- Zielgruppe
- QM-Beauftragte, Auditprogramm-Verantwortliche und Qualitätsteams in Medizintechnik, Automotive und allgemeinem QMS
- Normgrundlage
- ISO 13485:2016 §8.2.4 · ISO 19011:2018 · IATF 16949:2016 §9.2.2 · ISO 9001:2015 §9.2
- Lesezeit
- ca. 8 Minuten
Auditbericht liegt vor.
Checkliste ausgefüllt.
Benannte Stelle fragt: Wo ist das dokumentierte Auditprogramm?
ISO 13485 §8.2.4 verlangt kein spezifisches Format — aber ein dokumentiertes Auditprogramm mit Scope, Kriterien, Frequenz und risikobasierter Priorisierung. Wer nur Einzelberichte hat, ohne übergreifendes Programm, hat bei der Benannten Stelle eine offene Flanke. Diese Seite erklärt, was §8.2.4 wirklich fordert, wie ein risikobasiertes Auditprogramm aufgebaut wird und welche vier Fallen regelmäßig zu Befunden führen.
Ein dokumentiertes Auditprogramm — kein Format vorgeschrieben
ISO 13485 §8.2.4 schreibt kein bestimmtes Auditformat vor. Was die Norm fordert: ein dokumentiertes Auditprogramm, das Scope, Kriterien, Frequenz und Verantwortung festlegt — und das alle Prozesse und Bereiche des QMS im Turnus abdeckt. Ein Auditbericht pro Einzelaudit ist nicht dasselbe wie ein Auditprogramm. Das Programm ist die übergeordnete Planung; der Bericht ist der Nachweis der Durchführung. Wer nur Berichte hat, zeigt der Benannten Stelle, dass die Audits stattgefunden haben — nicht, dass sie planvoll und vollständig waren.
Risikobasierte Priorisierung — keine gleichmäßige Verteilung
§8.2.4 verlangt ausdrücklich, dass die Häufigkeit der Audits von der Wichtigkeit der Prozesse und den Ergebnissen früherer Audits abhängt. Das bedeutet: Ein Prozess mit häufigen Abweichungen oder kritischem Produktbezug muss häufiger geprüft werden als ein administrativer Prozess mit sauberer Abweichungshistorie. Ein Auditprogramm, das alle Prozesse jährlich mit gleicher Frequenz vorsieht — unabhängig von Risiko und Abweichungshistorie — erfüllt diese Anforderung formal nicht. Die Risikopriorisierung muss im Programm dokumentiert und nachvollziehbar begründet sein.
Objektive und unparteiische Auditoren
§8.2.4 fordert, dass Auditoren keine eigenen Tätigkeiten prüfen. Die Unabhängigkeit muss dokumentiert sein — nicht nur behauptet. Die Rolle des Auditors im auditierten Bereich muss im Auditbericht oder Auditprogramm erkennbar und ausgeschlossen sein. Mitarbeiter, die gelegentlich in einem Bereich einspringen und diesen Bereich auditieren — selbst wenn sie primär woanders tätig sind — sind formal nicht unabhängig. Der Nachweis der Auditor-Qualifikation nach ISO 19011 gehört in die Qualitätsaufzeichnung.
Auditmanagement-Überblick
Die acht Phasen eines internen Audits — von Auditplanung (P1) bis Follow-up und CAPA (P8) — mit risikobasierter Auditprogramm-Logik und vollständiger Normverankerung:
Auditmanagement im QMS — vollständiger Leitfaden →Alle QMS-Elemente im Turnus — risikobasiert priorisiert. Kein Prozess dauerhaft ungeprüft.
Nicht alle §8.2.4-relevanten Prozesse abgedeckt — administrative Prozesse fehlen im Jahresplan.
Risikobasiert: kritische Prozesse (Produktion, Reklamation, CAPA) häufiger als administrative Bereiche.
Alle Prozesse jährlich, unabhängig von Abweichungshistorie und Risikoklasse.
Unabhängig vom auditierten Prozess, Qualifikationsnachweis in der Akte dokumentiert.
Mitarbeiter audiert eigenen Bereich ohne Nachweis der Unabhängigkeit — oder ohne Qualifikationsbeleg.
Normanforderungen (ISO 13485 §8.2.4) plus interne Vorgaben: SOPs, Verfahrensanweisungen, Arbeitsanweisungen.
Nur Normanforderungen als Kriterium — interne Prozessvorgaben fehlen als Prüfmaßstab.
Auditplan, Auditbericht und CAPA-Nachweis — alle drei als Qualitätsaufzeichnung vollständig archiviert.
Auditbericht ohne Objektiven Nachweis: Befund nicht substanziierbar, Befundkategorie fehlt.
ISO 13485 §8.2.4 schreibt kein Format vor — alle fünf Elemente müssen inhaltlich abgedeckt sein, nicht in einem bestimmten Dokument. Ein Auditprogramm-Excel, ein QMS-Eintrag oder eine strukturierte Verfahrensanweisung sind alle valide — wenn sie vollständig und nachvollziehbar sind.
Auditfrequenz — wie oft ist „mindestens jährlich"?
ISO 13485 §8.2.4 nennt keine feste Mindestfrequenz. Die Formulierung „geplantes Auditprogramm" zusammen mit der risikobasierten Priorisierung ergibt in der Praxis typischerweise folgende Staffelung:
Produktion, Reklamationsmanagement, CAPA, Sterilisation, Rückverfolgbarkeit — typisch 1–2× jährlich oder anlassbezogen nach Abweichungen.
Kalibrierung, Lieferantenmanagement, Schulung, Dokumentenlenkung — jährlicher Turnus ausreichend bei sauberer Abweichungshistorie.
Administrative Prozesse ohne direkten Produktbezug — 18 bis 24 Monate möglich, wenn Risikopriorisierung dokumentiert begründet ist.
Kein QMS-Element darf dauerhaft ungeprüft bleiben. Die Benannte Stelle prüft, ob das Programm alle Elemente des QMS im Turnus abdeckt — nicht ob eine bestimmte Frequenz eingehalten wurde.
Auditor-Qualifikation — ISO 13485 vs. ISO 19011
ISO 13485 §8.2.4 fordert unparteiische und objektive Auditoren. Eine formale Zertifizierung ist nicht vorgeschrieben — aber der Nachweis der Kompetenz muss dokumentiert sein. ISO 19011 gibt als Leitlinie vier Kompetenzbereiche vor:
Normkenntnis: Der Auditor versteht die Anforderungen der auditierten Norm — nicht nur den Wortlaut, sondern die Praxisinterpretation für den jeweiligen Prozess.
Prozesskenntnisse: Verständnis des auditierten Prozesses — was wird dort getan, welche Abweichungsrisiken gibt es, wo entstehen typischerweise Befunde?
Auditierungskompetenz: Fragetechnik, Befundformulierung, Objektiven Nachweis erheben — nicht „gesehen" sondern „Dokumentennummer und Datum als Nachweis".
Nachweis der Qualifikation: Schulungsunterlage, Teilnahme-Bestätigung oder Beobachteraudit-Protokoll — alles schriftlich in der Personalakte oder Qualitätsaufzeichnung.
Audit-Checkliste nach ISO 13485
Welche Fragen ein internes Audit nach ISO 13485 §8.2.4 systematisch abdecken muss — strukturiert nach Prozessbereichen, mit Normbezug und Audit-Fallen je Kategorie:
Audit-Checkliste ISO 13485 — normbezogene Fragekategorien →Ein Auditbericht pro Einzelaudit reicht nicht aus. ISO 13485 §8.2.4 fordert ein übergreifendes Auditprogramm, das zeigt, welche Prozesse in welchem Turnus geprüft wurden. Die Benannte Stelle prüft das Programm — nicht nur einzelne Berichte.
Alle Prozesse jährlich, unabhängig von Bedeutung und Abweichungshistorie. ISO 13485 §8.2.4 verlangt ausdrücklich, dass Ergebnisse früherer Audits und die Wichtigkeit der Prozesse berücksichtigt werden. Ein Programm ohne Risikopriorisierung ist formal mangelhaft.
Der interne Auditor darf keine eigenen Prozesse prüfen — aber der Nachweis muss dokumentiert sein. Im Auditbericht muss die Rolle des Auditors im auditierten Bereich erkennbar und nachweislich ausgeschlossen sein. Eine mündliche Aussage reicht nicht.
Hauptabweichungen erfordern CAPA — und die CAPA-Referenz gehört in den Auditbericht. Fehlt sie, kann die Benannte Stelle nicht nachvollziehen, ob der Befund systematisch bearbeitet wurde. Ein formal geschlossener Bericht ohne CAPA-Nachweis ist ein inhaltlich offener Befund.
Nicht jeder Auditbefund löst eine CAPA aus — aber die Unterscheidung muss im Auditbericht erkennbar dokumentiert sein. ISO 13485 §8.5.2 verlangt Korrekturmaßnahmen für alle Ursachen von Nichtkonformitäten. Die drei Befundkategorien und ihre CAPA-Logik:
CAPA-Pflicht — kein Ermessen. CAPA-Referenz gehört in den Auditbericht.
Typisch 3 Monate
CAPA bei systemartigem Muster oder Wiederholung. Sonst Korrekturmaßnahme ausreichend.
Typisch 6 Monate
Keine CAPA-Pflicht. Dokumentation sinnvoll, Trendauswertung bei Häufung empfohlen.
Kein Frist-Standard
Reklamation und CAPA
Wie Reklamationen CAPAs auslösen und wie der Übergang korrekt dokumentiert wird:
Reklamation → CAPA →CAPA im QMS
CAPA-Prozess vollständig: Ursachenanalyse, Wirksamkeitsprüfung und Audit-Nachweis:
CAPA im QMS →Das häufigste Auditprogramm-Problem ist kein Methodenfehler — es ist ein Sichtbarkeitsproblem. Das Auditprogramm liegt in einer Excel-Datei auf einem Laufwerk. Wer auditiert hat, steht in der Tabelle. Ob alle Prozesse im Turnus abgedeckt sind, sieht man erst, wenn man die Tabelle mit dem QMS-Prozessregister abgleicht — also nicht vor dem Zertifizierungsaudit. Und ob aus Hauptabweichungen CAPA-Einträge geöffnet wurden, steht in einer anderen Datei.
QIMS führt das Auditprogramm als digitalen Jahreskalender: alle QMS-Prozesse im Überblick, Turnus-Status je Prozess auf einen Blick, risikobasierte Priorisierung dokumentiert und auditierbar. Auditberichte entstehen direkt im System — mit Normbezug, Befundkategorie und automatischem CAPA-Trigger bei Hauptabweichungen. Follow-up-Fristen werden als Wiedervorlage geführt, Wirksamkeitsprüfung dokumentiert im CAPA-Eintrag. Entwickelt nach den Anforderungen aus ISO 13485 §8.2.4.
Jahresplanung mit Prozessregister — welcher Prozess wann geprüft wird, Turnus-Status auf einen Blick, risikobasierte Frequenz dokumentiert.
Normbasierte Audit-Fragen je Prozessbereich — kein Copy-Paste aus dem Vorjahr, Scope-Änderungen und neue Anforderungen direkt in der Checklistenvorlage.
Hauptabweichung im Auditbericht öffnet automatisch einen CAPA-Eintrag — mit Frist, Verantwortung und Wirksamkeitsprüfungs-Trigger.
Auditprogramm das beim Zertifizierungsaudit standhält
In einer 30-Minuten-Demo zeigen wir, wie QIMS das Auditprogramm digital führt — mit risikobasiertem Jahreskalender, normbezogenen Checklisten und automatischem CAPA-Trigger. Kein Excel, das auf einem Laufwerk liegt.
Wie oft muss ich nach ISO 13485 interne Audits durchführen?
ISO 13485 §8.2.4 schreibt keine feste Frequenz vor — nur, dass alle Prozesse des QMS in einem geplanten Turnus geprüft werden müssen. Die Häufigkeit muss risikobasiert festgelegt sein: Prozesse mit häufigen Abweichungen, hohem Risikopotenzial oder kritischem Produktbezug sind häufiger zu auditieren als administrative Prozesse. In der Praxis bedeutet das: kritische Prozesse wie Produktion, Reklamationsmanagement und CAPA typischerweise jährlich oder häufiger; administrative Prozesse wie Schulungsmanagement oder Dokumentenlenkung können je nach Abweichungshistorie auch im 18- bis 24-Monats-Turnus geprüft werden. Entscheidend ist nicht die Frequenz allein — sondern dass das Auditprogramm die Risikopriorisierung dokumentiert und kein QMS-Element dauerhaft ungeprüft bleibt.
Muss der interne Auditor eine besondere Qualifikation haben?
ISO 13485 §8.2.4 fordert, dass Auditoren unparteiisch und objektiv sind — sie dürfen keine eigenen Arbeitsprozesse auditieren. Eine formale Zertifizierung als interner Auditor ist normativ nicht vorgeschrieben, aber die ISO 19011 (Leitlinien für das Auditieren von Managementsystemen) gibt Kompetenzkriterien vor, die als Best Practice gelten: Kenntnisse der auditierten Norm (ISO 13485), Verständnis des auditierten Prozesses und Auditierungskompetenz in Fragetechnik sowie Befundformulierung. In der Praxis erwarten Benannte Stellen und IATF-Zertifizierungsstellen einen dokumentierten Nachweis der Auditor-Qualifikation — sei es durch interne Schulungsunterlagen, externe Auditorenausbildung oder nachgewiesene Teilnahme an Beobachteraudits.
Was ist der Unterschied zwischen einem internen Audit und einem Zertifizierungsaudit?
Ein internes Audit (1st-Party-Audit) wird vom Unternehmen selbst durchgeführt — mit qualifizierten Auditoren, die nicht den auditierten Prozess verantworten. Ziel ist die Selbstbewertung des QMS: Entsprechen die eigenen Prozesse den Normanforderungen und internen Vorgaben? Ein Zertifizierungsaudit (3rd-Party-Audit) wird von einer akkreditierten Zertifizierungsstelle durchgeführt — für ISO 13485 typischerweise eine Benannte Stelle oder ein DAkkS-akkreditiertes Zertifizierungsunternehmen. Der Zertifizierungsauditor prüft nicht nur einzelne Prozesse — er prüft ob das Auditprogramm vollständig und risikobasiert ist, ob alle Befunde mit CAPA-Nachweis geschlossen wurden und ob die internen Audits wirklich alle QMS-Elemente im Turnus abgedeckt haben.
Welche Befundkategorien gibt es und was bedeuten Haupt- vs. Nebenabweichung?
Auditbefunde werden in drei Kategorien eingeteilt: Eine Hauptabweichung (Major Nonconformity) ist ein wesentlicher Fehler des QMS — die Normanforderung ist nicht erfüllt, das System versagt in einem kritischen Punkt. Reaktionsfrist typisch drei Monate, CAPA-Pflicht. Eine Nebenabweichung (Minor Nonconformity) ist eine teilweise Nichterfüllung — die Anforderung ist grundsätzlich umgesetzt, aber mit dokumentierten Lücken. Reaktionsfrist typisch sechs Monate, CAPA oder Korrekturmaßnahme. Eine Beobachtung (Observation) ist kein Normstoß, aber ein Hinweis auf ein potenzielles Problem — keine CAPA-Pflicht, aber Dokumentation sinnvoll. Wichtig: Die Befundkategorie muss im Auditbericht angegeben sein. Fehlt sie, ist die Reaktionspflicht unklar und die Benannte Stelle wird nachhaken.
Wann muss aus einem Auditbefund eine CAPA werden?
ISO 13485 §8.5.2 verlangt, dass Ursachen von Nichtkonformitäten analysiert und Korrekturmaßnahmen getroffen werden. Aus Befunden der Kategorie Hauptabweichung entsteht CAPA-Pflicht ohne Ermessen. Bei Nebenabweichungen reicht eine Korrektur, wenn es sich um einen isolierten Einzelfall handelt — eine CAPA ist notwendig, wenn die Ursache systemartig ist oder dieselbe Abweichung bereits früher festgestellt wurde. Beobachtungen lösen keine CAPA-Pflicht aus, aber eine Trendanalyse über mehrere Beobachtungen kann CAPA-Bedarf signalisieren. Die CAPA-Referenz (CAPA-Nummer und Öffnungsdatum) gehört in den Auditbericht — so kann die Benannte Stelle den Nachweis direkt aus der Auditakte nachverfolgen.
Auditmanagement im QMS: Auditprogramm, 8 Phasen interner Audits und CAPA-Übergang — vollständiger Leitfaden →
Auditprogramm · Jahresplanung · Risikobasierte AuditplanungAuditprogramm QMS: Risikobasierte Jahresplanung, Turnus-Steuerung und Nachweis für die Benannte Stelle →
Lieferantenaudit · 2nd Party Audit · ISO 13485 §7.4Lieferantenaudit im QMS: Planung, Durchführung und Übergang zur Lieferantenbewertung →
8D-Report · Reklamationsmanagement · D0–D8 Schritte8D-Report vollständig erklärt: D0 bis D8 mit Praxisbeispielen und häufigen Audit-Fallen →
Reklamation · CAPA · Übergang · WirksamkeitsprüfungReklamation und CAPA: Wann öffnet eine Reklamation eine CAPA — und wie dokumentiert man den Übergang →
CAPA · Korrekturmaßnahmen · ISO 13485 §8.5.2CAPA im QMS: Korrektur- und Vorbeugungsmaßnahmen — Prozess, Wirksamkeitsprüfung und Audit-Nachweis →
Auditprogramm aufgebaut.
Alle Prozesse im Turnus.
Befunde mit CAPA-Nachweis.
Benannte Stelle findet nichts mehr.
Digitales Auditprogramm mit risikobasiertem Jahreskalender, normbezogenen Checklisten und automatischem CAPA-Trigger bei Hauptabweichungen — QIMS führt den Audit-Prozess so, dass das Auditprogramm für die Benannte Stelle jederzeit vollständig und nachvollziehbar ist.
Entwickelt nach den Anforderungen aus ISO 13485 §8.2.4. Einsetzbar für Medizintechnik, Automotive und allgemeines QMS.