Use-Case · Produktion

Lieferanten-Audit

On-Site-Bewertung von Sub-Lieferanten — QM-System, Produktsicherheit, REACH, Arbeitsbedingungen, IT-Sicherheit. Strukturierter Bericht zum Versenden direkt aus der Plattform.

Wann ein Lieferanten-Audit ansteht

ISO 9001 cl. 8.4 verlangt von jedem zertifizierten Betrieb die Bewertung externer Anbieter — Lieferanten, Sub-Lieferanten, Dienstleister mit Bezug zu Produkt oder Prozess. Verbreitet ist die jährliche Lieferantenbewertung mit Klassifizierung A/B/C plus ein On-Site-Audit für jeden A-Lieferanten alle 1–3 Jahre. Wer REACH-relevante Stoffe oder Produkte aus dem Nicht-EU-Ausland bezieht, hat zusätzlich Aufklärungspflichten. Seit 2024 greift das Lieferkettensorgfaltspflichtengesetz für Unternehmen ab 1.000 Mitarbeitern — die Anforderungen ziehen sich aber bis zu direkten Lieferanten kleinerer Betriebe durch.

Ein typisches Lieferanten-Audit deckt 20–35 Fragen über sechs bis acht Sections ab — von Stammdaten über Produktsicherheit und REACH bis zu Arbeitsbedingungen und IT-Sicherheit. Bei sensiblen Bereichen (Lebensmittel, Pharma, Automotive) sind 40+ Fragen üblich.

Die sechs Säulen eines belastbaren Lieferanten-Audits

Wer einen Lieferanten qualifiziert, muss vor Ort prüfen — eine E-Mail-Selbstauskunft reicht nicht. Sechs Säulen unterscheiden ein belastbares vom rein formalen Lieferanten-Audit.

1
Lieferanten-Stammdaten und QM-System
Rechtsform, ISO-9001-Zertifikat, Standort, Anzahl Mitarbeiter, Kapazität. Existiert ein QM-Handbuch, ein dokumentierter Reklamationsprozess, eine Notfallplanung?
2
Produkt- und Prozesssicherheit
Eingangs-, Zwischen- und Endkontrolle dokumentiert? Werden kritische Prozesse mit messbaren Parametern überwacht? Wie wird Charge-Rückverfolgbarkeit sichergestellt?
3
REACH und Stoff-Compliance
Wenn der Lieferant Erzeugnisse oder Stoffe liefert: SVHC-Identifikation, SCIP-Meldung, Sicherheitsdatenblätter aktuell? Bei Lieferanten aus Nicht-EU besonders kritisch.
4
Arbeitsbedingungen und LkSG
Lieferkettensorgfaltspflichtengesetz greift seit 2024 auch für mittelständische Unternehmen ab 1.000 Mitarbeitern — und die Anforderungen ziehen sich bis zum direkten Lieferanten durch. Mindestlohn, Arbeitszeit, PSA, Arbeitsschutz dokumentiert?
5
IT- und Datensicherheit
Bei Lieferanten mit IT-Bezug (Datenverarbeitung, Komponenten-Software, Cloud-Anbindung): TOM-Konzept, ISO 27001 oder vergleichbar, Auftragsverarbeitungs-Vertrag mit DPA-Anhang.
6
Bewertung und Folgemaßnahmen
Gesamt-Score, Klassifizierung als A-/B-/C-Lieferant, Korrekturmaßnahmen mit Frist. Re-Audit-Termin festlegen, Bericht an den Lieferanten versenden.

Manuell vs. mit HeyAudit

Manuell

· Eigenen Audit-Katalog pflegen, anpassen pro Lieferant
· Vorbereitung mit Excel-Vorlage, oft aus Vorjahres-Audit kopiert
· Vor-Ort-Besuch mit Klemmbrett, Notizen handgeschrieben
· Bericht im Office tippen, oft mit Übersetzungs-Aufwand bei Auslands-Lieferanten
· Versand an Lieferant per E-Mail, separates Tracking der Korrekturmaßnahmen
→ Aufwand: 1 Tag plus Anreise pro Lieferant

Mit HeyAudit

· Brief in einem Satz: „Lieferanten-Audit für REACH-Kunststoff-Lieferant aus Polen, 80 Mitarbeiter, ISO-9001-zertifiziert“
· KI generiert Audit mit Sections und Fragen in 10–15 Sekunden
· Mobile Begehung mit Foto pro Frage, Auto-Save
· Score und Mängelliste deterministisch berechnet
· Bericht direkt aus der Plattform per Share-Link versendbar
→ Aufwand: 3–4 Stunden plus Anreise

Vollständiges Beispiel-Audit

So sieht ein generierter Lieferanten-Audit für einen Kunststoff-Lieferanten aus Polen aus. Sieben Sections, 24 Fragen, jede mit Klausel-Zuordnung.

Brief

„Lieferanten-Audit für unseren Hauptlieferanten von Kunststoff-Spritzguss-Teilen aus Polen, 80 Mitarbeiter, ISO-9001-zertifiziert, Schwerpunkt REACH und Arbeitsbedingungen"

1
Stammdaten und QM-System
- · Liegt eine gültige ISO-9001-Zertifizierung vor (Datum, Geltungsbereich)?
- · Existiert ein QM-Handbuch in jeweils aktueller Fassung?
- · Liegt ein dokumentierter Reklamationsprozess vor?
2
Produktion und Prozesskontrolle
- · Werden Eingangs-, Zwischen- und Endkontrollen dokumentiert?
- · Sind kritische Prozessparameter (Temperatur, Druck, Zykluszeit) überwacht?
- · Wie wird Charge-Rückverfolgbarkeit pro produziertem Teil sichergestellt?
3
REACH und Stoff-Compliance
- · Wurden alle SVHC-Stoffe in den gelieferten Erzeugnissen identifiziert?
- · Werden Erzeugnisse mit > 0,1 % SVHC im SCIP-Register gemeldet?
- · Sind aktuelle Sicherheitsdatenblätter pro Stoff verfügbar?
4
Arbeitsbedingungen (LkSG)
- · Werden lokale Mindestlohn- und Arbeitszeit-Vorschriften eingehalten?
- · Sind PSA und Sicherheitsunterweisungen vor Ort sichtbar?
- · Gibt es einen dokumentierten Beschwerde-Mechanismus für Beschäftigte?
- · Wird Kinder- oder Zwangsarbeit ausgeschlossen (Verifizierung Geburtsdatum, Personalakten)?
5
Sub-Lieferanten-Struktur
- · Liegt eine Liste der wichtigsten Sub-Lieferanten vor?
- · Werden Sub-Lieferanten regelmäßig bewertet?
- · Sind kritische Stoffe oder Komponenten von Single-Source-Risk betroffen?
6
IT- und Datensicherheit
- · Liegt ein technisches und organisatorisches Maßnahmen-Konzept (TOM) vor?
- · Existiert ein Auftragsverarbeitungs-Vertrag (DPA) für unsere Daten?
- · Sind Backup- und Notfall-Konzepte dokumentiert?
7
Bewertung und Folgemaßnahmen
- · Sind kritische Findings mit Korrekturmaßnahme und Frist hinterlegt?
- · Wurde die Lieferanten-Klassifizierung (A/B/C) abgestimmt?
- · Wurde ein Re-Audit-Termin festgelegt?

So entsteht der Score

HeyAudit berechnet den Audit-Score deterministisch — keine KI-Halluzination, keine Magic-Boost-Funktionen. Antworten werden gewichtet:

Pflichtfragen (★) gehen mit doppelter Gewichtung in den Score. Ohne Antwort kann das Audit nicht abgeschlossen werden.
Kritische Befunde (Risk-Level „critical“) wie ungeklärte Sub-Lieferanten-Risiken oder fehlende SVHC-Identifikation führen zu einem Major-Befund und gewichten 3×. Ein Lieferant mit kritischem Befund wird in der Regel als B oder C klassifiziert.
Lieferanten-Klassifizierung wird aus dem Score abgeleitet — A (≥ 90), B (70–89), C (< 70). C-Lieferanten werden gesperrt oder mit verkürztem Re-Audit-Zyklus versehen.
Endergebnis 0–100 mit Aufschlüsselung pro Section und Risiko-Summary (kritisch / mittel / niedrig).

Was Sie zurückbekommen

Am Ende des On-Site-Audits erstellt das System einen Bericht mit vier Komponenten — geeignet sowohl für Ihre eigene QM-Akte als auch zum Versand an den Lieferanten:

Executive Summary

3–5 Sätze in deutscher Geschäftssprache, geschrieben von Sonnet 4.6. Klassifizierung als A-/B-/C-Lieferant mit Begründung.

Befunde mit Priorität

Pro Befund Beschreibung, Klausel-Zitat (z. B. ISO 9001 cl. 8.4 oder LkSG), Foto-Anhang und Priorität (sofort / 30 Tage / 90 Tage).

Versand an Lieferant

Per Share-Link. Lieferant kann den Bericht ohne HeyAudit-Konto einsehen, Korrekturmaßnahmen-Status melden, Folge-Belege hochladen.

Re-Audit als Agent

Der Audit ist als benannter Agent gespeichert. Der Re-Audit im Folgejahr startet mit einem Klick — der Agent kennt die Vorjahres-Befunde und prüft die Wirksamkeit der Korrekturmaßnahmen.

Ergebnis

Lieferant erhält einen strukturierten Bericht. Ihre QM-Akte wächst um auditfähige Nachweise — ohne Excel-Tabellen-Wirrwarr. Pro Lieferanten-Audit eingesparte Zeit: vier bis sechs Stunden gegenüber dem klassischen Klemmbrett-und-Word-Workflow. Externe ISO-9001- und ISO-14001-Auditoren akzeptieren die Berichte als Nachweis nach cl. 8.4. Bei Re-Audits im Folgejahr greifen die Lerneffekte des benannten Agenten — Sie sparen weitere 30 % Zeit.

Häufige Fragen

›Funktioniert das auch bei Lieferanten im Ausland?

Ja. Die Audit-Generierung erfolgt in deutscher Sprache, die Begehung selbst können Sie auf Deutsch durchführen — der Bericht wird in deutscher Geschäftssprache erstellt und an den Lieferanten versendet. Eine englischsprachige Bericht-Variante ist für Q3 geplant; bis dahin können Sie den deutschen Bericht selbst übersetzen oder über Drittdienstleister übersetzen lassen.

›Sind die Audits LkSG-tauglich?

Sie decken die LkSG-relevanten Themen ab — Mindestlohn, Arbeitszeit, PSA, Beschwerde-Mechanismus, Kinder-/Zwangsarbeit — und dokumentieren sie nachvollziehbar. Die formale LkSG-Berichtspflicht (jährlicher Bericht ans BAFA) bleibt aber Aufgabe der eigenen Compliance-Abteilung, HeyAudit liefert die Audit-Daten als Input.

›Wie funktioniert der Share-Link an den Lieferanten?

Beim Versand erzeugt das System einen einmaligen Share-Link. Lieferant öffnet den Link, sieht den Bericht ohne HeyAudit-Konto, kann pro Korrekturmaßnahme einen Status mit Beleg melden. Sie sehen die Status-Updates direkt in Ihrem HeyAudit-Konto, ohne E-Mail-Pingpong.

›Können wir das auch für IT- und Cloud-Anbieter nutzen?

Ja. Im Brief geben Sie an, dass es um einen IT-Lieferanten geht — der Generator erzeugt dann Sections für TOM, ISO 27001, Auftragsverarbeitung, Cloud-Audit-Reports (SOC 2, ISAE 3402). Für sehr spezialisierte IT-Audits empfehlen wir kombinierte Sections mit dem internen Prozess-Audit-Use-Case.

›Was kostet ein Lieferanten-Audit mit HeyAudit?

49 € pro Standort und Monat enthalten unbegrenzt viele Audits. Im 14-tägigen Trial sind drei Audits ohne Kreditkarte enthalten — genug, um drei reale Lieferanten-Audits durchzuspielen, bevor Sie sich entscheiden.

Erzeugen Sie Ihren ersten Lieferanten-Audit

14 Tage kostenlos, drei Audits inklusive, keine Kreditkarte. Der erste Lieferanten-Audit ist in unter zwei Minuten erzeugt.

Kostenlos starten →Branche Produktion & Industrie