Zum Inhalt springen
📞 Praxisbezogene & bezahlbare ISO 27001 / TISAX Beratung: Jetzt kostenloses Erstgespräch sichern → Termin vereinbaren
Anfrage
NIS2
TISAX®
Startseite » ISO 19011 & Auditarten

ISO 19011 & Auditarten

Leitfaden für das auditieren von Managementsystemen
Leitfaden ISO 19011

ISO 19011 Leitfaden

Die ISO 19011 ist ein Leitfaden für das „Auditieren von Managementsystemen“. Eine aktualisierte Version der ISO 19011 ist im Dezember 2018 erschienen und ersetzt die Ausgabe aus 2002 „Auditieren von Qualitäts- und Umweltmanagementsystemen“. In der aktuellen Ausgabe 2011 bezieht sich das Auditieren auf alle Managementsysteme. Der Leitfaden ISO 19011:2018 ist anwendbar auf alle Organisationen, die interne und/oder externe Audits von Managementsystemen (MA-Systemen) durchführen oder ein Auditprogramm erstellen müssen [extern bezieht sich in der ISO auf 2nd party, also Lieferantenaudits]. Für 3rd party Audits (Zertifizierungsaudits) gilt die Norm ISO/IEC 17021. Sie hat zwar weite Teile der ISO 19011 im Kapitel 9 übernommen, aber nicht komplett (z.B. Remote Audits, risikobasierter Auditansatz).

ISO 19011:2018 in der Praxis

Der Leitfaden enthält Richtlinien für die Auditierung von Managementsystemen durch Erst-, Zweit- und Drittanbieter. Er beschreibt die Verwaltung eines Auditprogramms, Auditmethoden und die Kompetenzanforderungen an Auditoren. Obwohl der Inhalt nicht verpflichtend ist, bildet der Standard die Grundlage für Managementsystemprüfungen. In vielen Managementsystemen und Sektorschemadokumenten wird ausdrücklich darauf verwiesen (siehe ISO 9001:2015, Abschnitt 9.2 Interne Audits). Auch für Lieferantenaudits und die Bewertung der Prozesswirksamkeit im Hinblick auf gesetzliche Vorgaben ist er hilfreich. Viele Auditoren wurden über Jahre hinweg nach der ISO 19011 geschult.

Wichtig ist: Die ISO 19011 ist ein Leitfaden, keine verpflichtende Norm. Jede Organisation entscheidet selbst, ob sie diese Richtlinien bei der Planung, Durchführung und Nachbereitung ihrer Audits anwendet.

Übersicht ISO 19011

Die in der Norm enthaltenen Richtlinien sollen flexibel sein und ihre Anwendung kann je nach Größe, Art und Komplexität einer Organisation unterschiedlich sein. An der Entwicklung haben mehrere Branchen mitgewirkt – darunter Luft- und Raumfahrt, Erdöl, Medizintechnik, Telekommunikation, Service und Fertigung. Ebenso haben Experten aus Managementsystemdisziplinen wie Umwelt, Arbeitsschutz oder Straßenverkehrssicherheit beigetragen. Dadurch ist der Standard universell einsetzbar.

Im Kontext der Konformitätsbewertung enthält ISO 19011 Richtlinien für den Auditprozess und die Verwaltung des Auditprogramms. Besonderes Augenmerk lag bei der Entwicklung auf der Übereinstimmung mit der ISO/IEC 17021. Diese Verbindung verstärkt die Anforderungen an den Auditprozess und die Auditorenkompetenz.

Wichtig: Die ISO 19011 ist ein Leitfaden, keine Pflicht. Organisationen entscheiden selbst, in welchem Umfang sie ihn anwenden. Auch interne Auditoren sollten Änderungen im Blick behalten und die Ausgabe 2018 als Referenzdokument nutzen.

Neuerungen in ISO 19011:2018

Gegenüber der Ausgabe von 2011 enthält die ISO 19011:2018 mehrere wichtige Weiterentwicklungen, die die Auditpraxis modernisieren und vereinfachen:

  • Risikobasiertes Denken: Stärkere Berücksichtigung von Risiken und Chancen bei der Planung und Durchführung von Audits.
  • Führungskräfte im Fokus: Größere Rolle der Führung bei der Sicherstellung, dass Auditziele mit der Unternehmensstrategie übereinstimmen.
  • Informations- & Kommunikationstechnologien: Nutzung moderner IT-Tools für Planung, Durchführung und Nachverfolgung von Audits.
  • Einfachere Sprache: Verständlichere Formulierungen für bessere Anwendbarkeit in der Praxis.
  • Mehrwert von Audits: Audits dienen nicht nur zur Erfüllung von Anforderungen, sondern aktiv der Verbesserung von Effektivität und Effizienz.

Verwandte Themen & weiterführende Links

Weitere Artikel und Hilfestellungen zu Audits, Managementsystemen und Qualitätsmethoden, die Ihnen helfen, die ISO 19011 und angrenzende Normen noch besser in der Praxis anzuwenden.

FAQ – ISO 19011 & Auditarten

1 Welche Auditarten gibt es nach ISO 9001 und ISO 19011?
Interne Audits, Lieferantenaudits (Second Party), Zertifizierungsaudits (Third Party) sowie Prozessaudits und Produktaudits. Ergänzt durch Remote- und digitale Audits.
2 Wofür dient die Norm ISO 19011?
Sie ist der Leitfaden für das Auditieren von Managementsystemen. Sie definiert Prinzipien, Auditprogramme und Anforderungen an Auditoren.
3 Was unterscheidet interne von externen Audits?
Interne Audits prüfen das eigene Managementsystem, externe Audits erfolgen durch Kunden oder Zertifizierungsgesellschaften. Beide verfolgen das Ziel der Wirksamkeit und Verbesserung.
4 Welche neuen Formen gibt es?
Remote Audits und digitale Audits gewinnen an Bedeutung, weil sie flexible und ortsunabhängige Prüfungen ermöglichen.
5 Welche Qualifikationen braucht ein Auditor?
Auditoren benötigen Fachkenntnisse, Methodenkompetenz, Kommunikationsfähigkeit sowie eine anerkannte Auditoren-Ausbildung nach ISO 19011.
📩 Unterstützung bei internen & externen Audits anfragen
Interne Audits | SMCT-MANAGEMENT
Interne Audits | SMCT-MANAGEMENT

Grundsätze des Audits

Ein Auditor sollte mit den sieben Auditgrundsätzen vertraut sein und diese auf den Auditprozess anwenden. Sie bilden den Kompass, der das Verhalten der Auditoren steuert, um Professionalität und Objektivität sicherzustellen. Mit der Ausgabe ISO 19011:2018 wurde zusätzlich der risikobasierte Ansatz als Grundsatz aufgenommen.

Integrität: Grundlage für das Vertrauen in die Arbeit des Auditors.
Sachliche Darstellung: Ergebnisse klar, korrekt und vollständig kommunizieren.
Angemessene berufliche Sorgfalt: Fachwissen und Sorgfaltspflicht anwenden.
Vertraulichkeit: Informationen schützen und verantwortungsvoll handhaben.
Unabhängigkeit: Objektivität sicherstellen und Interessenkonflikte vermeiden.
Faktengestützter Ansatz: Entscheidungen und Schlussfolgerungen auf überprüfbaren Nachweisen basieren.
Risikobasierter Ansatz: Risiken bei Planung, Durchführung und Bewertung von Audits berücksichtigen.

Die Anwendung dieser Auditgrundsätze stellt sicher, dass Prüfungen mit den höchsten Integritätsstandards durchgeführt werden, auf Risiken und überprüfbaren Nachweisen beruhen und die beabsichtigten Ziele zuverlässig erreichen.

GAP Analyse | SMCT-MANAGEMENT
GAP Analyse | SMCT-MANAGEMENT

Oberste Leitung

Die oberste Leitung trägt die Verantwortung für das Management von Auditprogrammen. Sie muss Verantwortliche benennen, die alle notwendigen Aktivitäten für Planung und Organisation übernehmen. Diese Personen sollten mit den Auditprinzipien vertraut sein, die Bedeutung qualifizierter Auditoren kennen und Erfahrung mit Auditmethoden besitzen.

Verantwortliche benennen: Zuständige für das Auditprogramm bestimmen, die Planung und Organisation sicherstellen.
Auditprinzipien & Methoden: Sicherstellen, dass Verantwortliche Kenntnisse der Auditprinzipien und -methoden haben.
Qualifizierte Auditoren: Verstehen, warum Auditoren kompetent und entsprechend geschult sein müssen.

Ressourcen & Unterstützung

Finanzielle Mittel: Bereitstellung der Budgets zur Entwicklung, Umsetzung, Steuerung und Verbesserung der Audits.
Fachkräfte & Auditoren: Sicherstellen, dass qualifizierte Sachkundige und Auditoren verfügbar sind.
Praktische Unterstützung: Notwendige Rahmenbedingungen wie Reisezeiten oder Unterbringung regeln.

Auditplan

Für die Koordination der Audittätigkeiten und deren Zeitplanung erstellt der Auditleiter einen Auditplan. Dabei werden die Verantwortlichkeiten, Prozesse, Funktionen, Standorte etc. festgelegt. Checklisten und mitgeltende Dokumente werden im Auditplan als Bezugsdokumente herangezogen. Im Auditplan kann sowohl ein Zeitplan für ein einzelnes Managementsystem als auch ein kombiniertes Audit (Umwelt, Qualität) geplant werden. Ferner werden die zu auditierenden Normkapitel bzw. Elemente angegeben. Der Auditplan sollte von der Geschäftsleitung (Oberste Leitung) freigegeben werden.

Auditprogramm

Das Auditprogramm legt fest, wann Prozesse und/oder Bereiche auditiert werden und ferner die Verantwortlichkeiten sowie die Ziele. In der neuen Revision der DIN ISO 9001 ist im Kapitel 9.2 (Internes Audit) gefordert, Ergebnisse und den Nachweis der Verwirklichung des Auditprogramms als dokumentierte Information aufzubewahren sowie die Methoden, Verantwortlichkeiten, welche Qualitätsziele, Bedeutung der betroffenen Prozesse etc. zu berücksichtigen.

Das Auditprogramm wird am Anfang des Jahres durch den/die verantwortlichen Mitarbeiter erstellt und kann aufgrund Vorkommnisse, Veränderungen jederzeit aktualisiert werden. Hierzu sollte wie bei jedem gelenkten Dokument eine Änderungshistorie nicht fehlen.

Unterschied Auditprogramm - Auditplxan | SMCT-MANAGEMENT
Unterschied Auditprogramm – Auditplxan | SMCT-MANAGEMENT

Auditierung

Die Auditierung von Managementsystemen, insbesondere bei internen Systemaudits, sollte nicht aus der „hohlen Hand“ erfolgen, sondern nach einer klar strukturierten Prozedur. Bei Zertifizierungen (3rd Party Audits) wird ein Managementsystem nach der ISO/IEC 17021:2011 (Auditieren und Zertifizieren) geprüft.

Interne Audits zur Überprüfung von Qualitätsmanagementsystemen nach ISO 9001 und/oder IATF 16949 sollten gemäß der DIN ISO 19011 durchgeführt werden. Der Ablauf ist in der Norm übersichtlich beschrieben und umfasst Auditplanung, Auditprogramme, Durchführung sowie die Bewertung der Ergebnisse. Dies betrifft Managementsysteme wie ISO 9001, IATF 16949 oder ISO 14001.

Der Abschnitt 5 der ISO 19011 enthält Leitlinien zur Verwaltung von Auditprogrammen. Verantwortliche für Auditprogramme sollten sicherstellen:

Auditprogramm erstellen: Planung und Festlegung von Abläufen, Zeitrahmen und Zielen.
Risiken & Chancen berücksichtigen: Bewertung möglicher Risiken und Chancen für den Auditprozess.
Auditziele definieren: Klare Ziele für jedes Audit festlegen, die den Mehrwert der Prüfung sicherstellen.
Kompetenz des Auditteams: Sicherstellen, dass das Team fachlich dem Auditumfang und den Zielen entspricht.
Ressourcen bereitstellen: Ausreichende zeitliche, personelle und finanzielle Mittel zur Verfügung stellen.
Überwachung & Bewertung: Durchführung der Audits beobachten und Ergebnisse zur Verbesserung des Programms nutzen.
Berater Stefan Stroessenreuther

Leitfaden keine Forderung

Wichtig ist, dass es sich bei der ISO 19011:2018 um einen Leitfaden handelt und somit keine Forderungen aufstellt. Sobald Sie aber in Ihrer Audit Dokumentation Formulierungen gebrauchen wie z.B. Auditprogramme und Audits werden auf Basis der ISO 19011 durchgeführt, erheben Sie den Leitfaden zu einem Dokument, dass für Ihr Managementsystem Forderungen aufstellt.​

Rollen und Verantwortlichkeiten

Die ISO 19011 enthält detaillierte Anleitungen zur Planung, Durchführung und Berichterstattung von Audits. Sie liefert praxisnahe Hilfestellungen zu wichtigen Themen, die den gesamten Auditprozess abdecken.

Auditteams: Definition der Rollen und Verantwortlichkeiten jedes Mitglieds im Auditteam.
Eröffnungs- & Abschlusssitzungen: Durchführung strukturierter Meetings zur Klarstellung von Zielen, Ablauf und Ergebnissen.
Dokumentation prüfen: Überprüfung relevanter dokumentierter Informationen zur Vorbereitung des Audits.
Nachweise sammeln & bewerten: Systematisches Sammeln und Verifizieren von Auditnachweisen.
Auditergebnisse: Dokumentation und Bewertung der Auditfeststellungen.
Auditbericht: Erstellung eines klar strukturierten Auditberichts mit allen Ergebnissen und Empfehlungen.

In einigen Fällen bietet der Anhang der ISO 19011 zusätzliche Detailinformationen und Leitlinien zu den einzelnen Schritten.

Management Auditprogramm

Die wesentlichen Aspekte eines Auditprogramms können auch übersichtlich mit einem Turtle-Diagramm dargestellt werden. Dieses Modell unterstützt Auditoren und Verantwortliche dabei, interne Audits strukturiert zu leiten und zu steuern.

Inputs der Auditierung:
Abhängig von Unternehmensgröße, relevanten Auditkriterien, Kundenstatus (z. B. OEM) sowie den Ergebnissen vorheriger Audits.
Outputs der Auditierung:
Auditprogrammziele, identifizierte Verbesserungspotenziale, beseitigte Nichtkonformitäten sowie erkannte Risiken der Organisation.
Kompetenz der Auditoren:
Auditoren müssen sowohl fachliche als auch methodische Kompetenz besitzen, die Prozesse der Organisation kennen und Risiken eines Auditprogramms bereits im Vorfeld bewerten können.

Durch die Kombination aus klar definierten Inputs, qualifizierten Auditoren und messbaren Outputs kann ein Auditprogramm gezielt zur Verbesserung der Organisation beitragen und Risiken nachhaltig reduzieren.

Kompetenz und Bewertung

Kompetenz ist in ISO 9000:2015 definiert als die „Fähigkeit, Wissen und Fähigkeiten anzuwenden, um die beabsichtigten Ergebnisse zu erzielen“. Die Leitlinien in ISO 19011 zur Kompetenz und Bewertung von Auditoren betonen die Bedeutung sowohl der Teamkompetenz als auch der individuellen Fähigkeiten jedes Auditors.

Individuelle Kompetenz:
Auditoren sollten über die erforderlichen Kenntnisse und Fähigkeiten verfügen, um die Ziele der Prüfungen zuverlässig zu erreichen. Dazu gehören sowohl allgemeine als auch branchenspezifische Fachkenntnisse.
Teamkompetenz:
Neben den individuellen Fähigkeiten spielt die Kompetenz des gesamten Auditteams eine entscheidende Rolle. Der Leiter des Auditteams benötigt zusätzliche Fähigkeiten, um das Team effektiv zu führen.
Bewertung der Kompetenz:
Die Kompetenz sollte durch einen strukturierten Prozess bestimmt werden, der sowohl das persönliche Verhalten als auch die Fähigkeit berücksichtigt, Kenntnisse und Fertigkeiten anzuwenden. Dazu zählen Ausbildung, Berufserfahrung, Auditorenschulungen und Prüfungserfahrung.
Sektor- & Audittyp-spezifische Kriterien:
Abhängig von der Art des Audits (z. B. Zertifizierungsaudit durch Dritte) und der geprüften Branche können Kompetenzkriterien variieren. Für externe Auditoren definiert ISO/IEC 17021-1, Abschnitt 4.3 allgemeine Anforderungen. Ergänzende Dokumente wie ISO/IEC 17021-3 enthalten spezifische Kriterien, z. B. für Qualitätsmanagementsysteme.

Auditoren sollten mit den Inhalten der ISO/IEC 17021-1, Abschnitt 4.3, vertraut sein, um ihre berufliche Kompetenz aufrechtzuerhalten, weiterzuentwickeln und in der Praxis erfolgreich einzusetzen.

Tipps zur Anwendung der ISO 19011

Die ISO 19011 ist die zentrale Norm für Auditoren, die bei der Planung und Durchführung von Audits eingesetzt wird. Sie gibt praktische Leitlinien und Methoden vor, um Audits effektiv, effizient und risikobasiert umzusetzen. Die folgenden Tipps unterstützen Sie bei der erfolgreichen Anwendung in der Praxis:

1. Verstehen Sie die Grundsätze des Audits:
Die Norm definiert sieben Auditgrundsätze. Diese bilden die Basis für Professionalität, Integrität und Wirksamkeit eines Audits und sollten konsequent berücksichtigt werden.
2. Sorgfältige Planung:
Nutzen Sie ISO 19011 zur Erstellung eines detaillierten Auditplans mit klaren Zielen, Scope, Ressourcen, Zeitplan und Methoden.
3. PDCA-Methode anwenden:
Strukturieren Sie den Auditprozess nach Plan-Do-Check-Act, um alle Schritte systematisch und vollständig abzudecken.
4. Relevante Normen berücksichtigen:
Beziehen Sie Normen wie ISO 9001 (Qualität) oder ISO 14001 (Umwelt) ein. ISO 19011 bietet den Leitfaden, wie diese Standards in Audits überprüft werden.
5. Ergebnisse dokumentieren:
Dokumentieren Sie Auditfeststellungen, Ergebnisse und Empfehlungen vollständig, um Transparenz und Nachvollziehbarkeit sicherzustellen.
6. Werkzeuge & Methoden einsetzen:
Wählen Sie geeignete Audit-Tools und Methoden aus, die ISO 19011 empfiehlt, um präzise und effiziente Audits durchzuführen.
7. Auditoren-Team schulen:
Sorgen Sie für regelmäßige Schulungen, damit Ihr Team die Anforderungen der ISO 19011 kennt und professionell umsetzt.
8. Kontinuierlich verbessern:
Nutzen Sie die Ergebnisse Ihrer Audits, um den gesamten Auditprozess stetig weiterzuentwickeln und effizienter zu machen.

Mit diesen Tipps lässt sich die ISO 19011 praxisnah umsetzen – für Audits, die nicht nur Anforderungen erfüllen, sondern echten Mehrwert und nachhaltige Verbesserungen schaffen.

ISO 27001:2022 Standard | ISO 27001:22 Beratung | Checklisten ISO 27001:2022

Berechnung der durchschnittlichen Zertifizierungskosten ISO 9001

Qualitätsmanagement Beratung ISO 9001 - kompetent und flexibel