Compliance-Risikobewertung Einkauf
Compliance-Risikobewertung Einkauf
Die Compliance-Risikobewertung Einkauf ist der formalisierte Prozess, in dem ein Unternehmen seine direkten und indirekten Lieferanten regelmäßig auf menschenrechtliche, umweltbezogene und integritätsbezogene Risiken hin untersucht und das Ergebnis in einer dokumentierten Risiko-Heatmap festhält. Sie ist seit Inkrafttreten des Lieferkettensorgfaltspflichtengesetzes am 1. Januar 2023 für Unternehmen mit zunächst 3.000 und seit 2024 mit 1.000 inländischen Beschäftigten eine gesetzliche Pflicht.
Detaillierte Erklärung
§5 LkSG verlangt eine mindestens einmal jährlich durchgeführte Risikoanalyse beim eigenen Geschäftsbereich und bei den unmittelbaren Lieferanten sowie eine anlassbezogene Risikoanalyse bei mittelbaren Lieferanten, sobald substantiierte Kenntnis über mögliche Verletzungen vorliegt. Die anstehende EU-Lieferkettenrichtlinie CSDDD erweitert den Kreis der verpflichteten Unternehmen auf europäischer Ebene und verschärft die zivilrechtlichen Folgen. Methodisch kombiniert die Bewertung Länderrisikobewertungen anhand des Global Slavery Index oder des Corruption Perceptions Index von Transparency International, Branchenrisikobewertungen und unternehmensspezifische Faktoren wie Volumen, Bezugsdauer und Kritikalität.
Spezialisierte Plattformen wie EcoVadis mit über 130.000 bewerteten Lieferanten weltweit, IntegrityNext aus München und Sphera SCRM, das die Münchner Riskmethods 2022 übernommen hat, liefern die Datengrundlage in Form standardisierter Self-Assessments, automatisierter Sanktionslistenprüfungen und ESG-Scoring. Die Heatmap als Ergebnis verdichtet die Lieferantenbasis auf zwei Achsen, typisch Eintrittswahrscheinlichkeit und Schadenshöhe, alternativ Inhärentes Risiko und Mitigationsstand. Lieferanten im roten Quadranten lösen Maßnahmen aus den §6-LkSG-Pflichten aus, also vertragliche Zusicherungen, Schulungen, Audits, Beschwerdeverfahren nach §8 LkSG und im Wiederholungsfall die Eskalation bis zum Geschäftsabbruch. Das Bundesamt für Wirtschaft und Ausfuhrkontrolle BAFA hat seit 2023 mehrere Bußgeldverfahren eingeleitet, der Bußgeldrahmen reicht bis zu 8 Millionen Euro oder 2 Prozent des durchschnittlichen Jahresumsatzes bei Konzernen mit mehr als 400 Millionen Euro Umsatz. Methodisch ergänzt die DIN ISO 31000:2018 zum Risikomanagement den Rahmen.
Praxisbeispiel (konkretes Einkaufsszenario)
Ein Hersteller von Industrieausrüstung mit 1.420 Mitarbeitenden in Nordrhein-Westfalen führt 2025 die jährliche Risikoanalyse nach §5 LkSG für seine 980 direkten Lieferanten durch. Die Plattform EcoVadis liefert für 540 Lieferanten Sustainability Scores, ergänzt um Länderbewertungen aus dem Global Slavery Index und dem Corruption Perceptions Index. 38 Lieferanten landen im roten Quadranten, davon 12 in Hochrisikoländern wie Bangladesch, der Türkei und China. Die §6-Maßnahmen umfassen einen Verhaltenskodex-Nachtrag, ein SMETA-Audit für sieben besonders kritische Lieferanten, Schulungen für 22 weitere und einen geplanten Geschäftsabbruch bei zwei Lieferanten ohne Mitwirkungsbereitschaft. Die jährliche Berichterstattung an das BAFA über das Berichtsportal nach §10 LkSG erfolgt im April 2026. Plattform- und Auditkosten zusammen 185.000 Euro pro Jahr, interner Aufwand 1,2 Vollzeitäquivalente.
Typische Fehler & Verhandlungskontext
Häufigster Fehler ist die rein statische Bewertung einmal pro Jahr ohne anlassbezogene Aktualisierung. Eine NGO-Veröffentlichung oder ein Hinweisgeberhinweis löst die anlassbezogene Risikoanalyse für mittelbare Zulieferer aus, wer das nicht in seinem Compliance-Workflow verankert, verfehlt die §5-Pflicht. Ein zweiter Fehler ist die Reduktion der Bewertung auf Self-Assessments des Lieferanten ohne unabhängige Datenquellen, was im BAFA-Audit als unzureichend bewertet wird. In Verhandlungen mit Lieferanten in der roten Risikoklasse lohnen sich gestaffelte Eskalationsklauseln, etwa Audit-Pflicht ab Score-Verschlechterung um 100 Punkte, automatischer Geschäftsabbruch bei Score über 350 nach Creditreform-Bonität oder bei festgestellter Kinderarbeit, sowie eine Pflicht zur Auskunft über Tier-2-Lieferanten in definierten Hochrisikoländern.
Verwandte Begriffe
Die Compliance-Risikobewertung verzahnt sich mit der [[lieferantenselbstauskunft]], dem [[lieferantenaudit]], dem [[ecovadis]]-Score und dem [[sedex-smeta-audit]]. Sie ist Pflichtbestandteil des [[lieferkettensorgfaltspflichtengesetz]] und der [[csddd]]. Verwandt sind die [[sanktionslistenpruefung]], die [[bonitaetspruefung]], das [[lieferantenrisikomanagement]] und das [[fruehwarnsystem-lieferanten]] sowie [[tier-n-lieferanten]] für die anlassbezogene Tiefenprüfung.