- Zielgruppe
- Qualitätsauditoren, QM-Ingenieure und Einkaufsleiter — Tier-1- und Tier-2-Zulieferer mit IATF-16949-Pflicht
- Normgrundlage
- IATF 16949:2016 §8.4.1 · §8.4.2 · ISO 19011:2018 (Audit-Leitfaden)
- Lesezeit
- ca. 10 Minuten
Lieferant besucht.
8 Prüfbereiche abgearbeitet.
Auditbericht: kein Major-Finding.
Ein Lieferantenaudit scheitert selten am schlechten Lieferanten — er scheitert an der schlechten Vorbereitung. Was IATF 16949 bei Second-Party-Audits fordert, wie ein Audit Schritt für Schritt abläuft und welche 8 Prüfbereiche keine vollständige Checkliste vergessen darf.
Viele Qualitätsplaner verwechseln die periodische Lieferantenbewertung mit dem Lieferantenaudit — sie sind beides Instrumente der Lieferantenüberwachung, aber mit grundverschiedener Methode, Frequenz und Aussagekraft. IATF 16949 §8.4.1 verlangt je nach Lieferantenstatus beide.
Methode
KPI-basiert, ohne Vor-Ort-Besuch
Strukturierter Vor-Ort-Besuch beim Lieferanten
Häufigkeit
Halbjährlich / jährlich je Klasse
Bei Bedarf — Neulieferant, Problemfall, IATF-Pflicht
Aufwand
Gering (1–2 Stunden)
Hoch (0,5–2 Tage vor Ort)
IATF-Pflicht
Bei allen Lieferanten im IATF-Scope
Bei nicht zertifizierten / kritischen Lieferanten
Output
Bewertungsbogen mit Gesamtpunktzahl
Auditbericht mit Befunden und Maßnahmenplan
Faustregel: Die Lieferantenbewertung liefert das Frühwarnsignal — der Lieferantenaudit liefert die Ursachenanalyse. Wer nur bewertet, aber nie audiert, sieht Symptome aber keine Systeme.
Ein Lieferantenaudit ist kein spontaner Besuch — er folgt einem strukturierten Ablauf nach ISO 19011. Wer die fünf Phasen kennt und konsequent durchläuft, bekommt verwertbare Ergebnisse statt eines Höflichkeitsbesuchs.
Planung
1–2 Wochen vor Audit- → Auditplan erstellen: Datum, Umfang, Auditoren-Team, Auditprogramm
- → Termin mit dem Lieferanten abstimmen, Agenda vorab senden
- → Unterlagen anfordern: aktuelles Qualitätshandbuch, letzte Reklamationsübersicht, Zertifikate
- → Checkliste vorbereiten: Prüfbereiche festlegen, lieferantenspezifische Risiken einarbeiten
Bestätigter Auditplan, Unterlagen-Anforderungsliste, fertige Checkliste
Eröffnungsgespräch
Tag des Audits, ca. 30–60 Minuten- → Auditteam vorstellen
- → Auditumfang und -ziel erläutern
- → Ablauf erklären: wann Dokumentenprüfung, wann Begehung, wann Abschlussgespräch
- → Kontaktperson und Begleitung beim Lieferanten klären
Gegenseitiges Verständnis über Ablauf und Erwartungen
Dokumentenprüfung
Ca. 2–4 Stunden- → QM-Handbuch: vorhanden, aktuell, IATF-konformes QMS?
- → Fertigungssteuerungsplan für das auditierte Produkt
- → PFMEA: konsistent mit Control Plan und Prozessfluss? Maßnahmen aus letztem Review abgeschlossen?
- → Prüfanweisungen an Prüfplätzen vorhanden und lesbar?
- → Kalibrierübersicht: alle Messmittel erfasst, Fälligkeitsdaten aktuell?
Befundliste Dokumentenprüfung mit offenen Punkten für die Begehung
Vor-Ort-Begehung
Ca. 2–4 Stunden- → Produktionsbereich: Fertigungsbedingungen, Kennzeichnung, 5S
- → Wareneingang: FIFO, Schutz vor Beschädigung, Zurückweisung nicht konformer Ware
- → Messmittelkontrolle: Kalibrieretiketten sichtbar und gültig
- → Stichprobenprüfung: laufende Prüfung nach Control Plan beobachten
- → Sublieferanten: Welche kritischen Teile kommen von Unterlieferanten? Wie überwacht?
Begehungs-Befundliste mit Fotos und Belegen
Abschlussgespräch + Auditbericht
Ca. 1 Stunde + Nacharbeit- → Befunde vorstellen: Major, Minor, Beobachtung
- → Maßnahmenplan besprechen: Wer macht was bis wann?
- → Nächste Schritte klären: Auditbericht-Frist, Wirksamkeitsprüfung
- → Auditbericht erstellen und an Lieferanten senden
Auditbericht mit Befunden, Schweregrad-Klassifizierung und Maßnahmenplan
Diese acht Prüfbereiche decken einen vollständigen Second-Party-Audit nach IATF 16949 ab — von der Systemzertifizierung bis zur CSR-Weitergabe an Unterlieferanten. Die Checkliste ist als Arbeitsinstrument konzipiert: abarbeitbar, prüfpunktspezifisch, ohne Interpretationsspielraum.
Qualitätsmanagementsystem
- → Zertifikat gültig? (IATF 16949, ISO 9001 oder ISO 13485 — je nach Anforderung)
- → QM-Handbuch aktuell? Letzte Überarbeitung wann?
- → Internes Auditprogramm: alle geplanten internen Audits durchgeführt?
- → Managementbewertung: Protokoll der letzten Managementbewertung vorhanden?
Prozessdokumentation
- → Fertigungssteuerungsplan: vorhanden, aktuell, am Produkt nachverfolgbar?
- → PFMEA: konsistent mit Control Plan und Prozessfluss? Maßnahmen aus letztem PFMEA-Review abgeschlossen?
- → Prüfanweisungen an den Prüfplätzen vorhanden und lesbar?
Messmittel und Kalibrierung
- → Kalibrierübersicht: alle Messmittel erfasst, Fälligkeitsdaten für jedes Gerät sichtbar?
- → MSA-Studien: liegen für kritische Merkmale Typ-1-Studien oder Gage R&R vor?
- → Messmittel am Prüfplatz: Kalibrieretiketten vorhanden und nicht abgelaufen?
Fehlerprävention
- → FMEA-Abdeckung: alle bekannten Fehlerbilder in PFMEA erfasst?
- → Prüfmittel für kritische Merkmale (Special Characteristics): vorhanden und einsatzbereit?
- → Poka-Yoke-Maßnahmen: implementiert? Letzter Funktionstest dokumentiert?
Reklamationsbearbeitung
- → Offene 8D-Berichte: wie viele? Überfällige Maßnahmen?
- → 8D-Methodik: tatsächlich angewendet? Stichprobe an abgeschlossenem 8D-Fall prüfen.
- → Eskalationsregeln: was passiert wenn Maßnahmen überfällig sind?
Zeichnungs- und Revisionsmanagement
- → Produktionsunterlagen am Arbeitsplatz: aktueller Revisionsstand?
- → Änderungsmanagement: wie erfahren Mitarbeiter von Zeichnungsänderungen?
- → Unterschied Konstruktions- vs. Fertigungszeichnung: wer pflegt was, wer gibt frei?
Lagerhaltung und Logistik
- → FIFO: First-In-First-Out sichtbar gekennzeichnet und gelebt?
- → Schutz vor Beschädigung: Transportbehälter geeignet, empfindliche Teile geschützt?
- → Rückverfolgbarkeit: Seriennummern / Chargennummern vom Wareneingang bis in die Fertigung nachverfolgbar?
Sublieferanten und CSR-Weitergabe
- → Welche kritischen Teile kommen von Unterlieferanten? Liste aktuell gepflegt?
- → CSR-Weitergabe: OEM-Anforderungen an Unterlieferanten weitergegeben? Nachweis vorhanden?
- → Lieferantenbewertung der eigenen Tier-3: findet eine Bewertung statt? Dokumentiert?
Ein Auditbericht ohne Maßnahmenplan ist wertlos — und eine Maßnahme ohne Wirksamkeitsnachweis ist ein neues Finding. IATF 16949 erwartet, dass Befunde nicht nur dokumentiert, sondern konsequent verfolgt werden. Drei Schweregrade nach ISO 19011:
Major
Hauptabweichung
Systemisches Versagen oder fehlende Dokumentation, die eine Zertifizierung oder Normanforderung gefährdet.
8D-Bericht, Korrekturmaßnahme mit Termin und Wirksamkeitsnachweis. Bei schwerwiegenden Fällen: Re-Auditierung oder vorübergehende Einkaufssperre.
Minor
Nebenabweichung
Einzelner Fehler, der noch kein Systemversagen darstellt — aber bei Häufung zu einem Major werden kann.
Korrekturmaßnahme mit Termin und Wirksamkeitsnachweis beim nächsten regulären Kontakt.
Obs.
Beobachtung
Verbesserungspotenzial ohne direkte Norm-Verletzung — kein Befund, aber ein Hinweis.
Empfehlung. Keine Pflichtmaßnahme. Kann bei künftigen Audits als Verbesserungsindikator verfolgt werden.
Wirksamkeitsnachweis nicht vergessen: IATF-Auditoren fragen bei Folgeaudits explizit nach den abgeschlossenen Maßnahmen aus dem letzten Lieferantenaudit. Eine Maßnahme gilt erst als geschlossen, wenn sie mit Datum, Verantwortlichem und Wirksamkeitsbeleg dokumentiert ist — „Gespräch geführt" ohne Protokoll zählt nicht.
IATF 16949 §8.4.1 und §8.4.2 definieren risikobasiert, wann ein Second-Party-Audit erforderlich ist — nicht jeder Lieferant braucht einen Vor-Ort-Besuch. Die Entscheidungslogik:
Neulieferant ohne IATF-Zertifikat, SC-Teile
IATF 16949 §8.4.1 fordert Prozessfähigkeitsnachweis bei nicht zertifizierten Schlüssellieferanten
Lieferant nach wiederholten Qualitätsproblemen
Eskalationsmaßnahme bei anhaltend schlechter Lieferantenbewertung — IATF erwartet Nachweis der Reaktion
Kritischer Prozess ohne eigene Zertifizierung (Wärmebehandlung, Galvanik)
Prozess-Audit als Substitut für fehlendes Zertifikat — §8.4.2 risikobasierte Überwachung
Lieferant mit gültigem IATF-16949-Zertifikat
Third-Party-Audit der Zertifizierungsstelle ersetzt den Second-Party-Audit in den meisten Fällen
Bürobedarf, IT-Services, Nicht-Qualitäts-Lieferanten
Außerhalb des IATF-Scope — keine qualitätsrelevante Auswirkung auf das Endprodukt
OEM-Kundensonderforderungen können abweichende Audit-Pflichten definieren. CSR-Dokument des jeweiligen OEM (BMW, VW, Stellantis, Ford etc.) immer prüfen — manche OEMs schreiben Audit-Frequenzen für Tier-2-Lieferanten vor.
Auditbefunde, Maßnahmenplan,
Wirksamkeitsnachweis — in einer Plattform.
QIMS verbindet den Lieferantenaudit mit der periodischen Lieferantenbewertung: Audit-Ergebnis fließt direkt als Bewertungskriterium ein, Major-Findings triggern automatisch den Eskalationsworkflow, der Wirksamkeitsnachweis wird revisionssicher protokolliert. Entwickelt nach den Anforderungen aus IATF 16949 §8.4.
Konditionen besprechen wir im Demo-Gespräch.
Ist ein Lieferantenaudit nach IATF 16949 Pflicht?
Ja — bei nicht zertifizierten Lieferanten in Schlüsselpositionen, nach wiederholten Qualitätsproblemen und bei der Neuqualifizierung von Lieferanten, die kritische Teile oder Prozesse liefern. IATF 16949 §8.4.1 fordert für Lieferanten ohne gültiges IATF-16949- oder ISO-9001-Zertifikat den Nachweis der Prozessfähigkeit durch Second-Party-Audit. OEM-Kundensonderforderungen können zusätzliche Audit-Pflichten definieren — CSR-Dokument des jeweiligen OEM prüfen.
Wie lange dauert ein Lieferantenaudit?
Je nach Umfang 0,5 bis 2 Tage. Ein reiner Systemaudit (nur Dokumentenprüfung, kein Vor-Ort-Rundgang) ist in einem halben Tag möglich. Ein kombinierter System- und Prozessaudit mit Begehung der Fertigungsbereiche und Messmittelprüfung dauert typischerweise 1–2 Tage. Auditoren-Faustregel: pro wesentlichem Prozessbereich (Wareneingang, Fertigung, Prüfbereich, Lager) ca. 1–2 Stunden Begehungszeit einplanen.
Wer darf einen Lieferantenaudit durchführen?
IATF 16949 schreibt keine Zertifizierung der Auditoren vor — aber Kompetenznachweis muss dokumentiert sein. Typisch: Weiterbildung zum VDA-Auditor oder interne Qualifizierung nach ISO 19011, dokumentiert in der Personalakte. Wichtig: Der Auditor darf keine direkte Verantwortung für das auditierte Produkt oder den Lieferanten haben — Unabhängigkeit ist Pflicht. Zwei-Auditoren-Team empfohlen: ein Qualitäts- und ein Einkaufs-Vertreter.
Was ist der Unterschied zwischen Second-Party-Audit und Third-Party-Audit?
Second-Party-Audit: Der Kunde prüft seinen Lieferanten direkt — mit eigenem Auditteam, auf Basis einer eigenen Checkliste. Das ist das klassische Lieferantenaudit. Third-Party-Audit: Eine unabhängige Zertifizierungsstelle (TÜV, DQS, Bureau Veritas etc.) prüft den Lieferanten und stellt bei Erfolg ein Zertifikat aus (z. B. IATF 16949). Für Lieferanten mit gültigem IATF-16949-Zertifikat entfällt die Pflicht zum Second-Party-Audit in den meisten Fällen — das Third-Party-Zertifikat ersetzt ihn.
Was passiert nach einem Lieferantenaudit mit Major-Findings?
Major-Findings (Hauptabweichungen) erfordern einen vollständigen 8D-Bericht mit Ursachenanalyse, Sofortmaßnahmen, nachhaltigen Korrektivmaßnahmen und Wirksamkeitsnachweis. Frist: typisch 4–8 Wochen je nach Schwere. Der Auditor erwartet eine schriftliche Stellungnahme plus Nachweis der Wirksamkeitsprüfung. In schwerwiegenden Fällen: Re-Auditierung durch das Kunden-Auditteam. Wenn Major-Findings nicht fristgerecht geschlossen werden: Einkaufssperre oder Überwachungsplan möglich.