Lieferantenaudit durchführen: Ablauf, Checkliste und Dokumentation nach ISO 9001

ISO 9001:2015 Abschnitt 8.4 verpflichtet Unternehmen, externe Anbieter systematisch zu bewerten und zu überwachen. Das Lieferantenaudit ist das operativste Instrument dieser Überwachung: Es ermöglicht eine direkte Prüfung der Prozesse, Systeme und Risiken beim Lieferanten vor Ort oder remote. ISO 19011:2018 gibt den allgemeinen Rahmen für das Auditieren von Managementsystemen vor, darunter die Phasen Planung, Vorbereitung, Durchführung, Berichterstattung und Nachverfolgung.

Dieser Artikel beschreibt jeden dieser Schritte konkret: Welche Dokumente werden für die Vorbereitung benötigt? Wie ist das Audit-Gespräch zu strukturieren? Was gehört in den Auditbericht? Und welche Nachweise erwartet eine Zertifizierungsstelle oder die BAFA im Rahmen einer LkSG-Kontrolle? Der Artikel richtet sich an Qualitätsmanager, Compliance-Verantwortliche und Beauftragte, die ein Lieferantenaudit erstmalig oder neu strukturiert durchführen wollen.

Vor der eigentlichen Vorbereitung steht die Planung: Was soll das Audit leisten? Typische Ziele eines Lieferantenaudits sind die Überprüfung der Normenkonformität (ISO 9001, IATF 16949, ISO 14001), die Bewertung der Prozessfähigkeit für ein spezifisches Produkt oder eine Dienstleistung sowie die Erfüllung der Sorgfaltspflicht nach § 5 LkSG.

Der Auditscope beschreibt, welche Prozesse, Standorte, Produkte oder Normabschnitte Gegenstand des Audits sind. Er sollte nicht zu weit gefasst sein: Ein Audit, das alle Unternehmensbereiche eines großen Lieferanten abdecken soll, ist in einem Tag nicht belastbar durchführbar. Besser ist ein gezielter Scope mit klaren Abschnittsbezügen (z. B. ISO 9001:2015 Abschnitte 8.1 bis 8.7).

Die Auditkriterien definieren, anhand welcher Anforderungen die Konformität bewertet wird. Das können normative Anforderungen (ISO 9001), vertraglich vereinbarte Spezifikationen oder gesetzliche Anforderungen (LkSG) sein. Die Kriterien sind im Auditplan zu dokumentieren und dem Lieferanten vor dem Audit mitzuteilen.

Der Auditplan ist außerdem eine interne Ressourcenplanung: Wer auditiert (intern oder extern)? Welche technische Ausrüstung ist erforderlich? Welche Vorabdokumente werden vom Lieferanten angefordert? Ein strukturierter Auditplan reduziert Rückfragen und Rüstzeiten erheblich. Im CIVAC-Workspace sind 37 Audit-Vorlagen hinterlegt, darunter mehrere Lieferantenaudit-Templates.

Gute Vorbereitung beginnt mit der Anforderung relevanter Dokumente beim Lieferanten: aktuelle Qualitätsmanagement-Dokumentation (Handbuch, Verfahrensanweisungen), Zertifikate (ISO 9001, IATF, ISO 14001), Ergebnisse interner Audits, Reklamations- und CAPA-Historien sowie Prüfnachweise für relevante Produkte oder Prozesse.

Auf Basis der Vorabdokumente erstellt der Auditor eine Audit-Checkliste. Diese Checkliste ist kein Fragebogen im Sinne eines Self-Assessments, sondern ein Arbeitsinstrument des Auditors: Sie strukturiert das Audit-Gespräch, stellt sicher, dass alle Scope-Elemente abgedeckt werden, und dient als Nachweisdokument für das beauftragenden Unternehmen.

Der Auditplan wird dem Lieferanten mindestens fünf bis zehn Werktage vor dem Audit übermittelt. Er enthält: Datum, Ort oder Onlineformat, Auditteam, Scope, Tagesordnung (Eingang, Prozessbegehung, Aktendurchsicht, Abschluss) sowie die erwarteten Ansprechpartner beim Lieferanten. Eine kurzfristige Übermittlung des Plans ist ein häufiger Grund für schlechte Auditatmosphäre und unvollständige Unterlagen.

Für den externen Lieferantenauditor bei CIVAC sind Vorbereitungschecklisten und Dokumentenanforderungsvorlagen standardisiert und sofort einsatzbereit.

Das Audit beginnt mit dem Eingangsgespräch (Opening Meeting). Hier stellt das Auditteam sich vor, erläutert Scope und Ziel des Audits, klärt Vertraulichkeitsfragen und vereinbart die Tagesordnung. Das Eingangsgespräch ist keine Formalität, sondern legt die Grundlage für ein produktives Auditgespräch.

Die Prozessbegehung ist das Kernstück des Audits. Der Auditor beobachtet Prozesse, befragt Mitarbeitende und prüft stichprobenartig Aufzeichnungen. Die drei zentralen Fragen lauten: Gibt es eine dokumentierte Anforderung? Wird diese Anforderung gelebt? Gibt es Aufzeichnungen, die das belegen? Abweichungen von diesen drei Ebenen werden notiert.

Die Aktenprüfung ergänzt die Begehung: Zertifikate, Prüfberichte, Schulungsnachweise, Messmittelkalibrierungen und interne Auditberichte werden auf Aktualität und Vollständigkeit geprüft. Bei IATF 16949-Audits kommen Core-Tool-Nachweise (PPAP, FMEA, MSA) hinzu.

Das Abschlussgespräch (Closing Meeting) fasst alle Feststellungen zusammen. Abweichungen werden mündlich kommuniziert, Stärken benannt. Der Lieferant erhält die Möglichkeit, Missverständnisse zu klären. Nichts im schriftlichen Bericht sollte für den Lieferanten eine Überraschung sein, das Abschlussgespräch schafft Transparenz und reduziert Einsprüche gegen den Bericht.

Der Auditbericht ist das zentrale Nachweisdokument des Lieferantenaudits. ISO 19011:2018 beschreibt den Mindestinhalt: Auditidentifikation (Datum, Ort, Auditteam), Auditscope und -kriterien, Übersicht über die geprüften Prozesse und Dokumente, Feststellungen gegliedert nach Schweregrad, Schlussfolgerung zur Konformität sowie Liste der empfohlenen oder geforderten Maßnahmen.

Feststellungen werden klassifiziert: Eine Abweichung (Non-Conformity) liegt vor, wenn eine normative oder vertragliche Anforderung nicht erfüllt ist. Eine Beobachtung ist ein Hinweis auf ein potenzielles Risiko ohne aktuelle Abweichung. Eine Stärke (Positive Finding) dokumentiert besonders gut umgesetzte Anforderungen und motiviert den Lieferanten.

Der Bericht sollte innerhalb von fünf Werktagen nach dem Audit fertiggestellt und dem Lieferanten zugestellt werden. Eine späte Zustellung schwächt die Verbindlichkeit der Maßnahmenplanung. Der Bericht ist beim beauftragenden Unternehmen zu archivieren, bevorzugt im Qualitätsmanagementsystem mit direktem Bezug zum Lieferantenstamm.

Im CIVAC-Workspace ist der Auditbericht als strukturiertes Dokument angelegt: Feststellungen werden typisiert, Maßnahmen verknüpft, Fristen gesetzt. Audit-fest, dokumentiert, ISO 9001-fest.

Ein Lieferantenaudit ist erst abgeschlossen, wenn alle Abweichungen mit verifizierten Korrekturmaßnahmen abgeschlossen sind. Der Lieferant ist verpflichtet, für jede Abweichung eine Ursachenanalyse und einen Korrekturaktionsplan (CAPA) einzureichen. Die Frist für den CAPA sollte im Auditbericht oder in einer separaten Maßnahmenliste festgelegt werden, üblich sind 30 bis 90 Tage.

Das beauftragende Unternehmen prüft den eingereichten CAPA auf Plausibilität: Wurde die Grundursache korrekt identifiziert? Ist die Maßnahme geeignet, eine Wiederholung zu verhindern? Ist der Zeitplan realistisch? Bei unzureichenden CAPAs ist eine Rückmeldung mit Überarbeitung erforderlich.

Die Wirksamkeitsprüfung erfolgt nach Abschluss der Maßnahme, entweder durch Dokumentensichtung, eine Nachaudit-Vor-Ort-Prüfung oder einen Remote-Check. Erst wenn die Wirksamkeit bestätigt ist, wird die Abweichung als geschlossen markiert. Die gesamte CAPA-Historie ist für mindestens drei Jahre aufzubewahren und bei Bedarf der Zertifizierungsstelle vorzulegen.

Frist läuft ab Kenntnis: Wenn eine Abweichung ein Produktrisiko darstellt, beginnen unter Umständen zusätzliche Fristen nach Produkthaftungsrecht oder bei IATF-Eskalationsprozessen. Der CIVAC-Workspace tracked Fristen, Maßnahmen und Verantwortliche automatisch und sendet Erinnerungen, bevor Termine überschritten werden.

Seit der Revision des IAF Mandatory Document MD 4:2022 sind Remote-Audits für Zertifizierungsaudits und Second-Party-Audits unter bestimmten Voraussetzungen akzeptiert. Remote-Audits ermöglichen Einsparungen bei Reisekosten und Zeit; sie eignen sich besonders für reine Dokumenten- und Systemaudits oder für Follow-up-Prüfungen nach einem Vor-Ort-Audit.

Voraussetzungen für ein effektives Remote-Audit: stabiler Internetzugang, Kameratechnik für Prozessbegehungen (wenn erforderlich), sichere Übertragung vertraulicher Dokumente sowie die ausdrückliche Zustimmung des Lieferanten. Für Prozess- und Produktaudits nach IATF 16949, bei denen eine Maschinenbegehung oder Messmittelkalibrierung zu prüfen ist, ist ein reines Remote-Format in der Regel nicht ausreichend.

Der Auditplan muss Remote-Formate explizit ausweisen. Die eingesetzten Technologien (Videokonferenz, Plattformen für Dokumententransfer) sind zu dokumentieren. Der Auditbericht unterscheidet sich inhaltlich nicht vom Präsenz-Audit, muss aber den Remote-Charakter des Audits vermerken.

Lizenzieren Sie den Workspace für Ihre internen Auditoren oder bestellen Sie unsere Beauftragten. Der CIVAC-Workspace unterstützt Remote- wie Präsenz-Audits mit denselben strukturierten Vorlagen und demselben Dokumentations-Workflow. Weitere Informationen finden Sie auf der Seite zum Lieferanten-Auditor bei CIVAC.

Das Lieferkettensorgfaltspflichtengesetz (LkSG) verpflichtet Unternehmen ab 1.000 Mitarbeitenden seit 1. Januar 2024, Risikoanalysen bei unmittelbaren Lieferanten durchzuführen (§ 5 LkSG) und bei identifizierten Risiken Präventions- und Abhilfemaßnahmen einzuleiten (§§ 6, 7 LkSG). Ein Lieferantenaudit ist ein geeignetes Instrument zur operativen Umsetzung dieser Pflichten.

Für LkSG-Zwecke muss das Audit über reine Qualitätskriterien hinausgehen: Es sind auch menschenrechtliche und umweltbezogene Risiken zu prüfen, etwa Arbeitsbedingungen, Vergütung, Kinderarbeit, Zwangsarbeit oder Umweltverstöße. Die zu prüfenden Sachverhalte orientieren sich an den in § 2 LkSG genannten geschützten Rechtspositionen.

Das Ergebnis des Audits fließt in den jährlichen LkSG-Bericht ein, den Unternehmen nach § 10 LkSG auf ihrer Website veröffentlichen und der BAFA vorlegen müssen. Die BAFA erwartet eine methodisch nachvollziehbare Darstellung der Risikoerhebung; ein undokumentiertes oder informelles Audit reicht als Nachweis nicht aus.

Wer die LkSG-Sorgfaltspflicht und das Qualitätsaudit in einem Prozess abbilden will, kann beide Anforderungen in einem kombinierten Auditscope zusammenführen. Der LkSG-Beauftragte bei CIVAC und der Lieferantenauditor arbeiten auf derselben Plattform.

Vier Fehler beobachten Auditoren bei mittelständischen Unternehmen besonders häufig:

• Unklarer Scope: Ein zu breiter Auditscope führt zu oberflächlichen Prüfungen ohne belastbare Befunde. Besser: klarer Scope mit Normabschnittsbezug und konkreten Prüfgegenständen.
• Fehlende Vorabkommunikation: Wenn der Auditplan dem Lieferanten erst am Vortag zugeht, sind relevante Ansprechpartner oft nicht verfügbar. Mindestvorlauf: fünf Werktage.
• Abweichungen ohne Klassifizierung: Wenn im Bericht nicht zwischen Abweichungen und Beobachtungen unterschieden wird, ist die CAPA-Priorisierung unklar. Klassifizierung nach Schweregrad ist Pflicht.
• Offene CAPAs ohne Fristtracking: Maßnahmen, die nicht fristgebunden und nachverfolgt werden, enden häufig ohne Wirksamkeitsprüfung. Das schließt das Audit nicht formal ab.

Ein fünfter Fehler ist die fehlende Integration ins Qualitätsmanagementsystem: Auditberichte in E-Mail-Postfächern oder auf lokalen Laufwerken sind für Zertifizierungsstellen und Behörden nicht zugänglich und gelten als fehlende dokumentierte Information nach ISO 9001:2015 Abschnitt 7.5.

Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Dieser Grundsatz gilt für Lieferantenaudits in besonderem Maß: Strukturierte Vorlagen, Fristtracking und zentrales Dokumentenmanagement reduzieren Fehler und Nacharbeit erheblich.

Wer ein Lieferantenaudit-Programm aufbauen oder ein bestehendes Programm verbessern möchte, beginnt mit einer Bestandsaufnahme: Welche Lieferanten sind nach ISO 9001, IATF 16949 oder LkSG zu prüfen? Welche Audits wurden in den letzten zwölf Monaten durchgeführt? Welche Abweichungen sind noch offen?

Auf dieser Basis wird ein Jahres-Audit-Programm erstellt, das alle Lieferanten nach Risiko priorisiert, Audittyp und Scope festlegt und Auditoren – intern oder extern – zuweist. Das Programm wird jährlich überprüft und bei wesentlichen Änderungen im Lieferantenportfolio aktualisiert.

CIVAC ist eine Compliance-Plattform und Officer-as-a-Service für alle 25 Beauftragten-Rollen, darunter den Lieferanten-Auditor. Der CIVAC-Workspace stellt strukturierte Auditvorlagen, Frist-Tracking, ein Maßnahmenmodul und eine revisionssichere Dokumentenablage bereit. Lizenzieren Sie den Workspace für Ihre internen Auditoren oder bestellen Sie unsere Beauftragten. Die Bestellung erfolgt mit Urkunde in zwei Werktagen.

Aus dem Lesen einen Auftrag machen. Wenn Sie Ihr Lieferantenaudit-Programm strukturieren oder einen qualifizierten externen Auditor beauftragen möchten, schreiben Sie an info@civac.de.