Internes Audit durchführen lassen

Lieber jetzt finden als im Zertifizierungsaudit

Was im internen Audit als Verbesserungspotenzial auf dem Tisch liegt, wird im externen Zertifizierungsaudit zur formalen Abweichung — mit Frist, Nachaudit und zusätzlichen Kosten. Das interne Audit ist die letzte Chance, Schwachstellen aufzudecken, bevor sie teuer werden. Eine Feststellung im internen Audit ist eine Chance zur Verbesserung. Dieselbe Feststellung drei Monate später im Zertifizierungsaudit ist ein Problem mit Zeitdruck.

Genau deshalb beauftragen viele Unternehmen ihre internen Audits extern. Die häufigsten Gründe, die IQI von neuen Kunden hört:

Betriebsblindheit. Eigene Auditoren prüfen seit Jahren dieselben Prozesse — und finden nichts mehr. Der Zertifizierungsauditor findet dann umso mehr. Ein externer Auditor sieht, was intern niemand mehr sieht.

Keine qualifizierten Auditoren im Haus. Gerade in kleineren Unternehmen fehlt entweder die Qualifikation oder die Unabhängigkeit — die Norm fordert, dass der Auditor den eigenen Bereich nicht auditieren darf. Wenn nur zwei Leute das System kennen, ist das intern nicht lösbar.

Überwachungsaudit steht an, System wurde vernachlässigt. Der Alltag hat das Managementsystem überholt — Dokumentation veraltet, Managementbewertung nicht durchgeführt, Korrekturmaßnahmen offen. Ein externes internes Audit deckt den tatsächlichen Stand auf und gibt Ihnen einen realistischen Fahrplan, was bis zum Termin noch zu schaffen ist.

Letztes Audit lief schlecht. Nach Abweichungen im Zertifizierungsaudit wollen Unternehmen sichergehen, dass die Korrekturmaßnahmen wirksam sind — und keine neuen Schwachstellen hinzugekommen sind. IQI prüft gezielt, ob die Maßnahmen greifen.

Übrigens: Ein Audit ohne Feststellungen kann kein gutes Audit gewesen sein. Das heißt nicht, dass immer gemeckert wird — sondern dass es in jedem System etwas gibt, das besser werden kann. Genau dafür ist das interne Audit da.

Welches Audit brauchen Sie?

Systemaudit

Das Systemaudit ist die Kernleistung: IQI prüft Ihr Managementsystem gegen die Anforderungen der jeweiligen Norm. Werden die eigenen Vorgaben eingehalten? Sind die Prozesse wirksam? Stimmen Dokumentation und gelebte Praxis überein? IQI führt Systemaudits vor Erstzertifizierungen, vor Überwachungsaudits und vor Re-Zertifizierungen durch — als externe Auditoren, die den Prüfmaßstab kennen, den die Zertifizierungsstelle anlegen wird.

Prozessaudit nach VDA 6.3

Für Unternehmen in der Automobilbranche führt IQI Prozessaudits nach VDA 6.3 durch. Anders als das Systemaudit prüft das Prozessaudit nicht das Vorhandensein von Prozessen, sondern deren tatsächliche Stabilität und Beherrschung — bei Schichtwechsel, Materialwechsel, Werkzeugwechsel. Deutsche OEMs verlangen VDA 6.3-Bewertungen vor Serienfreigabe, nach Reklamationen und als jährliche Lieferantenüberwachung. Die Bewertung erfolgt mit dem Ampel-System: A (beherrscht), B (verbesserungswürdig), C (nicht beherrscht). Ein C-Ergebnis blockiert Serienfreigaben und kann zur Lieferanten-Herabstufung führen.

Compliance Audit

Das Compliance Audit prüft, ob Ihr Unternehmen seine Verpflichtungen tatsächlich einhält — nicht auf Papier, sondern in der Praxis. Welche Genehmigungsauflagen gelten? Werden die im Rechtskataster erfassten Vorschriften umgesetzt? Wo gibt es Abweichungen? IQI führt das Compliance Audit mit Betriebsbegehung, Interviews und Dokumentensichtung vor Ort durch. Das Ergebnis: ein Auditbericht mit dem Einhaltungsstatus aller ermittelten Pflichten und konkreten Handlungsempfehlungen bei Abweichungen.

Lieferantenaudit

IQI führt Lieferantenaudits im Auftrag von Kunden durch — als unabhängiger Auditor bei Ihrem Lieferanten vor Ort. Ob Eingangsaudit vor der Lieferantenfreigabe, anlassbezogenes Audit nach Reklamationen oder regelmäßige Lieferantenüberwachung: IQI prüft das Managementsystem und die Prozesse Ihres Lieferanten gegen die vereinbarten Anforderungen — Norm, Vertrag, kundenspezifische Vorgaben. Sie erhalten einen Auditbericht mit Bewertung und Handlungsempfehlungen als Entscheidungsgrundlage für Ihr Lieferantenmanagement.

Der Ablauf — von der Planung bis zum Ergebnis

Ein Audit ist ein Stichprobenverfahren nach ISO 19011 — anders als eine Gap-Analyse, die das gesamte System anhand einer Checkliste vollständig gegen alle Normanforderungen abgleicht. Der Fokus im Audit liegt auf dem, was in der Praxis zählt: Funktionieren die Vorgaben? Werden Lösungsansätze tatsächlich umgesetzt? Kann das Unternehmen die Umsetzung nachweisen? IQI auditiert deshalb bewusst ohne Checkliste — der Auditbericht enthält eine Feststellungsübersicht, Fließtextbewertungen und eine Auflistung der geprüften Nachweise.

Schritt 1 — Planung und Vorbereitung

Vor dem Audit stellt IQI die Qualifikationsnachweise des Auditors zur Verfügung. Für die Planung gibt es zwei Optionen: Entweder erstellt IQI den Auditplan — unter Berücksichtigung Ihrer Prozesslandschaft und der zeitlichen Abstimmung mit den Auditteilnehmern. Oder Ihr Unternehmen stellt den Auditplan bereit. Bei Bedarf findet vorab ein kurzes Webmeeting zur Koordination statt.

Schritt 2 — Durchführung

IQI führt das Audit in der Regel vor Ort durch — mit Interviews, Prozessbegehungen und Dokumentenprüfung. Wo der Rahmen es verantwortlich ermöglicht, bietet IQI auch Online-Audits an — gerade bei ISO/IEC 27001 eine häufig gewählte Option. Bei umfangreichen Audits hat sich ein hybrides Format bewährt: Die Dokumentenprüfung erfolgt remote, die Verifizierung der Umsetzung vor Ort. Der Auditor spricht mit Prozesseignern und -teilnehmern, sichtet Managementdokumente, Aufzeichnungen und Nachweise. Abweichungen werden mit Zuordnung zu den entsprechenden Normpunkten erfasst. Bei Bedarf verwendet der Auditor Ihre Dokumentationsvorlagen in Ihrem Corporate Design.

Schritt 3 — Auditbericht

Der Auditbericht wird zweistufig erstellt: Die inhaltliche Erstellung und Nachweisführung erfolgt durch den Auditor. Formatierung und Lektorat übernimmt das IQI-Backoffice — ein Qualitätsmerkmal, das sicherstellt, dass der Bericht nicht nur fachlich korrekt, sondern auch lesbar und nachvollziehbar ist. Der Bericht enthält Abweichungen, Übereinstimmungen, Verbesserungspotenziale und auf Wunsch eine Konformitätsbewertung pro Prozess.

Schritt 4 — Abschlussgespräch

Im Abschlussgespräch fasst der Auditor den Gesamteindruck zusammen und gibt Empfehlungen zum Umgang mit Abweichungen und zu möglichen Korrektur- und Verbesserungsmaßnahmen — mündlich, direkt, auf den Punkt.

Normspezifische Audit-Schwerpunkte

Jedes Audit folgt demselben Ablauf. Was sich unterscheidet, sind die Prüfschwerpunkte — die Stellen, an denen erfahrene Auditoren gezielt hinschauen und an denen Betriebsblindheit am häufigsten zuschlägt.

ISO 9001 — Qualitätsmanagement

IQI prüft das Auditprogramm nach Klausel 9.2.2: Häufigkeit, Methoden, Bedeutung der Prozesse, vorangegangene Auditergebnisse. Was der externe Auditor regelmäßig findet: Korrekturmaßnahmen werden vereinbart, aber die Wirksamkeitsbewertung erfolgt nicht oder zu spät — die Norm fordert Umsetzung „ohne ungerechtfertigte Verzögerung". Ein zweiter Klassiker: Die Managementbewertung dokumentiert „Besprechung hat stattgefunden", aber keine konkreten Entscheidungen oder Maßnahmen. IQI deckt diese Muster auf, bevor der Zertifizierungsauditor sie als Abweichung schreibt.

→ Mehr zu ISO 9001

EN 9100 / NADCAP — Luft- und Raumfahrt

IQI prüft nach EN 9100 und EN 9101 mit Aerospace-Fokus: Leistungsindikatoren, OASIS-Datenbankpflege, Risikobetrachtung bei Prozessänderungen. Was interne Auditoren regelmäßig übersehen: Bei kombinierten Audits nach EN 9104-001 muss der Auditor spezifische Branchenkompetenz nachweisen — das wird im Zertifizierungsaudit geprüft und führt bei fehlender Dokumentation zur Abweichung. IQI prüft auch, ob die Wirksamkeit des Auditprogramms in der Managementbewertung nachgewiesen wird — eine EN 9100-spezifische Verschärfung gegenüber ISO 9001.

→ Mehr zu EN 9100 & NADCAP

ISO 14001 — Umweltmanagement

IQI führt bei ISO 14001 zwei Auditarten durch: das Systemaudit prüft die Konformität des UMS, das Compliance Audit prüft die Einhaltung der bindenden Verpflichtungen. Der Audit-Fokus liegt auf der Signifikanzbewertung der Umweltaspekte und der Verknüpfung zwischen Rechtskataster und tatsächlichen Betriebsabläufen. Was der externe Auditor regelmäßig findet: Das Audit bleibt auf Dokumentenebene hängen — die Umweltaspekte sind im Handbuch beschrieben, aber niemand kann am Arbeitsplatz erklären, welche konkreten Maßnahmen daraus folgen. IQI geht raus in den Betrieb und prüft vor Ort.

→ Mehr zu ISO 14001

ISO 45001 — Arbeitssicherheit

IQI prüft die Umsetzung der Maßnahmenhierarchie und die Beteiligung der Beschäftigten und Arbeitnehmervertretungen — zwei Anforderungen, die in Zertifizierungsaudits am häufigsten zu Feststellungen führen. Was der externe Auditor regelmäßig findet: Gefährdungsbeurteilungen sind dokumentiert, aber in der Praxis nicht umgesetzt — Schutzausrüstung wird nicht getragen, Unterweisungsnachweise sind veraltet, Beinahe-Unfälle werden nicht gemeldet. Ein ISO 45001-Audit erfordert Gespräche mit Beschäftigten auf allen Ebenen, nicht nur mit dem Sicherheitsbeauftragten. IQI prüft mit Begehung der Arbeitsplätze.

→ Mehr zu ISO 45001

ISO 50001 — Energiemanagement

IQI prüft die energetische Ausgangsbasis (EnB), die Energiekennzahlen (EnPIs) und die wesentlichen Energieeinsätze (SEUs) auf Datengenauigkeit. Was der externe Auditor regelmäßig findet: Die Baseline-Daten für die EnPIs werden bei signifikanten Änderungen der Energienutzung nicht aktualisiert — neue Anlagen, Produktionserweiterungen oder Standortveränderungen machen die alte Baseline wertlos. Oder es gibt schlicht Rechenfehler in der Energiebilanz. Ein ISO 50001-Audit ist technisch-quantitativ: Es geht um Messdaten, nicht um Prosa.

→ Mehr zu ISO 50001

ISO/IEC 27001 — Informationssicherheit

IQI prüft das ISMS auf Normkonformität und Wirksamkeit: das Auditprogramm nach 9.2.2, die 93 Annex A Controls und das Statement of Applicability (SoA). Was der externe Auditor regelmäßig findet: Die SoA wird als statisches Dokument behandelt — Änderungen in der Bedrohungslage (neue Cyber-Risiken, geänderte Angriffsvektoren) fließen nicht in die Auditplanung ein. Und Controls werden als „implementiert" markiert, ohne dass ein belastbarer Nachweis existiert. Ein ISO/IEC 27001-Audit erfordert explizites IT-Fachwissen beim Auditor — IQI stellt Auditoren mit entsprechender Qualifikation.

→ Mehr zu ISO/IEC 27001

ISO/IEC 17025 — Labormanagement

IQI prüft nicht nur die formale Dokumentation, sondern die tatsächliche technische Umsetzung: Werden Messunsicherheiten korrekt berechnet? Sind die Entscheidungsregeln bei Konformitätsaussagen definiert? Ist die metrologische Rückverfolgbarkeit lückenlos? Was der externe Auditor regelmäßig findet: Bei Zweifeln an Prüfergebnissen wird die schriftliche Kundenbenachrichtigung (4.14.2 fordert „in writing") nicht dokumentiert oder verzögert umgesetzt — eine Pflicht, die in DAkkS-Begutachtungen gezielt geprüft wird. IQI-Auditoren bringen technische Laborkompetenz mit, nicht nur Managementsystem-Wissen.

→ Mehr zu ISO/IEC 17025

ISO 13485 — Medizinprodukte

IQI simuliert im internen Audit die Prüfschwerpunkte einer Benannten Stelle: Risikomanagement in allen Prozessphasen, die Rückverfolgbarkeit bis zum Patienten, die Interaktion mit Benannten Stellen. Was der externe Auditor regelmäßig findet: Designänderungen werden dokumentiert, aber die Verknüpfung mit einer Risikobewertung nach ISO 14971 fehlt — die Neubewertung unterbleibt. Ein ISO 13485-Audit hat eine Lebenszyklus-Perspektive: Design, Produktion, Post-Market-Surveillance. Die Anforderungen an Dokumentenlenkung und Aufbewahrung sind strenger als bei jeder anderen Norm.

→ Mehr zu ISO 13485

EMAS — Umweltbetriebsprüfung

EMAS fordert keine reine Systemprüfung, sondern eine Umweltbetriebsprüfung nach Anhang III der Verordnung. IQI prüft die tatsächliche Umweltleistung: Werden die gesetzten Umweltziele quantitativ erreicht? Stimmen die Kernindikatoren? Hält das Unternehmen alle geltenden Umweltvorschriften ein — nicht nur auf Papier, sondern nachweisbar? Was der externe Auditor regelmäßig findet: Die Umweltleistung wird allgemein beschrieben statt quantitativ gegen die Ziele geprüft. IQI bereitet gezielt auf die Begutachtung und Validierung der Umwelterklärung durch den Umweltgutachter vor.

→ Mehr zu EMAS

Was IQI als Auditpartner auszeichnet

Neun Normen, ein Ansprechpartner. IQI deckt ISO 9001, EN 9100, ISO 14001, ISO 45001, ISO 50001, ISO/IEC 27001, ISO/IEC 17025, ISO 13485 und EMAS ab. Für integrierte Managementsysteme bedeutet das: ein Auditor, ein Termin, ein Bericht — statt drei separate Beauftragungen.

Auditbericht mit Backoffice-Qualität. Der Auditor erstellt den Bericht inhaltlich, das IQI-Backoffice übernimmt Formatierung und Lektorat. Das Ergebnis ist ein Bericht, den Sie direkt an die Geschäftsführung und an Ihre Zertifizierungsstelle weitergeben können.

Eigenständige Leistung, keine Paketbindung. IQI führt Audits unabhängig von Beratungsprojekten durch. Wenn Sie nur ein internes Audit brauchen, bekommen Sie genau das.

Erfahrung, die Muster erkennt. IQI-Auditoren bringen Erfahrung aus über 300 Projekten mit. Wer Dutzende Managementsysteme geprüft hat, erkennt die typischen Schwachstellen — bevor der Zertifizierungsauditor sie findet.