Externer Lieferantenauditor für den Mittelstand: Anforderungen und Ablauf

ISO 9001:2015 verlangt in Abschnitt 8.4, dass Unternehmen externe Anbieter und Lieferanten auf der Grundlage ihrer Fähigkeit kontrollieren, Prozesse, Produkte und Dienstleistungen gemäß den Anforderungen bereitzustellen. Für Unternehmen in der Automotive-Lieferkette verschärft IATF 16949:2016 diese Anforderung: Second-Party-Audits bei Lieferanten sind nicht optional, sondern fester Bestandteil eines zertifizierungsfähigen Qualitätsmanagementsystems.

Mittelständische Unternehmen stehen dabei vor einem Ressourcenproblem: Eigene Auditoren sind teuer auszubilden und schwer im Betrieb zu halten; Auditreisen zu Lieferanten binden Kapazitäten, die anderswo fehlen. Dieser Artikel erklärt, wann ein externer Lieferantenauditor rechtlich und normativ zulässig ist, welche Qualifikationsanforderungen gelten, wie der Auditprozess strukturiert werden sollte und welche Dokumentationspflichten das beauftragende Unternehmen nicht delegieren kann.

Die Pflicht zur Lieferantenbewertung und zu Lieferantenaudits ergibt sich aus mehreren Regelwerken, je nach Branche und Unternehmensgröße. ISO 9001:2015 Abschnitt 8.4 legt fest, dass das Unternehmen Kriterien für die Auswahl, Beurteilung und Überwachung externer Anbieter festlegen muss. Art und Umfang der Kontrolle richten sich nach der Bedeutung des Lieferanten für die Produktkonformität.

IATF 16949:2016, der Automobilstandard, geht deutlich weiter: Abschnitt 8.4.2.4 verlangt Second-Party-Audits (2PA) als Teil des Lieferanten-Entwicklungs- und -Überwachungsprogramms. Der Prüfumfang und die Audithäufigkeit sind risikoorientiert festzulegen. Auditoren müssen für IATF-Audits die spezifischen Qualifikationsanforderungen erfüllen.

Das Lieferkettensorgfaltspflichtengesetz (LkSG) verpflichtet Unternehmen ab 1.000 Mitarbeitenden (ab 2024) zur Durchführung von Risikoanalysen bei unmittelbaren Lieferanten (§ 5 LkSG) sowie zur Einleitung von Abhilfemaßnahmen und Überprüfung bei Verstößen (§ 7 LkSG). Lieferantenaudits sind ein anerkanntes Mittel zur Risikoerhebung. Die BAFA prüft im Rahmen der Behördenkontrolle, ob die Risikoanalyse methodisch nachvollziehbar ist.

Wer mehrere dieser Anforderungen erfüllen muss, sollte den Auditprozess so gestalten, dass ein einzelnes Audit mehrere normative Anforderungen abdeckt. Der externe Lieferantenauditor bei CIVAC ist auf genau diese Mehrfachnutzung von Auditaufwand ausgelegt.

Nicht jedes mittelständische Unternehmen beschäftigt Vollzeit-Auditoren. Lieferantenaudits fallen häufig an, wenn ein neuer Lieferant qualifiziert werden soll (Erstaudit), wenn ein Lieferant Qualitätsprobleme gezeigt hat (Reaktivaudit) oder wenn das Qualitätsmanagementsystem eine regelmäßige Überwachung vorschreibt (Surveillance-Audit).

Ein externer Lieferantenauditor bietet sich an, wenn das Unternehmen keine eigene Auditkapazität vorhält, wenn spezifische technische oder normative Expertise fehlt (z. B. IATF 16949, TISAX, ISO 14001) oder wenn Unabhängigkeit gegenüber einem strategischen Lieferanten gewünscht ist. Der externe Auditor bringt zudem eine frische Perspektive mit, die interne Betriebsblindheit vermeidet.

In der Automotive-Lieferkette fordern OEMs teilweise den Nachweis, dass Lieferantenaudits von qualifizierten, nach VDA 6.3 oder IATF-Anforderungen geschulten Auditoren durchgeführt wurden. Ein interner Mitarbeiter ohne entsprechenden Nachweis erfüllt diese Anforderung nicht. Der externe Auditor mit nachgewiesener Qualifikation schließt diese Lücke.

Für LkSG-Zwecke ersetzt ein externer Auditor keine eigene Sorgfaltspflichtstruktur, kann aber die operative Prüfung durchführen und dokumentieren. Das beauftragende Unternehmen bleibt gegenüber der BAFA nachweispflichtig. Der Auditbericht des externen Auditors ist Bestandteil der Sorgfaltspflichtdokumentation.

Die Qualifikationsanforderungen an einen externen Lieferantenauditor ergeben sich aus der jeweils anzuwendenden Norm. ISO 19011:2018 gibt allgemeine Leitlinien für das Auditieren von Managementsystemen; sie definiert Kompetenzen für Auditoren nach ISO 9001, ISO 14001 und anderen Managementsystemstandards. Für IATF 16949 sind die Anforderungen spezifischer: Der Auditor muss eine nachgewiesene Ausbildung nach VDA 6.3 oder einer gleichwertigen Qualifikation besitzen.

Grundsätzlich wird erwartet: ein Verständnis des anzuwendenden Standards (ISO 9001, IATF 16949, ISO 14001 o. a.), Erfahrung in der Branche des Lieferanten, nachgewiesene Auditorenausbildung (Lead Auditor oder Prozessauditor), Unabhängigkeit vom zu auditierenden Lieferanten sowie die Bereitschaft zur schriftlichen Berichterstattung.

Für IATF-Audits verlangt die International Automotive Task Force zusätzlich den Nachweis von Second-Party-Audit-Erfahrung und die Kenntnis der Core-Tools (APQP, PPAP, FMEA, MSA, SPC). Der externe Auditor muss diese Qualifikationen vor Beauftragung offenlegen und nachweisen können.

Im CIVAC-Netzwerk stehen qualifizierte externe Lieferantenauditoren zur Verfügung. Die Bestellung erfolgt mit schriftlichem Auftrag, Qualifikationsnachweis und definiertem Scope. Audit-fest, dokumentiert, ISO 9001-fest: Das Auditmandat ist Teil des Compliance-Workspace, nicht eine E-Mail im Posteingang.

Ein strukturierter Lieferantenaudit folgt den Phasen nach ISO 19011:2018: Auditplanung, Vorbereitung, Durchführung, Berichterstattung und Nachverfolgung. Die Planung legt Auditumfang, -ziele und -kriterien fest. Der externe Auditor erhält vom beauftragenden Unternehmen alle erforderlichen Unterlagen: aktuelle Qualitätsmanagementdokumentation des Lieferanten, Lieferhistorie, frühere Auditberichte und normative Referenzen.

Die Vorbereitung umfasst die Erstellung eines Auditplans, der dem Lieferanten mindestens eine Woche vor dem Audit zugestellt werden sollte. Beim Audit selbst führt der Auditor Eingangs- und Abschlussgespräch, prüft Dokumente und Aufzeichnungen, beobachtet Prozesse und befragt Mitarbeiter. Er dokumentiert Nachweise und Feststellungen in einem Auditprotokoll.

Der Abschlussbericht beschreibt Auditumfang, angewandte Kriterien, Feststellungen (konform, Abweichung, Beobachtung) und gegebenenfalls empfohlene Korrekturmaßnahmen. Der Bericht ist das zentrale Nachweisdokument für das beauftragende Unternehmen. Korrekturen und deren Abarbeitung werden im Follow-up-Prozess nachverfolgt.

Im CIVAC-Workspace sind 37 Audit-Vorlagen hinterlegt, darunter Lieferantenaudit-Templates für ISO 9001, IATF 16949 und LkSG-Risikoprüfungen. Der externe Auditor arbeitet im gleichen Workspace wie der interne QMB, sodass Auditberichte, Maßnahmen und Nachweise zentral verfügbar sind.

Die Beauftragung eines externen Lieferantenauditors entbindet das Unternehmen nicht von seinen eigenen Dokumentationspflichten. ISO 9001:2015 verlangt in Abschnitt 8.4, dass dokumentierte Informationen über die Ergebnisse der Lieferantenbewertungen vorliegen. Diese Pflicht liegt beim Unternehmen, nicht beim externen Auditor.

Konkret bedeutet das: Das Unternehmen muss den Auftrag an den externen Auditor schriftlich dokumentieren (Scope, Methodik, Kriterien), die Qualifikation des Auditors nachweisbar ablegen, den erhaltenen Auditbericht im Qualitätsmanagementsystem ablegen, identifizierte Abweichungen und eingeleitete Maßnahmen nachverfolgen und die Wirksamkeit der Maßnahmen prüfen und dokumentieren.

Für LkSG-pflichtige Unternehmen gilt eine erweiterte Dokumentationspflicht: Die BAFA erwartet eine nachvollziehbare Darstellung der Risikoanalyse-Methodik, der eingesetzten Prüfinstrumente und der daraus resultierenden Maßnahmen. Ein externer Auditbericht ohne interne Verknüpfung mit der Risikoanalyse nach § 5 LkSG reicht nicht aus.

Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Für die Lieferantenaudit-Dokumentation bedeutet das: Auditberichte, Maßnahmen-Tracking und Lieferantenbewertungen in einem System, mit Versionsstand und Zeitstempel, abrufbar in Sekunden.

ISO 9001:2015 Abschnitt 8.4.1 fordert einen risikobasierten Ansatz bei der Auswahl und Überwachung externer Anbieter. Die Intensität der Überwachung richtet sich nach dem Einfluss des Lieferanten auf die Konformität des Endprodukts. Kritische Lieferanten mit hohem Einfluss auf die Produktsicherheit erfordern häufigere und tiefergehende Audits als unkritische C-Lieferanten.

Die Lieferantenbewertung erfolgt üblicherweise nach einem Bewertungsraster, das Kriterien wie Liefertreue, Reklamationsquote, Qualitätsfähigkeit (Cpk-Werte, Erstmusterprüfung), Zertifizierungsstatus und Ergebnis des letzten Audits umfasst. Lieferanten mit schlechtem Bewertungsergebnis werden in eine Lieferantenentwicklung oder ein Eskalationsprogramm überführt.

Das LkSG verlangt in § 5 Abs. 2 eine risikobasierte Priorisierung der unmittelbaren Lieferanten. Kriterien sind u. a. Branche, Herkunftsland und Art der eingesetzten Rohstoffe. Lieferanten aus Hochrisikobranchen oder -ländern müssen intensiver geprüft werden. Ein externer Lieferantenauditor, der mit den LkSG-Risikokategorien vertraut ist, kann diese Priorisierung operativ umsetzen.

Wer auch den LkSG-Lieferkettenbeauftragten extern besetzen möchte, kann beide Rollen über CIVAC kombinieren. Der CIVAC-Workspace verknüpft Lieferantenbewertung, Auditprogramm und LkSG-Sorgfaltspflichtdokumentation in einem einheitlichen System.

Die Kosten für einen externen Lieferantenauditor setzen sich zusammen aus: Tagessatz des Auditors (je nach Qualifikation und Branche typischerweise 900 bis 1.800 Euro pro Tag), Reisekosten, Vorbereitungsaufwand und Berichtserstattung. Ein Erstaudit bei einem neuen Lieferanten dauert je nach Scope und Unternehmensgröße ein bis zwei Tage; ein Surveillance-Audit häufig einen halben bis ganzen Tag.

Der Dienstleistungsvertrag sollte klar regeln: Auditscope und anzuwendende Normen, Qualifikationsnachweis des Auditors, Zeitplan und Liefertermin des Berichts, Vertraulichkeitsvereinbarung (da der Auditor Einblick in die Lieferantenorganisation erhält), Haftungsregelungen für fehlerhafte Berichterstattung sowie Regelungen für den Fall, dass der Lieferant den Zugang verweigert.

Viele mittelständische Unternehmen unterschätzen den Verhandlungsaufwand und die Nachverfolgung beim externen Audit. Ein strukturierter Beauftragungsprozess, der alle Vertragsbestandteile standardisiert, reduziert den internen Aufwand erheblich. Der CIVAC-Workspace stellt entsprechende Templates für den Auditauftrag und die Vertragsdokumentation bereit.

Frist läuft ab Kenntnis: Wenn ein Lieferantenaudit Abweichungen aufdeckt, die das Produkt oder die Sorgfaltspflicht nach LkSG berühren, beginnen interne und externe Fristen zu laufen. Wer diese Fristen digital tracked, reagiert schneller als wer eine Tabelle pflegt.

Ein einzelner Lieferantenaudit hat nur begrenzten Wert; aussagekräftig wird er als Teil eines Audit-Programms. ISO 19011:2018 empfiehlt, ein Audit-Programm zu erstellen, das alle geplanten Audits, Auditoren, Fristen und Ressourcen dokumentiert. Für zertifizierte Unternehmen nach ISO 9001 ist ein dokumentiertes Audit-Programm eine implizite Erwartung der Zertifizierungsstelle.

Das Audit-Programm legt fest: welche Lieferanten in welchem Rhythmus auditiert werden (risikobasiert), welche Normen oder Scope-Elemente geprüft werden, welche internen oder externen Auditoren eingesetzt werden und wie die Ergebnisse in die Lieferantenbewertung einfließen. Das Programm wird jährlich überprüft und angepasst.

Externe Lieferantenauditoren müssen in das Audit-Programm integriert sein. Das beauftragende Unternehmen ist verantwortlich dafür, dass der externe Auditor die Programmziele kennt, den richtigen Scope auditiert und den Bericht fristgerecht liefert. Eine Ad-hoc-Beauftragung ohne Einbettung ins Programm führt zu Lücken in der Auditdokumentation.

Im CIVAC-Workspace ist das Audit-Programm als strukturiertes Modul hinterlegt. Jährliche Auditplanungen werden mit Fristen und Verantwortlichen angelegt; der externe Auditor erhält Zugang zu den relevanten Modulen. Der Prüfer ruft an, der Nachweis liegt bereit.

Wer einen externen Lieferantenauditor für seinen Mittelstandsbetrieb beauftragen möchte, beginnt mit der Analyse des eigenen Audit-Bedarfs: Welche Lieferanten sind nach ISO 9001, IATF 16949 oder LkSG zu prüfen? Welche Qualifikationen muss der Auditor mitbringen? In welchem Rhythmus sind Audits erforderlich?

Auf dieser Grundlage wird der externe Auditor ausgewählt und mit einem schriftlichen Auftrag versehen, der Scope, Kriterien, Zeitplan und Berichtsformat festlegt. Der Auditbericht wird im Qualitätsmanagementsystem abgelegt; Abweichungen werden mit Maßnahmen und Terminen verknüpft. Das Audit-Programm wird jährlich fortgeschrieben.

CIVAC ist eine Compliance-Plattform und Officer-as-a-Service für alle 25 Beauftragten-Rollen, darunter den Lieferanten-Auditor. Lizenzieren Sie den Workspace für Ihre internen Auditoren oder bestellen Sie unsere Beauftragten. Die Bestellung erfolgt mit Urkunde in zwei Werktagen. Alle Auditberichte, Maßnahmen und Lieferantenbewertungen sind in einem einzigen, EU-gehosteten Workspace dokumentiert.

Aus dem Lesen einen Auftrag machen. Wenn Sie den Lieferantenaudit in Ihrem Unternehmen strukturieren oder einen qualifizierten externen Auditor bestellen möchten, schreiben Sie an info@civac.de.