Permanente Auditfähigkeit im Facility Management

Grundlage der permanenten Auditfähigkeit ist eine rechtskonforme Organisation, das heißt die uneingeschränkte Befolgung aller einschlägigen Gesetze, Verordnungen und Normen im Unternehmen. Geschäftsleiter großer Unternehmen tragen diesbezüglich eine Legalitätspflicht: Sie müssen das Unternehmen so organisieren, dass keine Gesetzesverstöße geschehen. Insbesondere im Facility Management spricht man von Betreiberverantwortung – der Betreiber (Eigentümer oder Geschäftsführer des Gebäudes bzw. der Anlage) ist dafür verantwortlich, die Betriebsanlagen sicher und vorschriftsgemäß zu betreiben. Im Ereignisfall können Menschen, die Umwelt oder Sachgüter zu Schaden kommen, wenn Betreiberpflichten vernachlässigt werden. Die Konsequenzen bei Verstößen gegen Betreiberpflichten sind erheblich: von behördlichen Auflagen über Bußgelder bis hin zur persönlichen Haftung der verantwortlichen Manager. Daher hat Rechtskonformität stets Vorrang, selbst vor wirtschaftlichen Interessen – jeder Nutzen aus einer regelwidrigen Handlung wäre trügerisch, denn er wäre mit potenziellen Schäden und Strafen behaftet. Für eine rechtskonforme Organisation ist es zunächst erforderlich, alle relevanten Unternehmenspflichten systematisch zu identifizieren. Jedes Unternehmen besitzt ein individuelles Pflichtenprofil, abhängig von Branche, eingesetzten Anlagen und Tätigkeiten. Im FM-Bereich umfasst dies etwa Vorschriften des Bau- und Gebäuderechts, Arbeits- und Brandschutz, Umweltauflagen (z. B. Umgang mit Gefahrstoffen, Abfall, Energieeffizienz), technische Normen für Wartung und Prüfung von Anlagen (Aufzüge, Heizungen, Elektroprüfungen nach DGUV etc.) sowie Verkehrssicherungspflichten auf dem Betriebsgelände. All diese Vorgaben müssen bekannt sein und aktiv beachtet werden. Oft wird zu diesem Zweck ein Rechtskataster bzw. eine Pflichtenmatrix geführt – ein Katalog aller einschlägigen Rechtspflichten für den jeweiligen Standort und das Unternehmen. Dieser Katalog bildet die Basis dafür, rechtskonforme Prozesse im FM aufzusetzen und auditfähig nachzuweisen. Neben der Identifikation spielt die Delegation von Verantwortlichkeiten eine zentrale Rolle der Betreiberorganisation. Zwar bleibt der primäre Betreiber (z. B. der Vorstand oder Geschäftsführer als Organ) in der Haftung, doch kann er durch klare Delegation einzelner Fachpflichten an geeignete Mitarbeiter (z. B. Sicherheitsfachkraft, Immissionsschutz- oder Brandschutzbeauftragte, technische Leiter) die Erfüllung der Vorschriften praktisch sicherstellen. Die Delegation muss schriftlich erfolgen und die delegierten Personen müssen fachkundig sowie zuverlässig sein. Entscheidend ist, dass trotz Delegation eine Oberaufsicht durch die Unternehmensleitung stattfindet – diese kann nicht vollständig abgeben werden. Gerade hierin liegt ein Spannungsfeld: das Management muss genügend Vertrauen in die Organisationsstruktur haben, gleichzeitig aber wirksame Kontrollmechanismen unterhalten, um die Einhaltung der delegierten Pflichten zu überprüfen.

Die Organisation der Unternehmenspflichten folgt bewährten Prinzipien, die in der Literatur teils als sechs Organisationspflichten bezeichnet werden. Konkret muss ein Unternehmen sicherstellen, dass alle einschlägigen Rechtspflichten erstens ermittelt, zweitens delegiert, drittens aktualisiert, viertens erfüllt, fünftens kontrolliert und sechstens dokumentiert werden.

• Ermitteln: Zunächst sind sämtliche externen und internen Verpflichtungen lückenlos zu identifizieren (Gesetze, Verordnungen, Normen, behördliche Bescheide, aber auch interne Vorgaben und Verträge). Dies erfordert oft eine Rechtsdatenbank oder Expertinnen und Experten, die relevante Änderungen beobachten. Neue oder geänderte Vorschriften müssen sofort ins Pflichtenregister übernommen werden.

• Delegieren: Jede Pflicht ist einer verantwortlichen Person oder Rolle zuzuweisen (Verantwortungsträger-Prinzip). Wichtig ist die formale Bestellung und Aufgabenbeschreibung, damit klar ist, wer wofür zuständig ist. Ohne klare Zuständigkeiten besteht die Gefahr von Überschneidungen oder Lücken (jeder denkt, der andere kümmert sich).

• Aktualisieren: Rechtsvorschriften ändern sich ständig – laut Studien gibt es Hunderte relevante Änderungen pro Jahr in größeren Unternehmen. Daher muss ein Prozess etabliert sein, der Änderungen zeitnah erkennt und die internen Vorgaben (Arbeitsanweisungen, Prüfpläne etc.) daraufhin anpasst. Viele Unternehmen nutzen hierfür Compliance-Dienstleister oder Software, die monatliche Updates bereitstellen (z. B. Änderungskataloge der Rechtsgebiete).

• Erfüllen: Die praktische Umsetzung der Pflichten im Alltag ist das Herzstück der Compliance. Alle delegierten Aufgaben (z. B. regelmäßige Wartungen, Schulungen, Prüfungen, Berichterstattungen) müssen fristgerecht und sachgerecht durchgeführt werden. Hierbei helfen standardisierte Prozesse und Checklisten, wie sie in zertifizierten Managementsystemen eingefordert werden.

• Kontrollieren: Überwachung und Kontrolle stellen sicher, dass delegierte Pflichten tatsächlich erfüllt wurden und wirksam sind. Dies geschieht durch interne Audits, Begehungen, Reporting-Systeme oder den Abgleich von Kennzahlen. Im FM-Kontext kann dies z. B. bedeuten: Wurden alle vorgeschriebenen Prüftermine eingehalten? Liegen keine Überschreitungen von Grenzwerten vor? Gibt es offene Mängelberichte und wie wird damit umgegangen?

• Dokumentieren: Abschließend ist zu jeder Pflicht eine Nachweisführung erforderlich. Ohne Dokumentation gilt eine Maßnahme im Zweifel als nicht erfolgt – daher sind Prüfprotokolle, Wartungsberichte, Schulungsnachweise usw. lückenlos zu führen und aufzubewahren. Moderne Compliance-Systeme unterstützen hier mit digitaler Dokumentation, die revisionssicher ist und auf Knopfdruck den Erfüllungsstatus anzeigen kann.

Erst wenn alle sechs Aspekte ineinandergreifen, kann das Unternehmen gegenüber sich selbst (interne Kontrolle), gegenüber Auditoren und notfalls vor Gericht belegen, dass es seine Organisationspflichten erfüllt hat. Auditoren prüfen im Rahmen externer Zertifizierungen genau diese Aspekte: Sind die Pflichten bekannt? Wurden sie intern zugewiesen? Liegen aktuelle Nachweise der Umsetzung vor? – Kurz: Ist die Pflicht zur Gesetzestreue organisatorisch verankert? Ein zentrales Hilfsmittel sind dabei strukturierte Rechtskataster bzw. Rechtspflichten-Kataloge. Ein gutes Compliance-System bietet je nach Auditverfahren einen vorgefertigten Katalog der einschlägigen Rechtspflichten als Grundlage an. Diese Kataloge können vom Auditor wie Checklisten genutzt werden, um sicherzustellen, dass im Audit keine relevanten Rechtsvorschriften übersehen werden. Für das Unternehmen bedeutet dies zugleich Klarheit bei der Auditvorbereitung: Es weiß, welche spezifischen Nachweise im kommenden Audit verlangt werden (z. B. im Umwelt-Audit Genehmigungen, im Energie-Audit Nachweise über Energieeffizienz-Maßnahmen etc.). Dadurch werden Überraschungen im Audit vermieden – ein wesentliches Kriterium der Auditfähigkeit.

Während traditionelle Ansätze Compliance als projektweises Abarbeiten von Checklisten vor dem Audit-Termin verstanden, propagiert der moderne Ansatz die tägliche Auditfähigkeit: Das Unternehmen soll jeden Tag so geführt werden, als stünde am nächsten Tag ein Audit an. Dieses Paradigma lässt sich nur mit Unterstützung geeigneter Systeme und einer entsprechenden Unternehmenskultur erreichen. Ein effektives Compliance-Management-System (CMS) im FM-Kontext – idealerweise IT-gestützt – integriert die oben genannten Schritte in den Alltag. So ein System enthält alle einschlägigen Unternehmenspflichten und ordnet sie den Verantwortlichen zu; es aktualisiert sich laufend (z. B. via monatliche Updates), überwacht Fristen, ermöglicht Kontrollen und dokumentiert automatisch digital die Erfüllung jeder Pflicht. Beispielsweise erzeugt ein gutes CMS für jede erledigte Aufgabe einen Erledigungsvermerk und archiviert zugehörige Belege (Dokumente, Fotos, Prüfsiegel etc.) elektronisch. Die Summe dieser Nachweise ergibt ein revisionssicheres Journal der Compliance-Aktivitäten, anhand dessen ein Auditor jederzeit die fortdauernde Gesetzeseinhaltung erkennen kann. Für das Top-Management bietet ein solches System auf Knopfdruck einen Compliance-Überblick: Ampelberichte oder Dashboards zeigen an, in welchen Bereichen alles im grünen Bereich ist und wo eventuelle Risiken bestehen. Diese Transparenz ist für Vorstand und Geschäftsführung elementar, da sie letztlich die Verantwortung tragen. Sollte es zu einem Audit (oder einem Vorfall) kommen, kann das Management gegenüber Auditoren oder Behörden den Einsatz eines CMS und die konsequente Erfüllung aller Pflichten nachweisen. Ein Auditor wird in so einem Falle schnell überzeugt sein, dass das Unternehmen seine Compliance im Griff hat – der Auditor kann sich vom Einsatz des CMS überzeugen lassen. Damit sinkt auch der Aufwand bei externen Audits erheblich: Anstatt mühsam Ordner zu wälzen oder Mitarbeitende interviewen zu müssen, kann der Prüfer direkt Berichte aus dem System ziehen. Eine solche Digitalisierung der Compliance erhöht nicht nur die Auditfähigkeit, sondern spart langfristig Ressourcen und verbessert die Genauigkeit der Nachweise. Wichtig ist allerdings, dass trotz Automation die inhaltliche Qualität der Compliance-Arbeit gewährleistet bleibt. Ein CMS ist nur so gut wie die Inhalte, die eingegeben werden. Die Verantwortlichen im Unternehmen müssen das System pflegen, das heißt neue Rechtsänderungen einarbeiten, Verantwortliche schulen und die Ergebnisse tatsächlich überprüfen. Systematische Fehler (etwa falsche Kategorisierung einer Pflicht oder Fehlinterpretation einer Vorschrift) können sonst trotz formal korrekter Abläufe zu Nicht-Konformität führen. Deshalb sollte die tägliche Auditfähigkeit immer mit einem wachen Auge und Fachexpertise begleitet sein – z. B. durch regelmäßige Compliance-Audits oder externe Rechtsgutachten, die das System challengen. Die Kombination aus einem leistungsfähigen CMS und einer gelebten Compliance-Kultur im Unternehmen ist der Schlüssel, um permanente Auditbereitschaft zu erreichen.

Ein zentrales Argument für permanente Auditfähigkeit sind die deutlich reduzierten Haftungsrisiken. Zum einen schützen sich Unternehmen selbst vor Sanktionen: Wer stets rechtskonform arbeitet, läuft weniger Gefahr, dass Behörden Verstöße feststellen und Bußgelder verhängen oder Betriebseinschränkungen aussprechen. Kommt es dennoch zu einem Zwischenfall, kann die Unternehmensleitung durch den dokumentierten Nachweis eines Compliance-Systems die Vorwürfe entkräften und so Sanktionen abmildern. Tatsächlich hat die oberste Rechtsprechung klargestellt, dass bei der Bemessung von Unternehmensgeldbußen berücksichtigt werden muss, inwieweit ein Unternehmen seiner Pflicht genügt hat, Rechtsverletzungen durch ein effizientes Compliance-System zu verhindern. Mit anderen Worten: Prävention wird belohnt. Ein Unternehmen mit gelebter Compliance kann im Ernstfall auf einen Bonus hoffen, während ein Unternehmen ohne solche Vorkehrungen mit dem vollen Maß an Strafe rechnen muss.

Zum anderen reduziert ein wirksames Compliance- und Audit-System das Risiko der persönlichen Haftung von Führungskräften (Organhaftung). Nach deutschem Aktiengesetz und entsprechender Rechtsprechung müssen Vorstände und Geschäftsführer dafür sorgen, dass im Unternehmen alle Gesetze beachtet werden. Tun sie das nicht, machen sie sich schadensersatzpflichtig. Hier wirkt ein dokumentiertes CMS als Entlastungsbeweis: Es belegt, dass die Geschäftsleitung alle organisatorisch zumutbaren Vorkehrungen getroffen hat, um Rechtsverstöße zu verhindern. Insbesondere durch lückenlose Dokumentation und Aufsichtsorganisation kann ein Vorstand seine Sorgfalt nachweisen. Sollte es trotz aller Maßnahmen zu einem Vorfall kommen, kann das Management darlegen, dass kein Organisationsverschulden vorliegt, weil ein angemessenes Überwachungssystem installiert war. Allerdings betont die Literatur, dass ein einmal jährlich stattfindendes Audit allein nicht genügt, um diese Entlastungswirkung zu erzielen – vielmehr muss Compliance als Daueraufgabe vereinbart und geprüft werden. Genau dies erreicht man durch permanente Auditfähigkeit: Die Auditprozesse laufen fortwährend, nicht nur einmal im Jahr. Damit kann die Unternehmensleitung im Zweifel zeigen, dass Compliance nicht nur auf dem Papier, sondern jederzeit wirksam gelebt wurde.

Ein oft übersehener Aspekt ist die Haftung von Auditoren selbst im Falle mangelhafter Prüfungen. Auditoren (etwa externe Zertifizierer oder Sachverständige) haben ein eigenes Interesse daran, dass das auditierte Unternehmen tatsächlich rechtskonform ist. Werden nämlich Unternehmen trotz Zertifikat wegen Rechtsverstößen auffällig, leidet nicht nur deren Ruf, sondern auch der des Auditors. Für falsche Zertifikate haften Auditoren und Umweltgutachter ähnlich wie Wirtschaftsprüfer persönlich. In der Vergangenheit haben fehlerhafte Prüfberichte erhebliche Konsequenzen nach sich gezogen. Auditoren können gegenüber dem zertifizierten Unternehmen für Schäden aus dem Auditvertrag haften und unter bestimmten Voraussetzungen sogar Dritten gegenüber, die auf die Richtigkeit eines Zertifikats vertraut haben. Diese Expertenhaftung führt dazu, dass seriöse Auditoren sehr genau hinschauen und im Zweifel ein Zertifikat versagen, wenn die dauerhafte Gesetzeseinhaltung nicht überzeugend dargelegt wird. Für das Unternehmen bedeutet das: Ohne permanente Compliance kein bestandener Audit – und umgekehrt kann eine gute Compliance dem Auditor die Arbeit erleichtern und die Zusammenarbeit vertrauensvoll gestalten.

Neben der reinen Erfüllung von Pflichten ergeben sich aus permanenter Auditfähigkeit und einem effektiven Compliance-Management auch handfeste wirtschaftliche Vorteile. Die Investition in Compliance-Strukturen und ständige Auditbereitschaft wirkt präventiv und kostensparend.

• Vermeidung von Haftungsfällen und Sanktionen: Ein auditfähiges, rechtskonformes Unternehmen minimiert das Risiko von Rechtsverstößen und damit verbundenen Haftungsrisiken, Geldbußen oder Schadensersatzforderungen. Jeder potenziell verhinderte Zwischenfall (z. B. ein Arbeitsunfall oder ein Umweltdelikt) spart erhebliche Kosten – direkte Strafzahlungen ebenso wie indirekte Aufwände für Rechtsstreitigkeiten und Schadensbehebung.

• Schutz des Managements vor Organhaftung: Durch ein dokumentiertes CMS kann die Unternehmensleitung ihre Sorgfaltspflicht erfüllen und sich im Ernstfall entlasten. Dies reduziert das persönliche Risiko für Vorstände und Geschäftsführer. Ein funktionierendes Compliance-System wirkt wie eine Versicherung: Es liefert Beweissicherheit durch Dokumentation und kann als Entlastungsnachweis dienen.

• Erhöhte Sicherheit für Mitarbeitende: Die strikte Einhaltung von Arbeits- und Gesundheitsschutzvorschriften schützt die Belegschaft vor Arbeitsunfällen und Berufskrankheiten. Dies ist nicht nur humanitär und ethisch wichtig, sondern vermeidet auch produktivitätsmindernde Vorfälle, Ausfallzeiten und Kosten durch Krankheits- oder Unfallfolgen. Mitarbeiter arbeiten motivierter in einem Unternehmen, das Sicherheit ernst nimmt, was die Effizienz steigert.

• Schutz der Kapitalgeber und des Unternehmenswerts: Compliance-Vorfälle (etwa Korruptions- oder Umweltskandale) können den Börsenkurs und Unternehmenswert dramatisch beeinträchtigen. Durch präventive Compliance werden Kapitalgeber vor Kursverfall aufgrund von Rechtsverstößen mit Schadensfolgen geschützt. Rating-Agenturen und Investoren honorieren zunehmend solide Compliance-Strukturen, da sie Stabilität und Risikokontrolle signalisieren.

• Wahrung der Reputation und Marktchancen: Ein Unternehmen, das nachweislich dauerhaft regelkonform arbeitet, genießt einen guten Ruf. Es vermeidet Imageschäden im Wettbewerb und kann seine Zuverlässigkeit gegenüber Kunden und Geschäftspartnern betonen. Reputation ist ein wettbewerbsrelevanter Faktor – gerade in Branchen, wo Vertrauen entscheidend ist (z. B. bei öffentlichen Auftraggebern).

• Teilnahme an Ausschreibungen und Geschäftsbeziehungen: Immer häufiger setzen öffentliche wie private Auftraggeber voraus, dass Lieferanten und Dienstleister Compliance-Standards einhalten. Eine lückenlose Audit-Historie und Zertifizierungen können einen Ausschluss von Vergabeverfahren verhindern. Mit anderen Worten: Gute Compliance ist ein „Türöffner“ für neue Geschäftsgelegenheiten, während schlechte Compliance zu Ausschlüssen führen kann.

• Milderung von Strafmaßnahmen im Ernstfall: Sollte es trotz aller Prävention zu einem Regelverstoß kommen, kann ein effizientes CMS die Sanktionsminderung bewirken. Behörden und Gerichte werten es positiv, wenn das Unternehmen nicht vorsätzlich oder grob fahrlässig agierte, sondern ein eigentlich funktionierendes Überwachungssystem hatte. Dies kann zu reduziertem Strafmaß oder dem Absehen von Anklagen führen. Präventive Investitionen zahlen sich somit im Krisenfall aus.

Darüber hinaus ist zu beachten, dass ein wirksames Compliance-Management häufig mit einer Optimierung interner Abläufe einhergeht. Prozesse werden klar definiert, Verantwortlichkeiten festgelegt, Doppelarbeit und ineffiziente Workarounds abgebaut. Oft entdeckt man im Zuge der Auditvorbereitung Verbesserungspotential in Schnittstellen oder Informationsflüssen. Integrierte Managementsysteme (IMS), die mehrere Normenanforderungen zugleich abdecken, verhindern redundante Dokumentation und nutzen Synergien – was personelle und finanzielle Ressourcen schont. Insgesamt lässt sich sagen: Compliance rechnet sich. Studien zeigen, dass jeder in Compliance investierte Euro ein Vielfaches an potenziellen Schadenskosten erspart, von den weichen Vorteilen wie Markenwert und Mitarbeiterzufriedenheit ganz zu schweigen.