Fünfundzwanzig Beauftragten-Rollen, alle heute liveArt. 33 DSGVO, 72 Stunden zur Meldung einer Datenpanne93 Controls nach ISO/IEC 27001:2022490 einsatzbereite Audit-Vorlagen im Workspace§ 130 OWiG, Aufsichtspflicht der GeschäftsleitungBestellurkunde, unterschrieben, abgelegt, belegbarEin Workspace für Aufgaben, Schulungen, Audits, DokumentationDIN 14095 Feuerwehrpläne, standardisiertEU AI Act, weltweit erste horizontale KI-VerordnungFünfundzwanzig Beauftragten-Rollen, alle heute liveArt. 33 DSGVO, 72 Stunden zur Meldung einer Datenpanne93 Controls nach ISO/IEC 27001:2022490 einsatzbereite Audit-Vorlagen im Workspace§ 130 OWiG, Aufsichtspflicht der GeschäftsleitungBestellurkunde, unterschrieben, abgelegt, belegbarEin Workspace für Aufgaben, Schulungen, Audits, DokumentationDIN 14095 Feuerwehrpläne, standardisiertEU AI Act, weltweit erste horizontale KI-Verordnung
civac.
ENDE
Jetzt starten
Alle Beauftragten-Rollen
LA

Lieferanten-Auditor

Vor-Ort-Lieferanten-Audits nach ISO 9001 und IATF 16949, Abweichungsprotokolle, CAPA-Verfolgung, Auditbericht mit Risikoscore. Geplant in einem rollierenden Drei-Jahres-Zyklus.

Schwerpunkte
ISO 9001IATF 16949CAPARisikoscore
Rechtsgrundlage

ISO 9001 · IATF 16949

Schnellkontakt

Lieferanten-Auditor: Mit uns sprechen

Drei Zeilen und Sie sind in unserem Posteingang. Antwort innerhalb eines Werktags.

Mit dem Absenden stimmen Sie unserer Datenschutzerklärung zu. Wir verwenden Ihre Daten nur für die Rückantwort.

Was macht ein Lieferanten-Auditor?

Der Lieferanten-Auditor prüft, ob ein Lieferant die vertraglich und normativ vereinbarten Anforderungen erfüllt. Methodische Grundlage ist die ISO 19011:2018 Leitfaden zur Auditierung von Managementsystemen, die für alle Auditarten gilt (Erst-, Zweit- und Drittparteienaudits). Das Sechs-Phasen-Modell der ISO 19011 strukturiert jeden Audit: Initiierung, Auditplanung, Vorbereitung, Durchführung vor Ort, Auditberichterstellung und Auditabschluss mit Folgemaßnahmen. Plan-Do-Check-Act (PDCA) bildet den übergeordneten Verbesserungsrahmen.

In der Praxis ergibt sich die Bestellpflicht aus ISO 9001:2015 § 8.4 (Steuerung extern bereitgestellter Prozesse, Produkte und Dienstleistungen), die jedes nach ISO 9001 zertifizierte Unternehmen zur risikobasierten Lieferantenbewertung verpflichtet. Automotive-Lieferanten müssen darüber hinaus IATF 16949:2016 erfüllen, dessen Anhang B den VDA-6.3-Prozessaudit als anerkannte Methodik für Tier-1- und Tier-2-Audits referenziert. Die VDA-6.3-Auditfragenliste umfasst sieben Prozessschritte (P1 Potenzialanalyse bis P7 Kundenbetreuung) mit insgesamt 64 Einzelfragen und einem Bewertungsmodell von 0 bis 10 Punkten je Frage.

Seit dem 1. Januar 2024 führt das Lieferkettensorgfaltspflichtengesetz (LkSG § 4 Abs. 3) eine zusätzliche Auditschicht ein: Unternehmen ab 1.000 Mitarbeitern müssen ihre unmittelbaren Zulieferer auf Menschenrechts- und Umweltrisiken prüfen. Anerkannte Methodiken sind SMETA (Sedex Members Ethical Trade Audit) und SA8000. Der Lieferanten-Auditor verbindet damit drei Welten: Qualität (ISO 9001, IATF 16949, VDA 6.3), Information Security (ISO 27001 Lieferantenaudits nach Annex A.5.19) und Nachhaltigkeit (LkSG, CSDDD). Die Registrierung als Auditor erfolgt bei IRCA (International Register of Certificated Auditors), DGQ-PersZert oder VDA QMC, mit jährlichen Re-Zertifizierungsanforderungen und nachweislichen Audittagen.

Aufgaben des Lieferanten-Auditors

  • Erstellung des risikobasierten Auditprogramms nach ISO 19011:2018 Abschnitt 5 mit Auditzielen, Umfang und Kriterien.
  • Lieferantenklassifizierung nach Risiko, Volumen und Kritikalität gemäß ISO 9001:2015 § 8.4.
  • Vorbereitung der Auditcheckliste basierend auf Norm, Kundenanforderung und vorherigen Auditfeststellungen.
  • Durchführung von Prozessaudits nach VDA 6.3 mit den sieben Prozessschritten P1 bis P7 (64 Fragen, 0 bis 10 Punkte).
  • Durchführung von Systemaudits nach VDA 6.1 oder IATF 16949 mit Schwerpunkt Managementsystem und Kundenspezifika.
  • Bewertung von Auditfeststellungen als Hauptabweichung, Nebenabweichung oder Beobachtung gemäß ISO 19011 Abschnitt 6.4.
  • Verfolgung der Korrekturmaßnahmen nach 8D-Methodik mit Wirksamkeitsprüfung im Folgeaudit.
  • Dokumentation des Auditberichts mit Auditbefunden, Empfehlungen und Lieferantenscore.
  • Durchführung von LkSG- und SMETA-Audits zu Menschenrechten und Arbeitsbedingungen entlang der Lieferkette.
  • Pflege der eigenen Auditorenqualifikation durch jährliche Fortbildung und Audittage-Nachweis (IRCA, DGQ-PersZert, VDA QMC).

Bestellung und Qualifikation des Auditors

Die Bestellpflicht des Lieferanten-Auditors ergibt sich nicht aus einem Bundesgesetz, sondern aus Norm- und Vertragsanforderungen. ISO 9001:2015 § 8.4.1 verlangt von jedem zertifizierten Unternehmen, Kriterien für die Bewertung, Auswahl, Überwachung und Neubewertung externer Anbieter festzulegen. IATF 16949:2016 § 8.4.2.4.1 verlangt für Automotive-Tier-Lieferanten explizit ein Lieferantenüberwachungsprogramm mit zweitparteilichen Audits. Die anerkannten Methodiken sind VDA 6.3 (Prozessaudit), VDA 6.1 (Systemaudit) und ISO/TS 16949-Vorgänger-Audits.

Die Auditorenqualifikation richtet sich nach ISO 19011:2018 Abschnitt 7. Allgemeine Anforderungen: persönliche Verhaltensweisen, Fachkompetenz für den Auditbereich, Auditkenntnisse und Audittage. Lead Auditor Trainings sind 40 Stunden bei IRCA-akkreditierten Anbietern, mit fünf protokollierten Audittagen pro Jahr für die Aufrechterhaltung. VDA-6.3-Auditoren absolvieren einen 3- bis 5-tägigen Lehrgang bei VDA QMC plus jährlich 1 Präsenzaudit. IRCA-Registrierung (Provisional Auditor, Auditor, Lead Auditor, Principal Auditor) verlangt nach Stufe zwischen 5 und 35 nachgewiesene Audittage. Externe Auditoren berechnen in Deutschland Tagessätze zwischen 950 und 1.800 Euro netto, VDA-6.3-Auditoren mit Automotive-Schwerpunkt zwischen 1.200 und 2.200 Euro netto. Reiseaufwand wird separat erstattet.

  • ISO 9001:2015-zertifiziertes Unternehmen mit Pflicht zur Lieferantenbewertung nach § 8.4.
  • Automotive-Tier-Lieferant nach IATF 16949 mit verbindlichem Lieferantenüberwachungsprogramm.
  • Kundenanforderung im Lieferantenhandbuch nach VW Formel Q, BMW STA oder Daimler MBST.
  • LkSG-Pflichtunternehmen ab 1.000 Mitarbeitern mit Audits unmittelbarer Zulieferer.
  • Lieferantenwechsel oder neuer Lieferant mit Erstbewertung vor Freigabe.
  • Schwerwiegende Reklamation oder PPM-Schwellenwertüberschreitung beim Lieferanten.

Typische Branchen mit Lieferanten-Audit

  • Automotive-OEM und Tier-1- bis Tier-3-Zulieferer (IATF 16949, VDA 6.3).
  • Medizintechnik und Medizinproduktehersteller (ISO 13485, MDR (EU) 2017/745).
  • Luft- und Raumfahrt (EN 9100, EN 9120).
  • Maschinen- und Anlagenbau mit globalen Beschaffungsketten.
  • Pharmazeutische Industrie und Auftragshersteller (GMP, GxP-Audits).
  • Lebensmittelproduktion (IFS Food, BRC, ISO 22000).
  • Elektronik und Halbleiterfertigung (IPC, IATF im Automotive-Segment).
  • Chemie und Prozessindustrie mit REACH- und CLP-Compliance-Audits.
  • Textil und Bekleidung mit SMETA-, BSCI- und SA8000-Audits.
  • Konsumguterhandel und Eigenmarken mit LkSG-Lieferantenaudits.
CIVAC

Wie CIVAC den Lieferanten-Auditor unterstützt

CIVAC liefert einen Auditplaner, der das risikobasierte Auditprogramm nach ISO 19011:2018 Abschnitt 5 abbildet, Audittermine in Jahrespläne bündelt und Auditoren mit Qualifikationsstatus (IRCA, DGQ-PersZert, VDA QMC) zuordnet. Pro Lieferant entsteht eine versionsfeste Akte mit Auditzielen, Auditkriterien, Auditcheckliste und Bewertungsschema.

VDA-6.3-Audits werden mit der vollständigen 64-Fragen-Liste, dem 0-bis-10-Punkte-Scoring und dem A-/AB-/B-/C-Reifegrad-Modell unterstützt. Auditbefunde werden als Haupt-, Nebenabweichung oder Beobachtung klassifiziert und in 8D-Workflows mit Wirksamkeitsprüfung geführt. Die LkSG-Audit-Schiene bindet SMETA-Fragenkataloge ein und routet Befunde direkt in das Beschwerdeverfahren nach LkSG § 8. Audit-Trail-Aufbewahrung ist standardmäßig auf zehn Jahre konfiguriert, kompatibel mit IATF-16949-Anforderungen.

Häufige Fragen zum Lieferanten-Audit

Diese Rolle für Ihr Unternehmen besetzen?

Bestellen Sie unsere Experten als externe Beauftragten oder lizenzieren Sie CIVAC für Ihr eigenes Team. Wir besprechen mit Ihnen, was zu Ihrem Aufbau passt.

Mit CIVAC sprechenAlle 25 Rollen ansehen
Weitere Beauftragten-Rollen