Der Entwurf der ISO 19011 ist am 21.03.2025 erschienen und bietet eine Frist für Einsprüche bis zum 21.05.2025. Die Einsprüche werden gesichtet und Maßnahmen beschlossen. Sobald der Technische Ausschuss ISO/PC 302 die Norm final freigibt, wird auch dieser Beitrag entsprechend geprüft und angepasst.

Der Entwurf ISO 19011:2025

Die ISO 19011 ist ein Leitfaden, der den idealen Auditprozess vorschlägt. Dabei geht die Norm vom maximal großen und komplexen Unternehmen aus. Gleichzeitig gilt sie für alle Formen von Audits, also

• First-Party-Audits: interne Audits,
• Second-Party-Audits: Lieferantenaudits und Audits durch weitere externe Stakeholder und
• Third-Party-Audits: Zertifizierungsaudits, Akkreditierungsprüfungen und vergleichbare Audits mit gesetzlichen und behördlichen Grundlagen

Wie auch bisher muss der Leitfaden von Organisationen an die eigenen Bedürfnisse angepasst werden.

Es soll nun kein „betreutes Textvergleichen“ werden, in welchen Punkten die Norm sich verändert. Daher gehe ich den Fragen nach, die am häufigsten zum Thema gestellt werden, und beantworte sie aus der Perspektive von KMU. Gleichzeitig werde ich mich auf interne Audits beschränken, da dies die am häufigsten durchgeführte Form ist.

Bedeutung der ISO 19011

Die ISO 19011 ist „nur“ eine Empfehlung, hat aber größere Bedeutung als manch anderer Leitfaden. Das hat zwei einfache Gründe:

1. Für Zertifizierungsgesellschaften und Zertifizierungspersonal ist sie verbindlich.
2. Die ISO 9001 und weitere Normen für Managementsysteme verweisen im Kapitel 9.2 „Interne Audits“ auf die ISO 19011.

Durch den Verweis der Systemnormen erfährt die ISO 19011 eine Gewisse Aufwertung für alle Unternehmen. Der interne Auditprozess ist seit einigen Jahrzehnten recht stabil. Die Überarbeitungen gehen in der Regel auf Änderungen ein, die von Systemnormen angestoßen werden. So wurde bei der letzten Revision das risikobasierte Denken berücksichtigt. Jetzt kommen Empfehlungen bezüglich Kontext der Organisation und Klimawandel hinzu.

Interne Audits im Mittelstand

Audits sind Audits – was soll der Fokus auf die Perspektive des Mittelstandes? Weil folgende entscheidenden Gegebenheiten zum Teil eine große Aufgabe darstellen:

• Die Anzahl der Personen, die Audits durchführen ist extrem gering: Meistens gibt es nur eine Person.
• Die eine Person ist im Regelfall gleichzeitig QMB und hat das System federführend aufgebaut und ist weiterhin dafür zuständig. Die Rolle abzulegen und aus Auditperspektive aufzunehmen, ist anspruchsvoll.
• Feststellungen werden aus den Bereichen den QMBs in die Schuhe geschoben („Du hast gesagt, wir sollen das so machen.“)
• Das Gebot der Neutralität einzuhalten wird schwieriger, je kleiner der Kollegenkreis ist.
• Jeder Versuch der Auditplanung wird sehr schnell durch Anweisungen der Geschäftsführung und Prioritäten des Tagesgeschäfts durchkreuzt.
• Es dauert oft sehr lange bis der interne Auditprozess als Vorteil gesehen und weniger formal umgesetzt wird.

Wenn Sie im Mittelstand arbeiten, dürften Ihnen noch weitere Beispiele einfallen, mit denen Sie diese Liste fortsetzen können. Größere Unternehmen mit mehreren Standorten und Auditteams haben ebenfalls ihre Schwierigkeiten, haben jedoch andere Möglichkeiten zur Umsetzung. Die folgenden Fragen

Top 5-Fragen zum internen Audit

1. Wie wird der Umfang eines internen Audits festgelegt?

Die Überlegungen und Planungen rund um Umfang und Aufwand fangen mit dem Auditziel des Auditprogramms an. Da liegt oft schon der Hase im Pfeffer. Das Auditziel wird oft mit „mach das, was notwendig ist“ vorgegeben. Gleichzeitig soll das interne Audit nicht stören, aber dennoch „gut vorbereiten“ und als Sahnehäubchen noch Potentiale entdecken. Die ISO 19011 kann Sie nur auf die Dinge aufmerksam machen, die den Umfang beeinflussen. Die Norm betont, dass die Audits im selbst gesetzten Zeitrahmen „wirksam und effizient“ durchgeführt werden sollen. Sie nennt 11 Einflussfaktoren, die hier auf fünf wesentliche reduziert sind:

Ziele für das Auditprogramm

• Wirksamkeitsprüfung von Korrekturmaßnahmen: Gehen Sie den Feststellungen aus den letzten Audits nach (alle Quellen: Zertifizierung, Kunden, interne Audits). Korrekturmaßnahmen gehen nicht immer auf Audits zurück. Nutzen Sie daher weitere Quellen (z. B. Reklamationen).
• Änderungen überwachen: Was wurde zuletzt an internen Maßnahmen oder Projekten angestoßen oder umgesetzt? Wurden zum Beispiel Maschinen in der Werkshalle anders angeordnet? Dann hat das unter Umständen Einfluss auf den bisherigen Prozess und wäre einen Besuch im internen Audit wert.
• Das interne Audit als interne Dienstleistung: Es braucht viel Kommunikation und Transparenz, damit Ihre Kolleginnen und Kollegen Sie nicht als Prüfungsinstanz, sondern als Dienstleistung wahrnehmen. Wenn es endlich so weit ist, können Inhalte bei Ihnen „bestellt“ werden.
• Eine wichtige Quelle für Ziele des Auditprogramms sind strategische Entscheidungen der Geschäftsführung.

Umfang

Bitte betrachten Sie hier räumliche Gegebenheiten, Anzahl von Standorten, Entfernungen und Wegezeiten usw. Haben Sie die Auditeinheiten als Gespräch oder Beobachtung eingeplant? Wenn Sie beobachten, ist die Zeit kalkulierbar. Wenn Sie ein Gespräch führen, brauchen Sie Pufferzeiten oder terminliche Freiheiten.

Am einfachsten ist eine unkomplizierte Lösung: Führen Sie nicht alle Gespräche an einem Tag so wie Sie es aus Zertifizierungsaudits kennen. Verteilen Sie die Termine. Lediglich Reiseaufwände sorgen dafür, dass Sie mehrere Gespräche hintereinander führen. Dabei sollten Sie sich immer die Möglichkeit offen lassen, ein Gespräch per Videocall durchzuführen.

Auditkriterien

Nochmal zur Erinnerung, was Auditkriterien sind:

„Satz von Anforderungen, die als Bezugsgrundlage (Referenz) verwendet werden, anhand derer ein Vergleich mit dem objektiven Nachweis erfolgt.
Anmerkung 2: Anforderungen können Politiken, Verfahren, Arbeitsanweisungen, rechtliche Anforderungen vertragliche Verpflichtungen usw. enthalten.“ (Entwurf ISO 19011:2025, Kapitel 3.8)

Anforderungen können eine unterschiedliche Tiefe haben, so dass mehr Aufwand entsteht. Dann gibt es die Bereiche mit sehr komplexen Prozessen, die im Vergleich zu anderen zeitintensiver sind. Hier helfen Erfahrungswerte. Reflektieren Sie immer, ob der organisatorische Rahmen zu jedem einzelnen Gespräch richtig war.

Interner und externer Kontext der Organisation

Der Kontext der Organisation hat spätestens seit der Ergänzung zu den Anforderungen der ISO 9001 bezüglich Klimawandel einen höheren Stellenwert bekommen. Hierzu gehören erfahrungsgemäß drei wesentliche Analysen:

• Umfeldanalyse: Branche, Player in der Branche, Zulieferketten, eigene Marktposition, Trends usw.
• Stakeholderanalyse: Interne und externe interessierte Parteien, die relevant sind.
• Risikoanalyse: Identifikation von Risiken, Einstufungen und Maßnahmen inkl. Kommunikationsstrategie

Maßgebliche dokumentierte Information

Es gehört dazu, dass Sie Audits mit dem Einlesen in Dokumenten vorbereiten. Der Auditumfang beinhaltet jedoch unter Umständen, dass Sie mit der auditierten Partei die Dokumentation noch einmal gemeinsam einsehen und diskutieren.

Bewährte Regel: Innerhalb von drei Jahren einmal alles auditieren

Eine bewährte organisatorische Hilfe ist, nicht alles auf einmal machen zu müssen. Planen Sie das Auditprogramm so, dass Sie jährlich Kern- und Managementprozesse auditieren und innerhalb des Zertifikatszyklus alle Supportprozesse. So können Sie Aufwände verteilen. Gegebenenfalls können Sie noch ein wenig weiter unterscheiden: Sollten Sie im Unternehmen drei Vertriebsbereiche haben (Aufteilung aufgrund von Produktgruppen), dann wählen Sie jedes Jahr einen davon. Auf dem Weg haben Sie alles bedacht und die einzelnen Bereiche werden intern nur alle drei Jahre auditiert.

2. Wie werden die Ergebnisse eines internen Audits berichtet?

Der Auditbericht ist ein wesentlicher Bestandteil des Auditprozesses. Es geht dabei nicht allein um den Nachweis gegenüber Dritten wie einer Zertifizierungsgesellschaft. Das Festhalten von Nachweisen dient der eigenen Nachvollziehbarkeit von Feststellungen. Dementsprechend sollte die Dokumentation verständlich und nachvollziehbar sein.

Ein Auditbericht zum internen Audit liefert Inhalt für Entscheidungen. Im Managementsystem folgt nach dem internen Audit die Managementbewertung durch die oberste Leitung. Mit anderen Worten: Die Ergebnisse von Audits werden eskaliert. Nehmen Sie daher eine Gewichtung vor: Was muss die oberste Leitung erfahren, damit sie eine Entscheidung treffen kann? Das sollte im Bericht erkennbar sein (Farbskalen, Prioritäten).

Welche Absprachen mit Führungskräften und Prozesseignern wurden getroffen und stehen im Bericht? Sie sind ebenfalls wichtig, brauchen jedoch nicht zwingend eine so hohe Priorität. Sie gehören der Vollständigkeit halber in den Bericht.

Bevor Ihr Bericht nun zum Buch wird, empfehle ich folgenden Trick: Gehen Sie zur Erfüllung der Nachweispflicht eher formal vor. Der Bericht wird dadurch eher kryptisch und ist nur für Insider von Systemnormen nachvollziehbar. Das Schema wäre dann: Welches Normenkapitel wurde mit welcher Gewichtung und welchem Ergebnis auditiert? Das ist eher unspannend für die Belegschaft, aber stellt aufgrund der Darstellungsform (Tabelle) weniger Aufwand für Sie dar.

Präsentieren Sie Feststellungen lieber persönlich. Nehmen Sie eine 30-minütige Präsentationszeit im nächsten Führungskreistreffen in Anspruch und zeigen Sie die wichtigsten Feststellungen (am besten bildhaft). Ziel dieser Präsentation ist es, den KVP anzukurbeln.

3. Welche Kompetenzen und Qualifikationen sollte ein interner Auditor besitzen?

Der Normentext ist auch an dieser Stelle gewohnt allgemein. Gleichzeitig ist es sehr wichtig, nicht nur auf das Handwerk des Auditierens zu setzen, sondern sich mit der Kompetenz des Auditpersonals zu befassen. Unternehmen winden sich hier manchmal, weil der Gedanke „das gilt doch eigentlich nur für Zertifizierer“ sehr einladend ist.

Für die Umsetzung des Auditprogramms ist die entsprechende Kompetenz ein Thema. Zur Auswahl der Personen und deren Kompetenz sind entsprechende Kriterien notwendig (ohne Kriterien kein Fortbildungspotential) und eine Beurteilungsmethode sollte ebenfalls feststehen. Sämtliche Beurteilungen von Kompetenz und Leistungsbeurteilungen sollten auch durchgeführt werden.

Demnach gilt für Auditpersonal das, was für jedes Mitglied einer Belegschaft gilt. Die allgemeinen Formulierungen sollen etwas lebendiger werden:

Im Audit geht es darum, Feststellungen zu treffen. Das ist einerseits ein Handwerk, das Sie erlernen können. Wie Sie aus zahlreichen Anekdoten kennen, ist das Handwerk von der Persönlichkeit geprägt. Sie sollen eine Entscheidung treffen: Tun Sie das gern? Fällt es Ihnen leicht? Oder treffen Sie die Entscheidung so gern, dass Sie sie schon beim Betreten von Räumen treffen ohne die Faktenlage zu kennen?

Es gibt das Prinzip der Integrität und die Verpflichtung zur Diskretion. In Auditgesprächen erfahren Sie sehr viel; das schmeichelt der persönlichen Eitelkeit. Fällt es Ihnen leicht, das Gehörte für sich zu behalten? Oder machen Sie es zum Gesprächsstoff Ihres nächsten Seminars – zur Unterstreichung Ihrer Erfahrung und Bedeutung nennen Sie dann noch Unternehmen und Funktion der Gesprächspartner? Weiß nach dem internen Audit nicht nur die Geschäftsführung wie es in der Abteilung X zugeht, sondern auch alle aus der Kantine und des Sportclubs?

Die Beispiele mögen überzogen wirken, beinhalten jedoch viel Wahres. Wer erzählt nicht gerne von der Arbeit? Wem fällt es nicht gelegentlich schwer, in Anwesenheit anderer Entscheidungen zu fällen?

Fertigkeiten von Auditoren laut ISO 19011

Auditorinnen und Auditoren sollen laut ISO 19011 viele Talente und Fertigkeiten mitbringen: Organisationstalent, Kommunikationsprofi, Fachexpertin und Fachexperte, Überblick über alle Zusammenhänge und unternehmerisches Denken beherrschen. An dieser Stelle sei betont, dass die ISO 19011 hier nicht den perfekten Audit-Menschen kreieren will, obwohl es manchmal so wirkt. Die Norm geht davon aus, dass es sich um Auditteams handelt und die Summe der Mitglieder die Summe der Eigenschaften erfüllen sollte.

Dazu ist es notwendig, Menschen im Team zusammenzubringen, die sehr unterschiedlich sind. Auch wenn sich laut Volksmund Gegensätze anziehen, kommen sie nicht immer auf Anhieb gut miteinander aus. Gibt es daher in Ihrem Unternehmen einen Ansatz, Auditteams zu unterstützen?

Kompetenz von Auditoren und die Situation in den Unternehmen

Die Empfehlungen der ISO 19011 zum persönlichen Verhalten sind mit Blick auf die Aufgabe berechtigt. Jedoch gibt es genug interne Auditorinnen und Auditoren, die gerne Feedback zu den einzelnen Facetten hätten, sie aber nicht bekommen. Wenn Sie die Auditierten fragen, wie aus ihrer Sicht das Audit war, gibt es meist positive Resonanz mit floskelhaften Formulierungen. Erfahrungsgemäß sollten die Empfehlungen der ISO 19011 diesbezüglich stärker beherzigt werden. Im Mittelstand fehlt es dazu an Strukturen und in großen Unternehmen mit eigenen Auditteams fehlt der geschützte Raum für offene Gespräche.

4. Wie geht man mit dem risikobasierten Ansatz im Audit um?

Es gilt die gleiche Frage wie in jedem anderen Prozess: Was kann schief laufen mit dem Ergebnis, dass das Auditziel nicht erreicht wird? Dazu ist es zunächst hilfreich, ein Auditziel für das Auditprogramm zu haben.

Die meisten Risikofaktoren haben organisatorischen Charakter:

• fehlerhafte oder falsche Details in der Planung
• unzureichende oder fehlende Kompetenz im Auditteam
• lückenhafte Dokumentation von Nachweisen

Wenn es zu Ihren internen Audits gehört, andere Standorte zu besuchen, so kommen natürlich auch Risiken bezüglich Reisetätigkeiten und Faktoren hinzu, die zum Klimawandel beitragen.

5. Wie kann man interne Audits verbessern?

Der kontinuierliche Verbesserungsprozess (KVP) trifft auch auf den internen Auditprozess zu. Alles so zu machen wie im letzten Jahr, nur weil es im Zertifizierungsaudit wohlwollend zur Kenntnis genommen wurde, ist der falsche Ansatz. Reflexion ist hier das Zauberwort.

• Haben Sie auf ein aussagekräftiges Auditprogramm zurückgreifen können? (Auditziele)
• War die organisatorische Abstimmung mit den auditierten Personen ausreichend?
• War Ihr persönlicher organisatorischer Rahmen passend? Für Sie und für die Auditierten?
• Haben Sie gezielt nachgefragt? – Also nicht: „Wie war das Audit?“, sondern „Hat der zeitliche Rahmen gepasst? Waren die Fragen verständlich?“
• Haben Sie Anforderungen ausreichend überprüft? Überprüfen können?
• Haben Sie jemanden, mit dem Sie Ihre persönliche Reflexion besprechen können? „Ich war nicht genug vorbereitet.“ ist eine zu allgemeine Aussage der Selbstkasteiung.

Geben Sie dem internen Auditprozess einen Kick

Interne Audits lassen sich sehr gut verbessern. Die Revision der ISO 19011 gibt dazu noch einmal einen Anlass.

Das interne Audit darf formal sein, wenn damit die Zwecke der Nachweise für Zertifizierungen erfüllt werden. Der Wert dieses Instruments für Managementsysteme ist jedoch ein anderer: Mit den internen Audits werden Informationen aus einer anderen Perspektive (nämlich die des Auditierenden) zusammengetragen, die eine Entscheidungsgrundlage bilden.

Wann ist ein internes Audit erfolgreich?

Übliche Kennzahlen der internen Audits beziehen sich auf Quoten oder Anzahl der absolvierten Termine. Ziele sind somit das Erfüllen von Terminen und Gesprächen. Übliche Kritik von Auditierenden gegenüber anderen Prozessen heißt: Das ist doch kein Qualitätsziel! Lassen Sie Ihren internen Auditprozess auditieren und rücken Sie ihn in den Mittelpunkt. Warten Sie damit nicht auf das nächste Zertifizerungsaudit, das streift es meist zu kurz.

Es fällt schwer, Qualitätskriterien und somit messbare Kennzahlen für interne Audits festzulegen. Dafür gibt es keine Einheitslösung. Denken Sie über Ihre Auditkultur nach und entdecken Sie Verbesserungspotenziale durch Audits!