis der Prüfung (was wurde geprüft, wie, mit welchem Ergebnis) und einer klaren Aussage: wirksam oder nicht wirksam. Wenn nicht wirksam: CAPA-Akte bleibt offen, neue Ursachenanalyse und Maßnahmenplanung sind erforderlich. Typischer Fehler: "Wirksamkeit geprüft — okay" als einzige Dokumentation. Das ist keine substanziierte Wirksamkeitsprüfung — die Benannte Stelle sieht keinen Nachweis, sondern eine Aussage ohne Grundlage.
Wie oft muss das Auditprogramm nach ISO 13485 überprüft werden?
ISO 13485 §8.2.4 schreibt vor, dass das Auditprogramm unter Berücksichtigung des Status und der Bedeutung der Prozesse und Bereiche sowie der Ergebnisse früherer Audits geplant wird. Das bedeutet: Das Auditprogramm ist kein statisches Dokument das einmal im Jahr unverändert weiterläuft — es muss die Ergebnisse des vergangenen Audit-Zyklus aktiv einarbeiten. In der Praxis empfiehlt sich ein formaler Auditprogramm-Review einmal jährlich, typisch nach Abschluss des letzten Audits im Zyklus und vor Freigabe des nächsten: Welche Prozesse haben Befunde gezeigt? Welche Bereiche sind im Laufe des Jahres risikoerhöhend verändert worden (neue Produkte, neue Fertigungslinien, neue Lieferanten)? Welche Auditfrequenzen müssen angehoben werden — und welche Bereiche ohne Befunde können im Zyklus-Rhythmus bleiben? Der Auditprogramm-Review muss dokumentiert und freigegeben werden: Wer hat das Auditprogramm geprüft, was wurde geändert, wann tritt der neue Zyklus in Kraft. Fehlt der Nachweis: Befund durch die Benannte Stelle, da keine risikobasierte Anpassung nachvollziehbar ist.
Was bedeutet ein Wiederholungsbefund beim Zertifizierungsaudit?
Ein Wiederholungsbefund (Repeat Finding) liegt vor, wenn beim Zertifizierungs- oder Überwachungsaudit derselbe Befund festgestellt wird, der bereits im Vorjahresaudit dokumentiert war — mit oder ohne formale CAPA. Für die Benannte Stelle ist ein Wiederholungsbefund ein ernstes Signal: Die Systemmaßnahme hat nicht gegriffen, die Ursache wurde nicht behoben, oder die Wirksamkeit wurde nicht nachgewiesen. Wiederholungsbefunde werden häufig hochgestuft — aus einer Nebenabweichung wird eine Hauptabweichung, aus einer Beobachtung eine Nebenabweichung. Das hat direkte Konsequenzen für die Zertifizierungsentscheidung: Eine hochgestufte Hauptabweichung bei einem Überwachungsaudit kann zur Einleitung eines Sonderaudits oder zur bedingten Zertifikatsverlängerung führen. Wie man Wiederholungsbefunde verhindert: Wirksamkeitsprüfung substanziiert dokumentieren — nicht nur "CAPA geschlossen", sondern mit Objektivem Nachweis dass die Grundursache behoben ist. Re-Audit des betroffenen Bereichs intern durchführen, bevor die Benannte Stelle es tut. Auditprogramm-Review: Befundmuster erkennen und Auditfrequenz für betroffene Bereiche erhöhen.
Wie fließen Lessons Learned aus einem Audit ins Auditprogramm ein?
Lessons Learned aus einem Audit sind die Erkenntnisse, die jenseits der einzelnen Befunde für das gesamte Auditprogramm relevant sind: Was hat die Vorbereitung nicht abgedeckt? Welche Checklisten-Lücken wurden erst durch den Befund sichtbar? Welche Prozesse sind risikoreicher als eingeschätzt? In der Praxis geschieht das in drei Schritten: Erstens, eine interne Nachbesprechung (Post-Audit-Review) kurz nach Auditabschluss — Auditor und QM-Beauftragter besprechen nicht nur Befunde, sondern auch: Was hat das Audit gelehrt, was war unerwartet, was fehlt in der Vorbereitung? Zweitens, Dokumentation der Lessons Learned in einem kurzen Memo (kein Roman — eine Seite reicht) mit konkreten Anpassungsvorschlägen für das nächste Audit. Drittens, Einarbeitung in den Auditprogramm-Review: Geänderte Checklisten, angepasste Auditfrequenzen, ergänzte Auditkriterien werden beim nächsten Zyklus-Start dokumentiert freigegeben. ISO 13485 §8.2.4 verlangt das nicht explizit als "Lessons Learned" — aber die risikobasierte Anpassung des Auditprogramms ist ohne systematische Auswertung der Befundergebnisse nicht nachvollziehbar. Die Benannte Stelle fragt: Wie hat das Auditprogramm auf die Befunde reagiert?
Auditmanagement im QMS: Auditprogramm, 8 Phasen interner Audits und CAPA-Übergang — vollständiger Leitfaden →
Internes Audit · ISO 13485 §8.2.4 · Auditplanung · AuditfrequenzInternes Audit ISO 13485: §8.2.4, risikobasiertes Auditprogramm und die vier häufigsten Fallen →
Audit-Vorbereitung · Auditplan · Checkliste · Dokumenten-CheckAudit-Vorbereitung: Auditplan, Checkliste und Dokumenten-Check Schritt für Schritt →
Auditbericht · Befundkategorien · CAPA-Übergang · Maßnahmen-TrackingAuditbericht erstellen ISO 13485: Pflichtinhalte, Befundkategorien und CAPA-Übergang →
CAPA · Korrekturmaßnahmen · ISO 13485 §8.5.2CAPA im QMS: Korrektur- und Vorbeugungsmaßnahmen — Prozess, Wirksamkeitsprüfung und Audit-Nachweis →
Risikomanagement · ISO 14971 · Risikobasiert · AuditfrequenzRisikomanagement im QMS: ISO 14971, risikobasierte Auditfrequenz und CAPA-Verbindung →
Befund dokumentiert.
CAPA umgesetzt.
Wirksamkeit nachgewiesen.
Re-Audit terminiert. Zyklus geschlossen.
Strukturiertes Folgeaktivitäten-Management mit systemseitigem Frist-Tracking, dokumentierter Wirksamkeitsprüfung und risikobasierter Re-Audit-Steuerung — QIMS schließt den Auditmanagement-Zyklus so, dass der nächste Auditor findet, was er erwarten darf: vollständige Dokumentation, keine offenen Befunde ohne CAPA-Nachweis, keine Wirksamkeitsprüfung ohne Objektiven Nachweis.
Entwickelt nach den Anforderungen aus ISO 13485 §8.2.4 und §8.5.2. Einsetzbar für Medizintechnik, Automotive und allgemeines QMS.