Procurement Audit

Ein Procurement Audit ist eine systematische, unabhängige und dokumentierte Prüfung des Einkaufsbereichs eines Unternehmens, die Konformität mit internen Richtlinien, externen Normen und gesetzlichen Anforderungen feststellt. Es ist Pflichtbestandteil jedes ernsthaften Compliance-Management-Systems und wird sowohl intern durch die Revision als auch extern durch Zertifizierungsstellen durchgeführt.

Detaillierte Erklärung

Methodisch folgen Procurement Audits in DACH-Unternehmen typischerweise dem Leitfaden ISO 19011:2018, der seit 2018 die maßgebliche internationale Norm für Audits von Managementsystemen ist und die Vorgängerfassung von 2011 ersetzt hat. ISO 19011:2018 definiert in Abschnitt 5 das Auditprogramm-Management mit risikobasiertem Ansatz, in Abschnitt 6 die Durchführung einzelner Audits und in Abschnitt 7 die Kompetenzanforderungen an Auditoren.

Procurement Audits werden in drei Kategorien unterteilt: First-Party-Audits als interne Prüfung durch die unternehmenseigene Revision, Second-Party-Audits durch Kunden oder beauftragte Dritte und Third-Party-Audits durch unabhängige Zertifizierungsstellen wie TÜV, DEKRA oder DQS. Die interne Revision orientiert sich zusätzlich an den International Professional Practices Framework Standards des Institute of Internal Auditors (IIA, Lake Mary, Florida), das mit den Global Internal Audit Standards 2024 ein überarbeitetes Rahmenwerk verbindlich gemacht hat. Bei deutschen Tochtergesellschaften US-börsennotierter Konzerne kommen ergänzend die Anforderungen des Sarbanes-Oxley Act Section 404 hinzu, die regelmäßige Tests der internen Kontrollen im Beschaffungsprozess verlangen.

Seit Inkrafttreten des Lieferkettensorgfaltspflichtengesetzes (LkSG) am 1. Januar 2023 hat das Procurement Audit zusätzliche regulatorische Bedeutung erhalten: Das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) hat im Mai 2024 eine Handreichung zu "Standards, Audits und Zertifizierungen als Instrumente im Sorgfaltsprozess" veröffentlicht, die klarstellt, dass Audits zwar im Sorgfaltsprozess unterstützen können, aber kein gesetzliches Privileg für bestimmte Audit-Standards besteht und die Eigenverantwortung des Unternehmens nicht ersetzen. Der typische Auditumfang im Mittelstand mit 80 bis 2.000 Mitarbeitenden umfasst 8 bis 15 Prüfgebiete und benötigt 5 bis 12 Personentage je Auditzyklus.

Praxisbeispiel (konkretes Einkaufsszenario)

Ein Pharmagroßhändler aus Hessen mit 950 Mitarbeitenden und 340 Mio. EUR Beschaffungsvolumen führt im April 2026 sein erstes vollumfängliches Procurement Audit nach ISO 19011:2018 durch. Auslöser ist die LkSG-Berichtspflicht zum 30. April 2026 für das Geschäftsjahr 2025 sowie eine Feststellung der externen Wirtschaftsprüfer im Vorjahr, dass die internen Kontrollen im Einkauf nicht systematisch getestet wurden. Die interne Revision plant ein 3-wöchiges Audit mit 2 Auditoren, prüft 11 Prüfgebiete und zieht eine Stichprobe von 120 Bestellvorgängen aus dem Jahr 2025. Der Auditbericht vom 22. April 2026 weist 6 Hauptfeststellungen aus, darunter fehlende Vier-Augen-Freigabe bei 8 Bestellungen über 50.000 EUR, lückenhafte Lieferanten-Risikobewertung bei 14 von 47 LkSG-relevanten Lieferanten und unvollständige Dokumentation von Vergabeentscheidungen bei Single-Source-Beschaffungen. Die Geschäftsführung verabschiedet einen Maßnahmenplan mit 18 Aktionen, deren Umsetzung in einem Follow-up-Audit nach 9 Monaten verifiziert wird.

Typische Fehler & Verhandlungskontext

Der häufigste Fehler bei Procurement Audits ist die Verwechslung mit reinen Compliance-Checks: Ein echtes Audit nach ISO 19011 prüft nicht nur die Einhaltung von Regeln, sondern bewertet auch die Wirksamkeit und Angemessenheit des Beschaffungsmanagementsystems. Audits, die sich auf Häkchen-Listen reduzieren, übersehen typischerweise systemische Schwächen wie unzureichende Lieferantenrisikobewertung oder fehlende Eskalationspfade bei Single-Source-Abhängigkeiten. Ein zweiter klassischer Fehler ist die unzureichende Auditor-Kompetenz: ISO 19011:2018 Abschnitt 7 verlangt sowohl Audit-Methoden-Kompetenz als auch fachspezifisches Beschaffungs-Know-how, was bei Audits durch nicht-spezialisierte interne Revisoren häufig fehlt.

Im Verhandlungskontext zwischen Einkauf und auditierter Partei sind Procurement Audits ein sensibles Feld: Audits, die als Schuldzuweisung statt als Verbesserungsinstrument geführt werden, erzeugen defensives Verhalten und führen dazu, dass kritische Informationen zurückgehalten werden. Erfolgreiche Auditoren arbeiten nach dem Prinzip "trust but verify" und nutzen Eröffnungs- und Abschlussgespräche, um die auditierte Einheit als Partner einzubinden. Ein häufiger Fehler ist die fehlende Trennung zwischen Audit und Beratung: Wer im Audit gleichzeitig Lösungen vorschreibt, verletzt die Unabhängigkeit nach IIA-Standards und gefährdet die Glaubwürdigkeit des Auditberichts gegenüber Vorstand und Aufsichtsrat. In der Verhandlung mit dem Auditierten gilt zudem, dass Feststellungen sauber kategorisiert werden müssen: Hauptabweichung, Nebenabweichung und Verbesserungspotenzial haben unterschiedliche Eskalationspfade und Fristen für die Korrekturmaßnahmen.

Verwandte Begriffe

Das Procurement Audit prüft die Einhaltung der [[beschaffungspolitik]] und der [[einkaufsrichtlinie]] und nutzt häufig den [[audit-trail-einkauf]] als Datengrundlage. Bei LkSG-bezogenen Audits sind die [[bafa-berichtspflicht-lksg]] und die [[bafa-pruefung-lksg]] relevante Anschlussthemen. Das Audit verifiziert auch die [[catalog-compliance]] und die Wirksamkeit der [[compliance-schulung-einkauf]]. Datenanalytische Vorarbeiten erfolgen über [[anomalie-erkennung-einkauf]] und über die [[spend-cube-construction]]. Bei Verdacht auf gravierende Verstöße können Audit-Erkenntnisse den Anstoß für Verfahren wegen [[bid-rigging]] oder eine [[cartel-settlement]]-Konstellation geben.