Supplier-Audit Nachhaltigkeit: Prozess, Pflichten und prüffeste Dokumentation nach LkSG und CSRD

Seit dem 1. Januar 2023 verpflichtet das Lieferkettensorgfaltspflichtengesetz (LkSG) Unternehmen ab 3.000 Mitarbeitenden, seit 2024 ab 1.000 Mitarbeitenden, zur risikobasierten Prüfung ihrer Lieferketten. Mit der CSRD (Richtlinie (EU) 2022/2464) und den ESRS S2 und G1 kommen erweiterte Berichtspflichten zu Arbeitskräften in der Wertschöpfungskette und zu Geschäftsethik hinzu. Lieferantenaudits zu Nachhaltigkeit sind damit kein Best-Practice-Tool mehr, sondern ein zentraler Baustein der Sorgfaltspflicht und der Berichterstattung gegenüber dem Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) sowie gegenüber dem Wirtschaftsprüfer.

Dieser Beitrag beschreibt den Audit-Prozess in sieben klaren Phasen, ordnet die Pflichten von LkSG-Beauftragten, Compliance-Funktionen und ESG-Verantwortlichen ein und zeigt, wie Sie Befunde, Maßnahmen und Wirksamkeitskontrollen so dokumentieren, dass sie einer BAFA-Prüfung oder einer Wirtschaftsprüfer-Anfrage standhalten. Der Fokus liegt auf praktikablen Schritten für mittelständische und große Unternehmen, ohne in Norm-Aufzählungen zu erstarren oder den Aufwand künstlich aufzublähen.

Das LkSG verpflichtet Unternehmen zu einer risikobasierten Sorgfaltspflicht entlang der eigenen Geschäftstätigkeit und der unmittelbaren Zulieferer. § 4 LkSG fordert ein Risikomanagement, § 5 eine jährliche Risikoanalyse, § 6 präventive Maßnahmen und § 7 Abhilfe bei festgestellten Verletzungen. Audits sind ein zentrales Instrument zur Verifikation präventiver Maßnahmen und zur Wirksamkeitskontrolle nach § 6 Abs. 5 LkSG. Bei mittelbaren Zulieferern gilt eine anlassbezogene Prüfpflicht nach § 9 LkSG. Wer bei der Risikoanalyse auch Beschwerden über die Hinweisgeber-Meldestelle nach § 8 LkSG einbezieht, schließt eine wichtige Schnittstelle und erhöht die Aussagekraft der Auditprogramme deutlich.

Mit der CSRD und den ESRS S2 (Arbeitskräfte in der Wertschöpfungskette) und G1 (Geschäftsethik) entstehen ergänzende Berichtspflichten, einschließlich Aussagen zur Wirksamkeit der Auditprozesse. ISO 19011 liefert die methodische Grundlage für Auditdurchführung, ISO 26000 die inhaltliche Klammer für Nachhaltigkeitsthemen. Ergänzend sind branchenspezifische Standards relevant: amfori BSCI für Konsumgüter, RBA für Elektronik, SMETA für Multi-Stakeholder-Audits. Die Funktion LkSG-Beauftragter bündelt die operative Verantwortung für die Auditplanung und die Berichterstattung an die Geschäftsleitung. Sie ist mit der Compliance- und der ESG-Beauftragten-Funktion zu koordinieren, damit Risikoanalyse, Audit und Bericht aus derselben Datenbasis stammen und Doppelarbeit vermieden wird. Hinzu kommen für viele Branchen sektorspezifische Initiativen wie die Responsible Minerals Initiative für Konfliktrohstoffe oder der Bündnis-Standard von Textilien, die in den Auditrahmen integriert werden, sobald die Lieferkette entsprechende Risiken aufweist. Wer diese Standards früh in die eigenen Auditkriterien aufnimmt, vermeidet, dass jeder Kunde eigene Auditrunden mit redundanten Fragen anstößt, und reduziert die Belastung der Lieferanten.

Audits sind nicht für jeden Lieferanten sinnvoll. Die LkSG-Risikoanalyse nach § 5 priorisiert nach Schwere, Wahrscheinlichkeit und Unmittelbarkeit der Auswirkungen sowie nach Beitrag zur Verursachung. Auf dieser Basis entsteht ein Auditplan mit Lieferanten in Hochrisiko-Branchen oder Hochrisiko-Ländern. Indikatoren sind etwa Branchenklassifikationen, Länderindizes (Corruption Perceptions Index, ITUC Global Rights Index, ILO-Indikatoren), Produktrisiken (Konfliktmineralien, Textilien, Agrarrohstoffe) und historische Vorfälle beim Lieferanten.

Die Auswahl wird dokumentiert mit Risikoscore, Begründung, Auditform (Desk, Remote, On-Site) und geplanten Schwerpunkten. Wer in der Risikoanalyse Lieferanten ohne Begründung ausschließt, schwächt die Verteidigungslinie gegenüber BAFA-Anfragen. Sinnvoll ist eine versionsgeführte Risikoanalyse, in der Änderungen, neue Erkenntnisse und Rückwirkungen auf den Auditplan transparent abgebildet werden. Über die LkSG-Beauftragten-Funktion und die Audit-Vorlagen im CIVAC-Workspace lassen sich Risikoscores mit Auditzyklen verknüpfen, sodass die Auswahl nicht in Excel-Inseln zerfällt. Wichtig: Die Risikoanalyse muss jährlich und anlassbezogen aktualisiert werden, etwa bei neuen Lieferanten, bei Marktveränderungen oder bei Hinweisen über die Hinweisgeber-Meldestelle nach § 8 LkSG. Damit bleibt die Auditplanung dynamisch und nicht statisch. Eine kurze Auswertungsrunde pro Quartal mit Einkauf, Compliance und ESG schafft die Brücke zur operativen Lieferantenbetreuung und stellt sicher, dass Auditprioritäten zu strategischen Lieferantenentscheidungen passen, etwa bei Vertragsverlängerungen oder Sourcing-Verlagerungen in andere Länder. Wer in diesem Schritt Lieferanten mit hohem Volumen und hoher Risikobewertung priorisiert, erzielt den größten Wirksamkeitsbeitrag bei vertretbarem Aufwand.

Nach der Auswahl folgt die Auditplanung. Sie umfasst den Audit-Auftrag mit Scope, Kriterien, Methoden und Audit-Team, die Auswahl der Auditstandards (ISO 19011, amfori BSCI, RBA, SMETA), die Festlegung des Audittyps und die Vorabkommunikation mit dem Lieferanten. Der Audit-Auftrag wird schriftlich erteilt, mit klarem Verweis auf die Rechtsgrundlage (LkSG § 6 Abs. 5) und auf die vertraglichen Pflichten in den Lieferverträgen, die typischerweise Auditrechte ausdrücklich vorsehen.

Die Vorabkommunikation enthält eine Auditankündigung, einen Kriterienkatalog (Themen, Normen, Dokumentenanforderung), eine Beschreibung der Erwartungen an den Lieferanten und eine Vertraulichkeitserklärung. Bei Hochrisikolieferanten kann auch ein unangekündigter Audit sinnvoll sein, sofern vertraglich vereinbart. Ein häufiger Schwachpunkt ist die unscharfe Scope-Definition: Wer in der Auditankündigung alle ESG-Themen pauschal nennt, erhält am Audittag eine flache Materialsammlung und keine belastbaren Befunde. Sinnvoller ist ein fokussierter Scope, etwa Arbeitssicherheit und Arbeitsrecht in einer bestimmten Produktionsstätte. Die Audit-Vorlagen von CIVAC enthalten standardisierte Auditauftragsformate, die LkSG-, CSRD- und ISO-konform sind und auch die Schnittstelle zur Hinweisgeber-Meldestelle nach HinSchG dokumentieren. So bleibt der Prozess nachvollziehbar und reproduzierbar. Sinnvoll ist auch eine Vorab-Datenanforderung mit klarer Frist (typischerweise zwei Wochen) und einem Mindestkatalog: Organigramm, Liste der Subunternehmer, Sicherheitsstatistiken, Lohnstrukturen und relevante Zertifikate. Wer mit unvollständigen Vorabdaten in das Audit startet, verbraucht den Audittag mit Beschaffungsfragen statt mit substanzieller Prüfung und verliert wertvolle Zeit. Die Vorbereitungsphase entscheidet damit über die Qualität des gesamten Audits. Eine standardisierte Pre-Audit-Checkliste, die für jede Branche kurz angepasst wird, sichert die Reproduzierbarkeit der Prüfungen ab.

Der Audittag beginnt mit einem Eröffnungsmeeting, in dem Scope, Ablauf und Kriterien bestätigt werden. Es folgen Begehungen der Produktionsstätte (bei On-Site-Audits), strukturierte Interviews mit Management und Mitarbeitenden sowie eine Dokumentenprüfung. Interviewführung berücksichtigt Vertraulichkeit, Sprache und kulturelle Faktoren. Bei Arbeitssicherheits- und Sozialaudits sind Beschäftigteninterviews ohne Anwesenheit von Vorgesetzten Pflicht, um glaubhafte Antworten zu erhalten.

Geprüft werden typischerweise Arbeitsverträge, Lohnnachweise, Arbeitszeitnachweise, Sicherheitsunterweisungen, Schulungsnachweise, Lieferantenmanagement-Dokumente, Umweltgenehmigungen, Energieverbräuche und Abfallnachweise. Bei Themen wie Konfliktmineralien (§ 10 LkSG, EU-Konfliktmineralien-Verordnung 2017/821) oder Entwaldungsfreiheit (EUDR, Verordnung (EU) 2023/1115) gelten zusätzliche Dokumentationsanforderungen. Jeder Befund wird mit Beleg, Foto oder Zitat dokumentiert, mit Datum und Auditor versehen. Der Prüfer ruft an, der Nachweis liegt bereit, sofern das Audit-Team die Befunde sofort strukturiert und nicht erst am Abend in einer freien Berichtsschreibung. Im CIVAC-Workspace werden Befunde in vordefinierten Themenfeldern erfasst, mit Verknüpfung zu Auditkriterium, Risikoanalyse und Maßnahmenplan. So entsteht ohne Doppelerfassung eine Akte, die sowohl LkSG- als auch CSRD-tauglich ist und im Bericht an die Geschäftsleitung sofort nachvollziehbar wird. Ein kurzes Schlussgespräch am Audittag mit dem Lieferanten dient der Validierung, beugt Missverständnissen vor und gibt dem Lieferanten Gelegenheit, kurzfristig Belege nachzureichen, bevor Befunde im Bericht abschließend formuliert werden. Damit erhöht sich die Akzeptanz der Maßnahmenplanung deutlich. Wichtig ist, dass Auditoren die Beobachtungen klar von eigenen Interpretationen trennen und Belege strukturiert in der Akte ablegen, damit die spätere Bewertung nachvollziehbar bleibt und nicht durch unterschiedliche Lesarten beeinträchtigt wird. Eine kurze interne Qualitätsprüfung der Befunde vor der Berichtsabgabe erhöht die Konsistenz zusätzlich.

Befunde werden klassifiziert. Übliche Stufen sind kritisch (Menschenrechtsverletzung, schwerwiegende Sicherheitsmängel, akute Gefährdung), wesentlich (systemische Mängel im Managementsystem, regelmäßige Überschreitungen) und beobachtungswürdig (Hinweise auf Verbesserungspotenzial). Jede Stufe ist mit einer Reaktionsfrist verbunden: kritische Befunde verlangen sofortige Abhilfe und ad hoc Eskalation, wesentliche Befunde verlangen einen Maßnahmenplan binnen 30 Tagen, beobachtungswürdige Befunde gehen in den nächsten Auditzyklus.

Der Auditbericht enthält Auftrag, Methode, Scope, Audit-Team, Befunde mit Klassifizierung, Belege, Empfehlungen, Stellungnahme des Lieferanten und nächste Schritte. Eine Executive Summary fasst die Kernergebnisse für die Geschäftsleitung und die LkSG-Beauftragten zusammen. Wichtig ist die strikte Trennung zwischen Befund (Tatsache) und Bewertung (Schluss): Ein Befund ist objektiv, eine Bewertung leitet die Risikoeinordnung daraus ab. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Die 37 Audit-Vorlagen von CIVAC enthalten ein einheitliches Befund-Schema mit Klassifizierungsregeln, das die Berichterstellung beschleunigt und in der eigenen ESG- und Compliance-Akte konsistent bleibt. Damit ist der Bericht nicht nur lesbar, sondern für die Wirksamkeitskontrolle und für die jährliche LkSG-Berichterstattung an die BAFA strukturiert weiterverwendbar. Eine zweiseitige Executive Summary mit Heatmap, Top-Befunden und empfohlenen Sofortmaßnahmen erleichtert der Geschäftsleitung die Priorisierung von Ressourcen und Eskalationen. Wer diese Summary standardisiert, erhöht die Vergleichbarkeit von Audits über Lieferanten und Berichtsperioden hinweg und schafft die Basis für strukturierte Eskalationen mit dem Lieferantenmanagement.

Auf den Bericht folgt der Maßnahmenplan. § 7 LkSG verlangt Abhilfemaßnahmen, die geeignet sind, die festgestellte Verletzung zu beenden oder zumindest zu minimieren. Bei eigenem Geschäftsbereich oder bei unmittelbaren Zulieferern ist die Abhilfe in der Regel verpflichtend; bei mittelbaren Zulieferern erfolgt sie anlassbezogen nach § 9 LkSG. Maßnahmen können präventiv (Schulung, Prozessänderung), reaktiv (Korrektur einzelner Sachverhalte) oder strukturell (Investition in Schutzausrüstung, Lohnanpassung) sein.

Jede Maßnahme wird einem Verantwortlichen, einer Frist und einem Wirksamkeitsindikator zugeordnet. Frist läuft ab Kenntnis, das gilt insbesondere bei kritischen Befunden mit Menschenrechtsrelevanz. Der Maßnahmenplan wird mit dem Lieferanten abgestimmt und in das Vertragsverhältnis eingebunden, etwa über Anhänge mit verbindlichen Korrekturmaßnahmen. Wer einseitig Maßnahmen anordnet, ohne den Lieferanten einzubeziehen, verliert in der Umsetzung Zeit. Wer den Plan über den CIVAC-Workspace führt, kann Maßnahmen mit Audit-Befunden, Risikoanalyse und Wirksamkeitskontrollen verknüpfen und in einem Dashboard für die Geschäftsleitung darstellen. Der Plan ist Teil der Akte und wird im jährlichen LkSG-Bericht an die BAFA zusammengefasst, ohne dass er aus mehreren Tools rekonstruiert werden muss. Wichtig ist auch die Einbindung der internen Funktionen Einkauf und Qualitätsmanagement, damit Maßnahmen mit Bestellungen, Spezifikationen und Lieferantenbewertungen abgeglichen werden und nicht parallel zur operativen Lieferantensteuerung verlaufen. Diese Schnittstelle erhöht die Wahrscheinlichkeit, dass Maßnahmen tatsächlich umgesetzt werden. Wo Lieferanten die Maßnahmen nicht umsetzen, ist eine eskalierte Reaktion vorgesehen, bis hin zur Beendigung der Geschäftsbeziehung nach § 7 Abs. 3 LkSG als letztes Mittel.

§ 6 Abs. 5 LkSG verpflichtet zur Wirksamkeitskontrolle der präventiven Maßnahmen mindestens einmal jährlich und anlassbezogen. Für Audits bedeutet das: Maßnahmen werden nicht nur abgehakt, sondern in ihrer Wirkung überprüft. Methoden sind Follow-up-Audits, Lieferanten-Selbstauskünfte mit Plausibilisierung, KPI-Auswertungen (Unfallzahlen, Lohnniveau, Schulungsstand) und stichprobenartige On-Site-Verifizierungen.

Ein Re-Audit erfolgt in der Regel 12 bis 24 Monate nach dem Erstaudit, bei kritischen Befunden früher. Im Re-Audit wird der Maßnahmenplan abgeglichen, neue Risiken werden identifiziert, und die Befundklassifizierung wird aktualisiert. Die Wirksamkeitskontrolle wird dokumentiert mit Stichprobe, Methode, Ergebnis und Bewertung. Audit-fest, dokumentiert, § 6 LkSG-fest. Wer die Wirksamkeitskontrolle systematisch führt, kann gegenüber der BAFA, gegenüber dem Wirtschaftsprüfer und gegenüber Stakeholdern belegen, dass Sorgfaltspflichten nicht in der Kontrolle, sondern in der Wirkung münden. CIVAC verbindet im Workspace Audit-Vorlagen, Maßnahmenpläne und Wirksamkeitskontrollen in einer Akte, sodass der Lebenszyklus eines Befundes vom Erstaudit bis zur dokumentierten Beendigung sichtbar bleibt. Damit ist auch die Beschwerdesachbearbeitung über die Hinweisgeber-Meldestelle nach § 8 LkSG anschlussfähig, ohne dass parallel ein Schattenprozess entsteht. Wer Wirksamkeitsindikatoren konkret formuliert, etwa als Reduktion der Unfallrate je 1.000 Beschäftigte oder als Anteil unterschriebener Schulungsnachweise, kann Verbesserungen quantifizieren und im Bericht an BAFA und Geschäftsleitung argumentativ stützen, statt sich auf qualitative Eindrücke zu verlassen. Eine kompakte Kennzahlenseite pro Lieferant unterstützt diese Quantifizierung und erleichtert auch den Stakeholder-Dialog mit Kunden, die zunehmend belegbare ESG-Daten als Voraussetzung für Lieferantenfreigaben erwarten.

Die siebte Phase ist die Berichterstattung. Der LkSG-Bericht an die BAFA ist jährlich zu erstellen und elektronisch über das BAFA-Portal einzureichen (§ 10 LkSG). Er beschreibt Risikoanalyse, präventive Maßnahmen, Hinweise und Beschwerden, festgestellte Verletzungen und Abhilfe, Wirksamkeitskontrolle sowie die Erkenntnisse für das Folgejahr. Die BAFA-Handreichung legt eine standardisierte Berichtsstruktur fest, der die interne Aktenführung folgen sollte, um Doppelarbeit zu vermeiden.

Mit der CSRD-Berichterstattung nach ESRS S2 und G1 entstehen weitere Anforderungen: Wesentlichkeitsanalyse zu Arbeitskräften in der Wertschöpfungskette, Beschreibung der Auditprozesse, Aussagen zur Wirksamkeit, Beschwerdezahlen, Mittelverwendung. Wer die Daten in der LkSG-Akte versionsgeführt führt, kann sie ohne Umweg in den ESRS-Bericht überführen. Der Wirtschaftsprüfer fordert für die ESRS-Prüfung Belege zu Datenherkunft, Methodik und Reichweite. Diese Belege bestehen aus den oben genannten Audit-Akten, Maßnahmenplänen und Wirksamkeitskontrollen. Wer hier Brüche zwischen Tools hat, erzeugt erhebliche Prüfungskosten. Eine zentrale, versionsgeführte Akte über den CIVAC-Workspace löst dieses Problem strukturell und ist damit auch ein Beitrag zur Senkung der Prüfungskosten in den kommenden Jahren. Sinnvoll ist eine jährliche Vorbereitungsroutine, in der LkSG-Beauftragte, Compliance, ESG und Wirtschaftsprüfer den Aktenstand abgleichen, offene Punkte priorisieren und die Berichtszeitschiene koordinieren. So entsteht ein vorhersehbarer Berichtszyklus, der nicht in den letzten Wochen vor Abgabe in Hektik kippt, sondern als planbare Routine im Geschäftsjahr abläuft.

Ein Lieferantenaudit Nachhaltigkeit ist die Schnittstelle zwischen Sorgfaltspflicht, Compliance und Berichterstattung. CIVAC ist eine Compliance-Plattform und Officer-as-a-Service, ausgelegt auf die Funktion Lieferanten-Auditor und auf den LkSG-Beauftragten, ergänzt um 37 einsatzbereite Audit-Vorlagen, eine Berichtslinie zur Geschäftsleitung, einen NIS-2 24/72-Meldepfad für sicherheitsbezogene Vorfälle und EU-Datenresidenz für sensible Lieferantendaten. Die Audit-Akten sind mit Risikoanalyse, Maßnahmenplan und Wirksamkeitskontrolle verknüpft, sodass die Phasen 1 bis 7 nicht aus E-Mails rekonstruiert werden müssen.

Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Beide Wege enden in derselben prüffesten Akte. Drei Fragen helfen beim Einstieg: Welche Lieferanten haben Sie auditiert, mit welcher Risikobegründung? Wie führen Sie den Maßnahmenplan nach Befund und wie messen Sie Wirksamkeit? Wo läuft die Schnittstelle zur Hinweisgeber-Meldestelle und zur CSRD-Berichterstattung? Aus dem Lesen einen Auftrag machen. Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de. Sie erhalten innerhalb von zwei Werktagen eine strukturierte Rückmeldung mit Vorlagen und einer Skizze für Ihre Audit-Akte, abgestimmt auf Branche, Lieferantenstruktur und Berichtsdichte. Damit gewinnen Sie Zeit für Sourcing und Lieferantenentwicklung statt für die Aktenrekonstruktion vor dem Berichtsstichtag. Der Audit-Prozess wird damit zur Routine mit klarer Aktenführung statt zum jährlichen Sondereinsatz, und das Risiko für BAFA-Anfragen sinkt sichtbar, ohne dass der Aufwand für die Lieferantenbetreuung steigt.