Die im November 2025 veröffentlichten „Sanctioned Interpretations“ zu den IATF Rules, 6. Auflage, präzisierten die An­wen­dung be­stehen­der An­for­de­run­gen und kon­kre­ti­sier­ten deren ver­bind­li­che Aus­le­gung.

Bei Audits zeigen sich die prak­ti­schen Aus­wir­kun­gen vor allem darin, wie die präzisierten An­for­de­run­gen bewertet werden, an welchen Stellen Lücken in Do­ku­men­ta­ti­on und Nach­wei­sen sichtbar werden und wie ri­si­ko­ba­sier­tes Denken den Schwer­punkt und die Tiefe von Audits zu­neh­mend prägt.

Um über den Wortlaut der Aktualisierungen selbst hinauszugehen, sprachen wir mit Jorge Correa, Automotive Sector Manager bei DQS Inc. In dieser Funktion arbeitet Jorge eng mit Unternehmen der Automobilbranche zusammen und verfügt über umfassende Einblicke in die praktische Umsetzung der aktuellen Anforderungen von IATF 16949 sowie typische Herausforderungen in der Umsetzung.

Im vorliegenden Beitrag erläutert Jorge Correa, welche Aspekte im Zuge der aktualisierten Anforderungen in Audits verstärkt in den Fokus rücken, welche Anforderungen Unternehmen in der Praxis häufig unterschätzen und wo in der Praxis die größten Umsetzungslücken auftreten. Die folgenden Highlights spiegeln seine Erfahrungen aus der Auditpraxis wider.

UNSER LE­SE­TIPP

Ei­nen de­tail­lier­ten Überblick über die ak­tu­el­len IATF Rules, 6. Ausgabe, sowie die bereits wirk­sa­men struk­tu­rel­len Kernänderungen von 2024 finden Sie in unserem Blog­bei­trag  „Neue IATF 16949 Rules 6".

Notfallplanung ist nicht mehr nur Theorie

Einer der deutlichsten Schwerpunkte in den jüngsten von der IATF genehmigten Auslegungen ist die Notfallplanung. Zwar ist die Anforderung an sich nicht neu, doch sind die Erwartungen hinsichtlich Umfang, Prüfung und Nachweisführung nun expliziter geworden und werden bei Audits strenger bewertet.

Insbesondere die jüngsten von der IATF genehmigten Überarbeitungen der Auslegungshinweise und die Auditpraxis legen zunehmend den Schwerpunkt auf Szenarien, die zuvor zwar impliziert, aber nicht klar benannt wurden – vor allem Pandemien und cyberbedingte Störungen.

Was bei Audits zunehmend im Fokus steht, ist nicht nur, ob diese Risiken in einem Notfallplan aufgeführt sind, sondern ob Organisationen nachweisen können, dass ihre Notfallpläne regelmäßig getestet werden und in der Praxis wirksam sind.

Dabei achten die Auditoren verstärkt auf objektive Nachweise, die belegen, dass aus den Tests konkrete Erkenntnisse gewonnen und Verbesserungsmaßnahmen abgeleitet wurden.

„Sie benötigen einen Bericht oder einen gleichwertigen objektiven Nachweis, aus dem hervorgeht, welche Tests durchgeführt wurden und welche Maßnahmen auf der Grundlage der Testergebnisse ergriffen wurden.“

Laut Jorge Correa besteht eine der größten Herausforderungen darin, dass Unternehmen zwar sinnvolle Maßnahmen umsetzen, diese jedoch nicht ausreichend dokumentieren oder den Zusammenhang mit ihrem risikobasierten Ansatz nicht nachvollziehbar belegen.

„Manchmal erkennen sie das, was sie getan haben, nicht als Leistung an oder dokumentieren es nicht.“

Für Unternehmen, die sich auf künftige Audits vorbereiten, bedeutet dies: Notfallmanagement muss als kontinuierlicher Verbesserungsprozess verstanden werden. Neben realitätsnahen Tests und der Berücksichtigung aktueller Risiken kommt es vor allem darauf an, die daraus gewonnenen Erkenntnisse und eingeleiteten Maßnahmen nachvollziehbar zu dokumentieren.

Die Erwartungen an die Cybersicherheit gehen über den IT-Bereich hinaus

Ein weiterer Bereich, der bei Audits zunehmend in den Fokus rückt, ist die Cybersicherheit. Obwohl das Thema bereits seit einiger Zeit Bestandteil der IATF-Diskussionen ist, unterstreichen die jüngsten Interpretationen, dass Cybersicherheit nicht länger als isoliertes IT-Thema betrachtet wird.

Stattdessen wird sie zunehmend als Risiko für den Geschäftsbetrieb und die Geschäftskontinuität bewertet – insbesondere dort, wo Fertigungsanlagen, Produktionssysteme oder vernetzte Technologien betroffen sind.

Wie Jorge Correa erläutert:

„Cyberangriffe sind ein Bereich, der sich ständig weiterentwickelt. Deshalb müssen sie wahrscheinlich häufiger überprüft werden, um sicherzustellen, dass alle auf dem aktuellen Stand sind.“

Aus Auditsicht wird von Unternehmen erwartet, dass sie ein kontinuierliches Bewusstsein für cyberbezogene Risiken nachweisen und diese regelmäßig überprüfen. Auditoren achten auf objektive Nachweise dafür, dass Aspekte der Cybersicherheit in die übergeordnete Risikoanalyse und Notfallplanung integriert sind – insbesondere dort, wo Störungen die Produktkonformität oder die Lieferfähigkeit beeinträchtigen könnten.

Für Unternehmen bedeutet dies, dass Cybersicherheit nicht mehr ausschließlich anhand von Richtlinien oder IT-Kontrollen bewertet wird. Sie wird zunehmend unter dem Gesichtspunkt des risikobasierten Denkens, der betrieblichen Auswirkungen und der organisatorischen Vorsorge betrachtet. Entsprechend wird erwartet, dass Bewertungen aktuell, relevant und auf reale Szenarien bezogen sind.

 

Dokumentationslücken führen zu Abweichungen 

In Audits gehört es zu den häufigsten Herausforderungen, dass eine Lücke zwischen dem besteht, was tatsächlich getan wird, und dem, was durch objektive Nachweise belegt werden kann.

Da die Erwartungen an risikobasiertes Denken und Wirksamkeit weiter steigen, legen Auditoren zunehmend Wert auf Dokumentation, die klar zeigt, welche Maßnahmen ergriffen wurden, warum sie ergriffen wurden und wie die Wirksamkeit bewertet wurde.

Laut Jorge Correa ist dies ein Bereich, in dem viele Unternehmen unbeabsichtigt ein Prüfungsrisiko schaffen. In der Praxis befassen sich Unternehmen zwar mit Problemen, führen Tests durch oder passen Kontrollmaßnahmen an, doch ohne konsistente Dokumentation oder gleichwertige objektive Nachweise lassen sich diese Bemühungen bei einer Prüfung nur schwer validieren.

„Ein Kunde wird behaupten: ‚Okay, ja, wir tun das‘, aber er verfügt nicht wirklich über die Informationen, um dies zu belegen.“

Diese Diskrepanz wird oft in Bereichen mit höherem Risiko deutlicher, in denen Prüfer einen klareren Zusammenhang zwischen Risikoidentifizierung, Korrekturmaßnahmen und Nachverfolgung erwarten. Fehlt dieser Zusammenhang, ist die Wahrscheinlichkeit von Nichtkonformitäten größer, selbst wenn die zugrunde liegende Absicht oder der Aufwand stichhaltig ist.

Für Organisationen, die sich auf IATF 16949 Audits vorbereiten, ist die Botschaft klar: Gute Absichten reichen nicht aus. Was zählt, ist die Fähigkeit, Entscheidungsfindung, Maßnahmen und Wirksamkeit so nachzuweisen, dass sie den risikobasierten Erwartungen und den Anforderungen an Auditnachweise entsprechen.

 

Nach Einschätzung von Jorge Correa entsteht in diesem Bereich bei vielen Unternehmen unbeabsichtigt ein Auditrisiko. 

In der Praxis werden Maßnahmen umgesetzt, Tests durchgeführt oder Kontrollen angepasst. Fehlen jedoch eine konsistente Dokumentation oder gleichwertige objektive Nachweise, lassen sich diese Aktivitäten im Audit nur schwer belegen.

 

iatf-16949-certification-dqs-three engineers working on a virtual 3d model of a car
Loading...

Ex­per­ten­wis­sen aus erster Hand

Mit welchem Aufwand müssen Sie rechnen, um Ihr Ma­nage­ment­sys­tem nach IATF 16949 zer­ti­fi­zie­ren zu lassen? Mehr In­for­ma­tio­nen zur Zer­ti­fi­zie­rung finden Sie auf unserer Pro­dukt­sei­te.

Risikobasiertes Denken prägt die Tiefe und den Schwerpunkt von Audits

Ein roter Faden, der sich durch die neuesten IATF-Auslegungen zieht, ist die verstärkte Betonung des risikobasierten Denkens als maßgeblichen Faktor für Schwerpunkt und Tiefe von Audits.

Von Auditoren wird erwartet, ihre Zeit und Aufmerksamkeit vorrangig auf Bereiche mit erhöhtem Risiko sowie auf Prozesse zu richten, bei denen in der Vergangenheit Leistungs- oder Qualitätsprobleme aufgetreten sind.

Wie Jorge Correa beobachtet, zeichnet sich dadurch bereits heute ein deutlicher Unterschied zwischen Unternehmen ab, die lediglich die Mindestanforderungen erfüllen, und solchen, die Risiken proaktiv steuern.

„Man sieht zwei Arten von Unternehmen: Die einen tun das Mindestmaß, um die Anforderungen zu erfüllen, während die anderen deutlich darüber hinausgehen.“

Aus Auditsicht bedeutet dies, dass Prozesse mit höherem Risiko, schwächerer Performance oder größerem Einfluss auf Produktkonformität und Lieferfähigkeit intensiver betrachtet werden.

„Die IATF achtet stets darauf, dass sich Organisationen ihrer Risiken sehr bewusst sind.“

 

Prioritäten setzen, anstatt alle Prozesse gleich zu behandeln

Anstatt alle Prozesse gleichermaßen zu betrachten, wird von Unternehmen zunehmend erwartet, nachvollziehbar darzulegen, wie sie Prioritäten setzen, Ressourcen gezielt einsetzen und Kontrollen auf Grundlage von Risiken und Leistungstrends anpassen.

„Konzentrieren Sie sich auf Ihre größten Risiken. Konzentrieren Sie sich auf Ihre Bereiche mit schwacher Leistung.“

Risikobasiertes Denken ist längst kein theoretisches Prinzip mehr. Es bildet die Grundlage dafür, wie Audits geplant, durchgeführt und bewertet werden, und trägt zunehmend dazu bei, leistungsfähige Managementsysteme von weniger wirksamen zu unterscheiden.

Neu­es­tes IATF-Up­date - Aus­blick

Die neuesten von der IATF ge­neh­mig­ten Aus­le­gun­gen ändern nichts Grund­le­gen­des an den An­for­de­run­gen an Or­ga­ni­sa­tio­nen, wohl aber daran, wie klar und ein­heit­lich die Er­war­tun­gen bei Audits an­ge­wen­det wer­den.

Ob Not­fall­pla­nung, Cy­ber­si­cher­heit, dokumentierte In­for­ma­ti­on oder risikobasiertes Den­ken – die Bot­schaft ist ein­heit­lich: Von Or­ga­ni­sa­tio­nen wird er­war­tet, dass sie ihre Risiken ver­ste­hen, effektiv Prioritäten setzen und die Um­set­zung anhand ob­jek­ti­ver Nach­wei­se belegen.

Für IATF-zer­ti­fi­zier­te Or­ga­ni­sa­tio­nen und solche, die eine IATF 16949 Zer­ti­fi­zie­rung in Betracht ziehen, liegt der Grund­stein für den Erfolg darin, über Geschäftsprozesse und Ver­fah­ren zu verfügen und zu er­ken­nen, wann diese Ver­fah­ren effektiv ein­ge­setzt werden, um reale Risiken zu bewältigen und eine kon­ti­nu­ier­li­che Ver­bes­se­rung vor­an­zu­trei­ben.

Die DQS als verlässlicher Partner für die Zertifizierung

Als einer der erfahrensten deutschen Dienstleister für die Zertifizierung von Managementsystemen gilt die DQS bereits seit Jahrzehnten als verlässlicher Partner der Automobilindustrie. Das gesamte Leistungsspektrum im Automobilsektor deckt heute alle Normen und Regelwerke ab, die für Ihre Rolle in der automobilen Wertschöpfungskette von Bedeutung sind: IATF 16949, die VDA-6-Familie, TISAX®, ISO 21434, ENX VCS sowie Konformitätsbewertungen im Rahmen der KBA-Typgenehmigung.

Nutzen Sie das Wissen unserer Experten und informieren Sie sich über die Möglichkeiten einer Zertifizierung. Mit der Erfahrung aus mehr als 40 Jahren und dem Know-how von weltweit 3000 Auditoren sind wir Ihr kompetenter Zertifizierungspartner und liefern Antworten auf alle Fragen rund um Automotive Compliance Standards.

 Five light-colored cubes on a wooden table, spelling out the word "Audit"
Loading...

DQS. Weil Audit nicht gleich Audit ist.

Sie haben Fragen zur Zer­ti­fi­zie­rung Ihres Ma­nage­ment­sys­tems nach IATF 16949 oder zu den neuen Rules? In­for­mie­ren Sie sich. Ganz un­ver­bind­lich und kos­ten­frei.

Expertise und Vertrauen

Unsere Beiträge und Whitepaper werden ausschließlich von unseren Normexperten oder langjährigen Auditoren verfasst. Sollten Sie Fragen zu den Textinhalten, unseren Audits und Zertifizierungen an den Autor haben, senden Sie uns gerne eine E-Mail: [email protected].

Hinweis: Wir verwenden aus Gründen der besseren Lesbarkeit das generische Maskulinum. Die Direktive schließt jedoch grundsätzlich Personen jeglicher Geschlechteridentitäten mit ein, soweit es für die Aussage erforderlich ist.

Autor

Megan O'Connor

Loading...

Das könnte Sie auch in­ter­es­sie­ren. 

Weitere Fach­bei­trä­ge und Ver­an­stal­tun­gen der DQS 
Blog
Loading...

OT Security mit TISAX®

Blog
Loading...

Neue IATF 16949 Rules 6 – Update 2024

Blog
Loading...

Wer ist die IATF?