Die 30 Fragen, die jedes Unternehmen vor der Zertifizierung stellt

Der Geltungsbereich muss alle Kernprozesse umfassen, die für Ihr Produkt oder Ihre Dienstleistung relevant sind. Sie können den Scope auf bestimmte Unternehmensteile eingrenzen – müssen dies aber begründen. Prozesse wie Kundengewinnung können ausgeschlossen werden, wenn sie nicht zur Produktrealisierung gehören. Die Kollektionsentwicklung oder Entwicklungsprozesse müssen einbezogen werden, wenn sie Teil Ihrer Wertschöpfung sind.

Das QM-Handbuch muss nicht übermäßig umfangreich sein – es reicht eine verständliche Darstellung Ihrer Prozesse, Verantwortlichkeiten und Dokumentenstruktur. Sie müssen die ISO 9001 Norm nicht kaufen oder auswendig können. Fokussieren Sie sich auf praxisnahe Beschreibungen, die Ihre tatsächlichen Abläufe widerspiegeln. ISO 9001 ist praxisorientiert, nicht bürokratisch.

Erstellen Sie eine Liste relevanter Gesetze, Normen und Vorschriften für Ihre Branche (z.B. Arbeitssicherheit, branchenspezifische Normen, Datenschutz). Die Verantwortung für Ermittlung und Einhaltung muss definiert sein. Dokumentieren Sie, wie Sie die Aktualität prüfen. Datenschutz wird im ISO-Audit nur am Rande geprüft, sollte aber berücksichtigt werden.

Das Organigramm sollte die wesentlichen Funktionen und Verantwortlichkeiten zeigen. Bei kleinen Unternehmen reichen Funktionsbezeichnungen, bei größeren sind Namen sinnvoll. Minijobber und Werkstudenten müssen nicht einzeln aufgeführt werden. Tochtergesellschaften nur einbeziehen, wenn sie im Scope sind. Wichtig ist die Darstellung der QM-relevanten Rollen und Prozessverantwortlichen.

Sie müssen nicht auf die ISO 9001:2026 warten und können jetzt zertifizieren. Klimaschutz und Nachhaltigkeit müssen nur berücksichtigt werden, wenn sie für Ihre Kunden oder bindende Verpflichtungen relevant sind. Große Änderungen im QM-System sind dafür nicht erforderlich. Fokussieren Sie sich auf die aktuellen Anforderungen Ihrer Branche.

Bei kleinen Unternehmen können Geschäftsführer mehrere Prozesse verantworten. Wichtig ist die klare Zuordnung von Verantwortlichkeiten für alle Kernprozesse (Vertrieb, Produktion, Einkauf, QM). Dokumentieren Sie, wer bei Kundenprojekten als Projektleiter fungiert und welche Befugnisse die einzelnen Rollen haben. Eine einfache Matrix oder Tabelle reicht aus.

Die Risikoanalyse sollte sich an Ihren realen Geschäftsrisiken orientieren: Lieferantenausfall, Investitionen, Projekte, Personalengpässe, IT/Cyber-Risiken. Sie können bestehende Risikoanalysen (z.B. aus ISO 27001) integrieren. Es geht nicht darum, künstlich neue Risiken zu erfinden, sondern die vorhandenen systematisch zu bewerten. Bewertungskriterien: Eintrittswahrscheinlichkeit, Auswirkung und Maßnahmen zur Risikominimierung.

Hier geht es um strategische Projekte und Investitionen des Unternehmens (neue Maschinen, Standorterweiterungen, IT-Systeme), nicht um einzelne Kundenprojekte. Diese Liste dient der Managementbewertung und zeigt, wie Sie das Unternehmen weiterentwickeln. Sie sollte regelmäßig aktualisiert und mit der Risikobewertung verknüpft werden.

Qualitätsziele können Sie selbst definieren, sollten aber mit der Geschäftsführung abgestimmt sein. Typische Ziele: Kundenzufriedenheit, Reklamationsquote, Liefertreue, Umsatz/Wachstum. Die Ziele müssen nicht öffentlich im Betrieb ausgehängt werden, sollten aber messbar und realistisch sein. Sie können nachträglich angepasst werden, wenn sich die Rahmenbedingungen ändern.

Listen Sie die wesentlichen Systeme auf, die Sie für Ihre Prozesse nutzen (ERP, CRM, CAD, Projektmanagement-Tools). Es gibt keine Vorgaben für bestimmte Tools – Sie können frei wählen. Wichtig ist, dass Sie zeigen können, wie diese Systeme in Ihre Prozesse eingebunden sind. Homeoffice und externe Labore sind kein Problem, solange die Arbeitsweise dokumentiert ist.

Ja, ab einer bestimmten Unternehmensgröße ist eine FASI gesetzlich vorgeschrieben. Sie können externe Dienstleister beauftragen (Kosten ca. 500–1.500 €/Jahr je nach Unternehmensgröße). Auch ohne formellen Vertrag sollten Sie dies im Audit nachweisen können. Informieren Sie sich bei Ihrer Berufsgenossenschaft über die konkreten Anforderungen.

Die Kalibrierungsintervalle hängen von Herstellervorgaben, gesetzlichen Anforderungen und der Nutzungshäufigkeit ab. Dokumentieren Sie Ihre Prüfmittel, die Kalibrierungsfristen und führen Sie ein Kalibrierungsprotokoll. Bei unkritischen Messgeräten können größere Intervalle (z.B. jährlich) ausreichend sein, bei präzisen Messungen kürzere Zyklen.

Erfassen Sie regelmäßige Schulungen: Arbeitssicherheitsunterweisungen, Einarbeitung neuer Mitarbeiter, fachliche Weiterbildungen, Online-Schulungen. Der Schulungsplan muss nicht übermäßig detailliert sein – eine Jahresübersicht mit geplanten Schulungen und Teilnahmenachweise reichen. Eine Qualifikationsmatrix ist sinnvoll, aber nicht zwingend erforderlich.

Beschreiben Sie die wesentlichen Kommunikationswege: Meetings, E-Mail, Telefon, Projektbesprechungen. Es reicht eine Übersicht über regelmäßige Meetings (Jour Fixe, Projektmeetings) und die Kommunikation mit Kunden und Lieferanten. Sie müssen nicht jede E-Mail protokollieren, sondern nur die systematische Vorgehensweise darstellen.

Definieren Sie eine klare Ordnerstruktur (digital oder in Tools wie Q-Wiki, SharePoint). Wichtig: Dokumentenlenkung mit Versionskontrolle, Zugriffsrechten und Datensicherung. Dokumentieren Sie, wo welche Dokumente abgelegt werden und wer Zugriff hat. Papierordner sind erlaubt, aber digitale Lösungen sind effizienter.

Prozesse sollten so detailliert beschrieben sein, dass ein fachkundiger Dritter den Ablauf versteht. Es reicht eine Darstellung der wesentlichen Schritte, Verantwortlichkeiten, Inputs/Outputs und verwendeten Systeme. Nicht jedes Detail muss dokumentiert werden – die Nachvollziehbarkeit für externe Auditoren ist der Maßstab.

Bereiten Sie 1–2 konkrete Beispielprojekte vor, an denen Sie Ihre Prozesse durchgängig zeigen können. Erklären Sie anhand realer Fälle, zeigen Sie verwendete Systeme und Dokumente. Zeigen Sie nur Ihren eigenen Prozess – wenn etwas die Kollegin macht, sagen Sie das auch so. Der Auditor will sehen, was Sie machen.

Erfassen Sie systematisch, wie Kundenanforderungen ermittelt werden (Ausschreibungen, Anfragen, Gespräche). Dokumentieren Sie spezifische Anforderungen und zeigen Sie, wie diese in Ihre Prozesse einfließen. Bei Dienstleistungen: Zeigen Sie Verträge, bei Produktion: technische Spezifikationen. Der Nachweis der Erfüllung erfolgt über Abnahmen oder Kundenfeedback.

Ja, wenn Entwicklung Teil Ihrer Wertschöpfung ist. Beschreiben Sie den grundsätzlichen Ablauf, auch wenn Details je nach Kunde variieren. Bei Hardware/Software-Entwicklung: Phasenmodell, Reviews, Testverfahren. Der Auditor will den roten Faden sehen – nicht jedes Projektdetail.

Bewerten Sie Ihre 10–20 Hauptlieferanten nach Kriterien wie Qualität, Liefertreue, Preis. Eine einfache Excel-Liste oder Bewertungsmatrix reicht. Der Einkaufsprozess sollte zeigen: Bedarfsermittlung, Lieferantenauswahl, Bestellung, Wareneingangsprüfung. Sie müssen nicht jeden Kugelschreiber-Einkauf dokumentieren.

Beschreiben Sie die wesentlichen Produktions-/Leistungsschritte, verwendete Maschinen/Systeme, Prüfungen und Freigaben. Bei unterschiedlichen Produktlinien: Gemeinsamkeiten darstellen, Besonderheiten kennzeichnen. Der Auditor will den Ablauf verstehen – Sie müssen kein Lehrbuch schreiben.

Dokumentieren Sie Ihr Vorgehen bei Nichtkonformitäten: Erkennung, Bewertung, Maßnahmen (Nacharbeit, Ausschuss, Reklamation beim Lieferanten). Wichtig ist ein nachvollziehbarer Prozess – nicht jeder kleine Fehler braucht eine eigene Akte, aber bei wiederkehrenden Problemen muss eine systematische Lösung erkennbar sein.

Definieren Sie Kennzahlen für Ihre Hauptprozesse: Liefertreue, Durchlaufzeit, Reklamationsquote, Ausschussquote. Die Risiko- und Chancenanalyse wird regelmäßig (mindestens jährlich bei Managementbewertung) aktualisiert. Sie müssen nicht alles messen – konzentrieren Sie sich auf die Kennzahlen, die wirklich etwas über Ihre Qualität aussagen.

Alternative Methoden sind völlig zulässig: telefonische Nachfragen, persönliche Gespräche, Folgeaufträge, Beschwerdeanalyse, Kündigungsquoten. Dokumentieren Sie die Methode und Ergebnisse. Bei Versicherungsdienstleistungen oder ähnlichen Branchen reichen auch indirekte Indikatoren wie Vertragsverlängerungen.

Ein einfacher Jahresplan reicht: welche Prozesse/Bereiche wann auditiert werden. Bei kleinen Unternehmen kann eine Person mehrere Bereiche auditieren (außer den eigenen). Sie müssen den Auditbericht nicht nach einem festen Schema erstellen – Hauptsache, Ergebnisse und Maßnahmen sind dokumentiert.

Das Audit dauert je nach Unternehmensgröße 0,5–2 Tage, kann vor Ort oder remote erfolgen. Der Auditor prüft Dokumente, führt Interviews und lässt sich Prozesse zeigen. Bereiten Sie 1–2 Beispielprojekte vor, an denen Sie Ihre Prozesse durchgängig zeigen können. Etwa eine Woche vorher erhalten Sie den Auditplan des Zertifizierers.

Mindestens einmal jährlich, vor dem externen Audit. Inhalte: Ergebnisse interner Audits, Kundenzufriedenheit, Prozessleistung, Kennzahlen, Erreichung der Qualitätsziele, Risikobewertung, Projekte/Investitionen. Die Managementbewertung ist das letzte Dokument, das vor dem Audit fertig sein muss – sie bündelt alle anderen Nachweise.

Kleine Hinweise sind normal und müssen nachgebessert werden (Frist meist 4–8 Wochen). Bei schwerwiegenden Abweichungen kann die Zertifizierung verschoben werden. Nach Behebung erfolgt eine Nachprüfung. Wichtig: Abweichungen sind keine Katastrophe – zeigen Sie dem Auditor, dass Sie die Probleme erkennen und systematisch lösen.

BAFA fördert Beratungsleistungen für KMU mit bis zu 80 % (max. 3.200 €). Ablauf: Berater muss bei BAFA registriert sein, Kunde stellt Förderantrag (vor Beratungsbeginn!), nach Bewilligung kann die Beratung beginnen. Der Abschlussbericht muss kundenspezifisch sein – BAFA prüft auf Standardberichte.

Akkreditierte Zertifizierungsstellen sind grundsätzlich gleichwertig. Kriterien für die Auswahl: Branchenerfahrung, regionale Verfügbarkeit, Preis, Auditorenkompetenz. Auch kleinere Zertifizierungsstellen können eine gute Wahl sein – entscheidend ist die Qualität des Auditors, nicht der Name auf dem Zertifikat.