Kennen Sie das? Anfang des Jahres öffnen Sie Ihre Auditplanung, tragen die Prozesse in eine Tabelle ein, verteilen Termine auf die nächsten zwölf Monate – und fertig ist das Auditprogramm.
Nur: Es ist eben kein Auditprogramm. Es ist ein Kalender. Und der Unterschied ist größer, als er auf den ersten Blick aussieht.
Die ISO 9001 widmet der Auditprogrammplanung in ihrer neuen Fassung ein eigenes Unterkapitel. Mit einer deutlichen Ansage: Wer nur Termine plant, erfüllt die Anforderungen nicht. Was stattdessen gefordert wird, und wie Sie es Schritt für Schritt umsetzen, darum geht es hier.
🎙️ Den vollständigen Podcast dazu finden Sie in der aktuellen Episode von „QM mit Sinn und Verstand".
Mehr solcher Themen hören und nichts mehr verpassen?
🎧 Podcast abonnieren und immer auf dem neuesten Stand sein!
Für Apple-Menschen
Bei Amazon hören!
Bei Spotify hören!
Was ein Auditprogramm wirklich ist – und warum es mehr braucht als Daten
Ein Auditprogramm ist der Gesamtfahrplan für Ihre internen Audits – für den gesamten Zertifizierungszeitraum. Nicht für die nächsten vier Wochen.
Es beantwortet nicht nur: Wann prüfen wir was? Es beantwortet vor allem: Warum prüfen wir das genau jetzt? Mit welchem Fokus? Mit welcher Tiefe? Und welche Methode ist die richtige?
Die ISO 9001 nennt dafür konkrete Kriterien. Im Auditprogramm sollen Prozessbedeutung, organisatorische Veränderungen, strategische Ziele sowie Risiken und Chancen berücksichtigt werden.
Eine Teilnehmerin aus einem meiner Trainings hat das einmal treffend beschrieben: „Das ist doch so, als würde ich Patienten zweimal im Jahr einbestellen, ohne vorher zu überlegen, welche Untersuchungen sinnvoll sind und warum."
Genau. Das Auditprogramm ist das Gesundheitskonzept. Der Terminkalender ist die Rezeption.
🎧 Lieber hören als lesen? Hier lang!
Was die ISO 9001 in Bezug auf interne Audits fordert und was sie nicht sagt
„Müssen wir alle Prozesse einmal im Zertifizierungszeitraum auditiert haben?"
Die Antwort der ISO 9001: Nein. Da steht nur, dass interne Audits in geplanten Abständen durchzuführen sind. Kein Wort von „alle Prozesse", „alle ISO-Kapitel" oder „alle Abteilungen mindestens einmal in drei Jahren".
Wenn Ihr externer Auditor das trotzdem fordert, lohnt sich eine direkte Frage: Wo steht das in der Norm? Ist es eine ISO-Anforderung oder eine Vorgabe der Zertifizierungsstelle?
Was die ISO 900 klar fordert: ein risiko- und chancenbasiertes Vorgehen. Wer Audit-Ressourcen gleichmäßig über alle Prozesse verteilt, unabhängig von Relevanz und Risiko, verschenkt Zeit. Im schlimmsten Fall übersieht er die Stellen, an denen das System wirklich Aufmerksamkeit braucht.
Ein Prozess, der seit Jahren stabile Kennzahlen zeigt, kaum Personalwechsel hat und keine Beschwerden produziert, der muss nicht jährlich auf dem Prüfstand stehen. Eine Abteilung, die gerade wächst, neue Mitarbeitende einarbeitet und mit steigenden Fehlerquoten kämpft verdient mehr Aufmerksamkeit.
📋 Sieben Schritte zum ISO-9001-konformen Auditprogramm
Schritt 1: Ziele klären. Wofür ist Ihr Auditprogramm da? Soll es Konformität absichern? Die Wirksamkeit des Systems bewerten? Verbesserungspotenziale finden? Strategische Risiken adressieren? Wer das nicht klar hat, baut keinen Prüffahrplan, sondern einen Kalender.
Schritt 2: Prozesse bewerten und priorisieren. Welche Prozesse sind qualitätskritisch, weil sie nah am Kunden sind, häufig Fehler produzieren oder seit kurzem verändert wurden? Welche laufen seit Jahren stabil? Diese Einschätzung ergibt eine Prioritätsliste: Rote Prozesse kommen öfter dran. Grüne Prozesse seltener, bis sich ihr Status verändert.
Schritt 3: Chancen nicht vergessen. Auditieren heißt nicht nur: Fehler suchen. Es heißt auch: Lernen, wo etwas besonders gut läuft. Wo lassen sich Erkenntnisse sichern oder in andere Bereiche übertragen? Ein chancenbasiertes Auditprogramm fördert organisationales Lernen.
Schritt 4: Veränderungen einbeziehen. Neue Dienstleistungen, neue Führungskräfte in Schlüsselpositionen, neue Tools verändern das Risikobild. Wenn Ihr Auditprogramm seit drei Jahren identisch aussieht, obwohl sich die Organisation verändert hat, sollten Sie ran.
Schritt 5: Querschnittsthemen einbauen. Qualitätskultur, Verbesserungsmanagement, KI-Einsatz oder strategische Ziele lassen sich als Querschnittsthemen in alle Audits integrieren. Die Mitarbeitenden nehmen sich ohnehin Zeit, nutzen Sie die Zeit für zwei oder drei übergreifende Fragen.
Schritt 6: Methoden bewusst wählen. Vor-Ort-Audit, Remote-Audit, Selbstbewertung, Dokumentenprüfung, direkte Beobachtung, das Repertoire ist breit angelegt. Die Methode sollte zum Thema und zum Risiko passen. Und sie sollte respektieren, dass jedes Audit auch die Zeit der Mitarbeitenden bindet. Was sich alleine mit Dokumenten klären lässt, muss nicht in ein zweistündiges Interview.
Schritt 7: Regelmäßig überprüfen und anpassen. Ein Auditprogramm ist kein Einmaldokument. Idealerweise koppeln Sie die Überprüfung an die Managementbewertung: Erkenntnisse aus Audits fließen in die Bewertung ein. Deren Ergebnisse formen das nächste Programm. So schließt sich der Kreis.
Wie Sie die Geschäftsführung ins Auditprogramm einbinden 🤝
Das ist die Frage, die in jedem Training früher oder später kommt. Und meistens folgt ihr eine Geschichte über eine Leitung, die sich für Audits nicht interessiert und für das Auditprogramm erst recht nicht.
Meine Empfehlung: Verbinden Sie die Auditprogrammplanung mit der Managementbewertung. Stellen Sie dort konkret die Frage: Welche Konsequenzen ergeben sich aus den aktuellen Ergebnissen für das Auditprogramm des nächsten Jahres?
Bringen Sie eigene Vorschläge als Diskussionsgrundlage mit. Wenn ein AZAV-Träger zum Beispiel aus seiner Kennzahlenauswertung weiß, dass es bei der Abrechnung von Bildungsgutscheinen vermehrt Rückfragen gibt und Zahlungen dadurch verzögert sind, dann gehört genau dieser Prozess priorisiert ins nächste Auditprogramm.
Wer das Auditprogramm als Steuerungsinstrument präsentiert, hat ein viel stärkeres Argument als derjenige, der einfach sagt: „Ich brauche Zeit für Audits."
KI als Unterstützung bei der Auditprogrammplanung 🤖
Ein kurzer Ausblick zum Schluss:
Wer schon mit KI-Tools arbeitet, kann sie auch bei der Auditprogrammplanung sinnvoll einsetzen. Stellen Sie sich vor, Sie füttern eine geschlossene KI-Instanz mit Ihren Reklamationsdaten, den letzten Auditberichten und aktuellen Kennzahlen. Dann stellen Sie die Frage: „Welche drei Schwerpunkte für das Auditprogramm 2026 haben das größte Risikopotenzial?"
KI im Qualitätsmanagement ist ein Thema, das ich regelmäßig in meinen Schulungen aufgreife. Falls Sie da tiefer einsteigen möchten, schauen Sie gerne in mein aktuelles Weiterbildungsprogramm.
Fazit: Fangen Sie mit dem Warum an
Ein Auditprogramm, das nur Termine verwaltet, verschenkt Potenzial. Es bindet Zeit und Ressourcen, ohne den Fokus dorthin zu lenken, wo er gebraucht wird.
Die entscheidende Frage ist: Warum auditieren wir ausgerechnet diesen Prozess – genau jetzt?
Wenn Sie diese Frage für jeden Eintrag in Ihrer Planung nicht beantworten können, wäre das ein guter erster Schritt. Wer das Warum kennt, kann auch der Leitung erklären, warum das Auditprogramm genau so aussieht, wie es aussieht.
👉 Gratis-Vorlage: Den Link zur Vorlage schicke ich Ihnen gerne zu.
📣 Nächster Schritt: Auditprogramm aufsetzen und nicht allein
Wenn Sie beim Lesen gemerkt haben: „Ich habe tatsächlich nur eine Terminübersicht – und ich weiß nicht genau, wo ich anfangen soll": Melden Sie sich gerne unter mail@mq-koeln.de
Und wenn Sie Lust haben, mehr zu hören, statt zu lesen, wären diese Podcast-Episoden vielleicht hilfreich.
- 🎧 Interne Audits: Was Auditoren von Mediatorinnen lernen können
- 🎧 Audit-Gespräche meistern: 5 journalistische Techniken | MQ
- 🎧 Interne Audits mit Wirkung: Won der Pflichtübung zum Mehrwert
❓FAQ: Warum Ihr Auditprogramm keine Terminplanung ist.
Frage: Was ist der Unterschied zwischen einem Auditprogramm und einer Auditplanung?
Antwort: Diese beiden Begriffe werden im QM-Alltag oft durcheinandergeworfen, dabei beschreiben sie grundlegend verschiedene Dinge. Das Auditprogramm ist die strategische Gesamtplanung für den Zertifizierungszeitraum. Es legt fest, welche Prozesse mit welchem Fokus, welcher Tiefe und welcher Methode geprüft werden sollen und warum. Es berücksichtigt Risiken, Chancen, Veränderungen und strategische Ziele der Organisation. Die Auditplanung hingegen ist die operative Detailplanung für ein einzelnes, konkretes Audit: Wer nimmt teil? Welche Dokumente werden geprüft? Welche Fragen werden gestellt? Kurz: Das Programm ist die Strategie. Die Planung ist die Durchführung. Wer nur plant, aber kein Programm hat, beantwortet die Frage „Wann?" aber nie die Frage „Warum gerade jetzt und gerade hier?".
Frage: Muss ich alle Prozesse innerhalb des Zertifizierungszeitraums einmal auditiert haben?
Antwort: Diese Frage höre ich in fast jedem Training und die Antwort lautet: Es kommt darauf an, wen man fragt. Fragt man die ISO 9001, ist die Antwort eindeutig: Nein. Die Norm fordert interne Audits in geplanten Abständen. Von einer Pflicht zur vollständigen Prüfung aller Prozesse oder aller ISO-Kapitel innerhalb von drei Jahren steht dort nichts. Fragt man bestimmte Auditor:innen oder Zertifizierungsstellen, kann die Antwort anders ausfallen – weil manche Stellen eigene Vorgaben haben, die über die Norm hinausgehen. Wenn Ihr externer Auditor eine solche Anforderung stellt, lohnt sich eine direkte Rückfrage: Wo steht das in der Norm? Handelt es sich um eine ISO-Anforderung oder um eine Vorgabe Ihrer Zertifizierungsstelle? Den Unterschied zu kennen, ist wichtig, denn er entscheidet darüber, wie viel Gestaltungsspielraum Sie tatsächlich haben.
Frage: Wer ist in der Organisation für das Auditprogramm verantwortlich?
Antwort: Formal liegt die Verantwortung bei der obersten Leitung. Das Auditprogramm ist kein QMB-Dokument, es ist ein Steuerungsinstrument der Organisation. Die gute Nachricht: Über Kapitel 5.3 der ISO 9001 kann die Leitung diese Verantwortung an den QMB delegieren. Die ISO 19011, die Leitlinie für Audits, sieht hierfür sogar eine eigene Rolle vor: Auditprogramm-Manager:in. In der Praxis bedeutet das oft, dass der QMB das Programm inhaltlich entwickelt, Vorschläge einbringt und die Umsetzung steuert, die Leitung aber im Rahmen der Managementbewertung eingebunden wird und den Rahmen bestätigt.
Frage: Wie oft muss das Auditprogramm überprüft und angepasst werden?
Antwort: Die ISO fordert, dass das Auditprogramm regelmäßig überprüft und bei Bedarf angepasst wird. Wie oft genau, schreibt sie nicht vor, das liegt in der Verantwortung der Organisation. In der Praxis empfiehlt sich eine enge Kopplung an den Zyklus der Managementbewertung. Die Ergebnisse der Audits fließen in die Bewertung ein. Die Erkenntnisse aus der Bewertung, neue Risiken, veränderte Strategie, auffällige Kennzahlen, formen das nächste Auditprogramm. So entsteht ein echter Regelkreis statt eines Dokuments, das einmal erstellt und dann drei Jahre nicht mehr angerührt wird. Ein Auditprogramm, das seit Jahren unverändert ist, während sich die Organisation verändert hat, ist kein gutes Zeichen.
Frage: Wie bringe ich die Geschäftsführung dazu, sich mit dem Auditprogramm zu befassen?
Antwort: Das ist vermutlich die Frage, die mir am häufigsten gestellt wird und sie ist berechtigt. Denn in einer idealen Welt käme die Leitung von selbst und fragte: „Wir investieren so viel Zeit in interne Audits, wo setzen wir die Ressourcen am sinnvollsten ein?" In der Realität passiert das selten von allein. Meine Empfehlung: Nutzen Sie die Managementbewertung als Hebel. Integrieren Sie die Auditprogrammplanung als festen Tagesordnungspunkt und stellen Sie die Frage konkret: Welche Konsequenzen ergeben sich aus den aktuellen Ergebnissen für das Auditprogramm des nächsten Jahres? Bringen Sie eigene Vorschläge mit als Diskussionsgrundlage. Leitung entscheidet dann mit. Das erzeugt Verantwortung und Bewusstsein und macht es viel schwieriger, das Auditprogramm später zu ignorieren.
Frage: Was bedeutet risikobasierte Auditprogrammplanung konkret im Alltag?
Antwort: Risikobasiert bedeutet: Die Audit-Ressourcen gehen dorthin, wo sie am meisten bewirken, nicht gleichmäßig über alle Prozesse verteilt. Konkret stellen Sie sich bei der Programmplanung Fragen wie: Welche Prozesse sind qualitätskritisch, weil sie nah am Kunden sind oder wiederholt Fehler produzieren? Wo gab es im letzten Audit Auffälligkeiten? Welche Bereiche haben hohe Personalfluktuation oder stecken gerade mitten in einer Veränderung? Diese Prozesse kommen häufiger und intensiver auf den Prüfstand. Stabile, unauffällige Prozesse mit grünen Kennzahlen und konstanter Besetzung können seltener dran sein – bis sich ihr Status ändert. Risikobasiert heißt also nicht „nur prüfen, wo es brennt". Es heißt auch: rechtzeitig hinschauen, bevor es brennt.
Frage: Welche Methoden darf ich im Rahmen des Auditprogramms einsetzen?
Antwort: Das Methodenrepertoire ist breiter, als viele QMBs wissen. Neben dem klassischen Vor-Ort-Audit sind Remote- und hybride Audits vollständig normkonform. Auch Selbstbewertungen, bei denen Mitarbeitende einen strukturierten Fragebogen ausfüllen, sind ein anerkanntes Format. Ebenso Dokumentenprüfungen vor oder statt eines Interviews sowie direkte Beobachtungen, also das stille Mitlaufen bei Abläufen. Die Wahl der Methode sollte vom Thema und vom Risiko abhängen. Ein weiterer Gedanke, der mir wichtig ist: Jedes Audit bindet auch die Zeit der Mitarbeitenden. Was sich mit Dokumenten klären lässt, muss nicht in ein zweistündiges Interview. Respektvoller Ressourceneinsatz gehört für mich zum menschenzentrierten QM dazu.
Frage: Wie baue ich Querschnittsthemen sinnvoll in das Auditprogramm ein?
Antwort: Querschnittsthemen sind Themen, die Sie unabhängig vom jeweiligen Prüfprozess in alle oder viele Audits integrieren können. Klassische Beispiele: Qualitätskultur, Umgang mit Fehlern, Verbesserungsmanagement oder der Einsatz neuer Technologien wie KI. Der Vorteil: Sie nutzen die ohnehin reservierte Auditzeit doppelt. Sie prüfen den Prozess und sammeln gleichzeitig Eindrücke zu einem übergreifenden Thema. Das macht aus einzelnen Audits ein verbundenes Gesamtbild. Besonders sinnvoll ist das für Themen, die sich quer durch die Organisation ziehen und die in keinem einzelnen Prozessaudit vollständig sichtbar werden. Die ISO 9001:2026 legt genau dort mehr Gewicht hin: auf Qualitätskultur, ethisches Verhalten und gelebte Werte. Querschnittsaudits sind ein direktes Instrument, das zu messen.
Frage: Kann ich KI-Tools sinnvoll bei der Auditprogrammplanung einsetzen?
Antwort: Ja, und ich finde, das lohnt sich, zumindest als Ergänzung. Wer eine geschlossene KI-Instanz mit Reklamationsdaten, den letzten Auditberichten und aktuellen Kennzahlen füttert, kann gezielt fragen: „Welche drei Prozesse zeigen die größten Risiken für unsere Kundenzufriedenheit?" oder „Welche Auffälligkeiten wiederholen sich über die letzten zwei Jahre?" Das ersetzt keine fachliche Einschätzung aber es gibt einen strukturierten Ausgangspunkt und spart Zeit bei der Analyse. KI im Qualitätsmanagement ist ein Thema, dem ich mich bewusst widme. Ich nehme dabei auch diejenigen mit, die noch am Anfang stehen. Es ist nie zu spät anzufangen. Falls Sie hier tiefer einsteigen möchten, schauen Sie gerne in mein aktuelles Weiterbildungsprogramm.
Frage: Wo finde ich praktische Unterstützung beim Aufbau meines Auditprogramms?
Antwort: Wenn Sie nach diesem Beitrag merken, dass Ihr Auditprogramm bisher eher eine Terminübersicht war und das ändern möchten, am besten nicht allein, melden Sie sich gerne bei mir: Ursula Wienken, MQ-Gesellschaft für MehrQualität mbH.
