Lieferantenaudit: Ablauf, Pflichten nach LkSG und ISO 9001, Vorlagen für die Prüfungspraxis

Mit Inkrafttreten des Lieferkettensorgfaltspflichtengesetzes (LkSG) zum 1. Januar 2023 ist das Lieferantenaudit von einer freiwilligen Qualitätsmaßnahme zur dokumentationspflichtigen Sorgfaltspflicht geworden. Unternehmen mit mehr als 1.000 Mitarbeitern in Deutschland sind verpflichtet, Risiken in der eigenen Lieferkette systematisch zu identifizieren und Präventions- sowie Abhilfemaßnahmen zu ergreifen, mit jährlicher Berichterstattung an die BAFA. Die EU-Lieferkettenrichtlinie (CSDDD) vom 25. Juli 2024 erweitert diese Pflichten ab 2027 schrittweise auf weitere Unternehmen und intensiviert die Anforderungen an die Dokumentation, die Beschwerdeverfahren und die zivilrechtliche Haftung. Wer ein Lieferantenaudit nicht oder unzureichend durchführt, riskiert nach § 24 LkSG Bußgelder bis zu 800.000 Euro für natürliche Personen und bis zu acht Millionen Euro für juristische Personen, im Wiederholungsfall bis zu zwei Prozent des weltweiten Konzernumsatzes.

Parallel verlangen Qualitätsmanagementnormen wie ISO 9001:2015 in Kapitel 8.4 die Steuerung extern bereitgestellter Prozesse, Produkte und Dienstleistungen mit risikobasierter Tiefe der Prüfung. Branchenstandards wie IATF 16949 für die Automobilindustrie, ISO 13485 für Medizinprodukte oder ISO 27001:2022 für Informationssicherheit schärfen die Anforderungen weiter. Dieser Beitrag zeigt, wie ein Lieferantenaudit so geplant, durchgeführt und dokumentiert wird, dass es sowohl die BAFA als Aufsichtsbehörde nach LkSG als auch den ISO-Zertifizierungsauditor überzeugt, ohne den Lieferanten als Geschäftspartner zu beschädigen. CIVAC als Compliance-Plattform und Officer-as-a-Service liefert die Audit-Vorlagen, die Berichtslinien und den externen Lieferanten-Auditor innerhalb von zwei Werktagen.

Das Lieferkettensorgfaltspflichtengesetz definiert in § 6 LkSG die Präventionsmaßnahmen, in § 7 LkSG die Abhilfemaßnahmen und in § 10 LkSG die Dokumentations- und Berichtspflicht gegenüber der BAFA als zuständige Aufsichtsbehörde. Konkret heißt das: Unternehmen müssen ihre eigene Geschäftstätigkeit und die der unmittelbaren Zulieferer regelmäßig auf menschenrechtliche und umweltbezogene Risiken prüfen, anlassbezogen auch die mittelbaren Zulieferer entlang der gesamten Wertschöpfungskette. Die Prüfung ist mindestens einmal jährlich und bei substantieller Kenntnis von Risiken ad hoc durchzuführen, was eine Reaktionsfähigkeit innerhalb weniger Wochen erfordert. Die EU-Lieferkettenrichtlinie CSDDD wird ab 26. Juli 2027 für Unternehmen mit mehr als 5.000 Mitarbeitern und 1,5 Milliarden Euro Umsatz greifen, ab 2028 für 3.000/900 Mio., ab 2029 für 1.000/450 Mio. Die deutsche Umsetzung steht zum Zeitpunkt der Veröffentlichung dieses Beitrags noch aus, ist aber bis spätestens 26. Juli 2026 verpflichtend.

Parallel verlangt ISO 9001:2015 in Kapitel 8.4.2 die Festlegung und Anwendung von Kriterien für die Bewertung, Auswahl, Leistungsüberwachung und Neubewertung externer Anbieter. ISO 9001:2015 verlangt nicht zwingend ein Vor-Ort-Audit, akzeptiert aber Eignungsnachweise wie Selbstauskünfte, Bescheinigungen und Auditberichte je nach Risikograd des Anbieters. In regulierten Branchen ist das Vor-Ort-Audit faktisch unverzichtbar: IATF 16949 (Automotive) verlangt periodische Lieferantenaudits, ISO 13485 (Medizinprodukte) und ISO 14971 fordern strukturierte Lieferantenqualifizierung mit Risikomanagement, ISO 27001:2022 Annex A.5.19 bis A.5.22 regeln Lieferantenbeziehungen aus der Informationssicherheitsperspektive. Wer in mehreren dieser Normen zertifiziert ist, sollte das Audit so aufsetzen, dass ein einziger Vor-Ort-Termin die Anforderungen aller Normen abdeckt, mit gemeinsamen Audit-Tagen und themenspezifischen Modulen. Bestellurkunde, unterschrieben, abgelegt, belegbar. Diese integrierte Auditlogik spart erheblichen Aufwand auf beiden Seiten und reduziert die Belastung des Lieferanten.

Niemand kann jeden Lieferanten auditieren. Die Sorgfaltspflicht nach LkSG verlangt eine risikobasierte Priorisierung mit nachvollziehbarer Methodik. § 5 LkSG schreibt die Risikoanalyse als jährliche Pflicht vor, bei wesentlichen Änderungen anlassbezogen und bei substantieller Kenntnis von Risiken sofort. Die Risikoanalyse bewertet zwei Dimensionen: Eintrittswahrscheinlichkeit eines menschenrechtlichen oder umweltbezogenen Risikos und potenzieller Schadensumfang im Sinne der durch das Risiko betroffenen Personen oder Schutzgüter. Treiber sind Branche, Land, Produkt, Vertragsstruktur, Auftragsvolumen und Erkenntnisse aus früheren Audits oder externen Quellen wie NGO-Reports, BAFA-Hinweisen oder Medienberichten. Ein Textilzulieferer in Bangladesch hat ein höheres Eintrittsrisiko für Arbeitsschutzverletzungen als ein deutscher Schraubenhersteller, ein Lithium-Lieferant in Chile hat ein höheres Umweltschadensrisiko als ein lokaler Verpackungsdrucker. Die Risikobewertung wird je Lieferant mit einer Ampelfarbe oder einer Score-Zahl dokumentiert und versioniert abgelegt.

Aus der Risikobewertung ergibt sich die Auditfrequenz. Empfehlung: Hochrisikolieferanten werden jährlich oder halbjährlich vor Ort auditiert, mittlere Risiken alle zwei Jahre, niedrige Risiken alle drei Jahre oder über Selbstauskünfte mit punktueller Vor-Ort-Verifizierung im Rahmen einer Stichprobe. Strategisch wichtige Single-Source-Lieferanten sollten unabhängig vom Risiko regelmäßig auditiert werden, weil ein Ausfall existenzielle Konsequenzen hätte und die Resilienz der Lieferkette ein eigenständiges Schutzziel ist. Die Auditfrequenz wird im Audit-Programm dokumentiert, das die Geschäftsleitung jährlich freigibt. Wenn Sie zusätzlich einen Lieferkettenbeauftragten einsetzen, koordiniert dieser die Audit-Planung mit dem Einkauf, der Qualität und der Compliance in einer gemeinsamen Berichtslinie. Die 490 Audit-Vorlagen von CIVAC enthalten das Audit-Programm, die Risikomatrix und die Lieferanten-Score-Card bereits in einer integrierten Struktur, die für die LkSG-Berichterstattung an die BAFA aufbereitet ist.

Ein Lieferantenaudit beginnt vier bis sechs Wochen vor dem Vor-Ort-Termin, in Hochrisikoregionen mit Visa-Pflicht und Reisevorbereitung sogar acht bis zwölf Wochen. Im ersten Schritt wird der Scope definiert: Welche Themen werden geprüft (Qualität, Arbeitsschutz, Menschenrechte, Umwelt, Informationssicherheit), welcher Standort ist betroffen, welche Prozesse werden besichtigt, welche Dokumente werden eingesehen, welche Mitarbeiter werden befragt. Der Scope wird mit dem Lieferanten schriftlich abgestimmt und dient als Tagesordnung des Vor-Ort-Termins. Im zweiten Schritt werden die Kriterien festgelegt: Welche Norm- oder Gesetzesanforderungen sind Prüfungsmaßstab, welche internen Richtlinien des einkaufenden Unternehmens gelten, welche Branchenstandards und welche Vertragsklauseln aus dem Liefervertrag. Die Kriterien werden als Auditcheckliste mit klaren Soll-Aussagen formuliert, die jeweils mit einer Anforderungsnummer auf das Quelldokument verweisen.

Im dritten Schritt wird das Auditteam zusammengestellt. Ein typisches Team besteht aus einem leitenden Auditor mit einschlägiger Qualifikation (etwa IRCA Lead Auditor ISO 9001 oder geprüfter Lieferketten-Auditor mit SA8000 oder vergleichbarer Akkreditierung), einem Fachauditor je Themenfeld sowie einem Begleitenden des einkaufenden Unternehmens für die kommerzielle Seite. Bei reinen LkSG-Audits in Hochrisikoregionen empfiehlt sich der Einsatz lokaler Auditoren mit Sprach- und Kulturkenntnis, weil Mitarbeiterinterviews sonst nicht aussagekräftig sind und Vertraulichkeitszusagen nicht glaubhaft wirken. Im vierten Schritt erfolgt die Kommunikation an den Lieferanten: Auditankündigung mindestens vier Wochen vor Termin, Übermittlung der Auditcheckliste, Anforderung vorab einzureichender Dokumente (Organigramm, Qualitätshandbuch, Genehmigungen, Mitarbeiterzahlen, Verträge mit den eigenen Zulieferern, Sozialversicherungsnachweise). Ohne diese Vorbereitung wird das Vor-Ort-Audit zur Stichprobe ohne Tiefe. Im CIVAC-Workspace sind die Auditankündigung, die Checklisten und die Dokumentenanforderungen als Vorlagen hinterlegt und je Lieferant individualisierbar.

Ein Vor-Ort-Audit folgt einer festen Choreografie. Im Eröffnungsgespräch werden Auditzweck, Scope, Kriterien, Ablauf, Vertraulichkeit und Eskalationswege bei Auffälligkeiten besprochen sowie die Rolle der einzelnen Auditoren und Begleiter geklärt. Anwesend sind die Geschäftsleitung des Lieferanten, der Qualitätsverantwortliche, der zuständige Personalverantwortliche und gegebenenfalls der Compliance-Beauftragte des Lieferanten. Das Eröffnungsgespräch wird protokolliert, das Protokoll wird von beiden Seiten unterschrieben und dient als Beweis für den vereinbarten Scope. Anschließend folgt die Produktions- und Standortbegehung mit visueller Inspektion der Arbeitsplätze, der Sicherheitseinrichtungen, der Lager, der Sozialräume und der Unterkünfte, sofern Wanderarbeiter beschäftigt werden. Auffälligkeiten werden mit Foto (sofern erlaubt), Zeitstempel und Beschreibung dokumentiert, idealerweise direkt in der Audit-App auf dem Tablet des Auditors.

Stichproben sind das Herz des Audits. Geprüft werden Personalakten (Arbeitsverträge, Arbeitszeitnachweise, Lohnzahlungsbelege, Schulungsnachweise, Altersangaben zur Vermeidung von Kinderarbeit), Sicherheitsdatenblätter, Wartungsprotokolle, Reklamationsdokumente, Lieferanten-Selbstauskünfte der eigenen Lieferanten des auditierten Unternehmens. Stichprobengröße und Auswahllogik werden vor dem Audit festgelegt, in der Regel mindestens 10 bis 25 Datensätze je Themenfeld, bei Hochrisikoauditierungen entsprechend mehr und mit gezielter Auswahl auffälliger Bereiche. Mitarbeiterbefragungen sind das sensibelste Element und müssen vertraulich, ohne Anwesenheit der Vorgesetzten und in der Muttersprache des Mitarbeiters erfolgen, vorzugsweise außerhalb des Werksgeländes. Die Befragten werden anonymisiert dokumentiert, Original-Aussagen werden nicht der Geschäftsleitung des Lieferanten übergeben. Wer diese Vertraulichkeit nicht einhält, riskiert nicht nur unbrauchbare Befragungen, sondern Repressalien gegen die Befragten und Verstöße gegen den Schutz von Whistleblowern. Der Prüfer ruft an, der Nachweis liegt bereit. Im CIVAC-Workspace werden die Befragungsergebnisse mit Anonymisierungsschutz dokumentiert und versioniert abgelegt.

Auditbefunde werden in vier Kategorien klassifiziert: Hauptabweichung (kritische Verletzung einer Anforderung, sofortige Abhilfe nötig), Nebenabweichung (Verletzung einer Anforderung, deren Behebung zeitlich planbar ist), Beobachtung (potenzielle Schwachstelle ohne aktuellen Verstoß), Verbesserungspotenzial (Hinweis auf bessere Praxis ohne Pflichtcharakter). Die Kategorisierung folgt dem Standard ISO 19011:2018 für Managementsystem-Audits und wird in der einschlägigen Audit-Literatur durchgängig verwendet. Jeder Befund wird mit folgenden Elementen dokumentiert: Anforderung (Gesetz, Norm, interne Richtlinie mit Paragraf oder Kapitelnummer), Ist-Zustand, Soll-Zustand, Nachweis (Foto, Dokumentnummer, Befragungsergebnis mit Datum), Kategorie, Empfehlung zur Behebung. Eine pauschale Bewertung wie viele Mängel im Bereich Arbeitsschutz genügt nicht, weil ohne konkrete Belegbarkeit keine Maßnahme abgeleitet werden kann.

Im Abschlussgespräch werden die Befunde mit der Geschäftsleitung des Lieferanten besprochen, Missverständnisse werden geklärt, der Lieferant erhält Gelegenheit zur Stellungnahme und kann Fehlerfassungen sofort korrigieren. Das Abschlussgespräch wird protokolliert und von beiden Seiten unterschrieben. Anschließend wird der Auditbericht innerhalb von 10 bis 15 Arbeitstagen erstellt und an den Lieferanten gesendet, mit Aufforderung zur Maßnahmenplanung innerhalb einer kategorieabhängigen Frist. Der Auditbericht enthält Zusammenfassung, Befundliste, Bewertung, Empfehlungen und nächste Schritte einschließlich Termin für die Wirksamkeitskontrolle. Der Bericht wird im CIVAC-Workspace mit Versionsstand abgelegt, sodass die Belegkette von der Auditankündigung über die Befragungsprotokolle bis zum finalen Bericht durchgängig nachvollziehbar ist. Audit-fest, dokumentiert, § 10 LkSG-fest. Wenn die BAFA nach einem Hinweis prüft, ist die Belegkette in Minuten verfügbar, nicht in Wochen. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Damit unterscheidet sich die strukturierte Audit-Dokumentation messbar von der typischen E-Mail-und-Excel-Praxis vieler Einkaufsabteilungen.

Der Maßnahmenplan ist der entscheidende Schritt, an dem viele Lieferantenaudits scheitern. Ohne dokumentierte Maßnahme bleibt der Befund ohne Konsequenz, was nach § 7 LkSG eine Pflichtverletzung darstellt und im BAFA-Verfahren zu Bußgeldern führt. Der Lieferant erstellt innerhalb einer im Auditbericht definierten Frist (üblich: 14 bis 30 Tage je nach Kategorie, bei Hauptabweichungen oft sofort) einen Maßnahmenplan je Befund mit folgenden Pflichtangaben: Korrekturmaßnahme zur Behebung des konkreten Mangels, Ursachenanalyse nach systematischer Methode (5-Why, Ishikawa, FMEA), vorbeugende Maßnahme zur Vermeidung der Wiederholung, Verantwortlicher mit Namen, Umsetzungsfrist mit Datum. Der Plan wird vom einkaufenden Unternehmen freigegeben oder mit Nachforderungen zurückgewiesen, was schriftlich dokumentiert wird.

Die Wirksamkeitskontrolle erfolgt zeitversetzt: Bei Hauptabweichungen wird innerhalb von vier bis acht Wochen eine Nachprüfung durchgeführt, in der die Wirksamkeit der Korrekturmaßnahmen verifiziert wird, oft mit Vor-Ort-Nachaudit. Bei Nebenabweichungen genügt häufig eine schriftliche Nachweisanforderung mit Bildern, Protokollen oder geänderten Verfahrensanweisungen. Bei systemischen oder wiederholten Verstößen folgt die Eskalation: schriftliche Verwarnung, Reduktion des Auftragsvolumens, vorübergehende Sperre, im schlimmsten Fall Vertragskündigung nach § 7 Absatz 2 Satz 5 LkSG. Wichtig: Die Vertragskündigung ist nach LkSG nur ultima ratio, vorher muss ein angemessenes Konzept zur Beendigung oder Minimierung der Risiken versucht worden sein, mit dokumentierter Eskalation in mehreren Stufen. Frist läuft ab Kenntnis. Im CIVAC-Workspace wird die Eskalationskette als Workflow mit Fristen, Zuständigkeiten und Berichtslinie an die Geschäftsleitung abgebildet, sodass keine Eskalationsstufe übersprungen oder vergessen wird. Jede Entscheidung über das Festhalten an oder die Beendigung der Geschäftsbeziehung ist mit Begründung dokumentiert und kann gegenüber der BAFA jederzeit belegt werden.

Die Berichtspflicht nach § 10 LkSG ist konkret und unnachgiebig. Verpflichtete Unternehmen müssen jährlich einen Bericht über die Erfüllung ihrer Sorgfaltspflichten erstellen und ihn auf der Unternehmenswebsite mindestens sieben Jahre kostenlos zugänglich machen sowie der BAFA elektronisch über das Berichtsportal übermitteln. Der Bericht enthält Angaben zu Risikoanalyse, identifizierten Risiken, ergriffenen Präventions- und Abhilfemaßnahmen, Beschwerdeverfahren, Wirksamkeitskontrolle und Aussagen zur eigenen Geschäftstätigkeit und den unmittelbaren Zulieferern. Die BAFA prüft die Berichte stichprobenartig, veröffentlicht Auswertungen und Branchenvergleiche und nutzt die Daten für Aufsichtsmaßnahmen. Wer den Bericht nicht oder unvollständig abgibt, riskiert nach § 24 LkSG ein Bußgeld bis zu 800.000 Euro und für drei Jahre den Ausschluss von öffentlichen Aufträgen.

Konkret bedeutet das für die Audit-Dokumentation: Jedes durchgeführte Audit muss mit Datum, Lieferantenname (im internen Bericht), Themenscope, Befundzahl nach Kategorie, Maßnahmenstand und Status der Wirksamkeitskontrolle erfasst sein. Die im veröffentlichten BAFA-Bericht angegebenen Aggregatzahlen müssen aus dieser internen Dokumentation rekonstruierbar sein, sonst beanstandet die BAFA und fordert Einsicht in die Belegkette. Im CIVAC-Workspace werden die Audit-Daten so abgelegt, dass die Aggregation für den Jahresbericht automatisch erfolgt: Anzahl auditierter Lieferanten, Anzahl identifizierter Risiken, Anteil mit Maßnahmenplan, Anteil mit Wirksamkeitskontrolle, Anzahl Eskalationen und Vertragsbeendigungen. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. Beide Modelle liefern die für die BAFA aufbereitete Aggregation, ohne dass am Jahresende Excel-Listen aus verschiedenen Quellen zusammengeführt werden müssen. Der Jahresbericht wird damit zur Konsequenz aus dem laufenden Tagesgeschäft, nicht zu einem separaten Berichterstellungsprojekt unter Zeitdruck im ersten Quartal.

Ein vollwertiges Vor-Ort-Audit eines Lieferanten kostet je nach Standort und Komplexität zwischen 4.000 und 15.000 Euro, bei Auslandsaudits in Hochrisikoregionen mit Visa, lokalen Auditoren und Übersetzern auch deutlich mehr und in Einzelfällen über 30.000 Euro. Hinzu kommen interne Kosten für Vorbereitung, Reise, Berichtserstellung und Nachverfolgung, die schnell die externen Kosten übersteigen. Ein mittelständisches Unternehmen mit 200 strategisch relevanten Lieferanten und einer risikobasierten Frequenzlogik führt typischerweise zwischen 30 und 80 Audits pro Jahr durch, was schnell in den siebenstelligen Bereich an Gesamtbudget geht. Effizienz wird daher zum Wettbewerbsfaktor, nicht nur eine Frage des Compliance-Anspruchs, sondern eine Frage der Margenfähigkeit.

CIVAC liefert die Effizienz auf drei Ebenen. Erstens stellen die 490 Audit-Vorlagen die wiederkehrenden Arbeitsschritte als versionierte, sofort einsetzbare Templates bereit, was die Audit-Vorbereitungszeit um typischerweise 30 bis 50 Prozent reduziert und gleichzeitig die Berichtsqualität standardisiert. Zweitens stellt CIVAC den externen Lieferanten-Auditor im Officer-as-a-Service-Modell innerhalb von zwei Werktagen bereit, statt der klassischen zwei bis sechs Wochen, was die Auditkapazität flexibel skaliert und ad-hoc-Audits bei Hinweisen ermöglicht. Drittens werden die Audit-Daten so dokumentiert, dass die LkSG-Berichterstattung, die ISO-9001-Zertifizierung und die QMB-Funktion aus derselben Datenbasis gespeist werden, was Mehrfacherfassung vermeidet. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. So entsteht aus parallelen Audit-Spuren eine konsistente, prüfbare Lieferanten-Compliance, die im BAFA-Verfahren und im ISO-Audit standhält. Die Skalierung von 30 auf 80 Audits pro Jahr ist damit eine Frage der Auditteam-Kapazität, nicht der Werkzeugverfügbarkeit oder der Dokumentationsdisziplin. Auch der jährliche BAFA-Bericht wird zu einer Routineaggregation aus dem laufenden System.

Wer ein systematisches Lieferantenaudit-Programm aufbauen will, beginnt mit einem klar definierten Startpaket: Bestellung eines Lieferketten- oder Lieferanten-Auditors mit Bestellurkunde und Berichtslinie an die Geschäftsleitung, Aufbau der Lieferantenrisikomatrix mit Klassifizierung aller direkten Lieferanten in drei Risikostufen, Definition des Audit-Programms mit Frequenzlogik und Themenscope, Erstellung der Auditcheckliste auf Basis der relevanten Normen (LkSG, ISO 9001, branchenspezifische Standards). Innerhalb von 60 bis 90 Tagen ist ein operatives Programm aufgesetzt, das den ersten BAFA-Jahresbericht trägt und im ISO-Audit Bestand hat.

CIVAC begleitet diesen Aufbau als Compliance-Plattform und Officer-as-a-Service in zwei Modellen. Im Workspace-Modell lizenzieren Sie die Plattform für Ihre internen Beauftragten und nutzen die 490 Audit-Vorlagen, die Auditberichtsformate, die Risikomatrix und die BAFA-Aggregationslogik als sofort einsetzbares Gerüst mit EU-Datenresidenz. Im Officer-as-a-Service-Modell stellen wir den externen Lieferanten-Auditor oder den Lieferkettenbeauftragten innerhalb von zwei Werktagen, statt der klassischen zwei bis sechs Wochen bei externen Auditierern. Beide Modelle nutzen denselben Workspace, dieselbe Berichtslinie und dieselben Vorlagen, sodass ein späterer Wechsel ohne Datenmigration möglich bleibt. Wenn Sie wissen möchten, welcher Audit-Umfang für Ihre Lieferantenstruktur angemessen ist und wie der 90-Tage-Aufbauplan auf Ihre Branche zugeschnitten wird, schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de/faq. Sie erhalten innerhalb eines Werktages eine erste Einschätzung mit konkreten nächsten Schritten, einer Empfehlung für das passende Modell und einem indikativen Audit-Programm für die nächsten zwölf Monate. Damit haben Sie eine belastbare Grundlage für die Budgetplanung und für die Einbindung des Einkaufs in die LkSG-Berichtslinie. Aus dem Lesen einen Auftrag machen.