Zusammenfassung: ISO 9001, ISO 14001, ISO 45001: diese Normen kennt man. ISO 19011 läuft meist still daneben mit. Dabei ist sie das Fundament für jeden, der Managementsystemaudits plant, durchführt oder verantwortet, vom Qualitätsmanagement über EHS und Arbeitssicherheit bis hin zu internen Auditoren, Prozessverantwortlichen, Compliance-Teams und Führungskräften mit Auditverantwortung.
Die Norm liefert Leitlinien auf drei Ebenen: für das Auditprogramm als Ganzes, für die Durchführung einzelner Audits und für die Kompetenz der beteiligten Auditoren. Wer First- oder Second-Party-Audits durchführt (intern oder bei Lieferanten) findet hier den strukturellen Rahmen, unabhängig davon, welche Managementsystemnorm zugrunde liegt.
Gegenüber der Vorgängerversion von 2011 hat die Revision zwei wesentliche Akzente gesetzt: Der risikobasierte Ansatz ist fester Bestandteil des Auditdenkens geworden, und virtuelle Audits haben ihren normativen Platz gefunden; eine Entwicklung, die in der Praxis längst Realität war.
Was diese Norm von anderen unterscheidet: Sie schreibt kein System vor. Sie beschreibt, wie man eines sinnvoll überprüft.
Was ist die ISO 19011?
ISO 19011 ist eine internationale Norm mit dem offiziellen Titel „Leitfaden zur Auditierung von Managementsystemen“. Sie richtet sich an alle Organisationen, die interne oder externe Audits durchführen oder entsprechende Auditprogramme managen; unabhängig von Branche oder Unternehmensgröße.
Die Norm ist kein Zertifizierungsstandard, sondern ein praxisorientierter Leitfaden: keine zwingenden Anforderungen, sondern Empfehlungen und bewährte Vorgehensweisen. ISO 19011 ist kein Ziel, das man „erfüllt“, sondern eine Orientierung, um Audits strukturiert zu planen, sauber durchzuführen, nachvollziehbar zu dokumentieren und anschließend auszuwerten. Grundlage dafür sind sieben Auditprinzipien: darunter Integrität, sachliche Darstellung, Vertraulichkeit, Unabhängigkeit und ein evidenzbasierter Ansatz.
Ihr Anwendungsbereich erstreckt sich auf verschiedene Managementsysteme, von ISO 9001 für Qualität über ISO 14001 für Umwelt bis hin zu ISO 45001 für Arbeitssicherheit.
Für welche Audits gilt ISO 19011?
ISO 19011 gilt für Audits von Managementsystemen und wird vor allem dort genutzt, wo Auditprozesse strukturiert, nachvollziehbar und vergleichbar durchgeführt werden sollen:
Interne Audits: zur Überprüfung eigener Prozesse, Standorte, Abteilungen oder Managementsysteme.
Externe Audits: z.B. Lieferantenaudits, Partneraudits oder Audits durch Kunden.
Kombinierte Audits: Mehrere Managementsysteme werden gemeinsam geprüft, etwa Qualität, Umwelt und Arbeitsschutz.
Integrierte Audits: Ein integriertes Managementsystem wird nach mehreren Normen auditiert.
Die Norm ist nicht auf ISO 9001 beschränkt. Sie kann auch bei Audits nach ISO 14001, ISO 45001, ISO 50001 oder anderen Managementsystemnormen eingesetzt werden. Entscheidend ist, dass sie den Auditprozess beschreibt, nicht die fachlichen Anforderungen der jeweiligen Norm.
Aufbau der Norm – welche Kapitel hat ISO 19011?
ISO 19011 ist so aufgebaut, dass sie den gesamten Auditprozess von den Grundlagen bis zur Kompetenzbewertung von Auditoren systematisch abdeckt. Sie beginnt mit allgemeinen Rahmenbedingungen und führt schrittweise in die praktische Anwendung.
1. Anwendungsbereich
Der Anwendungsbereich beschreibt, für welche Arten von Audits die Norm gilt. ISO 19011 richtet sich an Organisationen, die Managementsystemaudits planen, durchführen oder verantworten, insbesondere interne Audits und Lieferantenaudits.
2. Normative Verweisungen
Dieser Abschnitt enthält Verweise auf weitere Normen und Regelwerke, die für das Verständnis notwendig sind. In der Praxis ist dieser Teil meist kurz, stellt aber sicher, dass Begriffe und Inhalte einheitlich interpretiert werden.
3. Begriffe
Schlüsselbegriffe wie Audit, Auditprogramm, Auditkriterien und Nachweise werden hier definiert. Diese Festlegungen sind keine bloße Formalität. Diese Festlegungen sind keine Formalität; sie schaffen die Grundlage dafür, dass alle Beteiligten dieselbe Sprache sprechen.
4. Auditprinzipien
Integrität, Nachvollziehbarkeit, Unabhängigkeit und Faktenbasierung: Diese Prinzipien bilden die methodische Basis jedes Audits. Fehlen sie, verlieren Auditergebnisse ihre Aussagekraft – unabhängig davon, wie sorgfältig die Durchführung im Übrigen war.
5. Steuerung des Auditprogramms
Auditprogramme bedürfen einer systematischen Planung, Umsetzung, Beobachtung und kontinuierlichen Weiterentwicklung. Dazu gehört die Festlegung von Zielen, die Priorisierung nach Risiken sowie die Sicherstellung, dass Audits wirksam und zielgerichtet eingesetzt werden.
6. Durchführung eines Audits
Der Abschnitt umspannt den gesamten Prozess, von der Vorbereitung über die eigentliche Prüfung bis zur Berichterstellung. Im Kern geht es um die Erhebung und Bewertung von Nachweisen sowie die Ableitung nachvollziehbarer Feststellungen.
7. Kompetenz und Bewertung von Auditoren
Die Norm definiert, welche Kenntnisse, methodischen Fähigkeiten und persönlichen Eigenschaften Auditoren mitbringen müssen. Gleichzeitig wird dargelegt, wie diese Kompetenz aufgebaut, bewertet und weiterentwickelt wird, damit Audits verlässlich und objektiv bleiben.
8. Anhang A (informativ)
Der informative Anhang stellt praxisorientierte Hilfestellungen für Planung und Umsetzung von Audits bereit. Er ergänzt und veranschaulicht die Normforderungen.
Die sieben Auditprinzipien der ISO 19011
Wirksame Audits entstehen nicht durch Zufall – sie folgen klaren Grundsätzen. Die ISO 19011 definiert sieben Prinzipien, die zusammen die Qualität, Glaubwürdigkeit und Vergleichbarkeit von Audits sicherstellen:
- Integrität – professionelles Handeln als Fundament jeder Audittätigkeit
- Sachliche Darstellung – wahrheitsgemäße, präzise und vollständige Berichterstattung
- Berufliche Sorgfaltspflicht – fundiertes Urteilsvermögen im gesamten Auditprozess
- Vertraulichkeit – Schutz von Informationen vor unbefugter Weitergabe
- Unabhängigkeit – Basis für Objektivität und unparteiliche Bewertung
- Evidenzbasierter Ansatz – nachvollziehbare Methodik für verlässliche Schlussfolgerungen
- Risikobasierter Ansatz – systematische Berücksichtigung von Risiken und Chancen bei Planung und Durchführung
Erst im Zusammenspiel entfalten diese Prinzipien ihre volle Wirkung: Ein Audit, das nur einzelne Aspekte berücksichtigt, bleibt hinter seinem Potenzial zurück.
ISO 19011 Revision 2018 – Änderungen gegenüber 2011
Die Revision 2018 hat die ISO 19011 in zentralen Punkten weiterentwickelt und an die Praxis angepasst.
- Risikobasierter Ansatz im Auditprogramm (statt rein zeitgesteuerter Planung)
- Präzisierte Leitlinien für konsistentere, besser vergleichbare Audits
- Remote-Auditmethoden als regulärer Bestandteil aufgenommen. (z. B. Videointerviews, digitale Dokumentenprüfungen und Fernzugriffe auf Systeme)
- Erweiterte Anforderungen an Auditoren (Methodik, Urteilsfähigkeit, Unabhängigkeit)
Eine geplante Revision der ISO 19011 (voraussichtlich 2026) wird aktuell vorbereitet und soll die Anwendung der Norm in Bereichen wie Remote-Audits, Digitalisierung und neuen Risikofeldern weiter konkretisierenere
ISO 9001 oder ISO 19011: Welche Norm regelt was?
Auf den ersten Blick ähnlich, in der Anwendung grundverschieden: ISO 9001 und ISO 19011 bilden gemeinsam ein starkes Fundament für Qualitätsmanagement und Auditpraxis.
|
ISO 9001:2015 | ||
|---|---|---|---|
| Vollständiger Name | Leitlinien für die Auditierung von Managementsystemen | Managementsystemen
Qualitätsmanagementsysteme: Anforderungen |
|
| Aktuelle Hauptversion | 2018 | 2015 | |
| Inhalt | Beschreibt, wie Auditprogramme geplant, Audits durchgeführt und Auditergebnisse bewertet werden. | Beschreibt, welche Anforderungen ein Qualitätsmanagementsystem erfüllen muss. | |
| Zweck | Unterstützt Organisationen dabei, Managementsysteme strukturiert zu auditieren und Verbesserungspotenziale nachvollziehbar zu erkennen. | Hilft Organisationen dabei, Qualität, Prozesse, Verantwortlichkeiten und Kundenzufriedenheit systematisch zu steuern. | |
| Typische Anwendung | Interne Audits, Lieferantenaudits, kombinierte Audits und Audits integrierter Managementsysteme. | Aufbau, Betrieb, Bewertung und Zertifizierung eines Qualitätsmanagementsystems. | |
| Zertifizierbar? | Nein. ISO 19011 ist ein Leitfaden. | Ja. ISO 9001 ist eine zertifizierbare Norm. | |
| Kurz gesagt | ISO 19011 beschreibt, wie auditiert wird. | ISO 9001 beschreibt, was ein QMS erfüllen muss. |
Für interne Audits sowie viele Lieferanten- und Systemaudits ist ISO 19011 der zentrale methodische Leitfaden. Bei Zertifizierungsaudits gelten darüber hinaus zusätzliche Anforderungen aus dem Bereich der Konformitätsbewertung.
Auditkriterien klar festlegen: Die Grundlage für nachvollziehbare Bewertungen
Ein Audit liefert nur dann belastbare Ergebnisse, wenn von Anfang an klar ist, woran gemessen wird. In der Praxis ist genau das eine der häufigsten Schwachstellen: Es wird geprüft und bewertet, ohne dass die zugrunde liegenden Maßstäbe sauber definiert sind. Feststellungen lassen sich dann kaum begründen – und verlieren später an Verbindlichkeit.
Auditkriterien sind die konkreten Maßstäbe, gegen die ein Sachverhalt bewertet wird: Normanforderungen, interne Vorgaben, Prozessbeschreibungen, Arbeitsanweisungen, vertragliche Vereinbarungen, Qualitätsziele. Entscheidend ist ihre Trennschärfe. Normanforderungen, interne Regeln und Kundenerwartungen folgen nicht derselben Logik. Werden sie im Audit unscharf vermischt, entstehen Bewertungen, die plausibel wirken – methodisch aber angreifbar bleiben.
Klare Kriterien geben Orientierung, erhöhen die Vergleichbarkeit zwischen Audits und machen Ergebnisse für alle Beteiligten nachvollziehbar. Erst dann kann ein Audit seine eigentliche Stärke entfalten: Aussagen liefern, die dokumentiert, kommuniziert und wirksam weiterverarbeitet werden können.
Der risikobasierte Ansatz in ISO 19011: Was sich dadurch in der Auditplanung verändert
Der risikobasierte Ansatz in ISO 19011 bedeutet, dass Audits nicht starr nach Plan oder bloß nach Kalender durchgeführt werden, sondern nach Relevanz, Kritikalität und möglichem Einfluss priorisiert werden.
Konkret heißt das: Bei der Auditplanung wird bewertet, wo erhöhte Risiken oder Veränderungen bestehen, zum Beispiel bei kritischen Prozessen, neuen Standorten, auffälligen Lieferanten, wiederkehrenden Abweichungen oder organisatorischen Änderungen. Diese Bereiche erhalten mehr Aufmerksamkeit, eine höhere Audittiefe oder eine häufigere Prüfung als stabile, unauffällige Bereiche.
Der Ansatz bezieht sich aber nicht nur auf Risiken im auditierten Bereich, sondern auch auf Risiken für das Audit selbst, etwa ungeeignete Auditoren, fehlende Objektivität, unklare Kriterien oder unzureichende Nachweise. ISO 19011 fordert also ein Auditprogramm, das Ressourcen gezielt dort einsetzt, wo die Prüfung den größten Nutzen für Steuerung, Transparenz und Verbesserung bringt.
Audit-Durchführung: Was Top-Auditoren anders machen
In der Durchführung trennt sich saubere Methodik von reinem Abarbeiten. Top-Auditoren folgen keiner starren Routine, sondern verbinden Struktur mit einem klaren Blick für Zusammenhänge. Sie bleiben nah am Prozess, hinterfragen gezielt und bewerten nur das, was sich tatsächlich belegen lässt.
- Risikofokus auf die wenigen wirklich kritischen Prozessstellen
- Verknüpfung von Aussagen mit realen Abläufen vor Ort
- Hinterfragen bis zur tatsächlichen Ursache statt beim Symptom zu bleiben
- Einordnung von Abweichungen im Prozesskontext statt isolierter Bewertung
- Erkennen von Mustern über mehrere Bereiche oder Standorte hinweg
- Bewusste Auswahl von Stichproben mit hoher Aussagekraft
- Ableitung von Feststellungen, die direkt umsetzbar sind
- Klare Trennung zwischen Beobachtung, Bewertung und Interpretation
Typische Schwachstellen in realen Auditprogrammen
Typische Schwachstellen in Auditprogrammen entstehen selten durch fehlende Normkenntnis. Häufiger liegt das Problem in der Umsetzung: Bewertungen sind nicht vergleichbar, Informationen gehen verloren und aus Feststellungen werden keine wirksamen Maßnahmen. Diese Schwachstellen können in der Praxis zu Compliance-Risiken führen.
- Unklare Auditziele: Es wird geprüft, da wieder ein Audit ansteht“; nicht weil klar ist, welche Risiken, Prozesse oder Schwachstellen bewertet werden sollen.
- Auditplanung nach Kalender statt Risiko: Kritische Prozesse, neue Standorte, Lieferantenprobleme oder wiederkehrende Abweichungen werden nicht priorisiert.
- Uneinheitliche Auditkriterien: Auditkriterien sind unklar oder zu breit. Normanforderungen, interne Vorgaben und Prozessziele werden vermischt, wodurch Bewertungen schwer nachvollziehbar werden.
- Mechanische Checklisten-Nutzung: Fragen werden abgehakt, aber eine gute Gesprächsführung, Beobachtungen vor Ort, Nachfragen und eine reale Bewertung kommen zu kurz.
- Zu geringe Unabhängigkeit: Auditoren sind nicht unabhängig genug und prüfen Bereiche, zu denen sie fachlich oder organisatorisch zu nah stehen.
- Unklare Beschreibung von Abweichungen: Abweichungen werden zu weich formuliert. Statt klarer Feststellungen entstehen vage Hinweise wie „sollte verbessert werden“. Dadurch fehlt später die Verbindlichkeit.
- Oberflächliche Ursachenanalyse: Maßnahmen beheben sichtbare Symptome, aber nicht die Ursache im Prozess.
- Keine Prüfung der Maßnahmenwirkung: Korrekturmaßnahmen werden abgeschlossen, ohne zu prüfen, ob das Problem dauerhaft gelöst ist.
- Auditberichte ohne klare Prioritäten: Auditberichte sind zu lang und zu wenig entscheidungsfähig. Entscheider brauchen klare Aussagen zu Risiken, Mustern, Prioritäten und Handlungsbedarf.
- Lernen aus Audits findet kaum statt: Erkenntnisse bleiben im einzelnen Bericht hängen, statt über Standorte, Prozesse und Teams hinweg genutzt zu werden.
Digitalisierung als Hebel für Auditqualität
Digitale Lösungen verändern die Art, wie Audits geplant, durchgeführt und ausgewertet werden. Sie ersetzen jedoch nicht die Grundprinzipien von ISO 19011. Sie verstärken sie
Ein zentraler Vorteil liegt in der Verfügbarkeit von Daten. Ergebnisse sind in Echtzeit sichtbar. Trends können früh erkannt werden. Entscheidungen basieren nicht mehr auf einzelnen Berichten, sondern auf konsolidierten Informationen.
Ein weiterer Aspekt ist die Standardisierung. Digitale Checklisten, strukturierte Datenerfassung und zentrale Auswertung erhöhen die Vergleichbarkeit zwischen Standorten und Auditteams.
Gleichzeitig entsteht mehr Transparenz. Maßnahmen können verfolgt, Verantwortlichkeiten klar zugeordnet und Fortschritte sichtbar gemacht werden. Das reduziert Reibungsverluste und beschleunigt die Umsetzung.
firstaudit – Transparenz in jeder Auditphase
firstaudit unterstützt Unternehmen als Audit Software dabei, Audits über alle Phasen hinweg strukturiert, nachvollziehbar und konsistent umzusetzen. Auditkriterien, Prüffragen und Bewertungsmaßstäbe lassen sich einheitlich definieren und standortübergreifend anwenden. Feststellungen, Abweichungen und Nachweise werden direkt im Audit erfasst und zentral dokumentiert. Das reduziert Medienbrüche und verbessert die Nachvollziehbarkeit der Ergebnisse.
Im Kontext der ISO 19011 ist das besonders dort relevant, wo Auditprogramme durchdacht gesteuert und systematisch ausgewertet werden sollen. Eine saubere Dokumentation, klare Verantwortlichkeiten und die konsequente Verfolgung von Maßnahmen tragen dazu bei, dass Auditergebnisse aussagekräftig bleiben und aus Feststellungen tatsächliche Verbesserungen entstehen. Gleichzeitig wird die Vergleichbarkeit zwischen Audits erhöht, was die Bewertung von Entwicklungen, Risiken und wiederkehrenden Schwachstellen erleichtert.
Damit schafft firstaudit die organisatorische Grundlage, um Audits mit echtem Nutzen für das Managementsystem durchzuführen. Wer prüfen möchte, wie sich mehr Transparenz und Verbindlichkeit im Auditalltag praktisch umsetzen lassen, kann firstaudit 30 Tage lang kostenlos im eigenen Arbeitsumfeld testen.
Häufig gestellte Fragen
Was sind Auditkriterien und wie werden sie definiert?
Auditkriterien sind die Maßstäbe, gegen die geprüft wird, etwa Normanforderungen, interne Vorgaben oder vertragliche Regeln. Sie werden vor dem Audit klar festgelegt, damit Bewertung und Ergebnis nachvollziehbar bleiben. In der Praxis stammen sie meist aus Standards wie ISO 19011 oder unternehmensinternen Prozessen. Entscheidend ist, dass sie eindeutig, messbar und für alle Beteiligten transparent sind.
Ist ISO 19011 verpflichtend oder freiwillig?
Die ISO 19011 ist ein Leitfaden und rechtlich nicht verpflichtend. Sie wird freiwillig angewendet, um Audits strukturiert und vergleichbar durchzuführen. Verpflichtend werden nur die Normen, gegen die auditiert wird, nicht die Anleitung selbst. In der Praxis orientieren sich viele Unternehmen dennoch daran, weil sie sich bewährt hat.
Wie geht man mit Abweichungen im Audit um?
Abweichungen werden dokumentiert, bewertet und mit klaren Maßnahmen hinterlegt. Wichtig ist, die Ursache zu verstehen, nicht nur das Symptom zu beheben. Verantwortlichkeiten und Fristen werden festgelegt und nachverfolgt. Erst wenn die Maßnahme wirksam umgesetzt ist, gilt die Abweichung als geschlossen.
Wie wird die Objektivität im Audit sichergestellt?
Objektivität entsteht durch Unabhängigkeit, klare Kriterien und strukturierte Vorgehensweisen. Auditoren prüfen keine eigenen Verantwortungsbereiche und stützen sich auf belegbare Fakten. Bewertungen werden nachvollziehbar dokumentiert, nicht subjektiv begründet. So bleibt das Ergebnis überprüfbar und konsistent.
Wie bewertet man die Kompetenz von Auditoren?
ISO 19011 unterscheidet zwei zentrale Kompetenzbereiche: die methodische Auditorkompetenz, etwa Interviewführung, Beurteilungsvermögen und strukturierte Beweiserhebung, sowie disziplin-spezifisches Fachwissen über Prozesse, Anforderungen und Risiken des auditierten Bereichs.
Was ist der Unterschied zwischen ISO 19011 und ISO 45001 Audits?
ISO 19011 beschreibt, wie Audits durchgeführt werden, unabhängig vom Thema. ISO 45001 legt dagegen konkrete Anforderungen für Arbeitsschutzmanagement fest. Ein Audit nach ISO 45001 nutzt die Methodik der ISO 19011, prüft aber spezifische Inhalte. Die eine gibt den Rahmen vor, die andere den Inhalt.
Warum scheitern Korrekturmaßnahmen häufig?
Das häufigste Problem ist nicht, dass Maßnahmen nicht definiert werden. Es ist, dass sie zu früh als erledigt gelten. Eine Abweichung gilt in der Systematik der ISO 19011 erst dann als geschlossen, wenn die Wirksamkeit der Maßnahme nachgewiesen ist – nicht wenn die Maßnahme dokumentiert ist.
Wie lassen sich mehrere Standorte nach ISO 19011 auditieren?
Mehrere Standorte werden über ein zentrales Auditprogramm geplant und gesteuert. Einheitliche Kriterien und standardisierte Abläufe sorgen für vergleichbare Ergebnisse. Häufig wird risikobasiert entschieden, welche Standorte intensiver geprüft werden.
Was unterscheidet ISO 19011 von ISO/IEC 17021?
ISO 19011 beschreibt die Methodik für interne Audits und Lieferantenaudits. ISO/IEC 17021 regelt dagegen die Anforderungen an Zertifizierungsstellen und deren Audits im Rahmen von Zertifizierungen. Beide Normen verfolgen unterschiedliche Ziele: ISO 19011 bietet einen flexiblen Leitfaden für Organisationen, während ISO/IEC 17021 verbindliche Anforderungen für akkreditierte Audits festlegt.
Wann ist ein Remote-Audit methodisch gleichwertig – und wann nicht?
Remote-Audits sind seit der Revision 2018 in ISO 19011 verankert und heute eine anerkannte Auditmethode. Ob sie methodisch gleichwertig sind, hängt von Risiko, Ziel und Kontext des Audits ab. Bei Folgeaudits mit stabiler Audithistorie können sie vollwertig und effizient sein. Bei Erstaudits oder kritischen Lieferanten bleibt die Vor-Ort-Prüfung oft unverzichtbar.
Bilder: Adobe Stock – Copyright-Hinweis: © Deemerwha studio – stock.adobe.com