Bevor ein mittelständisches Fertigungsunternehmen eine externe Compliance-Prüfung beauftragt, tauchen immer wieder dieselben Fragen auf. Sie betreffen nicht die Methode, sondern die konkreten Auswirkungen auf den Betriebsablauf, die Haftung der Geschäftsführung und die Kosten der Nachbesserung. Wer diese Fragen frühzeitig klärt, vermeidet spätere Überraschungen.
Was passiert mit internen Prüfberichten?
Viele Unternehmen führen bereits interne Audits durch – etwa nach ISO 19011 oder als Teil des Qualitätsmanagements. Die Frage ist, ob diese Berichte der externen Prüfung zugänglich gemacht werden müssen. Die Antwort hängt vom Prüfungsgegenstand ab. Bei einer HGB-konformen Risikoberichterstattung nach § 289a HGB sind interne Dokumente nicht automatisch offenzulegen. Allerdings kann die Prüferin auf Nachweise bestehen, wenn sie Anhaltspunkte für unvollständige Angaben hat. In der Praxis empfiehlt es sich, eine klare Grenze zu ziehen: Was ist Teil der gesetzlich geforderten Dokumentation, was bleibt interne Arbeitsgrundlage? Ein vorbereitendes Gespräch mit der Prüferin schafft hier Klarheit.
Ein Maschinenbauunternehmen aus Baden-Württemberg hatte beispielsweise seine gesamte Lieferantenbewertung in einem internen Tool erfasst. Die Prüferin verlangte keine Rohdaten, sondern nur die aggregierte Risikomatrix. Das Unternehmen sparte sich dadurch aufwändige Exporte und schützte gleichzeitig vertrauliche Bewertungen.
Wie tief greift die Prüfung in die Lieferkette ein?
Diese Frage kommt regelmäßig von Unternehmen mit mehrstufigen Zulieferstrukturen. Die Prüfung nach HGB und ISO 22301 konzentriert sich auf die wesentlichen Risiken für die Geschäftstätigkeit. Das bedeutet: Nicht jeder Sublieferant wird einzeln betrachtet, sondern die kritischen Pfade in der Wertschöpfungskette. Ein Automobilzulieferer mit 450 aktiven Lieferanten musste nur 14 als systemrelevant identifizieren – das waren diejenigen, deren Ausfall die Produktion innerhalb von 48 Stunden zum Stillstand gebracht hätte.
Die Prüferin erwartet eine nachvollziehbare Methodik zur Identifikation dieser kritischen Lieferanten. Ein reines Bauchgefühl reicht nicht. Bewährt hat sich ein Scoring nach geografischer Lage, finanzieller Stabilität und technologischer Abhängigkeit. Wer diese Kriterien vorab definiert, kann die Prüfung zielgerichtet steuern.
Welche Konsequenzen drohen bei Lücken?
Die Sorge vor persönlicher Haftung der Geschäftsführung ist der häufigste Grund für eine externe Prüfung. Nach § 93 AktG und § 43 GmbHG haften Geschäftsführer für Sorgfaltspflichtverletzungen – dazu gehört auch eine unzureichende Risikovorsorge. Die Prüfung selbst ist kein Freibrief, aber sie dokumentiert, dass das Unternehmen die erforderlichen Maßnahmen ergriffen hat. Fehlen jedoch grundlegende Nachweise – etwa eine dokumentierte Risikoanalyse oder ein Notfallplan –, kann die Prüferin eine qualifizierte Feststellung im Prüfbericht vermerken.
Ein konkretes Beispiel: Ein Chemieparkbetreiber hatte keine schriftliche Vereinbarung mit seinem einzigen Entsorgungsdienstleister. Bei einer Betriebsunterbrechung hätte der Sondermüll nicht abtransportiert werden können. Die Prüferin bewertete dies als schwerwiegendes Risiko und empfahl eine vertragliche Absicherung mit einer Ersatzklausel. Der Geschäftsführer setzte die Maßnahme innerhalb von drei Wochen um – der Prüfbericht blieb ohne Einschränkung.
Wie lange dauert die Prüfung und was kostet sie?
Die Dauer hängt stark von der Unternehmensgröße und der Datenverfügbarkeit ab. Für einen mittelständischen Fertigungsbetrieb mit 200 bis 500 Mitarbeitern sind zwei bis drei Prüfungstage vor Ort üblich, plus ein bis zwei Tage für die Berichtserstellung. Hinzu kommt die Vorbereitungszeit im Unternehmen – hier sollten mindestens fünf Arbeitstage eingeplant werden, um Unterlagen zu sichten und Lücken zu schließen.
Die Kosten variieren je nach Umfang der Prüfung und der geforderten Tiefe. Üblich sind Tagessätze zwischen 1.200 und 2.000 Euro für eine spezialisierte Prüferin. Hinzu kommen gegebenenfalls Reisekosten und Auslagen für externe Gutachten. Ein Pauschalangebot vorab gibt Planungssicherheit – seriöse Anbieter legen ihre Preise transparent offen.
Was passiert nach der Prüfung?
Der Prüfbericht enthält in der Regel eine Bewertung der aktuellen Compliance-Situation und konkrete Handlungsempfehlungen. Diese sind nicht bindend, aber sie zeigen, wo das Unternehmen nachsteuern sollte. Viele Geschäftsführer nutzen den Bericht als Grundlage für die nächste Sitzung des Aufsichtsrats oder der Gesellschafterversammlung. Die Empfehlungen lassen sich in einen Maßnahmenplan überführen, der innerhalb von sechs bis zwölf Monaten abgearbeitet wird.
Ein Unternehmen aus der Logistikbranche hatte nach der Prüfung sieben Maßnahmen identifiziert, darunter die Einführung eines Lieferantenausfallregisters und die regelmäßige Aktualisierung der Risikomatrix. Nach einem Jahr wiederholte die Prüferin eine eingeschränkte Nachschau – alle Maßnahmen waren umgesetzt. Der Aufsichtsrat quittierte dies mit einer positiven Stellungnahme im Lagebericht.
