Konzept eines regelmäßigen Audit- und Überwachungsprozesses

• HSE-Abteilung (Health, Safety, Environment): Die HSE-Fachleute übernehmen federführend die Überprüfung von Arbeits- und Gesundheitsschutz sowie Umweltschutz. Sie achten z.B. auf Unterweisungsnachweise, persönliche Schutzausrüstung, Gefährdungsbeurteilungen und Umweltauflagen. Häufig ist ein HSE-Manager Teil des Audit-Teams und stellt sicher, dass Sicherheitsstandards konsequent geprüft werden.

• Einkauf/Procurement: Die Einkaufsabteilung verantwortet vertragliche und kommerzielle Aspekte. Sie prüft im Audit u.a. die Vertragskonformität (Einhaltung von Vertragsbedingungen, Leistungsumfang, Abrechnungsmodalitäten) und bewertet die Wirtschaftlichkeit. Zudem bringt der Einkauf Wissen über etwaige Lieferantenbewertungen oder -historie ein.

• Fachabteilung/Technik: Die technische Fachabteilung bzw. Projektleitung, die die Fremdfirma einsetzt, beurteilt die Leistungsqualität und die Einhaltung technischer Spezifikationen. Vertreter der Fachabteilung identifizieren z.B. Qualitätsmängel, überwachen den Arbeitsfortschritt und prüfen, ob die vertraglich geschuldete Leistung technisch einwandfrei erbracht wird. Oft stellt die Fachabteilung einen Auditor im Team, der die praktische Umsetzung vor Ort beurteilt.

• Rechts- oder Compliance-Abteilung: Diese unterstützt bei der Überwachung der Einhaltung rechtlicher Vorgaben und interner Compliance-Regeln. Sie achtet darauf, dass z.B. Datenschutzvereinbarungen, Arbeitszeitregelungen, Mindestlohn, Lieferkettengesetz-Vorgaben etc. von der Fremdfirma eingehalten werden. Im Auditprozess wirkt die Rechts-/Compliance-Stelle beratend mit und stellt sicher, dass alle gesetzlichen Pflichten berücksichtigt werden.

• Betriebsrat: In deutschen Unternehmen muss der Betriebsrat darauf achten, dass Arbeitsschutzvorschriften auch für Fremdfirmen eingehalten werden. Zudem hat der Betriebsrat nach § 99 BetrVG ein Mitbestimmungsrecht, wenn externe Firmen in größerem Umfang eingesetzt werden. Daher sollte der Betriebsrat zumindest über die Auditergebnisse informiert werden und bei der Entwicklung der Auditprozesse einbezogen sein. Seine Beteiligung gewährleistet Transparenz gegenüber der Arbeitnehmervertretung und fördert die Akzeptanz, insbesondere wenn Einsatzumfang oder Tätigkeiten der Fremdfirmen die Belegschaft berühren.

• Fremdfirmen-Koordinator / Fremdfirmenmanagement-Stelle: Viele Unternehmen haben eine zentrale Stelle oder einen Fremdfirmenmanager installiert, der als Schnittstelle fungiert. Diese Rolle koordiniert alle internen Beteiligten, pflegt die zentrale Datenbank bzw. das Fremdfirmenportal (mit Informationen wie Qualifikationen, Unfallhistorie, Auditberichten) und erinnert an anstehende Audittermine. Der Koordinator stellt sicher, dass der Auditprozess organisatorisch reibungslos abläuft (Terminabstimmung, Kommunikation) und dass Erkenntnisse aus den Audits in die Weiterentwicklung des Fremdfirmenmanagements einfließen.

• Ansprechpartner der Fremdfirma: Auf Seiten der Fremdfirma sollte ein verantwortlicher Ansprechpartner benannt werden, der für den Auditprozess zur Verfügung steht (z.B. der Projektleiter der Fremdfirma oder deren HSE-Verantwortlicher). Dieser begleitet die Auditoren, beantwortet Fragen und stellt erforderliche Unterlagen bereit. Er ist auch dafür zuständig, Maßnahmen aus dem Audit innerhalb seines Unternehmens umzusetzen. Eine enge Zusammenarbeit und offene Kommunikation mit dem Fremdfirmen-Ansprechpartner ist entscheidend, um Auditerkenntnisse in Verbesserungen umzuwandeln.

Durch die interdisziplinäre Zusammenarbeit dieser Rollen wird gewährleistet, dass das Audit alle Facetten abdeckt. Wichtig ist eine klare Aufgabenzuweisung: Wer bereitet die Audits vor, wer führt sie durch, wer wertet aus und verfolgt Maßnahmen nach? Für jeden dieser Schritte sollte eine Verantwortlichkeit festgelegt sein. Insbesondere die HSE-Manager und Fachabteilungen treten oft als Audit-Team an, um fachlich fundiert und gleichzeitig praxisnah zu prüfen. Die Einbindung des Betriebsrats und der Fremdfirma selbst schafft dabei Transparenz und Vertrauen. So wird das Audit nicht als einseitige Kontrolle, sondern als gemeinsamer Prozess zur Verbesserung verstanden.

Anders als starre, kalenderbasierte Audits setzt diese Konzeption auf eine wertorientierte, risikobasierte Steuerung der Auditfrequenz. Das bedeutet: Audits finden nicht streng nach festen Intervallen statt, sondern stochastisch, nach Bedarf und anhand von definierten Wert- und Risikokriterien. Dadurch werden Audit-Ressourcen dort eingesetzt, wo der größte Nutzen oder das höchste Risiko besteht.

• Risikoeinstufung der Tätigkeit: Welches Gefährdungspotenzial geht von den Arbeiten der Fremdfirma aus? Tätigkeiten in hochriskanten Bereichen (z.B. Arbeiten an gefährlichen Anlagen, Höhenarbeit, Chemikalienumgang) oder sicherheitskritische Dienstleistungen erhalten eine höhere Risikoklasse (z.B. Kategorie A: hohes Risiko) als Routine-Dienstleistungen mit geringem Gefahrenpotenzial (Kategorie C: geringes Risiko). Entsprechend der Risikokategorie werden Audithäufigkeit und -umfang angepasst: Kategorie-A-Firmen werden engmaschig auditiert, Kategorie-C-Firmen nur gelegentlich stichprobenartig.

• Auftragshöhe und strategische Bedeutung: Ein weiterer Faktor ist die Wertigkeit des Auftrags für das Unternehmen. Fremdfirmen mit sehr hohem Auftragsvolumen oder solche, die für kritische Geschäftsprozesse arbeiten (strategische Partner), rechtfertigen häufiger Audits, da hier sowohl finanziell als auch operativ viel auf dem Spiel steht. Bei strategisch bedeutenden Dienstleistern möchte man frühzeitig etwaige Leistungs- oder Compliance-Probleme erkennen, bevor größerer Schaden entsteht.

• Leistungshistorie und Vorfallhistorie: Fremdfirmen mit auffälliger Historie – z.B. Unfallhäufungen, Qualitätsmängel, Vertragsabweichungen oder andere Zwischenfälle in der Vergangenheit – werden verstärkt überwacht. Frühere Beanstandungen oder Beinahe-Unfälle fließen in eine Risikobewertung ein. Hat ein Dienstleister z.B. bereits Sicherheitsverstöße gezeigt oder musste häufig nachbessern, sollte die Auditfrequenz erhöht werden, bis sich die Performance stabil verbessert hat. Umgekehrt können sehr zuverlässige Firmen mit tadelloser Historie in eine niedrigere Auditfrequenz eingestuft werden (Prinzip der verdienten Vertrauensvorschüsse).

• Regulatorische oder interne Anforderungen: In einigen Fällen schreiben Normen oder interne Richtlinien Auditintervalle vor (z.B. jährliche Überprüfung sicherheitskritischer Lieferanten gemäß Zertifizierungsvorgaben). Solche Mindestfrequenzen werden als Untergrenze berücksichtigt – mindestens jährlich sollte ein Audit oder Review pro relevanter Fremdfirma erfolgen, sofern nicht in Ausnahmefällen dokumentiert auf eine längere Frist gegangen wird.

Basierend auf diesen Kriterien wird ein dynamischer Auditplan aufgestellt.

• Regelmäßige Audits: Für jede Fremdfirma wird eine maximale Auditperiode festgelegt, je nach Risikoklasse (z.B. Kategorie A: alle 6 Monate, Kategorie B: jährlich, Kategorie C: alle 2-3 Jahre stichprobenartig). Dies stellt sicher, dass auch ohne konkrete Anlässe keine wichtigen Überprüfungen unterbleiben. Häufigkeitsvorgaben wie „mindestens jährlich“ oder „mindestens alle 3 Jahre“ dienen hier als Orientierung, kombiniert mit risikobasierten Abweichungen.

• Stochastische Audits (Stichproben): Zusätzlich zu geplanten Terminen werden unangekündigte Stichproben-Audits durchgeführt. Dabei wählt das System oder der Fremdfirmenkoordinator zufällig einzelne Einsätze oder Firmen aus, um diese überraschend zu überprüfen. Solche stochastischen Kontrollen erhöhen den Druck, dauerhaft compliant zu arbeiten, da Fremdfirmen nicht wissen, wann sie geprüft werden. Stichprobenverfahren und Zufallskontrollen sind insbesondere bei Kategorie-B- und C-Firmen sinnvoll, um trotz längerer Intervalle eine gewisse Präsenz der Auditoren zu haben.

• Ereignis- oder anlassbezogene Audits: Tritt ein besonderes Ereignis ein, kann außerplanmäßig ein Audit ausgelöst werden. Beispiele: ein schwerer Arbeitsunfall, ein Beinahe-Umweltschaden, massive Qualitätsprobleme oder auch neue externe Anforderungen (z.B. geänderte Gesetze, neue Compliance-Vorgaben). In solchen Fällen sollte der Auditplan flexibel „Puffer“ enthalten, um spontane Extra-Audits durchzuführen. So kann zeitnah reagiert werden, etwa unmittelbar nach einem Vorfall eine Ursachenanalyse vor Ort erfolgen, anstatt auf den nächsten regulären Termin zu warten.

• Erst- und Folgeaudits: Neue Fremdfirmen (oder neue Vertragsbeziehungen) können einer Erstauditierung unterzogen werden, bevor größere Aufträge starten, um deren Eignung zu verifizieren. Ebenso werden nach einem Audit mit vielen Feststellungen ggf. Follow-up Audits in kürzerer Abfolge angesetzt, um die Umsetzung der Maßnahmen zu verifizieren. Ein zentrales Fremdfirmenportal kann hierzu automatische Terminerinnerungen für Wiederholungsaudits verwalten.

Die wertorientierte Steuerung bedeutet letztlich: Nicht jeder Auftrag erhält den gleichen Auditumfang. Ressourcen werden risikobasiert priorisiert, sodass hochkritische Fremdfirmeneinsätze eng begleitet werden, während bei geringem Risiko eine einfache Qualifizierung und gelegentliche Stichproben genügen. So konzentriert man sich auf das Wesentliche und nutzt die Audit-Kapazitäten effizient dort, wo sie den größten Nutzen stiften.

• Kategorie A (hohes Risiko): z.B. Fremdfirmen in Gefahrenbereichen (Chemieanlagen, Energieanlagen) oder solche mit sicherheitskritischen Tätigkeiten. Auditfrequenz: Sehr häufig, ggf. vor jedem neuen Einsatz und zusätzlich monatliche Audits bei laufenden Daueraufträgen. Hier kann auch eine Präsenz vor Ort während der Tätigkeit vorgesehen sein (ständige Überwachung durch Sicherheitsfachkräfte).

• Kategorie B (mittleres Risiko): z.B. regelmäßige Wartungs- oder Instandhaltungsfirmen mit mittlerem Gefährdungspotenzial. Auditfrequenz: Moderat, etwa jährlich oder halbjährlich, ggf. stichprobenartige Zwischenaudits.

• Kategorie C (geringes Risiko): z.B. Dienstleister für Büroarbeiten, Beratung o.ä. mit minimaler Arbeitssicherheitsgefahr. Auditfrequenz: Bei Bedarf – initiale Prüfung der Eignung (Qualifikationen, Referenzen) und danach nur noch anlassbezogene oder stichprobenartige Audits, sofern keine Auffälligkeiten vorliegen.

Durch diese flexible Planung bleibt das Auditprogramm dynamisch und anpassungsfähig. Der Auditplan wird idealerweise jährlich überprüft und angepasst, um neue Erkenntnisse oder geänderte Risikobewertungen zu berücksichtigen. Wichtig ist zudem, dass der Auditplan transparent kommuniziert wird (intern und gegenüber der Fremdfirma, zumindest was geplante Audits betrifft), ohne jedoch genaue Zeitpunkte aller Audits vorab offenzulegen (um den stochastischen Charakter zu wahren).

Zusammenfassend gewährleistet eine wertorientierte Auditplanung, dass weder Überwachungslücken entstehen noch unnötiger Auditaufwand betrieben wird. Hohe Risiken, große Werte und kritische Partner erhalten besondere Aufmerksamkeit, während unkritische Fälle ressourcenschonend behandelt werden. Unvorhergesehene Ereignisse können durch flexible Extra-Audits abgedeckt werden. Dieses Vorgehen steigert die Effektivität des Fremdfirmenmanagements deutlich, da es sich auf Risiko- und Werttreiber fokussiert.

• Auditvorbereitung: Vor jedem Audit werden die Schwerpunkte und Kriterien festgelegt. In einem Auditplanungs-Meeting (unter Beteiligung von HSE, Fachabteilung, Einkauf etc.) wird definiert, welche Aspekte bei der jeweiligen Fremdfirma besonders geprüft werden sollen – basierend auf Risikoprofil und bisherigen Erfahrungen. Checklisten und Prüfkataloge werden vorbereitet, die alle relevanten Themen umfassen (Qualität, Sicherheit, Umwelt, Vertragstreue, Compliance, etc.). Gegebenenfalls werden vorhandene Standard-Checklisten genutzt, etwa bestehende Arbeitssicherheits-, Qualitäts- und Compliance-Checklisten oder branchenspezifische Leitfäden (z.B. der VCI-Leitfaden zur Sicherheitsbewertung von Fremdfirmen). Die Audittermine werden – je nach Auditart – vorher vereinbart (bei regulären Audits) oder spontan gewählt (bei Stichproben). Die Fremdfirma erhält im Regelfall eine moderate Vorankündigung geplanter Audits, damit wichtige Ansprechpartner verfügbar sind, jedoch ohne zu viel Vorbereitungszeit, um eine authentische Situation vorzufinden.

• Audit-Team und Ablauf: Das Audit wird in der Regel von einem teamübergreifenden Auditoren-Team durchgeführt, um die verschiedenen Prüfaspekte abzudecken. Beispielsweise könnte ein Audit-Team bestehen aus einem HSE-Manager und einem technischen Vertreter der Fachabteilung (z.B. Betriebsingenieur); bei Bedarf ergänzt durch einen Einkäufer oder Compliance-Vertreter, sollte es spezielle vertragliche oder rechtliche Prüfpunkte geben. Das Team führt zunächst ein Auftaktgespräch mit dem Fremdfirmen-Ansprechpartner, um Ablauf, Ziele und Umfang zu erläutern. Dies schafft eine kooperative Atmosphäre und unterstreicht, dass das Audit der gemeinsamen Verbesserung dient, nicht nur der Kontrolle.

• Begehung und Beobachtung: Die Auditoren besichtigen die relevanten Arbeitsplätze, Baustellen oder Anlagenbereiche, in denen die Fremdfirma tätig ist. Sie prüfen z.B. die Einhaltung der Sicherheitsregeln direkt vor Ort: Tragen die Mitarbeiter die vorgeschriebene PSA? Sind Arbeitsbereiche abgesichert? Werden Gefährdungsbeurteilungen praktisch umgesetzt? Parallel wird die Arbeitsausführung begutachtet: Entspricht sie den Qualitätsvorgaben? Gibt es Anzeichen von Pfusch oder ineffizienter Arbeitsweise?

• Dokumentenprüfung: Es werden wichtige Dokumente und Nachweise kontrolliert, z.B. Schulungsnachweise der Fremdfirmenmitarbeiter, Zertifikate (wie SCC für Sicherheit, ISO 9001 für Qualität, ISO 14001 für Umwelt etc.), Wartungs- und Prüfprotokolle von Geräten, Unfallstatistiken, Prüfberichte früherer Audits, Verträge und Leistungsnachweise. Eine standardisierte Dokumentenliste (z.B. gemäß Prüfkatalog für Audit- und Überwachungsprozess im Fremdfirmenportal) stellt sicher, dass nichts Wesentliches übersehen wird. Beispielsweise fordert der DGUV Grundsatz 312-001 oder der VCI-Fragebogen bestimmte Unterlagen zur Bewertung der Sicherheitskultur.

• Mitarbeiter- und Managementgespräche: Die Auditoren führen Interviews mit ausgewählten Mitarbeitern der Fremdfirma (vor Ort) sowie mit deren Führungskräften. Ziel ist es, ein Gefühl für die Sicherheits- und Qualitätskultur der Firma zu bekommen. Fragen könnten sein: „Wie werden Sie von Ihrem Arbeitgeber in Arbeitssicherheit unterwiesen?“, „Welche Maßnahmen ergreifen Sie, um Qualität zu sichern?“ oder „Wie wird mit Umweltvorfällen umgegangen?“. Zudem wird geprüft, ob die Fremdfirma die Regeln des Auftraggebers verstanden hat (z.B. Kenntnis der Betriebsanweisungen, Notfallpläne).

• Bewertung vorläufiger Feststellungen: Das Audit-Team hält laufend Beobachtungen fest (oft mittels digitaler Checklisten auf Tablets, um direkt Daten zu erfassen). Am Ende der Prüfung vor Ort werden die vorläufigen Ergebnisse im Team besprochen und mit dem Fremdfirmen-Vertreter in einer Abschlussbesprechung geteilt. Hierbei ist ein konstruktiver Ton wichtig: Festgestellte Mängel oder Abweichungen werden sachlich erläutert und idealerweise schon gemeinsam überlegt, welche Verbesserungsmaßnahmen möglich sind. Positive Beobachtungen (Good Practices) werden ebenfalls zurückgemeldet, um Anerkennung zu zeigen und die Akzeptanz zu fördern.

Standardisierung und Kriterien: Damit Audits objektiv und vergleichbar bleiben, erfolgt die Durchführung anhand einheitlicher Kriterien und Bewertungsmaßstäbe. Zentral sind Checklisten und Normvorgaben: Zum Beispiel orientieren sich die Prüfpunkte an ISO-Normen (9001 für Qualitätsmanagement, 45001 für Arbeitsschutzmanagement, 14001 für Umweltmanagement) sowie an internen Vorgaben des Auftraggebers. Dadurch wird gewährleistet, dass alle Auditoren nach dem gleichen Schema bewerten und die Ergebnisse belastbar und vergleichbar sind. Die Prüflisten decken die in der Zielsetzung genannten Bereiche systematisch ab. Beispielsweise kann der Audit-Fragebogen in Abschnitte gegliedert sein: Arbeitssicherheit (Unterweisungen, PSA, Unfallzahlen, Notfallmanagement), Qualitätsmanagement (Prüfprozeduren, Fehlerquoten, Zertifikate), Umwelt (Umgang mit Gefahrstoffen, Entsorgung, Nachweise gemäß ISO 14001), Vertrag & Compliance (Einhaltung Vertragsbedingungen, Arbeitszeiten, Datenschutz, Exportkontrolle etc.), Wirtschaftlichkeit (Einhaltung von Kosten und Terminen, Effizienz der Leistungserbringung). Zu jedem Abschnitt werden Bewertungskriterien festgelegt, z.B. „liegen alle geforderten Nachweise aktuell vor?“, „gab es im letzten Jahr meldepflichtige Unfälle pro 1.000 MA?“, „werden vereinbarte Qualitätsprüfungen dokumentiert?“ etc. Diese Kriterien können teils quantitativ (Kennzahlenvergleich) oder qualitativ (Eindruck der Auditoren, Interviews) sein. Wichtig ist, dass jeder Kriteriumspunkt mit Erfüllt / Abweichung / Nicht anwendbar oder einer Skala bewertet und begründet wird. Nur so entsteht ein transparentes Bild der Fremdfirmenleistung.

Während der Durchführung achten die Auditoren darauf, dass das Audit als partnerschaftlicher Prozess wahrgenommen wird, nicht als reine Inspektion. Offenheit und Austausch stehen im Vordergrund – die Fremdfirma soll die Möglichkeit haben, Fragen zu stellen oder Herausforderungen zu benennen. Diese Kultur des gegenseitigen Lernens fördert die Akzeptanz und die Bereitschaft der Fremdfirma, notwendige Verbesserungen auch wirklich umzusetzen. Ein erfahrener Auditor tritt eher als Coach denn als strenger Kontrolleur auf: Bei festgestellten Mängeln wird nicht nur auf das Fehlverhalten hingewiesen, sondern auch Unterstützung angeboten, wie es besser geht (z.B. Hinweise auf Best Practices, Schulungsangebote, Mustervorlagen).

Abschließend wird ein Auditberichtsentwurf erstellt, der alle Beobachtungen und vorläufigen Bewertungen enthält. Dieser wird intern im Audit-Team abgestimmt, bevor er finalisiert wird. Die Dokumentation erfolgt idealerweise direkt im Fremdfirmenportal oder einem integrierten Audit-Management-System, was im nächsten Abschnitt zur Auswertung näher beschrieben wird.

Nach Abschluss der Vor-Ort-Prüfung werden die gesammelten Informationen systematisch ausgewertet. Ziel ist es, ein klares Bewertungsbild der Fremdfirma zu erhalten und konkrete Folgemaßnahmen abzuleiten.

• Erstellung des Auditberichts: Alle Feststellungen (positive wie negative) werden in einem strukturierten Auditbericht dokumentiert. Dieser Bericht enthält typischerweise: eine Zusammenfassung, die Bewertung je Prüfbereich, aufgelistete Abweichungen/Mängel sowie erkannte Good Practices, und einen Abschnitt mit Empfehlungen oder Maßnahmenvorschlägen. Der Auditbericht wird so formuliert, dass er sachlich und nachvollziehbar ist – ohne vertrauliche Details, die über das erforderliche Maß hinausgehen (Vertraulichkeit der Befunde ist wichtig, um etwaige sensible Informationen der Fremdfirma zu schützen). Wichtig: Der Bericht wird im Fremdfirmenportal revisionssicher hinterlegt, d.h. unveränderbar und mit Zeitstempel, um jederzeit als Nachweis zu dienen.

• Bewertungssystem und Scoring: Um die Leistung der Fremdfirma greifbar zu machen, wird ein Bewertungssystem angewandt. Hier kann z.B. ein Punktesystem oder Ampelsystem eingesetzt werden. Beispielsweise bekommt jeder Hauptkriteriumsbereich (Sicherheit, Qualität, etc.) eine Note oder Ampelfarbe (Grün = entspricht voll den Anforderungen, Gelb = kleinere Abweichungen, Rot = erhebliche Mängel). Alternativ kann ein Gesamt-Score in Prozent ermittelt werden, basierend auf erfüllten Kriterien. Ein solches quantitatives Rating ermöglicht den Vergleich verschiedener Fremdfirmen und hilft, Schwachstellen auf einen Blick zu erkennen. Zudem kann eine Klassifizierung erfolgen (z.B. Audit-Ergebnis A = vorbildlich, B = akzeptabel mit Verbesserungspotenzial, C = kritisch). Standardisierte KPI können herangezogen werden, etwa Unfallrate der Fremdfirma, Termintreue-Quote, Fehlerquote, Anzahl der festgestellten Abweichungen etc., um objektive Indikatoren zu nutzen.

• Abweichungen und Feststellungen: Jede festgestellte Abweichung von Anforderungen wird klar beschrieben und kategorisiert. Üblich ist die Einteilung in Schweregrade, z.B.:

• Kritischer Befund: Schwerwiegender Verstoß oder Mangel, der zu akuter Gefahr, sofortigem Handlungsbedarf oder Vertragsbruch führt (z.B. fehlende Arbeitserlaubnis in Gefahrenbereich, nicht geschulte Mitarbeiter an gefährlichen Geräten, massive Qualitätsmängel bei sicherheitsrelevanten Teilen).

• Mittlerer Befund: Mangel, der zwar die Anforderungen nicht vollständig erfüllt, aber kurzfristig ohne große Aufwände behoben werden kann und keine unmittelbare Gefahr darstellt (z.B. unvollständige Dokumentation, einzelne PSA-Verstöße, geringfügige Terminverzögerung).

• Geringfügiger Befund: Kleinere Abweichung oder Beobachtung, die keine ernste Konsequenz hat, aber als Verbesserungshinweis dient (z.B. eine veraltete Unterweisung wird gerade aktualisiert, kleinere Unordnung in Materiallager).

• Einbeziehung der Fremdfirma: Die vorläufigen Ergebnisse wurden bereits im Abschlussgespräch erläutert. Nun kann der Auditbericht offiziell an die Fremdfirma kommuniziert werden – in vielen Fällen in einem Nachgespräch oder schriftlich. Die Fremdfirma hat die Gelegenheit, Stellung zu nehmen, insbesondere falls es Punkte gibt, die aus ihrer Sicht falsch verstanden wurden. Dieser Dialog stellt sicher, dass die Faktenlage unstrittig ist und erhöht die Akzeptanz der Befunde.

Wichtig bei der Auswertung ist, dass Transparenz gewahrt wird: Die Fremdfirma sollte wissen, wie sie abgeschnitten hat und welche Kriterien angewandt wurden. Ebenso intern: Die Ergebnisse werden an alle relevanten Stellen (HSE, Fachabteilung, Einkauf, Management) berichtet, um ein vollständiges Bild zu haben. Ein kompakter Managementbericht hebt die wichtigsten Befunde hervor, insbesondere falls kritische Risiken entdeckt wurden oder strategische Empfehlungen aus dem Audit resultieren.

Die dokumentierten Auditergebnisse fließen zum einen in die Lieferantenbewertung der Fremdfirma ein (d.h. sie beeinflussen die zukünftige Zusammenarbeit und Risikoeinstufung im Fremdfirmenportfolio), zum anderen bilden sie die Basis für das folgende Maßnahmenmanagement und etwaige Eskalationen. Hier zeigt sich der Mehrwert der Standardisierung: Nur mit einem einheitlichen Bewertungsrahmen sind die Ergebnisse vergleichbar und belastbar genug, um Folgemaßnahmen und Entscheidungen darauf aufzubauen.

• Auf die Analyse der Auditergebnisse folgt der vielleicht wichtigste Schritt: die Umsetzung von Verbesserungen. Maßnahmenverfolgung bedeutet, sicherzustellen, dass die im Audit identifizierten Mängel tatsächlich behoben und Verbesserungsmaßnahmen nachhaltig umgesetzt werden. Zudem muss definiert sein, wie bei gravierenden Verstößen oder ausbleibenden Verbesserungen eskaliert wird. Die Konzeption sieht hier ein mehrstufiges Eskalationsmodell vor, das von enger Zusammenarbeit bis hin zum möglichen Ausschluss einer Fremdfirma (Delisting) reicht.

• Maßnahmenplanung (CAPA): Für jede Abweichung aus dem Audit wird eine Korrektur- und Vorbeugemaßnahme festgelegt (nach dem Prinzip des CAPA-Prozesses – Corrective and Preventive Actions). Gemeinsam mit der Fremdfirma definiert das Audit-Team einen Maßnahmenplan: Was ist zu tun, wer ist verantwortlich und bis wann soll es erledigt sein. Beispiele: Bei fehlenden Unterweisungen muss die Fremdfirma alle betroffenen Mitarbeiter nachschulen und Nachweise liefern; bei mangelhaften Qualitätsdokumentationen soll ein verbessertes Prüfprotokoll eingeführt werden; bei unzureichender Schutzausrüstung müssen die fehlenden PSA umgehend bereitgestellt und deren Nutzung kontrolliert werden. Diese Maßnahmen werden im Fremdfirmenportal erfasst und nachverfolgt, inklusive Fristen und Verantwortlichen. Das Portal sendet automatische Erinnerungen, wenn Deadlines für Maßnahmen naht, und ermöglicht es der Fremdfirma, Erledigungen durch Upload von Nachweisen zu dokumentieren. Die Auditoren (oder der Fremdfirmenkoordinator) prüfen dann die Wirksamkeit: entweder durch Dokumentenreview oder eine Nachkontrolle vor Ort. So wird transparent festgehalten, ob alle Audit-Findings abgearbeitet wurden.

• Verfolgung und Wirksamkeitsprüfung: Ein konsequentes Tracking-System (oft ebenfalls Teil des SAP-Portals) ordnet jedem Befund den Status der Maßnahmenumsetzung zu: offen, in Arbeit, erledigt, verifiziert. Regelmäßige Review-Meetings (z.B. monatlich) der verantwortlichen Stellen gehen die offenen Maßnahmen durch. Kritische Maßnahmen sollten innerhalb kurzer Zeit abgeschlossen und vom Auditorenteam geprüft werden (z.B. Besuch oder Foto-Dokumentation). Der Maßnahmenstatus wird auch in der Fremdfirmenbewertung sichtbar: Viele offene oder überfällige Maßnahmen sind ein Alarmzeichen und verschlechtern das Rating der Fremdfirma. Umgekehrt zeigt eine zügige Abarbeitung Engagement. Wichtig ist, dass die Fremdfirma Feedback zu den Maßnahmen geben kann – falls eine Umsetzung schwierig ist, sollte sie das melden und gemeinsam mit dem Auftraggeber nach Lösungen suchen.

• Eskalationsstufen bei Abweichungen: Trotz aller Kooperation kann es Fälle geben, in denen eine Fremdfirma nicht ausreichend reagiert oder schwerwiegende Probleme auftreten. Hier greift der Eskalations-Toolkasten mit definierten Eskalationsstufen und -instrumenten, um schrittweise den Druck zu erhöhen. Ein mögliches Eskalationsschema (angelehnt an bewährte Modelle z.B. aus der Automobilindustrie) umfasst typischerweise vier Stufen neben dem Normalzustand:

• Normalzustand (Stufe 0): Alle Leistungen werden vertragsgerecht erbracht, es liegen keine größeren Probleme vor. Maßnahmenstatus: keine außergewöhnlichen Maßnahmen nötig; kleinere Auditfeststellungen werden freiwillig abgearbeitet.

• Eskalationsstufe 1 – Frühwarnung: Tritt ein erster gravierender Mangel oder Verstoß auf (z.B. ein Arbeitsunfall wegen Regelmissachtung, ein signifikanter Qualitätsfehler, wiederholte Nichteinhaltung von Auflagen), wird die Fremdfirma formell verwarnt. In dieser Stufe erfolgt eine offizielle schriftliche Warnung oder ein Gespräch auf Managementebene, in dem der Fremdfirma die Probleme und Konsequenzen verdeutlicht werden. Es wird ein Sofortmaßnahmenplan verlangt. Die Zusammenarbeit läuft weiter, aber unter Beobachtung.

• Eskalationsstufe 2 – Intensivierte Überwachung: Bleibt die Reaktion unzureichend oder treten erneut erhebliche Probleme auf, erhöht der Auftraggeber den Druck. Die Fremdfirma wird auf „Bewährung“ gesetzt: Es werden z.B. häufigere Audits angesetzt, regelmäßige Berichtspflichten auferlegt (z.B. wöchentliche Statusberichte, zusätzliche Sicherheitsmeetings) und die Führung der Fremdfirma wird zu einem Krisengespräch eingeladen. Auf dieser Stufe kann intern schon entschieden werden, keine neuen Aufträge an die Firma zu vergeben, bis sich die Lage bessert.

• Eskalationsstufe 3 – Teil-Sanktionierung: Zeigt sich weiterhin keine ausreichende Besserung, werden härtere Maßnahmen ergriffen. Beispielsweise kann eine temporäre Sperre für neue Aufträge verhängt werden, laufende Aufträge werden ggf. reduziert oder unter engmaschige Kontrolle gestellt. Die Unternehmensleitung des Auftraggebers wird eingebunden. Ggf. werden auch Vertragsstrafen aktiviert, falls solche bei Nichterfüllung vereinbart sind (z.B. Pönale für Sicherheitsverstöße). Die Fremdfirma erhält letztmalig die Chance, innerhalb kurzer Frist substanzielle Verbesserungen nachzuweisen.

• Eskalationsstufe 4 – Delisting (Beendigung der Zusammenarbeit): Wenn auch die vorherigen Stufen nicht zum Erfolg führen oder ein eklatanter Verstoß vorliegt, der ein Vertrauensverlust bedeutet (etwa grobe Fahrlässigkeit, wiederholte Missachtung von Anweisungen, Fälschung von Nachweisen), wird die Zusammenarbeit beendet. Praktisch heißt dies: Vergabesperre – der Auftraggeber schließt die Fremdfirma von weiteren Auftragsvergaben aus, laufende Verträge werden – soweit rechtlich möglich – gekündigt oder nicht verlängert. Diese Delisting-Entscheidung wird dokumentiert und im Fremdfirmenportal hinterlegt, sodass die Fremdfirma in der Lieferantendatenbank als „gesperrt“ gekennzeichnet ist.

Ein solches Eskalationsschema stellt sicher, dass bei Problemen schrittweise und nachvollziehbar reagiert wird. Nicht jeder Verstoß führt sofort zum Ausschluss – die Fremdfirma erhält Gelegenheit, sich zu verbessern. Gleichzeitig zeigt der Auftraggeber klare Konsequenzen auf, was die Ernsthaftigkeit unterstreicht. Im Fremdfirmenportal können diese Eskalationsstufen als Status hinterlegt werden (z.B. Eskalationslevel 0 bis 4), inklusive der Kriterien, die zum Erreichen der jeweiligen Stufe geführt haben. Das ermöglicht Auditoren, Einkäufern und dem Management jederzeit einzusehen, in welcher Eskalationsstufe sich eine Fremdfirma befindet und welche Auflagen aktuell gelten.

Wichtig: Ein gut geführter Eskalationsprozess ist kein Zeichen von Misstrauen, sondern Ausdruck eines professionellen Lieferantenmanagements. Ziel ist immer, durch frühe Warnsignale und Unterstützungsangebote die Fremdfirma zurück in den Normalzustand (Stufe 0) zu bringen. Positiv durchgeführte Maßnahmen und Verbesserungen sollten daher ebenso vermerkt werden – z.B. kann der Status einer Firma nach erfolgreich abgeschlossenen Maßnahmen wieder herabgestuft werden (von Stufe 2 auf 1 oder 0). Auch positive Anreize sind Teil des Maßnahmenverfolgungs-Prozesses: Fremdfirmen, die vorbildlich mitwirken und Verbesserungen umsetzen, erfahren Anerkennung, z.B. in Form von bevorzugter Berücksichtigung bei neuen Aufträgen oder Auszeichnungen (z.B. „Safety Partner of the Year“). So verbindet man konsequente Überwachung mit einer Motivation zur Selbstoptimierung bei den Dienstleistern.

Letztlich gilt: Jedes Audit ist nur so wertvoll, wie die Konsequenzen, die daraus gezogen werden. Laufende Kontrollen mit echter Konsequenz – sowohl positiver Anreiz als auch Sanktion – sind ein Schlüssel zum Erfolg. Durch das Maßnahmen- und Eskalationsmanagement wird gewährleistet, dass Auditbefunde nicht im Sande verlaufen, sondern zu messbaren Verbesserungen führen.

Für die effiziente Umsetzung des beschriebenen Auditprozesses ist eine enge Systemintegration in das bestehende SAP-basierte Fremdfirmenportal vorgesehen. Das Portal dient als zentrale Plattform, auf der alle Schritte – von der Auditplanung über die Durchführung bis zur Nachverfolgung – digital abgebildet werden.

• Zentrales Informations- und Dokumentenmanagement: Das Fremdfirmenportal hält für jede Fremdfirma einen digitalen Lieferantenakt vor, der alle relevanten Daten enthält – Verträge, Qualifikationen, Zertifikate, Unfallstatistiken, frühere Auditberichte usw. Der Auditprozess greift auf diese Daten zurück: Auditoren können sich vorab ein Bild machen (z.B. letzte Auditergebnisse, bekannte Schwachstellen) und während des Audits fehlende Dokumente sofort einsehen oder anfordern. Nach dem Audit wird der Auditbericht inklusive aller Befunde und Maßnahmen digital im Portal abgelegt, revisionssicher und nachvollziehbar. So sind die Ergebnisse jederzeit für Berechtigte einsehbar (z.B. auch Jahre später für Folgeaudits oder externe Prüfer). Gleichzeitig erfüllt die digitale Ablage die Anforderungen an Dokumentation und Aufbewahrungspflichten (GoBD, ISO-Normen), da alle Änderungen im Audit-Trail protokolliert werden.

• Workflow und Benachrichtigungen: Der Auditprozess wird durch einen elektronischen Workflow im SAP-System unterstützt. Von der Auditplanung an können über das Portal Termine koordiniert und Beteiligte eingeladen werden. Interne Rollen (HSE, Fachbereich etc.) erhalten automatische Benachrichtigungen über anstehende Audits, und Fremdfirmen-Ansprechpartner können über das Portal Termine bestätigen. Nach dem Audit werden Maßnahmen als Aufgaben angelegt und den Verantwortlichen (sowohl intern als auch bei der Fremdfirma) zugewiesen. Das System verschickt E-Mails oder Portal-Notifications bei Fristablauf oder wenn neue Dokumente hochgeladen werden. Eine Terminerinnerungsfunktion sorgt dafür, dass Folgeaudits rechtzeitig angestoßen werden (z.B. 1 Monat vor Fälligkeit meldet das System dem Fremdfirmenkoordinator, dass ein Jahresaudit ansteht).

• Checklisten und mobile Datenerfassung: Im SAP-Portal können digitale Audit-Checklisten hinterlegt werden, die Auditoren per Tablet oder Laptop vor Ort ausfüllen. Dies ermöglicht eine Mobile Datenerfassung: Antworten werden direkt ins System eingegeben, Fotos von Befunden können direkt hochgeladen und mit Befundpunkten verknüpft werden. Einige Unternehmen nutzen hierfür mobile Apps, was den Prozess beschleunigt und Doppelerfassungen vermeidet. Die Checklisten sind so konzipiert, dass sie dynamisch auf den Audittyp zugeschnitten sind (z.B. andere Fragen für Sicherheitsaudits als für Qualitätsaudits, je nachdem welche Module im Portal genutzt werden). Nach dem Audit synchronisiert die App alle Eingaben mit dem Portal, wo automatisch ein Berichtsentwurf generiert wird.

• Bewertung und Kennzahlensystem im Portal: Das Fremdfirmenportal dient auch als Reporting-Werkzeug. Die Ergebnisse jedes Audits fließen in ein Kennzahlen-Dashboard ein, das z.B. Durchschnittsbewertungen, Anzahl offener Maßnahmen, Unfallquoten etc. je Fremdfirma anzeigt. Über Ampelsymbole kann das System warnen, wenn eine Fremdfirma in bestimmten Kriterien unter Schwellenwerte rutscht (z.B. Sicherheitsrating „rot“ aufgrund eines kritischen Befunds). Diese Informationen können auch für die wertorientierte Auditplanung wiederverwendet werden: Das System könnte z.B. automatisch vorschlagen, die Auditfrequenz für eine Firma zu erhöhen, wenn deren Kennzahlen sich verschlechtern (Rückkopplung in die Risikosteuerung). Integriert man SAP Audit Management oder SAP Risk Management, lassen sich Auditerkenntnisse sogar mit dem Unternehmens-Risk-Register verknüpfen, sodass Top-Risiken adressiert werden.

• Self-Service und Einbindung der Fremdfirma: Über das Portal kann auch die Fremdfirma aktiv in den Prozess eingebunden werden. Beispielsweise können Maßnahmen im Portal vom Fremdfirmen-Ansprechpartner aktualisiert werden: Er kann den Erledigungsgrad kommentieren, Dokumente als Nachweis hochladen oder direkt mit dem Auditor Rückfragen klären. Zudem könnten Fremdfirmen Selbstauskünfte oder Checklisten im Vorfeld ausfüllen (eine Art Selbst-Audit), die das Audit-Team dann verifiziert. Dieses Self-Service-Modul entlastet beide Seiten und erhöht die Transparenz. Allerdings sollten sensible interne Bewertungen (Scoring, interne Kommentare) nur für das interne Team sichtbar sein, während die Fremdfirma primär ihre Befunde und Aufgaben sieht – so wahrt man Vertraulichkeit und dennoch Zusammenarbeit.

• Sicherheit und Berechtigungen: Da es sich um teils vertrauliche Daten handelt (z.B. Auditfeststellungen, die Schwächen der Fremdfirma offenbaren, oder personenbezogene Unfallinfos), ist das Berechtigungskonzept im SAP-Portal kritisch. Es wird so eingestellt, dass nur berechtigte Personen Zugriff auf bestimmte Informationen haben: z.B. HSE-Manager auf Sicherheitsdaten, Einkaufsleiter auf Vertragsthemen, Betriebsrat erhält ggf. anonymisierte Berichte zur Wahrnehmung seiner Überwachungsfunktion. Die Fremdfirma sieht nur ihre eigenen Daten. Alle Zugriffsvorgänge werden im Audit-Log des Systems protokolliert. Zudem sorgt das System für DSGVO-Konformität, indem z.B. personenbezogene Daten nur zeitlich begrenzt gespeichert oder pseudonymisiert werden, sobald sie nicht mehr benötigt werden (z.B. Unfallmeldungen ohne Personennamen). Die IT-Sicherheit des Portals entspricht neuesten Standards (Zwei-Faktor-Authentifizierung, Verschlüsselung), damit die Daten und Dokumente audit-proof und gegen unbefugten Zugriff geschützt sind.

Durch diese Integration der Auditprozesse ins Fremdfirmenportal wird der gesamte Ablauf medienbruchfrei und effizient gestaltet. Alle Beteiligten arbeiten auf derselben Plattform, was Transparenz schafft und Doppelarbeit vermeidet. Zudem erleichtert die Digitalisierung die Standardisierung: Das Portal stellt sicher, dass z.B. immer die aktuellen Checklisten verwendet werden, dass Verfahrensdokumentationen und Audit-Trail vorhanden sind und dass kein Schritt vergessen wird.

Ein weiterer Vorteil ist die Möglichkeit, Auswertungen über viele Audits hinweg zu fahren – Trends lassen sich erkennen (z.B. über alle Fremdfirmen hinweg häufige Mängelbereiche, die man durch Schulungen adressieren sollte) und das Management erhält auf Knopfdruck Berichte über den Status des Fremdfirmenmanagements. Insgesamt gewährleistet die Systemintegration, dass das Fremdfirmen-Auditwesen ein integraler Bestandteil des Unternehmens-Managementsystems ist – verzahnt mit Qualitätsmanagement, Arbeitssicherheit und Compliance. Dadurch wird erreicht, dass kein Aspekt übersehen wird und Fremdfirmen ebenso strengen Maßstäben unterliegen wie interne Prozesse.

Die vorgestellte Konzeption verbindet umfassende Prüfinhalte (von Qualität bis Wirtschaftlichkeit) mit einer flexiblen, wertorientierten Auditfrequenz und klaren Verantwortlichkeiten. Durch die Einbindung aller relevanten Rollen (HSE, Technik, Einkauf, Betriebsrat etc.) entsteht ein ganzheitlicher Blick auf die Fremdfirma. Die wertorientierte Steuerung sorgt dafür, dass Audits dort stattfinden, wo sie am dringendsten gebraucht werden – anhand von Risiko, Auftragswert, Historie und Bedeutung. Einheitliche Bewertungskriterien und definierte Eskalationsstufen stellen sicher, dass Ergebnisse vergleichbar sind und Konsequenzen greifen, von der gemeinsamen Maßnahmenverfolgung bis hin zum Delisting in Extremfällen. Schließlich ermöglicht die Integration ins SAP-Fremdfirmenportal eine durchgängige Digitalisierung: Der Audit- und Überwachungsprozess wird effizient, transparent und revisionssicher implementiert. Damit wird Fremdfirmenmanagement zu einem lebendigen, kontinuierlichen Prozess der Verbesserung – zum Nutzen der Sicherheit, Compliance und Leistungsfähigkeit im Unternehmen ebenso wie zur fairen und planvollen Einbindung der externen Partner.