- Zielgruppe
- QM-Beauftragte, Einkaufsleiter und Qualitätsteams in Medizintechnik, Automotive und allgemeinem QMS
- Normgrundlage
- ISO 13485:2016 §7.4.1–7.4.3 · IATF 16949:2016 §8.4.1–8.4.3 · ISO 9001:2015 §8.4 · EU-MDR Anhang IX §2.2 · VDA 6.3:2023
- Lesezeit
- ca. 16 Minuten
Lieferant qualifiziert.
Freigabe dokumentiert.
Zertifikat abgelaufen. Re-Audit drei Jahre überfällig. Eskalationspfad: nicht dokumentiert.
Das häufigste Lieferantenmanagement-Problem beim Zertifizierungsaudit ist nicht die fehlende Erstqualifizierung — es ist das, was danach kommt. Wer hat wann geprüft ob das Lieferantenzertifikat noch gültig ist? Wer hat beim letzten Performance-Einbruch eine Eskalation ausgelöst — und wo ist der Nachweis? ISO 13485 §7.4.1 und IATF 16949 §8.4.1 fordern ein durchgängiges System: von der risikobasierten Klassifizierung über Erstqualifizierung und ASL-Freigabe bis zu KPI-Tracking, Eskalationspfad und dokumentiertem Wirksamkeitsnachweis.
Lieferantenmanagement ist kein Einkaufsprozess — es ist ein QMS-Pflichtprozess
Die meisten Qualitätsteams verstehen Lieferantenmanagement als Einkaufsaufgabe: Angebote vergleichen, Preise verhandeln, Lieferanten bei Bedarf wechseln. ISO 13485 §7.4.1 und IATF 16949 §8.4.1 definieren mehr als das: ein dokumentiertes System das sicherstellt, dass Lieferanten nach definierten Kriterien ausgewählt werden, ihre Qualifikation nachgewiesen und regelmäßig geprüft ist, ihre Leistung systematisch überwacht wird — und bei Abweichungen ein dokumentierter Eskalationspfad greift. Das System schließt sich erst wenn die Wirksamkeit der Eskalationsmaßnahme geprüft und der Nachweis in der Lieferantenakte liegt.
Drei Normen — ein Prozess mit unterschiedlicher Detailtiefe
ISO 9001 §8.4 definiert den Rahmen: extern bereitgestellte Prozesse, Produkte und Dienstleistungen steuern. ISO 13485 §7.4 ist deutlich prescriptiver: §7.4.1 fordert dokumentierte Auswahlkriterien und regelmäßige Neubewertung, §7.4.2 vollständige Beschaffungsangaben und §7.4.3 den Nachweis der Verifizierung beim Wareneingang. IATF 16949 §8.4 geht noch weiter: §8.4.1 bis §8.4.3 fordern zusätzlich die Weitergabe von Customer Specific Requirements an Unterlieferanten — die am häufigsten fehlende Dokumentation beim Automotive-Systemaudit.
Bevor der erste Qualifizierungsprozess startet, steht eine Grundsatzentscheidung: Welches Risiko geht mit diesem Lieferanten einher? ISO 13485 §7.4.1 und IATF 16949 §8.4.2 fordern einen risikobasierten Ansatz — Art und Umfang der Kontrollmaßnahmen müssen dem Risiko entsprechen. In der Praxis wird das über eine A/B/C-Klassifizierung operationalisiert. Die Klasse bestimmt die Qualifizierungsmethode, die Bewertungsfrequenz und den Kontrollumfang — ein Kritisch-Lieferant ohne gültige Zertifizierung erfordert ein Second-Party-Erstaudit, ein Standard-Lieferant mit IATF-Zertifikat kommt mit Zertifikat-Prüfung durch.
Was der IATF-Auditor zum Klassifizierungssystem fragt:
"Zeigen Sie mir Ihr Lieferantenregister. Wer ist als kritisch eingestuft — und warum? Was wird bei kritischen Lieferanten anders gemacht als bei Standard-Lieferanten?" Ohne dokumentiertes Klassifizierungssystem kann man risikobasierte Steuerung nicht nachweisen.
Kritisch
Direkter Produkteinfluss, Alleinlieferant ohne qualifizierten Ersatz, kein Substitut kurzfristig verfügbar
Erstaudit verpflichtend, halbjährliche Bewertung, alle 6 KPIs, ASL-Scope auf Teile-Ebene
ISO 13485 §7.4.1 / IATF 16949 §8.4.1
Wichtig
Direkter Produkteinfluss, aber qualifizierte Alternativen vorhanden, Wechsel mit Aufwand möglich
Fragebogen oder Zertifikat-Prüfung, jährliche Bewertung, Kern-KPIs (PPM, OTD, Reklamation)
ISO 13485 §7.4.1 / ISO 9001 §8.4.1
Standard
Indirekter Produkteinfluss oder generische Betriebsmittel, leicht substituierbar
Zertifikat-Prüfung ausreichend, jährlich oder ereignisgesteuert, Kern-KPIs bei Auffälligkeiten
ISO 9001 §8.4.1
Klassifizierungsschema nicht normativ vorgeschrieben — ISO 13485 §7.4.1 fordert "risikobasierte" Steuerung ohne exaktes A/B/C-Schema. IATF 16949 §8.4.2 verwendet den Begriff "Art und Umfang der Steuerung". A/B/C ist die branchenübliche Operationalisierung. Klasse muss in der ASL dokumentiert und bei Änderung der Liefersituation (Alleinlieferant-Status, Produktkritikalität) aktualisiert werden.
Systematische Auswahl statt Empfehlungs-Qualifizierung
Neue Lieferanten kommen ins QMS auf zwei Wegen: auf Empfehlung oder nach strukturierter Suche. ISO 13485 §7.4.1 und IATF 16949 §8.4.1 akzeptieren nur den zweiten Weg — mit dokumentierten Auswahlkriterien, die vor dem ersten Kontakt festgelegt wurden. Die Qualifizierungsmethode bestimmt die Risikoklasse: ein A-Lieferant ohne Zertifizierung muss auditiert werden, ein C-Lieferant mit gültigem IATF-Zertifikat kommt mit Zertifikat-Prüfung durch.
Zertifikat-Prüfung
Lieferant hat gültige IATF-16949- oder ISO-13485-Zertifizierung, geringes Risiko
IATF 16949 §8.4.1
Gering — Zertifikat anfordern, Gültigkeit und Scope prüfen, dokumentieren
B / C
Selbstauskunft / Fragebogen
Mittleres Risiko, keine Zertifizierung, aber bekannte Branche und etablierter Anbieter
ISO 13485 §7.4.1
Mittel — Fragebogen auswerten, Bewertungsmatrix ausfüllen, Entscheidungsträger dokumentieren
B
Produktmuster + Erstbemusterung
Direkter Produktbezug — Qualitätsnachweis durch Muster vor Serienbeginn erforderlich
ISO 13485 §7.4.3 / PPAP Level 3+
Mittel bis hoch — Erstmuster anfordern, prüfen, Prüfbericht dokumentieren, freigeben
A / B
Second-Party-Audit (Erstaudit)
Kritischer Lieferant ohne Zertifizierung — Vor-Ort-Prüfung des QMS vor Freigabe
IATF 16949 §8.4.1 / ISO 13485 §7.4.1
Hoch — Auditplan, Vor-Ort-Durchführung, Auditbericht mit Befunden und Reaktionsfristen
A
S1 Lieferantenauswahl — vollständiger Leitfaden mit Bewertungsmatrix
Auswahlkriterien, Freigabe-Schwellenwerte (z. B. ≥ 70 % → freigegeben, 50–69 % → bedingt), Dokumentationspflichten und häufige Fehler bei der Erstqualifizierung im Detail:
Lieferantenauswahl: Kriterien, Bewertungsmatrix und Qualifizierungsprozess →Approved Supplier List: Mehr als ein Name und ein Freigabedatum
Jedes QMS das nach ISO 13485 oder IATF 16949 zertifiziert ist, braucht eine dokumentierte Liste der freigegebenen Lieferanten — ASL (Approved Supplier List), QLL (Qualifizierte Lieferantenliste) oder AVL (Approved Vendor List). Was sie heißt, ist zweitrangig. Was sie enthalten muss, ist entscheidend: Ohne Scope-Angabe weiß der Auditor nicht wofür der Lieferant freigegeben ist. Ohne Gültigkeitsdatum bleibt das abgelaufene Zertifikat unbemerkt. Ohne Eskalationsstatus ist die Sperre aus E5 nicht in der Liste sichtbar.
Lieferanten-ID
Interne Nummer für eindeutige Zuordnung
ISO 13485 §7.4.1
Lieferantenname + Standort
Vollständiger Firmenname und Produktionsstandort
ISO 13485 §7.4.1
Freigabe-Scope
Für welche Produkte/Materialien/Dienstleistungen freigegeben — nicht pauschal
ISO 13485 §7.4.1
Lieferantenkategorie
Kritisch (A) / Wichtig (B) / Standard (C)
Risikobasiert
Freigabedatum
Datum der initialen Freigabe mit Entscheidungsträger
ISO 13485 §7.4.1
Aktueller Bewertungsstatus
Freigegeben / Bedingt freigegeben / Gesperrt
ISO 13485 §7.4.1
Zertifizierung + Ablaufdatum
Art des Zertifikats (IATF/ISO/etc.), Ablaufdatum mit 60-Tage-Vorwarnfrist
IATF 16949 §8.4.1
Letzte Neubewertung
Datum der letzten periodischen Bewertung und KPI-Auswertung
ISO 13485 §7.4.1
Nächste Neubewertung
Fälligkeitsdatum der nächsten geplanten Bewertung je Risikoklasse
Risikobasiert
Eskalationsstatus
Aktive Eskalationsstufe falls vorhanden — E1 bis E6
IATF 16949 §8.4.1
S2 ASL/QLL — vollständiger Leitfaden mit Freigabe-Workflow und Trigger-Logik
Wie Scope-Angaben aufgebaut werden, welche vier Trigger automatische Re-Qualifizierung auslösen und was Excel kann — und was nicht:
Qualifizierte Lieferantenliste (ASL/QLL): Aufbau und Freigabe-Workflow →VDA 6.3 P2 — Projektmanagement im Lieferantenkontext: APQP mit Tier-2
VDA 6.3:2023 P2 (Projektmanagement) prüft bei Automotive-Serienlieferanten, wie Neuprojekte geplant und gesteuert werden — und ob Unterlieferanten systematisch in den APQP-Prozess eingebunden sind. Für Tier-1-Zulieferer bedeutet P2 im Lieferantenkontext konkret: Werden kritische Tier-2-Lieferanten frühzeitig in die Projektplanung einbezogen? Liegen Ressourcen-, Zeit- und Risikoplanung für den Serienanlauf beim Unterlieferanten vor? IATF 16949 §8.4.1 verlangt dass Tier-1 die "Art und Umfang der Steuerung" bei Tier-2 risikoangepasst definiert — P2 ist die methodische Umsetzung davon.
Die häufigste P2-Lücke beim IATF-Lieferantenaudit:
Tier-1 hat APQP-Prozess für eigene Neuprojekte dokumentiert. Aber: Wie wird sichergestellt dass der kritische Tier-2-Komponentenlieferant seinen Teil des APQP pünktlich und vollständig liefert? Wer bei Tier-1 ist verantwortlich für das APQP-Monitoring beim Unterlieferanten? P2 ohne Nachweis der Tier-2-Einbindung ist bei IATF-Systemaudits regelmäßig eine Nebenabweichung.
Kapazität und Schlüsselpersonal beim Lieferanten
Hat der Unterlieferant ausreichend Fertigungskapazität für das Serienvolumen? Sind Schlüsselpersonen (Qualitätsverantwortlicher, Projektleiter) identifiziert und im APQP-Plan benannt? P2 prüft ob das dokumentiert ist — nicht nur ob die Kapazität prinzipiell vorhanden ist.
APQP-Meilensteine mit Tier-2 synchronisieren
Tier-2-Lieferdaten für Erstmuster, Serienwerkzeuge und Freigabe-Nachweise müssen in den APQP-Plan des Tier-1 integriert sein. Verzögerungen beim Unterlieferanten müssen erkannt und eskaliert werden — bevor sie den Serienanlauf beim OEM gefährden.
Risiken des Serienanlaufs beim Lieferanten identifizieren
Neue Fertigungsprozesse beim Unterlieferanten, kritische Materialien ohne Alternativbezug, knappe Fristsetzungen — P2 erwartet eine dokumentierte Risikoanalyse mit Maßnahmen für den Anlaufbereich.
Erstmuster: Qualitätsnachweis auf Teile-Ebene vor Serienbeginn
ISO 13485 §7.4.3 fordert die Verifizierung beschaffter Produkte — für kritische Komponenten mit direktem Produkteinfluss wird das vor Serienbeginn durch Erstmusterprüfung operationalisiert. In der Automotive-Industrie ist das durch den PPAP (Production Part Approval Process) formalisiert: Level 1 bis Level 5 bestimmen welche Nachweise der Lieferant liefern muss, bevor die Serienlieferung beginnt. Level 3 (vollständige Unterlagen beim Lieferanten, Muster beim Kunden) ist der Automotive-Standard für neue Teile und bei Prozessänderungen.
Requalifikation: Wann die Erstfreigabe nicht mehr gilt
ISO 13485 §7.4.1 fordert die Neubewertung von Lieferanten — definierte Trigger lösen Re-Qualifizierungspflicht aus. In der Praxis fehlt oft der Mechanismus der diese Trigger automatisch erkennt. Die vier kritischen Requalifikations-Trigger: Zertifikat abgelaufen (60-Tage-Vorwarnfrist empfohlen), neuer oder geänderter Fertigungsstandort beim Lieferanten, wesentliche Produktionsprozessänderung (Change Notification nach IATF 16949 §8.4.3), und Inhaberwechsel oder Unternehmensrestrukturierung. Bei kritischen A-Lieferanten sind zusätzlich periodische Re-Qualifizierungszyklen (halbjährlich) verpflichtend — unabhängig ob ein spezifischer Trigger eingetreten ist.
PPAP als Erstmuster-Nachweis — Level und Dokumentationstiefe
PPAP Level 1–5, was der Lieferant liefern muss und wie der Erstmusterprüfbericht mit der Lieferantenakte verknüpft wird:
PPAP: Lieferantenzulassung auf Teile-Ebene →VDA 6.3 Prozessaudit — P1 Potenzialanalyse und P6 Serienprozess
Wie P1 (Potenzialanalyse bei Erstqualifizierung) und P6 (Serienprozessaudit) in die Lieferantensteuerung eingebettet sind:
VDA 6.3 Prozessaudit: P1–P7 vollständig →Daten allein sind kein Lieferantenmanagement — Schwellenwerte und Reaktion fehlen
PPM-Daten im ERP, Liefertreue im Wareneingang, Reklamationszähler in einer Shared-Folder-Datei. Das Problem: Diese Daten erzeugen keine Entscheidungen. Was fehlt sind definierte Schwellenwerte, ein dokumentierter Bewertungsprozess und ein Eskalationsmechanismus der aus einer Kennzahl automatisch eine Reaktion produziert. ISO 13485 §7.4.1 fordert: "Ergebnisse der Bewertung und daraus resultierender notwendiger Maßnahmen müssen aufgezeichnet werden" — nicht nur die Messung, auch die Konsequenz.
PPM
Parts Per Million — Fehlerteile pro Million gelieferte Teile
< 50 PPM (A-Lieferant Automotive)
Wareneingang / Reklamationssystem
OTD
On-Time-Delivery — Anteil pünktlicher Lieferungen in Prozent
≥ 95 %
ERP / Wareneingang
Reklamationsquote
Anzahl eingegangener Reklamationen pro Quartal
≤ 2 pro Quartal
Reklamationssystem
8D-Response-Zeit
Reaktionszeit auf Reklamationen bis D1–D3 in Stunden
≤ 24 h für D1–D3
Reklamationssystem
Audit-Ergebnis
Punkte aus letztem Second-Party-Audit (0–100 Punkte)
≥ 75 Punkte
Audit-System
Zertifizierungsstatus
Gültigkeit des QMS-Zertifikats (IATF/ISO)
Gültig = grün / abgelaufen = rot
Lieferantenakte / ASL
KPI-Schwellenwerte nicht von Normen prescribt — IATF 16949 §8.4.1 nennt Qualitätsleistung und Liefertreue als Pflicht-Überwachungsbereiche. Beispielwerte orientieren sich an Automotive-Branchenstandard (AIAG, VDA). Interne Schwellenwerte müssen dokumentiert, konsistent angewendet und in der Eskalationslogik verankert sein. "Dauerhaft gelb" ist kein stabiler Zustand — IATF-Auditoren fragen nach der dokumentierten Reaktion auf Warnbereichsverweildauer.
S3 Performance-Tracking — Ampel-System, Bewertungsturnus und Eskalations-Trigger
Wie Ampel-Schwellenwerte kalibriert werden, welche Bewertungsfrequenz je Risikoklasse sinnvoll ist und wann eine Schwellenwert-Unterschreitung automatisch den Eskalationspfad auslöst:
Performance-Tracking: KPIs, Schwellenwerte und Eskalations-Trigger →Die häufigste Audit-Frage: Was haben Sie getan — und wo ist der Nachweis?
Die häufigste Frage im Lieferantenmanagement-Audit: "Zeigen Sie mir einen Fall wo ein Lieferant Schwellenwerte unterschritten hat — und was danach passiert ist." Wenn die Antwort "Wir haben gesprochen" ist, fehlt der Nachweis. IATF 16949 §8.4.1 und ISO 13485 §7.4.1 fordern dokumentierte Maßnahmen und deren Wirksamkeitsnachweis. Der Eskalationspfad muss vor dem ersten Qualitätsereignis definiert und im QMS verankert sein.
Erste Schwellenwert-Unterschreitung (z. B. OTD < 95 % oder PPM-Anstieg)
Erstgespräch — telefonisch oder schriftlich, Ursachenklärung, Protokoll
≤ 5 Werktage
Gesprächsprotokoll mit Datum und Ansprechpartner
Wiederholung der Unterschreitung oder keine Reaktion auf E1
8D-Bericht fordern — D1–D3 sofort, D4–D8 innerhalb 30 Tage
D1–D3 ≤ 24 h
8D-Bericht empfangen, kommentiert und in Lieferantenakte abgelegt
8D nicht akzeptiert oder Maßnahmen nicht fristgerecht umgesetzt
Erhöhte Wareneingangskontrolle — 100 %-Prüfung statt Stichprobe
Sofort nach Entscheidung
WE-Prüfplan angepasst, Lieferant schriftlich informiert
Keine Verbesserung nach 60–90 Tagen in E3
Second-Party-Audit vor Ort beim Lieferanten
Termin ≤ 30 Tage
Audit-Plan, Auditbericht mit normbezogenen Befunden und Reaktionsfristen
Hauptabweichung im Audit ohne Reaktion oder irreparable Prozessprobleme
Temporäre Lieferantensperre + Prüfung von Alternativlieferanten
Sofort
ASL-Status "Gesperrt", Begründung, Einkauf und Produktion informiert
Keine Reaktion auf Sperre oder dauerhaft nicht behebbare Qualitätsprobleme
Dauerhafte Ausmusterung aus ASL + Alternativlieferant qualifizieren
Nach Entscheidung
ASL-Update (Ausmusterung), Datum, Begründung, Aufbewahrungsfrist beachten
Nach jeder Eskalationsstufe: Wirksamkeitsprüfung verpflichtend — wurde der KPI nach Maßnahmenabschluss wieder in den grünen Bereich gebracht? Datum, Methode und Ergebnis der Wirksamkeitsprüfung aufzeichnen. ISO 13485 §7.4.1 impliziert Wirksamkeitsnachweis, IATF 16949 §8.4.1 fordert ihn explizit.
S4 Lieferantenentwicklung — proaktiv und reaktiv: vollständiger Leitfaden
Lieferantenentwicklungs-Gespräche (proaktiv), Eskalationspfad E1–E6 mit Wirksamkeitsprüfung, Unterschied zwischen temporärer Sperre und dauerhafter Ausmusterung, und rechtliche Konsequenzen der Sperrung:
Lieferantenentwicklung und Eskalation: E1 bis E6 im Detail →Lieferantenaudit ist kein Selbstzweck — er wird durch Situation und Risikoklasse ausgelöst. IATF 16949 §8.4.1 und ISO 13485 §7.4.1 definieren keine starre Audit-Frequenz, sondern eine risikobasierte Logik: Wer auditiert werden muss, hängt davon ab wer der Lieferant ist, was er liefert und in welcher Situation er sich befindet. Die Matrix unten gibt den Überblick — weitere Details zur Auditdurchführung im Auditmanagement-Cluster.
Kritischer Lieferant (A) ohne IATF- oder ISO-Zertifizierung
Second-Party-Erstaudit
IATF 16949 §8.4.1
Vor Erstfreigabe verpflichtend
Neuer Lieferant für kritische Teile vor Automotive-Serienanlauf (APQP)
VDA 6.3 Potenzialanalyse (P1)
IATF 16949 §9.2.2.3
Im APQP-Prozess (VDA P2) verpflichtend
Eskalationsstufe E4 — Lieferant unterschreitet Schwellenwerte wiederholt
Second-Party-Folgeaudit
IATF §8.4.1 / ISO 13485 §7.4.1
Im Eskalationspfad: Termin ≤ 30 Tage
A-Lieferant — periodische Re-Qualifizierung
Re-Audit oder Dokumentenprüfung + KPI-Review
ISO 13485 §7.4.1 / IATF 16949 §8.4.1
Halbjährlich
Lieferant nach Zertifikatsablauf ohne Verlängerungsnachweis
Re-Qualifizierungsaudit oder erweiterter Fragebogen
ISO 13485 §7.4.1
Sofort nach Fristablauf, vor nächster Bestellung
Geänderter Fertigungsstandort oder wesentliche Prozessänderung
Kurzaudit vor Ort oder Erstbemusterung (Scope: geänderter Prozess)
ISO 13485 §7.4.1 / IATF 16949 §8.4.3
Vor Serienbeginn am neuen Standort / Prozess
Lieferantenaudit: Planung, Durchführung und Bewertungsübergang
Wann ein Second-Party-Audit nach IATF 16949 §8.4.1 und ISO 13485 §7.4.1 verpflichtend ist, wie der Auditbericht mit Befunden in die Lieferantenbewertungsmatrix fließt und welche Auditoren-Qualifikation erforderlich ist:
Lieferantenaudit: Ablauf, Checkliste und IATF-Pflicht →ISO-13485-zertifizierter Medtech-Hersteller
Bewertung und Auswahl nach dokumentierten Kriterien (§7.4.1), vollständige Beschaffungsangaben (§7.4.2) und Verifizierung beschaffter Produkte beim WE oder beim Lieferanten (§7.4.3) — Qualifizierte Lieferantenliste verpflichtend
IATF-16949-zertifizierter Automotive-Zulieferer
Steuerung extern bereitgestellter Prozesse (§8.4.1), risikobasierte Kontrollintensität nach Lieferantentyp (§8.4.2), Informationspflichten und CSR-Weitergabe an Unterlieferanten (§8.4.3)
ISO-9001-Unternehmen
Extern bereitgestellte Prozesse, Produkte und Dienstleistungen steuern — Art und Umfang risikobasiert, weniger prescriptive als IATF 16949. §8.4.1 Allgemeine Steuerung, §8.4.2 Kontrollintensität, §8.4.3 Lieferanteninformationen
EU-MDR-Hersteller (Benannte Stelle)
QMS muss Lieferkettensteuerung abdecken — Benannte Stelle prüft ob kritische Zulieferer im Scope des QMS erfasst sind und ob deren Qualitätsleistung systematisch überwacht wird
Kombiniertes QMS (ISO 13485 + IATF 16949)
Integrierter Prozess möglich — IATF 16949 ist die strengere Anforderung. CSR-Weitergabepflicht nach IATF 16949 §8.4.3 muss separat nachgewiesen werden, auch wenn ISO 13485 das nicht explizit fordert
Automotive mit VDA-6.3-Anforderung
Prozessaudit beim Lieferanten nach standardisiertem Fragenkatalog P1–P7 — P1 für Potenzialanalyse, P2 für Projektmanagement/APQP, P6 für Serienprozess. Gesamtergebnis als Ampel-Score fließt in Freigabeentscheidung und Bewertungsmatrix ein
S5 — ISO 13485 §7.4: Deep-Dive für Medizinprodukte-Hersteller
§7.4.1 bis §7.4.3 vollständig: Bewertung und Auswahl kritischer Lieferanten, Mindestinhalte der Beschaffungsangaben (§7.4.2) und Verifizierung beim Wareneingang oder beim Lieferanten (§7.4.3) — mit den vier häufigsten Audit-Fallen bei Benannte-Stelle-Überwachungsaudits:
Lieferantenmanagement nach ISO 13485 §7.4 — Leitfaden für Medizinprodukte-Hersteller →S6 — IATF 16949 §8.4: CSR-Weitergabe, §8.4.1 bis §8.4.3 differenziert
§8.4.1 Allgemeine Steuerung und Second-Party-Audit-Pflicht, §8.4.2 risikobasierte Kontrollintensität je Lieferantentyp (direkt, directed-buy, Prozesslieferant), §8.4.3 Informationspflichten und CSR-Weitergabe an Tier-2 — mit konkreten Auditor-Fragen aus dem IATF-Systemaudit:
Lieferantenmanagement nach IATF 16949 §8.4 — Automotive-Anforderungen →Einmalige Qualifizierung ohne Folgeprozess
ISO 13485 §7.4.1 fordert nicht nur die Erstbewertung — sondern die laufende Überwachung und Neubewertung. Viele Qualitätssysteme haben eine gute Erstqualifizierung, aber keinen definierten Trigger für die Wiederholung. Zertifikat läuft ab: kein automatischer Alert. Lieferant ändert Fertigungsstandort: keine Re-Qualifizierungspflicht im System verankert. Der Auditor fragt nach der letzten Neubewertung — die liegt fünf Jahre zurück.
KPIs vorhanden — Schwellenwerte und Eskalationspfad fehlen
IATF 16949 §8.4.1 verlangt, dass Lieferantenleistung überwacht wird — und dass bei schlechter Leistung Maßnahmen ergriffen werden. Das Zweite fehlt häufig: PPM-Daten sind im ERP vorhanden, aber es gibt keine definierten Schwellenwerte die automatisch eine Eskalation auslösen. "Wir sprechen das intern an" ist kein dokumentierter Eskalationspfad.
ASL ohne Scope-Angabe und ohne Gültigkeitsdatum
Eine Approved Supplier List die nur Name und Freigabe-Datum enthält, reicht nicht. ISO 13485 §7.4.1 erfordert, dass Lieferanten für spezifische Produkte oder Prozesse qualifiziert sind — nicht pauschal. Lieferant A ist für Rohmaterial X freigegeben, nicht generell. Fehlt die Scope-Angabe, kann der Auditor nicht prüfen ob der Einkauf tatsächlich nur freigegebene Lieferanten für freigegebene Produkte nutzt.
Customer Specific Requirements nicht an Unterlieferanten weitergegeben
IATF 16949 §8.4.3 verpflichtet Tier-1-Zulieferer, die Customer Specific Requirements ihrer OEMs an ihre eigenen Lieferanten (Tier-2) weiterzugeben. In der Praxis fehlt dieser Nachweis fast systematisch: Es gibt keinen Prozess der sicherstellt, dass neue oder geänderte CSR-Anforderungen die Lieferantenvereinbarungen mit Unterlieferanten aktualisieren.
Das häufigste Lieferantenmanagement-Problem in der Praxis ist nicht fehlendes Prozesswissen — es ist fehlende Fristüberwachung. Die Qualifizierung ist dokumentiert. Die ASL ist gepflegt. Die Bewertungsmatrix existiert. Und dann: kein System das automatisch signalisiert, wenn ein Zertifikat in 60 Tagen ausläuft. Kein Trigger der eine Re-Bewertung anmahnt wenn die letzte vor 13 Monaten war. Kein Eskalationsworkflow der aus einer Schwellenwert-Unterschreitung automatisch eine dokumentierte Reaktionskette erzeugt.
QIMS bildet das vollständige Lieferantenmanagement digital ab: Erstqualifizierungs-Workflow mit dokumentierter Bewertungsmatrix und A/B/C-Klassifizierung, Approved Supplier List mit Scope-Angabe und Gültigkeitsdatum. Das M52-Modul (Lieferanten-Bewertung) bildet das periodische KPI-Tracking mit konfigurierbaren Ampel-Schwellenwerten und automatischem Eskalations-Trigger ab — PPM-Anstieg, OTD-Unterschreitung oder abgelaufenes Zertifikat lösen direkt den dokumentierten Reaktionspfad aus. Second-Party-Audit-Integration mit Befunddokumentation und Wirksamkeits-Follow-up schließt den Kreis. Entwickelt nach den Anforderungen aus ISO 13485 §7.4 und IATF 16949 §8.4.
Lieferantenregister mit Scope, Risikoklasse und automatischer Fristüberwachung — kein abgelaufenes Zertifikat das unbemerkt bleibt.
KPI-Dashboard mit PPM, OTD, Reklamationsquote — Schwellenwert-Unterschreitung triggert automatisch den dokumentierten Eskalationspfad E1–E6.
Second-Party-Audit-Integration mit normbezogenen Befunden und Maßnahmen-Follow-up — Wirksamkeitsnachweis dokumentiert, Akte geschlossen.
Lieferantenmanagement das beim Zertifizierungsaudit standhält
In einer 30-Minuten-Demo zeigen wir, wie QIMS Ihr Lieferantenmanagement vollständig digital abbildet — von der Erstqualifizierung mit A/B/C-Klassifizierung über die ASL mit automatischer Fristüberwachung bis zum M52-Bewertungsmodul mit konfigurierbarem Eskalationspfad und Second-Party-Audit-Integration.
Was ist der Unterschied zwischen Lieferantenmanagement, Lieferantenbewertung und Lieferantenqualifizierung?
Lieferantenmanagement ist der übergeordnete Prozess: Er umfasst die gesamte Lieferantenbeziehung von der Auswahl bis zur Eskalation oder Ausmusterung. Lieferantenqualifizierung ist die Erstprüfung vor der Freigabe — sie klärt ob ein neuer Lieferant die Mindestanforderungen für eine Zusammenarbeit erfüllt. Lieferantenbewertung ist die periodische Leistungsbeurteilung bereits freigegebener Lieferanten anhand definierter KPIs (Qualität, Liefertreue, Reaktionszeit). ISO 13485 §7.4.1 und IATF 16949 §8.4.1 fordern alle drei Elemente als integrierten Prozess — der Zertifizierungsauditor erwartet nicht drei separate Excel-Listen, sondern ein System das zeigt wie Auswahl, Freigabe, laufende Bewertung und Eskalationsreaktion zusammenhängen.
Welche Lieferanten müssen nach ISO 13485 §7.4.1 in die Qualifizierte Lieferantenliste aufgenommen werden?
ISO 13485 §7.4.1 fordert, dass alle externen Anbieter bewertet und ausgewählt werden, die Produkte oder Dienstleistungen bereitstellen die sich auf die Qualität des Medizinprodukts auswirken können. Das schließt Komponentenlieferanten, Lohnhersteller und für die Qualität relevante Dienstleister ein. Kritisch ist die Formulierung "auswirken können": In der Medizintechnik-Praxis zieht das einen weiten Kreis. Sterilisationsdienstleister, Verpackungslieferanten, Prüflabore und Softwareanbieter für qualitätsrelevante Prozesse fallen typischerweise in den Scope. Die Benannte Stelle erwartet eine dokumentierte Begründung wenn Lieferanten bewusst außerhalb des QLL-Scopes gehalten werden — nicht nur die Liste selbst.
Wie oft muss ein Lieferant nach IATF 16949 §8.4 neu bewertet werden?
IATF 16949 §8.4.1 schreibt keine absolute Mindestfrequenz für Neubewertungen vor — fordert aber eine dokumentierte Methodik für die Leistungsüberwachung und eine risikobasierte Priorisierung. Branchenstandard in der Automobilindustrie: A-Lieferanten halbjährlich, B- und C-Lieferanten jährlich. Entscheidend ist weniger die Frequenz als die dokumentierte Reaktion: Was passiert wenn ein Lieferant Schwellenwerte unterschreitet? IATF-Auditoren fragen nicht nur "Wie oft bewerten Sie?" — sondern "Zeigen Sie mir den letzten Fall wo ein Lieferant unter die Schwelle gefallen ist und was danach passiert ist." Wer das nicht dokumentiert nachweisen kann, hat das häufigste Lieferantenmanagement-Defizit beim Überwachungsaudit.
Was ist eine Approved Supplier List (ASL) und was sind die Mindestinhalte nach ISO 13485?
Eine Approved Supplier List (ASL) — in der Medizintechnik häufig auch Qualifizierte Lieferantenliste (QLL) genannt — ist das dokumentierte Register aller geprüften und freigegebenen Lieferanten des QMS. ISO 13485 §7.4.1 schreibt kein exaktes Format vor, aber die Inhalte sind aus der Gesamtheit der Anforderungen ableitbar: Lieferantenname und -identifikation, Lieferkategorie (A/B/C), Freigabedatum, verantwortlicher Prüfer, aktueller Bewertungsstatus, Scope (für welche Produkte freigegeben) und gültige Zertifizierung mit Ablaufdatum. Fehlt die Scope-Angabe, ist das bei Überwachungsaudits nach ISO 13485 eine der häufigsten Nebenabweichungen.
Wann muss ein Lieferant re-qualifiziert oder gesperrt werden?
Eine Re-Qualifizierung ist angezeigt wenn sich die Lieferbedingungen wesentlich geändert haben: neuer Fertigungsstandort, Produktionsprozessänderung, Zertifizierung abgelaufen, Inhaberwechsel oder wiederholte Schwellenwert-Unterschreitungen in der Bewertung. ISO 13485 §7.4.1 und IATF 16949 §8.4.1 fordern, dass die Bewertungsmethodik Trigger für Re-Qualifizierungen definiert. Eine Sperrung ist erforderlich bei kritischen Qualitätsfehlern, abgelaufenem Zertifikat ohne Verlängerungsnachweis oder wenn Eskalationsmaßnahmen keine Wirkung zeigen. Die Sperrung und ihre Begründung muss dokumentiert sein — und es muss ein Nachweis bestehen, dass laufende Beschaffungsvorgänge beim gesperrten Lieferanten angehalten wurden.
Lieferantenauswahl und Erstqualifizierung: Kriterien, Bewertungsmatrix und was Benannte Stellen bei der Erstprüfung erwarten →
Approved Supplier List · QLL · ISO 13485 §7.4Qualifizierte Lieferantenliste (ASL/QLL): Pflichtinhalte, Freigabe-Workflow und wie die Liste aktuell gehalten wird →
Lieferanten-KPIs · PPM · OTD · BewertungsturnusLieferanten-Performance-Tracking: Welche KPIs gemessen werden, wie Schwellenwerte definiert werden und wann automatische Eskalation triggert →
Lieferantenentwicklung · Eskalation · MaßnahmenplanLieferantenentwicklung und Eskalation: Der sechsstufige Eskalationspfad bei Schwellenwert-Unterschreitung — von Erstgespräch bis Sperrung →
ISO 13485 §7.4 · Medizintechnik · Benannte StelleLieferantenmanagement nach ISO 13485 §7.4: Was §7.4.1 bis §7.4.3 fordern und was die Benannte Stelle beim Überwachungsaudit prüft →
IATF 16949 §8.4 · Automotive · CSR-WeitergabeLieferantenmanagement nach IATF 16949 §8.4: CSR-Weitergabepflicht, Second-Party-Audit und was Auditoren wirklich prüfen →
Lieferantenbewertung · Bewertungsmatrix · VorlageLieferantenbewertung: Kriterien, Bewertungssystem und Vorlage für die periodische KPI-Auswertung →
Auditmanagement · Lieferantenaudit · Second-Party-AuditAuditmanagement im QMS: Auditprogramm, 8 Phasen interne Audits und wie der Lieferantenaudit ins System eingebettet ist →
Lieferantenaudit · Second Party Audit · ChecklisteLieferantenaudit: Ablauf, Checkliste und wann er nach IATF 16949 und ISO 13485 verpflichtend ist →
CAPA · Korrekturmaßnahmen · LieferantenabweichungCAPA aus Lieferantenabweichungen: Wann eine Lieferantenbewertung eine Korrekturmaßnahme auslöst und wie der Übergang dokumentiert wird →
Risikomanagement · ISO 31000 · FMEA · RisikobasiertRisikomanagement: Risikobasierte Lieferantenklassifizierung und wie FMEA-Ergebnisse in die Bewertungsintensität fließen →
Lieferantenreklamation · Belastungsanzeige · 8DLieferantenreklamation und Belastungsanzeige: Wie eine Reklamation den Eskalationspfad im Lieferantenmanagement auslöst →
Klassifiziert.
Qualifiziert.
Freigegeben.
Und systematisch überwacht.
A/B/C-Klassifizierung mit risikobasiertem Qualifizierungspfad, Approved Supplier List mit Scope und automatischer Fristüberwachung, M52-Bewertungsmodul mit konfigurierbaren KPI-Schwellenwerten, sechsstufiger Eskalationspfad mit Wirksamkeitsnachweis und Second-Party-Audit-Integration — QIMS bildet Lieferantenmanagement-Prozesse ab die bei ISO-13485-, IATF-16949- und EU-MDR-Audits standhalten.
Entwickelt nach den Anforderungen aus ISO 13485 §7.4, IATF 16949 §8.4 und ISO 9001 §8.4. Einsetzbar für Medizintechnik, Automotive und allgemeines QMS.