Die Organisation muss (einen) dokumentierte(n) Prozess(e) einführen und aufrechterhalten, um den Schulungsbedarf – einschließlich Maßnahmen zur Bewusstseinsbildung (siehe Abschnitt 7.3.1) – zu ermitteln sowie die diesbezüglichen Kompetenzen zu erlangen für Mitarbeiter, die Tätigkeiten ausüben, die die Produkt- und Prozesskonformität beeinflussen. Mitarbeiter, die besondere zugeordnete Aufgaben ausführen, müssen entsprechend qualifiziert sein, wobei der Erfüllung der Kundenanforderungen besondere Aufmerksamkeit gilt.

Um Risiken für die Organisation zu verringern oder zu eliminieren, muss die Schulung und Sensibilisierung von Mitarbeitern auch Informationen über die Vorbeugung enthalten, die für die Arbeitsumgebung der Organisation und die Verantwortlichkeiten der Mitarbeiter relevant sind, wie das Erkennen von Anzeichen eines bevorstehenden Ausfalls von Anlagen und Einrichtungen und/oder eines versuchten Cyberangriffs.

Begründung für diese Änderung:
Das Wissen der Mitarbeiter ist ein wichtiger Faktor, um zu verhindern, dass Probleme bedeutsam werden. Dies schließt die Erkennung potenzieller Ausfälle von Einrichtungen ein und die Erkennung von Cyberangriffen.

Die Organisation muss zur Entwicklung und ständigen Verbesserung von Werks-, Anlagen- und Einrichtungsplänen einen multidisziplinären Ansatz, einschließlich Risikoidentifizierung und Risikominderung, anwenden. Die Organisation muss beim Entwerfen von Werkstrukturplänen:
a) den Materialfluss, das Materialhandling und die wertsteigernde Nutzung der vorhandenen Fläche optimieren, einschließlich der Lenkung fehlerhafter Teile, und
b) einen synchronen Materialfluss ermöglichen, soweit zutreffend, und
c) Maßnahmen zum Schutz vor Cyberangriffen auf Einrichtungen und Systeme implementieren, welche die Fertigung unterstützen.

Begründung für diese vorgenannte(n) Änderung(en):
Cybersicherheit beschränkt sich nicht nur auf die Computer, die von Unterstützungsfunktionen und in den Bürobereichen verwendet werden. In der Fertigung werden ebenfalls computergestützte Steuerungen und Einrichtungen eingesetzt, die im Hinblick auf Cyberangriffe gefährdet sein können. Diese Ergänzung treibt die Implementierung notwendiger Schutzmaßnahmen voran, um den kontinuierlichen Betrieb und eine den Kundenanforderungen entsprechende Produktion sicherzustellen.

Externe, kommerzielle oder unabhängige Prüflabore, die von der Organisation für Prüf- oder Kalibrierdienstleistungen genutzt werden, müssen über ein festgelegtes Arbeitsgebiet verfügen, aus dem ihre Fähigkeit, die geforderten Prüf- und Kalibrierdienstleistungen durchzuführen, hervorgeht, und:

– das Prüflabor muss entweder nach ISO/IEC 17025 oder nach dem entsprechenden nationalen Äquivalent (z. B. CNAS-CL01 in China) von einer Akkreditierungsstelle (Unterzeichner) des ILAC MRA (International Laboratory Accreditation Forum Mutual Recognition Arrangement – www.ilac.org)¹, oder einer vergleichbaren nationalen Norm² akkreditiert sein – wobei die betreffende Prüfung, Messung oder die betreffende Kalibrier-Dienstleistung in den Umfang der Akkreditierung (des Zertifikats) eingeschlossen sein muss. Kalibrierzertifikat oder Prüfbericht müssen ein Akkreditierungszeichen (ein Siegel) der nationalen Akkreditierungsgesellschaft tragen; oder
– Wenn kein ein nicht⁵ akkreditiertes Prüflabor zur Verfügung steht genutzt⁵ wird (Beispiele: für⁵ Spezialmessgeräte, in den Produktionsablauf integrierte Messgeräte („Inline-Messgeräte“), oder für⁵ Messgrößen ohne international rückführbare Normale⁴ oder Messgerätehersteller⁵ usw.), ist die Organisation dafür verantwortlich, sicherzustellen, dass es einen Nachweis gibt, dass das Prüflabor evaluiert wurde und die Anforderungen von Abschnitt 7.1.5.3.1 der IATF 16949 erfüllt.⁴
– es muss nachgewiesen werden, dass das externe Prüflabor den Anforderungen des Kunden genügt.

ANMERKUNG: Der Nachweis, dass das Prüflabor die Anforderungen nach ISO/IEC 17025 oder einer nationalen, vergleichbaren Norm erfüllt, kann z. B. durch eine Kundenbeurteilung oder durch eine vom Kunden genehmigte „Second Party“ Beurteilung erbracht werden. Die „Second Party“ Beurteilung kann durch die Organisation selbst durchgeführt werden, allerdings mit einem vom Kunden freigegebenem Bewertungsverfahren.
Wenn für ein bestimmtes Gerät kein qualifiziertes Labor verfügbar ist, darf die Kalibrierung auch vom Gerätehersteller vorgenommen werden. In diesem Fall muss die Organisation sicherstellen, dass die in Abschnitt 7.1.5.3.1 aufgeführten Anforderungen erfüllt werden.
Bei Kalibrierdienstleistungen, die nicht durch qualifizierte (oder vom Kunden akzeptierte) Labore erbracht werden, kann eine Bestätigung von staatlichen Aufsichtsbehörden erforderlich sein.^{3 /4}

ANMERKUNG: Die integrierte Selbstkalibrierung von Mess- und Prüfgeräten, einschließlich der Verwendung von firmeneigener Software, erfüllt nicht die Anforderungen an die Kalibrierung.⁴

Begründungen für diese Änderungen:
Einige Organisationen befanden die Anforderungen an die Akkreditierung für externe, kommerzielle oder unabhängige Prüf- und Kalibrierlabore, die für entsprechende Prüf- oder Kalibrierdienstleistungen genutzt werden, unklar und erwarteten eine weitergehende Klarstellung. Mit dieser sanktionierten Interpretation werden die Anforderungen und Erwartungen präzisiert.
¹Veröffentlicht April 2018
²Überarbeitet Juni 2018
³Neu aufgelegt, um zu zeigen, dass die Anmerkung und die nachfolgenden Absätze nicht ausgeschlossen wurden
⁴ Klärung der Bedingungen, unter denen ein nicht akkreditiertes Prüflabor verwendet werden darf, wo der Originalgerätehersteller verwendet werden darf, Streichung der Anmerkung und Akzeptanz der Selbstkalibrierung von Geräten (April 2021). Außerdem wurde der Satz über die behördliche Bestätigung gestrichen, da dies keine staatliche Anforderung ist.
⁵ Weitere Klarstellungen zur Erläuterung der Bedingungen und den erforderlichen Bewertungen, die erforderlich sind, wenn nicht akkreditierte Prüflabor eingesetzt werden: auch für Hersteller von Prüf- und Messgeräten.

Das Qualitätsmanagementhandbuch muss mindestens Folgendes beinhalten:
a) Geltungsbereich des Qualitätsmanagementsystems, einschließlich Beschreibung und Begründung von Ausschlüssen,
b) dokumentierte Prozesse, die für das Qualitätsmanagementsystem erforderlich sind, oder Referenzen darauf,
c) Prozesse der Organisation und deren Abfolge und Wechselwirkung (Input und Output), einschließlich Art und Umfang der Lenkung ausgegliederter Prozesse,
d) Dokument (d. h. Matrix zum Beispiel eine Tabelle, eine Liste oder eine Matrix), aus dem hervorgeht, an welcher Stelle des Qualitätsmanagementsystems der Organisation kundenspezifische Anforderungen adressiert werden.

Begründung für diese vorgenannte Änderung:
Einige Zertifizierungsgesellschaften und Organisationen wünschten eine Klarstellung, dass es sich bei der vormals genannten Matrix nicht um eine obligatorische Darstellungsweise handelt. Eine Matrix stellt lediglich eine von mehreren Möglichkeiten dar, die akzeptabel sind. Die Entscheidung für das jeweils genutzte Format obliegt der Organisation.

Die Organisation muss über (einen) dokumentierte(n) Prozess(e) verfügen, der sicherstellt, dass interne Auditoren kompetent sind, wobei Anforderungen, die durch die Organisation selbst definiert werden und/oder kundenspezifische Anforderungen berücksichtigt werden müssen. Für weitere Hinweise zu Kompetenzen von Auditoren wird auf die ISO 19011 verwiesen.
Die Organisation muss eine Liste aller qualifizierten internen Auditoren führen.

Alle iInternen QM-Systemauditoren, Prozessauditoren und Produktauditoren müssen in der Lage sein, folgende Mindestkompetenzen nachzuweisen:
a) Verständnis des prozessorientierten Ansatzes der Automobilindustrie, einschließlich risikobasierter Denkweise,
b) Verständnis der zutreffenden kundenspezifischen Anforderungen,
c) Verständnis zutreffender Anforderungen der ISO 9001:2015 und der IATF 16949 hinsichtlich des Auditumfangs,
d) Verständnis relevanter Anforderungen zu Qualitätstechniken bzw. -methoden (engl.: core tools) hinsichtlich des Auditumfangs,
e) Verständnis, wie Audits geplant und durchgeführt werden, wie Auditberichte erstellt und wie Maßnahmen aus Auditfeststellungen geschlossen werden.

Prozessauditoren müssen darüber hinaus mindestens nachweisen, dass sie über das für die relevanten zu auditierenden Produktionsprozesse notwendige technische Verständnis verfügen – auch hinsichtlich prozessbezogener Risikoanalysen (wie Prozess-FMEA) und Produktionslenkungsplänen.

Produktauditoren müssen mindestens¹ nachweisen, dass sie über die notwendige Kompetenz verfügen, die Anforderungen an das Produkt zu verstehen und die dafür relevanten Mess- und Prüfmittel zur Überprüfung der Produktkonformität zu handhaben.

Für Schulungen zur Erreichung von Kompetenz, die durch Mitarbeiter der Organisation erbracht werden, zur Erreichung von Kompetenz genutzt werden, müssen dokumentierte Informationen (Nachweise) vorliegen, die belegen, dass die Kompetenzen der eingesetzten Trainer den oben genannten Anforderungen entsprechen.
f)…g) ²

Begründung für diese Änderung:
¹Die vorgenannte Änderung grenzt die Kompetenz-Anforderungen von internen QM-Systemauditoren, Prozessauditoren und Produktauditoren voneinander ab. Darüber hinaus erfolgt eine Klarstellung zur Trainerkompetenz für intern durchgeführte Trainings.
²Überarbeitet, um aufzuzeigen, dass die Anforderungen f) und g) nicht ausgeschlossen wurden.