IATF16949 要求下:低风险供应商需要做第二方审核吗

供应商管理中，一个被问得最多的问题是：IATF 要求我们对供应商做第二方审核，那是不是所有供应商都必须审？

很多企业也因此走向两个极端：

• 要么全覆盖式审核，把所有供应商一年跑一遍；
• 要么能不审就不审，仅凭来料数据判断供应商能力。

但真正合规、稳健、经济的做法，其实都藏在IATF 16949:2016的一条关键要求里——8.4.2.4.1 第二方审核：审核要基于风险（risk-based）和绩效（performance-based）。

理解这一条，你自然就知道不是所有供应商都要审，但每家供应商都必须被科学评估。

一、IATF 8.4.2.4.1 到底在要求什么？

该条款的核心精神只有一句话：第二方审核必须依据供应商风险和绩效来确定范围和频次，而不是一刀切。

注意三个重要点：

• IATF 没要求“所有供应商必须审核一遍”
• IATF 没要求“每年必须审核一次”
• IATF 要求的是“基于风险的审核策略”，不是“基于数量的审核计划”

因此，是否审核某家供应商，不取决于对方是谁，而取决于：

• 风险有多高
• 绩效是否稳定
• 工艺是否成熟
• 对你的产品影响有多大
• 有无关键特性、法规要求

这就是风险导向（risk-based thinking）。

二、那低风险供应商需要做第二方审核吗？

答案是：不必须审，但必须有明确的风险评估依据和证据。

IATF 并不是让你把低风险供应商当成免管理的供应商，而是要求你：

1、证明它为什么是低风险（需要记录）

常见低风险类别包括：

• 辅料（标签、纸箱、薄膜类包材）
• 行业标准件（GB/T、ISO 标准紧固件）
• 可完全替代的供应商
• 工艺极成熟、与产品关键特性无直接关联的物料

组织必须保留证据，例如：

• 供应商风险评估表
• 来料绩效评定
• 替代性分析（是否易替换）
• 物料特性分析
• 是否影响安全法规、关键特性

这些证据用于向IATF审核员解释：我们不审，是基于风险，而不是忽视管理。

2、风险等级要持续监控（即便不审，也要管）

持续监控包括：

• 来料合格率
• 投诉与异常
• 供应商响应速度
• 交期稳定性
• 管理变更（如换厂、换人、换料）

只要发现绩效波动或风险上升，必须触发重新评估，必要时补做第二方审核。

3、如果客户特定要求（CSR）强制要求审核，即便低风险也必须执行

这是IATF审核员最关注的点之一：CSR > IATF > 企业内部规则

例如：

• 福特（Ford）特定要求
• 通用（GM）
• 大众 Formel Q
• 宁德时代、比亚迪等动力电池大客户

如果客户要求某类物料必须审核，那么无论风险如何，都需要执行。

三、为什么要做第二方审核？

很多企业做审核，是为了满足体系；优秀企业做审核，是为了提升供应链能力。

IATF推动第二方审核，有三个根本目的。

1. 确认供应商是否具备持续、稳定的量产能力

真正有能力的供应商，必须同时满足：

• 工艺稳定（控制能力、工艺窗口、波动来源）
• 过程受控（PFMEA → 控制计划 → 作业指导书闭环）
• 设备能力可量化（Cm、Cmk、SPC）
• 检验系统可信（MSA 五性一力）
• 员工技能可复制，而不是依赖熟练工
• 工装治具一致性受控

这些内容不可能只靠文件评审完成，只能靠现场审核验证。

2. 识别潜在风险，让问题在爆发前被发现

供应商没出事并不代表没风险。

审核真正的价值是提前发现：

• 设备老旧、维护不到位
• 模具寿命接近上限
• 工艺窗口窄、易漂移
• 关键岗位依赖“老师傅”
• 质量数据不真实
• 二级供应链本身不稳定
• 供应商正在偷偷降成本
• 扩产能力不足

这些隐患往往是后面停线、批量不良的根本原因。

3. 推动供应商能力提升，而不是“挑毛病”

成熟企业把审核当成促进供应链能力成长的手段，而不是考试。

通过审核：

• 明确客户真正关注点
• 帮供应商识别自身工艺薄弱点
• 促进体系运行真正落到现场
• 建立改善路线，不只是发整改单
• 提升双方的长期稳定性

审核是合作，而不是审判。

四、为什么不建议所有供应商都审核？

1. 与IATF的风险导向原则不符

IATF强调风险基础，一刀切不是体系要求，属于资源浪费。

2. 审核资源有限，应投入到关键风险

审核成本包括：

• 审核员时间
• 差旅费用
• 审核准备 & 报告
• 后续改善验证

供应链管理讲究“投入产出比”，盲目全覆盖反而浪费资源。

3. 过度审核让供应商疲于应付，反而遏制改善动力

一些供应商一年要接待十几次审核，疲于迎合形式，真正的改善反而被推迟。

五、最合规、最务实的做法

符合IATF的最佳实践包括：

1. 建立供应商分级机制（关键 / 重要 / 一般 / 辅助）

示例评估维度：

• 是否影响产品安全
• 是否包含特殊特性
• 工艺复杂度
• 是否单一来源
• 历史质量绩效
• 管理体系成熟度
• 可替代性

2. 不同等级采用不同审核模式

3. 对不审核必须保留证据

IATF 审核中最常见的提问是：为什么这家供应商不审？你的依据是什么？

你必须能提供：

• 风险评估记录
• 供应商绩效
• 替代性分析
• 物料特性
• CSR 评价结果
• 来料质量数据

只要证据充分，审核员会认可不审的决定。

一句话总结：高风险供应商必须审，低风险供应商不必须审，但每家供应商都必须被科学评估和持续监控。

IATF不要求你审所有人，但必须要求你用风险逻辑合理管理所有人。

当你把资源集中在真正关键的供应商上，你的供应链才会稳、质量才会稳、体系也会真正发挥价值。