Überwachungsaudits sind ein zentraler Bestandteil des Zertifizierungszyklus für ISO 9001. Nach der erfolgreichen Erstzertifizierung folgen regelmäßig zwei Überwachungsaudits, bevor eine Rezertifizierung erforderlich wird. Diese Audits stellen sicher, dass Ihr Qualitätsmanagementsystem (QMS) dauerhaft funktioniert und die Anforderungen erfüllt.
Was ist ein Überwachungsaudit?
Ein Überwachungsaudit ist eine Routineprüfung Ihres QMS durch einen unabhängigen Auditor, die zwischen der Erstzertifizierung und der Rezertifizierung stattfindet. Der Zweck ist, die kontinuierliche Einhaltung der ISO 9001 Standards zu überprüfen und sicherzustellen, dass das System nicht in Vergessenheit gerät.
Definition
Das Überwachungsaudit prüft eine repräsentative Auswahl von Prozessen, Dokumenten und Abläufen. Anders als ein Vollaudit ist der Umfang begrenzt: Es werden nicht alle Controls und Anforderungen tiefgehend untersucht, sondern nur eine Stichprobe. Dies macht das Überwachungsaudit kostengünstiger und weniger zeitaufwändig als die Erstzertifizierung.
Abgrenzung zum Zertifizierungsaudit
Das Zertifizierungsaudit (Erstzertifizierung) prüft das gesamte QMS neu und umfassend. Ein Überwachungsaudit ist deutlich schlanker: Es konzentriert sich auf die Bereiche, in denen typischerweise Probleme entstehen, und prüft, ob Abweichungen aus dem letzten Audit behoben wurden. Das Rezertifizierungsaudit findet nach drei Jahren statt und ist wiederum umfassender. Es überprüft das gesamte System neu, als würde die Zertifizierung von vorne beginnen.
Wann findet das Überwachungsaudit statt?
Der Zeitpunkt von Überwachungsaudits folgt einem strikten Schema, das sich über einen 3-Jahres-Zyklus erstreckt. Dieser Zyklus ist in den ISO 9001 Standards verankert und wird von allen akkreditierten Zertifizierungsstellen eingehalten.
Der 3-Jahres-Zyklus
Nach erfolgreicher Erstzertifizierung (Jahr 0) folgt der Zertifizierungszyklus:
| Zeitpunkt | Audit-Typ | Umfang |
|---|
| Jahr 0 | Erstzertifizierung | Vollständig |
| Jahr 1 (±3 Monate) | 1. Überwachungsaudit | Stichprobe |
| Jahr 2 (±3 Monate) | 2. Überwachungsaudit | Stichprobe |
| Jahr 3 (±3 Monate) | Rezertifizierung | Vollständig |
Fristen und Flexibilität
Die Überwachungsaudits müssen nicht an exakt Jahr 1 und Jahr 2 stattfinden. Eine Toleranz von ±3 Monaten ist üblich. Das bedeutet: Das erste Überwachungsaudit kann zwischen neun und 15 Monaten nach der Erstzertifizierung durchgeführt werden. Diese Flexibilität hilft bei der Terminplanung, sollte aber nicht übernutzt werden. Ein zu frühes oder zu spätes Audit wird durch die Zertifizierungsstelle gekennzeichnet.
Wenn ein Audit verschoben wird und die Frist überschritten wird, kann die Zertifizierungsstelle die Zertifizierung aussetzen oder zurückziehen. Daher ist es wichtig, den Audit rechtzeitig zu planen.
Ablauf des Überwachungsaudits
Der konkrete Ablauf eines Überwachungsaudits folgt einer klaren Struktur. Obwohl der Umfang kleiner ist als bei der Erstzertifizierung, durchlaufen alle Audits dieselben Phasen.
Umfang der Stichprobe
Die Stichprobe beim Überwachungsaudit umfasst typischerweise 30-50% der im Erstzertifizierungsaudit geprüften Bereiche. Der Auditor wählt dabei gezielt jene Prozesse und Abteilungen aus, die als kritisch oder anfällig für Abweichungen gelten. Häufig enthalten Überwachungsaudits auch eine Stichprobe neuer Prozesse oder Standorte, die seit der Erstzertifizierung hinzugekommen sind.
Die Dauer eines typischen Überwachungsaudits liegt bei 1-2 Tagen, abhängig von der Unternehmensgröße und Komplexität. Bei größeren Unternehmen mit mehreren Standorten können die Audits auch auf zwei separate Termine verteilt werden.
Was Auditoren prüfen
Ein Überwachungsaudit prüft vier zentrale Punkte:
Prüfpunkte beim Überwachungsaudit
- 1.Behebung vorheriger Abweichungen: Hat das Unternehmen die Abweichungen aus der Erstzertifizierung oder einem früheren Überwachungsaudit vollständig behoben?
- 2.Kontinuierliches Funktionieren des QMS: Arbeitet das QMS im laufenden Betrieb und werden Prozesse dokumentiert?
- 3.Einhaltung von Standards: Erfüllt das System weiterhin die ISO 9001 Anforderungen in den geprüften Bereichen?
- 4.Interne Audits und Management Review: Führt das Unternehmen regelmäßig interne Audits durch und dokumentiert das Management Review?
Außerdem werden während des Audits typischerweise Mitarbeiter befragt, Dokumentationen überprüft und Prozesse vor Ort beobachtet. Der Auditor erstellt ein Auditbericht mit seinen Ergebnissen.
Vorbereitung: So bestehen Sie das Überwachungsaudit
Die beste Vorbereitung auf ein Überwachungsaudit ist kontinuierliches Dokumentieren und die regelmäßige Überwachung des QMS im Alltag. Wer sein System aktiv nutzt und nicht nur auf das Audit hin "aufräumt", hat kein Problem. Zwei bis drei Wochen vor dem geplanten Audit sollten Sie folgende Schritte durchführen:
1Dokumentation überprüfen
Sind alle Prozesse dokumentiert und aktuell? Fehlen Unterschriften, Datumsangaben oder Genehmigungen?
2Abweichungen aus dem letzten Audit beheben
Haben Sie alle Korrekturmaßnahmen aus der Erstzertifizierung oder dem letzten Überwachungsaudit abgeschlossen?
3Interne Audits durchführen
Haben Sie seit der letzten Zertifizierung interne Audits durchgeführt? Dies ist eine ISO 9001 Anforderung und wird immer überprüft.
4Management Review dokumentieren
Ist das Management Review dokumentiert, und wurde es mindestens einmal pro Jahr durchgeführt?
5Änderungen seit der Erstzertifizierung mitteilen
Hat sich im Unternehmen etwas geändert (neue Prozesse, Standorte, Mitarbeiter, Kunden)? Dies sollte der Auditor vor dem Termin erfahren.
Viele Unternehmen nutzen für diese Aufgaben eine ISMS- oder QMS-Plattform wie SECJUR. Eine solche Plattform hilft dabei, Dokumentationen zentral zu speichern, Abweichungen zu tracken und automatisch an notwendige Audits und Reviews zu erinnern. Das macht die Vorbereitung strukturierter und die Auditoren finden sofort die Nachweise vor.
Häufige Abweichungen und Korrekturmaßnahmen
In der Praxis zeigen sich bei Überwachungsaudits wiederkehrende Schwachstellen. Wer diese kennt, kann sie frühzeitig beheben.
Häufige Abweichung 1
Fehlende oder veraltete Dokumentation. Das QMS wurde zertifiziert, die Dokumentation wird aber nicht regelmäßig aktualisiert. Prozessbeschreibungen sind veraltet, oder neue Prozesse wurden nicht dokumentiert. Korrekturmaßnahme: Etablieren Sie einen Prozess zur jährlichen Überprüfung und Aktualisierung aller Dokumente. Zuständigkeiten klären und Gültigkeitsdaten setzen.
Häufige Abweichung 2
Keine oder unregelmäßige interne Audits. Interne Audits sind eine ISO 9001 Anforderung, werden aber oft vernachlässigt, weil sie "Audit fatigue" verursachen. Das Unternehmen führt manchmal nur ein internes Audit pro Jahr durch statt systematisch alle Prozesse zu überprüfen. Korrekturmaßnahme: Erstellen Sie einen Audit-Plan für das Jahr und halten Sie diesen ein. Dokumentieren Sie jeden Audit-Termin, die Ergebnisse und Maßnahmen.
Häufige Abweichung 3
Management Review nicht dokumentiert oder zu oberflächlich. Das Management Review findet statt, wird aber nicht strukturiert durchgeführt oder dokumentiert. Entscheidungen werden nicht nachverfolgbar gemacht. Korrekturmaßnahme: Etablieren Sie eine Vorlage für das Management Review, laden Sie die relevanten Stakeholder ein, und dokumentieren Sie Agenda, Diskussionspunkte und Ergebnisse schriftlich.
Häufige Abweichung 4
Korrekturmaßnahmen nicht nachverfolgbar. Abweichungen werden identifiziert, aber es gibt kein System, um zu prüfen, ob die Korrekturmaßnahmen tatsächlich umgesetzt wurden. Korrekturmaßnahme: Führen Sie ein Maßnahmenverfolgungssystem ein. Jede Abweichung bekommt eine Nummer, einen Verantwortlichen und ein Umsetzungsdatum. Nach der Umsetzung wird überprüft und dokumentiert, dass die Maßnahme wirksam war.
Mit SECJUR jederzeit audit-ready bleiben
"Wer sein QMS kontinuierlich nutzt, anstatt es nur für Audits aus dem Schrank zu holen, wird nicht überrascht. Überwachungsaudits sind keine Hürde, wenn die Dokumentation und Prozesse im Alltag gelebt werden."
Bettina Stearn, ISO/IEC 27001 Auditorin & QM-Fachexpertin bei SECJUR
Die kontinuierliche Audit-Readiness bedeutet: Das System muss nicht für den Audit vorbereitet werden, weil es ohnehin permanent vorbereitet ist. Das ist der Unterschied zwischen Unternehmen, die Zertifizierungen als Compliance-Kreuztrag sehen, und solchen, die echte Qualitätsmanagementsysteme aufbauen.
SECJUR Digital Compliance Office hilft dabei, diese Kontinuität zu schaffen. Die Plattform unterstützt beim Dokumentieren, beim Tracking von Abweichungen und Korrekturmaßnahmen, bei der Planung interner Audits und bei der Vorbereitung des Management Reviews. Alle relevanten Nachweise sind zentral verfügbar und können dem Auditor sofort gezeigt werden.
Das Ergebnis: Überwachungsaudits werden zur Routine statt zur Belastung. Das Unternehmen erhält die Zertifizierung, und das QMS wird zum echten Werkzeug für die Qualitätssicherung.
.svg)
.svg)
.svg)
.svg){kind=small}