Übersicht des 3-Jahres-Zertifizierungszyklus mit Erstzertifizierung, zwei Überwachungsaudits und Rezertifizierung
In diesem Beitrag
Text Link
Text Link
Text Link
Beitrag teilen

Discover
HOME
/
blog
/
Überwachungsaudit – Was Sie wissen müssen

Überwachungsaudit – Was Sie wissen müssen

Bettina Stearn

ISO/IEC 27001 Auditorin & QM-Fachexpertin (ISO 9001)

24 Mar 2026

7 min

Bettina Stearn ist zertifizierte ISO/IEC 27001 Auditorin und Beraterin für Datenschutz und Informationssicherheit. Mit mehr als 15 Jahren Erfahrung in Informationssicherheit, Qualitätsmanagement und Datenschutz begleitet sie Organisationen bei der Einführung und Zertifizierung von Managementsystemen nach internationalen Standards. Neben ihrer Spezialisierung auf ISO 27001 und TISAX® verfügt sie über umfangreiche Erfahrung in der Implementierung und Auditierung von Managementsystemen nach ISO 9001 sowie eine Ausbildung zur QM-Fachexpertin (TÜV SÜD). Ihr Fokus liegt auf der sicheren und effizienten Umsetzung regulatorischer Anforderungen – von NIS2 über TISAX® bis hin zur KI-Compliance nach EU-Vorgaben. Dabei verbindet sie technisches Know-how mit strategischem Blick für nachhaltige Sicherheitsstrukturen.

Key Takeaways

Überwachungsaudits finden im 1. und 2. Jahr eines 3-Jahres-Zyklus statt und sind schlanker als die Erstzertifizierung.

Der Auditor prüft eine Stichprobe (30-50% des ursprünglichen Umfangs) und überprüft die Behebung vorheriger Abweichungen.

Kontinuierliche Dokumentation, regelmäßige interne Audits und jährliches Management Review sind die Basis für bestandene Überwachungsaudits.

Die Kosten für ein Überwachungsaudit liegen typischerweise bei etwa einem Drittel der Erstzertifizierungskosten.

Überwachungsaudit nach ISO 9001

Nach der erfolgreichen Zertifizierung eines Qualitätsmanagementsystems nach ISO 9001 ist nicht alles vorbei. Die Zertifizierung ist drei Jahre lang gültig – aber nur unter einer Bedingung: Mindestens einmal pro Jahr muss ein Überwachungsaudit (auch Surveillance Audit genannt) stattfinden. Dieses Audit überprüft, ob das QMS noch funktioniert, ob die Dokumentation aktuell ist, und ob Ihre Organisation die Anforderungen der ISO 9001 weiterhin erfüllt. Unternehmen, die diese jährlichen Audits schleifen lassen, riskieren am Ende die Zertifizierung.

Dieser Artikel erklärt den Ablauf, die Häufigkeit, die Kosten und wie Sie sich systematisch vorbereiten.

Was ist ein Überwachungsaudit?

Definition

Ein Überwachungsaudit ist eine Kontrollprüfung des bestehenden Qualitätsmanagementsystems. Anders als das Erstaudit zur Zertifizierung oder das Rezertifizierungsaudit, das alle drei Jahre stattfindet, konzentriert sich das Überwachungsaudit auf gezielt ausgewählte Aspekte des Systems. Die Auditor:innen prüfen:

  • Ob Prozesse immer noch wie dokumentiert ablaufen
  • Ob Änderungen im Unternehmen (neue Produkte, Standorte, Gesetzesvorgaben) dokumentiert und berücksichtigt wurden
  • Ob Abweichungen aus dem letzten Audit oder der letzten Überwachung behoben wurden
  • Eine Stichprobe der üblichen Geschäftstätigkeiten – um sicherzustellen, dass das System im Alltag wirklich funktioniert

Unterschied zu anderen Audit-Typen

Um die Sache nicht zu verwirren: In einem Zertifizierungszyklus gibt es drei Audit-Typen, und ihre Unterschiede sind entscheidend:

Audit-Vergleich: Erstaudit (Zertifizierung), Überwachungsaudit (jährlich), Rezertifizierungsaudit (alle 3 Jahre) mit Umfang, Dauer und Kosten
Vergleich der drei Audit-Typen nach ISO 9001

Erstaudit: Vollprüfung aller Normkapitel. Dauer: 7–10 Tage. Ziel: Zertifizierung ausstellen.

Überwachungsaudit: Stichprobenprüfung. Dauer: 1–3 Tage. Ziel: Bestätigung, dass das System weiterhin funktioniert.

Rezertifizierungsaudit: Vollprüfung aller Normkapitel. Dauer: 3–5 Tage. Ziel: Zertifizierung erneuern nach 3 Jahren.

Häufigkeit und Zeitplan

Wann findet das Überwachungsaudit statt?

Das Überwachungsaudit findet regelmäßig statt – normalerweise ein Mal pro Jahr, manchmal auch zwei Mal pro Jahr, abhängig von der Vereinbarung mit Ihrer Zertifizierungsstelle. Typisch sind zwei Überwachungsaudits im Zertifizierungszyklus, z.B. nach 12 Monaten und nach 24 Monaten. Das dritte Jahr endet dann mit dem Rezertifizierungsaudit.

Viele Unternehmen planen das Überwachungsaudit zwischen dem Vorjahrsaudit und dem geplanten Rezertifizierungsaudit ein. Ein realistischer Zeitplan könnte so aussehen:

Jahr 1: Erstaudit im Frühjahr → Zertifizierung erhalten
Jahr 2: Erstes Überwachungsaudit im Frühjahr
Jahr 3: Zweites Überwachungsaudit im Frühjahr → Rezertifizierungsaudit im Herbst

Unternehmen sollten die Termine mit ihrer Zertifizierungsstelle festlegen und mehrere Monate im Voraus planen. Damit vermeiden sie Überraschungen und haben Zeit für Vorbereitung.

Was passiert, wenn man ein Überwachungsaudit verpasst?

Das ist eine ernsthafte Situation. Wenn ein fälliges Überwachungsaudit nicht innerhalb des vereinbarten Zeitraums stattfindet, kann die Zertifizierungsstelle die Zertifizierung aussetzen oder zurückziehen. Damit verlieren Sie alle damit verbundenen Marketingvorteil und Kundenvertrauens-Effekte. Auch für Ausschreibungen und Anfragen von Großkunden ist eine unterbrochene Zertifikation problematisch. Die Vorbeugung ist deshalb essentiell: Termine sollten rechtzeitig gebucht werden.

Ablauf des Überwachungsaudits

Phase 1: Einleitungsmeeting und Dokumentenprüfung

Das Audit beginnt mit einem Kick-off-Meeting mit der Geschäftsführung und der Qualitätsleitung. Hier werden folgende Punkte geklärt:

  • Organisatorische Änderungen seit dem letzten Audit (neue Standorte, Produkte, Prozesse?)
  • Änderungen in den regulatorischen Anforderungen
  • Abweichungen aus dem letzten Audit – sind sie behoben?
  • Auditziele für dieses Überwachungsaudit

Danach folgt eine kurze Dokumentenprüfung. Der:die Auditor:in schaut sich die aktualisierte Qualitätsmanagementsystem-Dokumentation an und prüft, ob Prozessbeschreibungen, Verfahrensanweisungen und Checklisten noch aktuell sind.

Phase 2: Stichprobenprüfung im Betrieb

Der Kern des Überwachungsaudits ist die Stichprobenprüfung vor Ort. Der:die Auditor:in besucht ausgewählte Prozesse und Funktionsbereiche – typisch sind 2–5 Prozesse pro Audit – und überprüft:

  • Prozesskonformität: Funktioniert der Vertriebsprozess noch wie dokumentiert? Werden Kundenanforderungen erfasst? Werden Angebote erstellt?
  • Dokumentation und Nachweise: Gibt es Aufzeichnungen (Prüfprotokolle, Inspektionsergebnisse, Schulungsunterlagen)? Sind diese nachvollziehbar?
  • Personalqualifikation: Sind die Mitarbeiter:innen für ihre Aufgaben geschult? Gibt es Schulungsunterlagen?
  • Abweichungsbehandlung: Wenn in diesem Prozess Abweichungen vorgekommen sind – sind diese dokumentiert und behoben worden?
  • Kundenzufriedenheit: Erreichen Sie Ihre Qualitätsziele? Gibt es Beschwerden oder Reklamationen?

Der Fokus liegt auf dem Alltag, nicht auf Ausnahmefällen. Der:die Auditor:in will sehen, dass Ihre Menschen das QMS verstehen und nutzen – nicht, dass Sie für das Audit ein perfektes Schauspiel aufführen.

Phase 3: Abschlussgespräch und Abweichungen

Am Ende des Audittages fasst der:die Auditor:in zusammen, was geprüft wurde, welche Erkenntnisse gewonnen wurden, und welche Abweichungen oder Verbesserungsmöglichkeiten sich ergeben haben. Diese werden in ein Audit-Protokoll dokumentiert.

Typisch sind folgende Ergebnisse:

  • Bestanden ohne Abweichungen: Das System funktioniert, alles ist konform. Dies ist selten, ist aber möglich.
  • Bestanden mit geringfügigen Abweichungen (Minor Non-Conformities): Kleine Lücken, z.B. eine Schulung, die überfällig ist, oder ein Prozessprotokoll, das unvollständig dokumentiert ist. Diese müssen innerhalb von 30–60 Tagen behoben werden.
  • Nichtbestanden mit kritischen Abweichungen (Major Non-Conformities): Systematische Missstände, z.B. ein Prozess, der überhaupt nicht dokumentiert ist, oder Kundenanforderungen, die systematisch nicht erfasst werden. Ein Nachaudit ist erforderlich, bevor die Zertifizierung bestätigt wird.

Dauer und Aufwand eines Überwachungsaudits

Ein typisches Überwachungsaudit dauert 1–3 Tage, je nach Unternehmensgröße und Systemkomplexität. Ein Dienstleistungsunternehmen mit 15 Mitarbeiter:innen braucht typischerweise 1–1,5 Tage. Ein Fertigungsbetrieb mit mehreren Standorten und komplexen Prozessen kann 2–3 Tage einplanen.

Die Kosten sind entsprechend niedriger als beim Erstaudit oder Rezertifizierungsaudit:

Posten Typische Kosten
Auditgebühren (pro Tag) 600–900 Euro
Auditdauer (Überwachung) 1–3 Tage = 600–2.700 Euro
Anfahrts-/Reisekosten typischerweise enthalten
Interne Vorbereitung ca. 2–5 Tage Personalaufwand

Die interne Vorbereitung ist genauso wichtig wie das Audit selbst. Unternehmen, die ihre Dokumentation zwischen den Audits kontinuierlich aktualisieren und Abweichungen nachverfolgen, brauchen weniger Vorbereitungszeit und haben weniger Probleme beim Audit.

Vorbereitung auf das Überwachungsaudit

Was sollte ich vor dem Audit machen?

Die beste Vorbereitung ist kontinuierlich, nicht hektisch im letzten Monat. Hier ist eine praktische Checkliste:

Laufende Aufgaben (zwischen den Audits):

  • Dokumentation aktuell halten – neue Prozesse, Gesetzesvorgaben, Produktänderungen dokumentieren
  • Abweichungen nachverfolgen – aus dem letzten Audit berichtete Mängel konsequent beheben
  • Interne Audits durchführen (mindestens 1–2 Mal pro Jahr) – das zeigt dem externen Auditor:in, dass Sie Ihr System aktiv kontrollieren
  • Personalentwicklung – Schulungsunterlagen aktuell halten, neue Mitarbeiter:innen onboarden
  • Qualitätsziele überwachen – regelmäßig überprüfen, ob Sie Ihre Ziele erreichen

2–3 Monate vor dem Auditdatum:

  • Termin mit der Zertifizierungsstelle bestätigen
  • Organisatorische Änderungen zusammentragen (neue Mitarbeiter:innen, Produktänderungen, Standorte)
  • Alle Abweichungen aus früheren Audits überprüfen – sind sie wirklich behoben?
  • Management Review durchführen und aktualisieren

4–6 Wochen vor dem Audit:

  • Dokumentation final überprüfen und aktualisieren
  • Prozessverantwortliche briefen – welche Prozesse werden wahrscheinlich geprüft?
  • Interne Audits abschließen
  • Schulungsaufzeichnungen zusammentragen

1–2 Wochen vor dem Audit:

  • Schlüsselpersonen informieren (Geschäftsführung, Qualitätsleitung, Prozessverantwortliche)
  • Räumlichkeiten und Ausstattung überprüfen (Auditor:in braucht einen Arbeitsplatz, Zugang zu Systemen)
  • Letzte Überprüfung der Abweichungsbehandlung

Technische Vorbereitung mit QMS-Software

Viele Unternehmen nutzen Excel-Tabellen und Word-Dokumente, um ihre QMS-Dokumentation zu verwalten. Das funktioniert für kleine Systeme, wird aber schnell unübersichtlich. Moderne QMS-Lösungen wie SECJUR zentralisieren die Dokumentation und ermöglichen es:

  • Alle Änderungen zu dokumentieren – mit Audit Trail
  • Abweichungen zentral zu tracken – mit Fälligkeitsdatum und Status
  • Interne Audits zu verwalten – mit Checklisten und Abweichungsverfolgung
  • Auditor:innen einen Überblick zu geben – das System sieht aktuell aus und wird aktiv betrieben

Das reduziert Vorbereitungszeit und erhöht die Chance auf ein reibungsloses Audit.

Häufige Abweichungen im Überwachungsaudit

Auditor:innen sehen bestimmte Muster immer wieder. Hier sind die häufigsten Abweichungen:

1. Veraltete Dokumentation Prozessbeschreibungen sind noch von 2022, obwohl sich Prozesse geändert haben. Oder Verfahrensanweisungen beziehen sich auf alte Softwaresysteme. Auditor:innen prüfen: Stimmt die dokumentierte Realität mit der gelebten Realität überein?

2. Fehlende Schulungsnachweise Mitarbeiter:innen sind in ihren Rollen tätig, aber es gibt keine Schulungsunterlagen oder Schulungsaufzeichnungen. Das ist eine klassische Abweichung gegen Kapitel 7.2 (Kompetenz). Abhilfe: Schulungen dokumentieren, Schulungsplan führen.

3. Abweichungen nicht behoben Aus dem Audit von vor einem Jahr gibt es noch offene Abweichungen. Das ist besonders kritisch. Abhilfe: Abweichungsregister führen, Fälligkeitsdaten setzen, Status regelmäßig überprüfen.

4. Keine Nachweise für Prozessqualität Es gibt Prüfprotokolle, Inspektionsergebnisse oder Testberichte – aber sie sind unvollständig, oder es ist nicht klar, welche Anforderungen geprüft wurden. Abhilfe: Checklisten definieren, Prüfaufzeichnungen standardisieren.

5. Managementsystem wird nicht gelebt Mitarbeiter:innen kennen die Prozessdokumentation nicht, die Qualitätsziele sind nicht bekannt, oder das Abweichungsmanagement läuft informell ab (z.B. nur im Team besprochen, nicht dokumentiert). Abhilfe: Regelmäßige Schulungen, Managementsystem kommunizieren, Prozesse verankern.

Best Practice: Überwachungsaudit stressfrei durchstehen

Unternehmen, die ihre Audits stressfrei überstehen, machen drei Dinge richtig:

1. Kontinuierliche Dokumentation Sie dokumentieren Änderungen sofort, nicht erst vor dem Audit. Das System ist immer aktuell.

2. Abweichungen konsequent nachverfolgen Jede Abweichung aus früheren Audits wird in ein Register aufgenommen, mit Ursachenanalyse, Maßnahmen und Fälligkeitsdatum. Bis das Audit kommt, sind alle behoben.

3. Regelmäßige interne Audits durchführen Das sind die Generalprobe für das externe Audit. Sie finden Lücken, bevor die Zertifizierungsstelle sie findet.

"Ein Überwachungsaudit ist keine Überraschungsprüfung. Es ist eine regelmäßige Kontrolle eines Systems, das Sie aktiv betreiben. Wenn Sie zwischen den Audits kontinuierlich arbeiten und dokumentieren, sitzt ein externer Auditor:in beim nächsten Überwachungsaudit mit dem Rücken zur Wand – nicht Sie."

Bettina Stearn, ISO/IEC 27001 Auditorin & QM-Fachexpertin bei SECJUR

Mehr erfahren
Bettina Stearn

Bettina Stearn ist zertifizierte ISO/IEC 27001 Auditorin und Beraterin für Datenschutz und Informationssicherheit. Mit mehr als 15 Jahren Erfahrung in Informationssicherheit, Qualitätsmanagement und Datenschutz begleitet sie Organisationen bei der Einführung und Zertifizierung von Managementsystemen nach internationalen Standards. Neben ihrer Spezialisierung auf ISO 27001 und TISAX® verfügt sie über umfangreiche Erfahrung in der Implementierung und Auditierung von Managementsystemen nach ISO 9001 sowie eine Ausbildung zur QM-Fachexpertin (TÜV SÜD). Ihr Fokus liegt auf der sicheren und effizienten Umsetzung regulatorischer Anforderungen – von NIS2 über TISAX® bis hin zur KI-Compliance nach EU-Vorgaben. Dabei verbindet sie technisches Know-how mit strategischem Blick für nachhaltige Sicherheitsstrukturen.

Über SECJUR

SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.

Compliance, completed

Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office

Mehr erfahren

Häufig gestellte Fragen

Die häufigsten Fragen zum Thema

Was ist ein Überwachungsaudit?

Ein Überwachungsaudit ist eine regelmäßige, schlanke Kontrolle Ihres Qualitätsmanagementsystems zwischen Erstzertifizierung und Rezertifizierung. Es prüft eine Stichprobe von Prozessen, um die fortlaufende Einhaltung der ISO 9001 Standards zu überprüfen.

Wie oft finden Überwachungsaudits statt?

Innerhalb eines 3-Jahres-Zyklus finden zwei Überwachungsaudits statt, typischerweise im 1. und 2. Jahr nach der Erstzertifizierung. Im 3. Jahr erfolgt die Rezertifizierung.

Was kostet ein Überwachungsaudit?

Die Kosten sind niedriger als bei der Erstzertifizierung, typischerweise etwa ein Drittel. Das hängt von Ihrer Branche, Unternehmensgröße und der Komplexität des QMS ab.

Kann ein Überwachungsaudit verschoben werden?

Ja, eine Toleranz von ±3 Monaten ist üblich. Überschreitet man diese Frist deutlich ohne Absprache mit der Zertifizierungsstelle, kann die Zertifizierung ausgesetzt oder zurückgezogen werden.

Was passiert bei Abweichungen im Überwachungsaudit?

Das Unternehmen muss einen Korrekturplan erstellen. Die Maßnahmen müssen innerhalb von 3-6 Monaten umgesetzt und dokumentiert werden. Danach prüft die Zertifizierungsstelle die Wirksamkeit.

Weiterlesen

March 20, 2026
7 min
NIS2 Schulung für Geschäftsführer: Was §38 BSIG verlangt

§38 Abs. 3 BSIG verpflichtet Geschäftsführer zur regelmäßigen Cybersicherheits-Schulung. Was drin sein muss, wie oft und welche Formate es gibt.

Lesen
November 18, 2025
5 Minuten
ISO 27001 Audit: Wie KI die Nachweiserbringung revolutioniert

Die Evidenzsammlung für Ihr ISO 27001 Audit muss kein zeitfressender Kraftakt mehr sein. Erfahren Sie, wie KI-gestützte Compliance-Plattformen Screenshots, Logs und Nachweise vollautomatisch erfassen, Fehlerquellen eliminieren und Ihre Audit-Vorbereitung drastisch beschleunigen. Dieser Leitfaden zeigt praxisnah, wie Sie manuelle Prozesse hinter sich lassen, kontinuierliche Compliance etablieren und Ihr ISMS strategisch stärken – für Audits, die Sie nicht nur bestehen, sondern souverän meistern.

Lesen
November 20, 2025
5 Minuten
EU AI Act: Auswahl und Zusammenarbeit mit benannten Stellen

Der EU AI Act stellt Unternehmen vor neue Herausforderungen: Hochrisiko-KI darf nur mit einer benannten Stelle auf den Markt, doch vielen fehlt Klarheit über Auswahl, Ablauf und Zusammenarbeit. Dieser Leitfaden zeigt praxisnah, wie Sie Ihr KI-System korrekt einstufen, die richtige benannte Stelle finden und eine reibungslose Zertifizierung vorbereiten, von der Dokumentation bis zum Audit. So verwandeln Sie regulatorische Komplexität in einen strategischen Vorteil und beschleunigen Ihren Markteintritt in der EU.

Lesen
Related Resources
Was ist die DSGVO? Der SECJUR-Guide zur Datenschutz-Grundverordnung
June 7, 2023
12 min
ISO 27001 Dokumentation im ECM-System integrieren
November 24, 2025
5 Minuten
EU AI Act: Compliance für KI in der Personalverwaltung
December 1, 2025
5 Minuten
Marketing Tips for Niche Industries
Externer Datenschutzbeauftragter: Kann man auf ihn verzichten?
June 2, 2023
5 min
‍SOC 2 – Der Compliance-Guide zum US-Standard!
June 7, 2023
12 min
EU AI Act: Wer haftet bei Schäden durch KI?
January 7, 2026
5 Minuten
TO TOP