Stellen sie zunächst fest, welche Anforderungen in den Verträgen, AGBs, Servicelevels ggf. Gesetzen stehen, damit eine Leistung/Produkt als fehlerfrei anzusehen ist.

Stellen sie in einem zweiten Schritt fest, ob es in der Branche der Organisation interessierte Parteien gibt, die so stark sind, dass sie zusätzliche Anforderungen an die Leistungserbringung formuliert haben und durchsetzen können. So können zum Beispiel Kammern (Steuerberater, Rechtsanwälte), Industrieverbände, Gewerkschaften (Tarifregelungen), Personal- bzw. Betriebsräte Regelungen verlautbart/erlassen haben, die die Leistungserbringung betreffen. Damit haben sie das Bündel der Anforderungen umrissen.

In einem dritten Schritt stellen sie jetzt fest, welche Risiken im Kontext die Leistungserfüllung beeinträchtigen könnten.

Im letzten Schritt können sie jetzt bewerten, ob die Organisation angemessene Kenntnis über ihren Kontext hat und anforderungsgerecht mit daraus entstehenden Risiken umgeht.

Beispiel: sichert ein IT-Unternehmen eine 99,8 %ige Servicebereitschaft zu, muss gefragt werden, wie man am Sonn- und Feiertagen zur Verfügung steht und wie sicher die Stromversorgung für die Kommunikationseinrichtungen sind.

Es wäre das Beste, wenn der/die AuditoIn mit den entsprechenden Hintergrundinformationen durch die Zertstelle oder durch eigene gute Vorbereitung bereits in das Audit kommt.

Mit dem Anwendungsbereich definiert genau, für welchen Ausschnitt der Organisation das QMS gelten soll. Der Ausschnitt kann beliebig festgelegt sein. Zum Beispiel sind geografische, hierarchische, produktspezifische, sektorale etc. Ausschnitt denkbar. Es muss nur Sinn machen und schriftlich sein, so dass ein Dritter dieses sehen und bewerten kann. Das gilt auch für von der Organisation als nicht zutreffend entschiedene Anforderungen aus der ISO 9001.

Der Geltungsbereich ist dagegen ein Begriff der Zertifizierer, die so knapp und genau wie möglich auf dem Zertifikat beschreiben, wofür das Zertifikat ausgesprochen wird. Hier sind die Gliederungen eher: Standorte, Tätigkeiten, Produkte und Zielgruppen. Es soll für Dritte möglichst genau zu ersehen sein, was mit dem Zertifikat tatsächlich zertifiziert ist, und was nicht.

In 4.4.1 steht weiter, dass die Prozesse bestimmt sein müssen, die für das QMS, also für die Verwirklichung der Qualitätspolitik und die Erreichung der Qualitätsziele, erforderlich sind. Die ersten Fragen sind also,

1. wenn ja, ist alles gut, wenn nein muss das Audit tiefer gehen: wo entspricht der Prozess nicht den Anforderungen?
2. welche Prozesse leisten einen direkten Beitrag zur Erfüllung der Qualitätsziele?
3. welcher Beitrag ist das (Prozessziel) und wird dieser erreicht?

ISO 9001 benutzt hier den Begriff der dokumentierten Information. Nur wo dieser Begriff in der ISO 9001 steht, muss die Organisation auch etwas schriftlich gemacht haben, kann der/die AuditorIn auch etwas schriftliches verlangen. Mindestens sind das die Dokumente: Anwendungsbereich, Qualitätspolitik und Qualitätsziele. Darüber hinaus, wenn erforderlich: sonstige Dokumente, die (durch die Organisation!) für das QMS als notwendig erachtet werden (einschließlich Grundlagen für die Kalibrierung oder Verifizierung von Messmitteln, wenn die messtechnische Rückführbarkeit eine Anforderung darstellt oder von der Organisation als wesentlicher Beitrag zur Schaffung von Vertrauen in die Gültigkeit der Messergebnisse angesehen wird).

Leider benutzt ISO 9001 auch hier den Begriff der dokumentierten Information. Aus dem Kontext der jeweiligen Fundstelle kann man aber sehr gut schließen, dass hier nur eine Aufzeichnung gemeint sein kann. Auditierbar sind die Aufzeichnungen, die Organisation erstellen und aufbewahren muss:

• falls Entwicklungstätigkeiten durchgeführt werden:
  • Entwicklungseingaben,
  • Steuerungsmaßnahmen für den Entwicklungsprozess,
  • Entwicklungsänderungen,
  • Ergebnisse von Überprüfungen,
  • Befugnis zu den Änderungen und
  • eingeleitete Maßnahmen zur Vorbeugung nachteiliger Auswirkungen.
• die aus den Bewertungen externer Anbieter entstehenden Tätigkeiten und notwendigen Maßnahmen,
• das Ergebnis der Bewertung der Leistung und der Wirksamkeit des QMS,
• die Verwirklichung des Auditprogramms und der Ergebnisse der Audits (ein oder mehrere Auditprogramme planen, aufbauen, verwirklichen und aufrechterhalten, einschließlich der Häufigkeit von Audits, Methoden, Verantwortlichkeiten, Anforderungen an die Planung sowie Berichterstattung, welche die Bedeutung der betroffenen Prozesse, Änderungen mit Einfluss auf die Organisation und die Ergebnisse vorheriger Audits berücksichtigen; für jedes Audit die Auditkriterien sowie den Umfang festlegen; Auditoren so auswählen und Audits so durchführen, dass die Objektivität und Unparteilichkeit des Auditprozesses sichergestellt ist; sicherstellen, dass die Ergebnisse der Audits gegenüber der zuständigen Leitung berichtet werden; die geeigneten Korrekturen und Korrekturmaßnahmen ohne ungerechtfertigte Verzögerung umsetzen),
• die Ergebnisse der Managementbewertung (Entscheidungen und Maßnahmen zu Möglichkeiten der Verbesserung, Änderungsbedarf am Qualitätsmanagementsystem, Bedarf an Ressourcen),
• Korrekturmaßnahmen (Art der Nichtkonformität sowie daraufhin getroffener Maßnahmen und der Ergebnisse)

Da diese Aufzeichnungen das Funktionieren der ISO 9001 Anforderungen nachweislich machen, sollte hier der Schwerpunkt des Audits durch ausreichende Stichproben liegen.