- Zielgruppe
- QM-Beauftragter, QM-Leiterin, interne Auditoren — 15–250 MA
- Norm
- ISO 13485 §8.2.4 · §8.5.2 · §5.6.2
- Lesezeit
- ca. 11 Minuten
Geplant.
Durchgeführt.
Nicht
nachverfolgt.
Das Audit-Programm existiert, der Bericht ist freigegeben — aber was passiert mit den Findings? §8.2.4 verlangt nicht nur die Durchführung interner Audits, sondern das Schließen des Kreises: Korrekturmaßnahmen mit Fristen, Wirksamkeitsprüfung im Folgeaudit, Eingang ins Management-Review. Vier Szenarien zeigen, wo interne Audit-Systeme in kleinen Medizintechnik-Betrieben systematisch an Wirkung verlieren.
ISO 13485 §8.2.4 ist kurz formuliert — die operative Konsequenz ist weitreichend. Die Norm verlangt ein geplantes Audit-Programm, das alle QMS-relevanten Prozesse über einen definierten Zeitraum abdeckt, risikobasiert priorisiert und auf den Ergebnissen vorheriger Audits aufbaut. Dazu kommen Anforderungen an Auditor-Qualifikation und Unabhängigkeit, einen schriftlichen Audit-Plan vor dem Termin, einen Bericht mit Korrekturmaßnahmen und Fristen sowie eine Folgeauditierung, die Wirksamkeit verifiziert — nicht nur Umsetzung.
In kleinen und mittleren Betrieben existiert das interne Audit-System oft in Fragmenten: Das Programm läuft nach Kalender statt nach Risiko. Der einzige qualifizierte Auditor ist auch Prozesseigner der auditierten Bereiche. Befunde landen im Bericht — aber nicht in verbindlichen CAPA-Tickets. Das Folgeaudit prüft, ob Maßnahmen abgezeichnet wurden, nicht ob das Problem gelöst ist. Die Verbindung zum Management-Review fehlt.
§8.2.4 koppelt den Audit-Prozess explizit an den Korrekturmaßnahmen-Prozess — und dessen Ergebnisse explizit an das Management-Review. Ein internes Audit-System, das keine operativen Konsequenzen zieht, erfüllt die Norm formell und verfehlt sie inhaltlich.
Vier Muster aus der Audit-Praxis zeigen, wo interne Audits regelmäßig an Wirkung verlieren — und warum der häufigste Fehler nicht das Fehlen von Prozessen ist, sondern das Fehlen der Verbindungen zwischen ihnen.
Jährlicher Auditplan: alle Prozesse, gleiche Frequenz, gleiche Tiefe.
Ein Hersteller auditiert zwölf Prozesse einmal pro Jahr — Dokumentenlenkung, Einkauf, Fertigung, Sterilisation, Risikomanagement, Post-Market Surveillance. Alle bekommen denselben Termin, denselben Zeitrahmen, denselben Fragenkatalog. Was fehlt: die risikobasierte Differenzierung, die §8.2.4 verlangt. Die Norm fordert, dass das Audit-Programm den Status und die Bedeutung der zu prüfenden Prozesse berücksichtigt — und die Ergebnisse vorheriger Audits. Ein steriler Fertigungsprozess mit letztem Abweichungsbefund und ein administrativer Prozess ohne History-Eintrag brauchen strukturell verschiedene Auditfrequenz und -tiefe. Wer das nicht differenziert, verschwendet Audit-Kapazität in risikoarmen Bereichen und übersieht, dass hochriskante Prozesse seit Jahren unter der Wahrnehmungsschwelle operieren.
QM-Beauftragter führt das Audit im eigenen QM-Bereich durch. Befund: keine Abweichungen.
§8.2.4 verlangt explizit, dass Auditoren nicht ihre eigene Arbeit auditieren. Das Unabhängigkeitsprinzip gilt nicht als Empfehlung — es ist normative Anforderung. In kleinen Betrieben mit einem oder zwei internen Auditoren entsteht hier ein strukturelles Problem: Der einzige qualifizierte Auditor ist oft auch Prozesseigner der auditierten Bereiche. Die Lösung, die §8.2.4 fordert: Der Auditor wird für Bereiche eingesetzt, für die er keine operative Verantwortung trägt. Falls das intern nicht realisierbar ist, muss ein externer Auditor hinzugezogen werden — oder es werden interne Auditoren aus anderen Bereichen kreuzmäßig eingesetzt, auch wenn sie dafür qualifiziert werden müssen. Ein Audit-Bericht, der "keine Abweichungen" in einem Bereich ausweist, den der Auditor täglich selbst verantwortet, hat im nächsten externen Audit ein Problem — und zwar unabhängig davon, ob die Aussage inhaltlich stimmt.
Bericht freigegeben. Findings dokumentiert. Verantwortlichkeit: offen. Frist: keine.
§8.2.4 verlangt, dass Ergebnisse des Audits dem verantwortlichen Management des auditierten Bereichs ohne unangemessene Verzögerung mitgeteilt werden — und dass "angemessene Korrekturmaßnahmen ohne unangemessene Verzögerung" eingeleitet werden. In der Praxis sieht das häufig so aus: Der Audit-Bericht enthält die Findings, nennt Verantwortlichkeiten allgemein ("Bereichsleitung Fertigung") und setzt keine Fristen. Neun Monate später findet das Folgeaudit statt — und dieselben Findings stehen wieder offen, diesmal als Wiederholungsbefunde. Ein Finding ohne definierten Verantwortlichen, ohne Frist und ohne Eskalationsregel ist kein dokumentiertes Finding — es ist eine unverbindliche Notiz. §8.2.4 koppelt den Audit-Prozess explizit an den CAPA-Prozess: Korrekturmaßnahmen müssen initiiert, verfolgt und auf Wirksamkeit überprüft werden.
Korrekturmaßnahmen dokumentiert und freigegeben. Ob sie gewirkt haben: unbekannt.
Das Folgeaudit findet statt. Der Auditor prüft, ob die Korrekturmaßnahmen aus dem Vorjahr umgesetzt wurden — Haken gesetzt, Formular abgelegt. Was nicht geprüft wird: ob die Maßnahmen tatsächlich gewirkt haben. Eine Korrekturmaßnahme "Schulung aller Mitarbeiter zu SOPs" kann durchgeführt worden sein — und dieselbe SOP-Abweichung kann trotzdem weiter auftreten, weil die Ursache in der SOP-Formulierung lag, nicht im Wissensstand. §8.2.4 verlangt die Verifizierung der durchgeführten Maßnahmen und die Berichterstattung über die Verifizierungsergebnisse. Das ist kein bürokratischer Zusatzschritt — es ist der einzige Weg festzustellen, ob das interne Audit-System tatsächlich zur Qualitätsverbesserung beiträgt oder nur Compliance-Dokumentation erzeugt.
Alle vier Szenarien haben einen gemeinsamen Kern: Das interne Audit-System existiert — aber die Verbindungen zwischen den einzelnen Elementen fehlen. Das Programm informiert nicht den Plan. Der Bericht informiert nicht die CAPA. Das Folgeaudit verifiziert nicht die Wirksamkeit. Das Audit-Ergebnis informiert nicht das Management-Review. Der Auditor findet die Lücken — und das sind dann keine Einzel-Findings, sondern ein systemisches Finding.
§8.2.4 liest sich als einzelne Norm-Anforderung — enthält aber sechs operative Elemente, die zusammen ein funktionierendes internes Audit-System ergeben. Jedes Element hat eigene Anforderungen an Dokumentation, Verantwortlichkeit und Verbindung zu den anderen. Wer eines dieser Elemente formell erfüllt, aber ohne operative Verknüpfung betreibt, hat ein System auf dem Papier — und eine Lücke im nächsten Audit.
Das Audit-Programm ist die jahres- oder mehrjährige Gesamtplanung aller internen Audits. Es legt fest, welche Prozesse mit welcher Frequenz auditiert werden — risikobasiert differenziert nach Prozessbedeutung, Ergebnissen vorheriger Audits und regulatorischer Relevanz. Das Programm muss dokumentiert, freigegeben und regelmäßig aktualisiert werden.
Gleiche Frequenz für alle Prozesse · kein Bezug auf Vorjahresergebnisse · fehlende Risikogewichtung
Der Audit-Plan ist die einzelaudit-spezifische Vorgabe: Scope, Kriterien, Methode, Zeitrahmen, beteiligte Auditoren. Er wird vor dem Audit erstellt, dem auditierten Bereich kommuniziert und nach Abschluss archiviert. Der Plan definiert auch, welche Dokumente als Audit-Kriterien gelten — SOPs, Normanforderungen, regulatorische Vorgaben.
Kein schriftlicher Plan vor dem Audit · fehlende Kriterienreferenz · Scope nicht abgegrenzt
Auditoren müssen qualifiziert und unabhängig sein. Qualifikation umfasst Kenntnisse der Norm, des auditierten Prozesses und der Audit-Methodik. Unabhängigkeit bedeutet: kein direkter operativer Einfluss auf den auditierten Bereich. Beide Anforderungen müssen dokumentiert sein — wer qualifiziert hat, was geprüft wurde, wie die Unabhängigkeit sichergestellt ist.
Kein Qualifikationsnachweis · Auditor verantwortet auditierten Bereich operativ · fehlende Unabhängigkeitsdokumentation
Die Durchführung folgt dem Audit-Plan: Eröffnungsgespräch, Nachweiserhebung (Interviews, Dokumentenprüfung, Prozessbeobachtung), Findings-Klassifikation (Abweichung, Beobachtung, Verbesserungsmöglichkeit), Abschlussgespräch. Findings müssen mit Objektiven Nachweisen belegt sein — nicht als Meinungsäußerung, sondern als normbezogene Feststellung.
Kein Eröffnungsgespräch · Findings ohne Normbezug · keine Nachweisdokumentation
Der Audit-Bericht dokumentiert Scope, Kriterien, Ergebnisse, Findings mit Normbezug und Nachweisen sowie die definierten Korrekturmaßnahmen mit Verantwortlichkeiten und Fristen. Er wird dem verantwortlichen Management ohne unangemessene Verzögerung übergeben und archiviert. Der Bericht ist das zentrale Dokument für die Folgeauditierung und den Eingang ins Management-Review.
Findings ohne Fristen · Verantwortlichkeit unklar · kein Eingang ins Management-Review
Die Folgeauditierung verifiziert nicht nur die Umsetzung, sondern die Wirksamkeit der Korrekturmaßnahmen. Das Ergebnis fließt in den Bericht und in die Aktualisierung des Audit-Programms ein. Wiederkehrende Befunde sind ein Signal für strukturelle CAPA-Auslöser — nicht nur für Einzelmaßnahmen. Wirksamkeitsprüfung ohne dokumentiertes Ergebnis ist keine Prüfung.
Nur Umsetzungsprüfung statt Wirksamkeitsprüfung · kein Update des Audit-Programms · fehlende CAPA-Verknüpfung
§8.2.4 ist kein geschlossenes System. Die Norm verknüpft interne Audits explizit mit dem Korrekturmaßnahmen-Prozess — und über diesen mit CAPA (§8.5.2), Nicht-konformen Produkten (§8.3) und dem Management-Review (§5.6.2). Diese Verknüpfungen sind nicht optional: Sie sind der Mechanismus, über den interne Audits tatsächlich zur Qualitätsverbesserung beitragen — und nicht nur zur Compliance-Dokumentation.
Ein internes Audit-System, das Findings dokumentiert, aber nicht operativ weitergibt, schließt seinen Kreis nicht. Die Verbindung muss in beide Richtungen funktionieren: Audit-Findings informieren CAPA — und CAPA-Häufungen und NK-Trends informieren das nächste Audit-Programm.
Jede im Audit festgestellte Abweichung ist ein potenzieller CAPA-Auslöser. §8.2.4 koppelt Audit-Findings explizit an den Korrekturmaßnahmen-Prozess. Die Entscheidung, für einen Befund keine CAPA zu initiieren, muss selbst dokumentiert und begründet sein. Wiederkehrende Befunde in der Folgeauditierung sind ein Indikator für eine CAPA, die entweder nicht ausreichend ursachenbezogen war oder deren Wirksamkeit nicht verifiziert wurde.
Nicht-konforme Produkte und CAPA →Audit-Findings können NK-Prozesse aufdecken, die bisher nicht als solche behandelt wurden — Produkte, die außerhalb spezifizierter Parameter hergestellt wurden, ohne dokumentierte Disposition. Umgekehrt: NK-Häufungen in einem Bereich sind ein Signal für das Audit-Programm, diesen Bereich mit erhöhter Frequenz oder Tiefe zu auditieren. Beide Prozesse generieren Daten, die gegenseitig informieren müssen.
Nicht-konforme Produkte nach §8.3 →§5.6.2 schreibt explizit vor, dass Audit-Ergebnisse als Eingabe in das Management-Review eingehen. Das Management-Review bewertet auf dieser Basis, ob das QMS wirksam ist und ob Ressourcen für Verbesserungsmaßnahmen bereitgestellt werden müssen. Ein internes Audit-Programm, dessen Ergebnisse nicht den Weg ins Management-Review finden, erzeugt Compliance-Dokumentation — aber keine Managemententscheidungen.
Management-Review nach §5.6 →Das Management-Review ist das Aggregationssystem: Es sammelt Audit-Ergebnisse, CAPA-Status, NK-Häufungen und Reklamationsdaten — und erzeugt daraus Managemententscheidungen über Ressourcen und Verbesserungsmaßnahmen. Ein Management-Review ohne Audit-Daten ist normativ unvollständig nach §5.6.2 — und ein Audit-System ohne Eingang ins Management-Review operiert ohne Führungsebene.
Wie häufig muss ein internes Audit nach ISO 13485 §8.2.4 stattfinden?
Die Norm schreibt keine Mindestfrequenz vor — sie verlangt ein Audit-Programm, das alle für das QMS relevanten Prozesse über einen definierten Zeitraum abdeckt und risikobasiert priorisiert ist. In der Praxis hat sich ein Jahresrhythmus für hochriskante Prozesse etabliert, mit ereignisgesteuerten Sonderaudits bei signifikanten Abweichungen, Prozessänderungen oder wiederkehrenden Befunden. Entscheidend: Das Programm muss dokumentiert und begründet sein — die Frequenz allein sagt nichts über die Normkonformität aus.
Was gilt als ausreichende Auditor-Qualifikation?
§8.2.4 definiert keine Mindeststundenzahl oder Zertifizierung — sie verlangt, dass Auditoren qualifiziert sind, das Audit objektiv und unvoreingenommen durchzuführen. In der Praxis bedeutet das: Kenntnisse der Norm und der auditierten Prozesse, nachgewiesene Audit-Methodikkenntnisse (z. B. durch interne Schulung oder Lead-Auditor-Kurs) und Unabhängigkeit vom auditierten Bereich. Die Qualifikation muss dokumentiert sein — wer wann geschult hat, was geprüft wurde, wie die Kompetenz festgestellt wurde.
Müssen Audit-Findings immer eine CAPA auslösen?
Nein — §8.2.4 verlangt nicht, dass jede Feststellung eine CAPA nach §8.5.2 auslöst. Beobachtungen und Verbesserungsmöglichkeiten können auf einem anderen Weg adressiert werden. Was die Norm verlangt: dass angemessene Korrekturmaßnahmen ohne unangemessene Verzögerung eingeleitet werden, und dass die Entscheidung, wie mit einem Befund umgegangen wird, dokumentiert ist. Die Entscheidung, für einen Befund keine CAPA zu initiieren, muss nachvollziehbar begründet sein — ein Befund ohne jede Folgedokumentation ist im nächsten Audit ein Problem.
Was ist der Unterschied zwischen Korrekturmaßnahme und Wirksamkeitsprüfung?
Die Korrekturmaßnahme adressiert die Ursache eines Befunds — sie ist der geplante und umgesetzte Schritt. Die Wirksamkeitsprüfung stellt fest, ob dieser Schritt tatsächlich dazu geführt hat, dass der Befund nicht mehr auftritt. Ein häufiger Fehler: Im Folgeaudit wird geprüft, ob die Maßnahme durchgeführt wurde — nicht ob das zugrunde liegende Problem beseitigt ist. "Schulung durchgeführt" ist keine Wirksamkeitsprüfung. Wirksamkeit zeigt sich an Prozess-Outputs und Folgebefunden — und muss mit Objektiven Nachweisen dokumentiert werden.
Wie fließen Audit-Ergebnisse in das Management-Review ein?
§5.6.2 schreibt Audit-Ergebnisse explizit als Eingabe für das Management-Review vor. Das bedeutet in der Praxis: Der Management-Review-Bericht enthält eine Zusammenfassung der Audit-Ergebnisse aus dem Berichtszeitraum — Anzahl und Art der Findings, Status der Korrekturmaßnahmen, Ergebnisse der Wirksamkeitsprüfungen, Trends. Das Management bewertet auf dieser Basis, ob das QMS wirksam ist und welche Ressourcen für Verbesserungen bereitgestellt werden. Ein Management-Review ohne Audit-Daten ist normativ unvollständig.
§8.3 und CAPA: Wie Audit-Findings zu NK-Meldungen werden — und welche Disposition-Entscheidungen dokumentiert sein müssen →
Management-Review · ISO 13485 §5.6 · EingabenAudit-Ergebnisse als Eingabe nach §5.6.2: Wie das Management-Review Audit-Daten in Managemententscheidungen übersetzt →
Änderungsmanagement · ISO 13485 §4.1.4 · AuditauslöserProzessänderungen als Auslöser für Sonderaudits: Wann ein Änderungsrecord ein außerplanmäßiges Audit nach §8.2.4 erfordert →
Layered Process Audit · IATF 16949 · Dual-ZertifizierungLayered Process Audit als Ergänzung: Prozessaudit-Format nach IATF 16949 für Unternehmen mit Dual-Zertifizierung →
Audit
geplant.
Finding
geschlossen.
In einer Demo zeigen wir, wie QIMS das interne Audit-System nach §8.2.4 strukturiert abbildet — Audit-Programm mit Risikogewichtung, Audit-Plan und Berichtserstellung, Finding-Tracking mit Fristen und Verantwortlichkeiten, Wirksamkeitsprüfung im Folgeaudit, direkter Eingang in das Management-Review.
Kein Pitch. Kein Abschlussgespräch nach dem Termin.