Audit gemacht, Risiko geblieben: Das Problem sind nicht die Checklisten
Ich komme aus Audits und Begehungen nicht selten mit demselben Eindruck zurück: Formal war vieles sauber, Nachweise waren vorhanden, Checklisten vollständig. Und trotzdem bleibt ein Risiko, das sich nicht wegprüfen lässt. Was mir wieder aufgefallen ist! Nicht die Checklisten sind das Problem. Das Problem ist, wofür sie gehalten werden: für ein Sicherheitsnetz. In Wahrheit sind sie häufig nur ein Protokoll darüber, dass man etwas betrachtet hat. Sie sind nicht automatisch der Beleg dafür, dass Risiken verstanden, bewertet und wirksam beherrscht werden.
Dabei will ich Audits ausdrücklich nicht kleinreden. Aus HSE und HSSE Sicht sind Audits ein zentrales Instrument der Rechtssicherheit. Sie unterstützen Unternehmen dabei, Pflichten zu strukturieren, Zuständigkeiten zu klären, Nachweise zu erzeugen und bei Behörden, Auftraggebern oder im Haftungsfall darzustellen, dass das Unternehmen seine Organisationspflichten ernst nimmt. Zudem zeigen Audits Potenziale auf, sowohl in der Risikobeherrschung als auch in der Effizienz von Prozessen. Das Problem entsteht erst dann, wenn Auditkonformität mit Risikobeherrschung verwechselt wird.
Wenn erledigt nicht beherrscht bedeutet
Ein typisches Muster in HSSE Systemen: Maßnahmen sind umgesetzt, aber nicht in den Arbeitsalltag integriert. Da wurde eine Gefährdungsbeurteilung aktualisiert, eine Unterweisung dokumentiert, ein Prüfintervall festgelegt, eine Betriebsanweisung angepasst. Alles korrekt, oft sogar vorbildlich. Nur: Im Arbeitsablauf hat sich nichts verändert. Beschäftigte arbeiten weiter mit Routinen, weil sie schnell sind, weil Zeitdruck besteht, weil das alte Vorgehen vermeintlich funktioniert. Das Audit bewertet dann die Existenz der Dokumente. Das Risiko bleibt jedoch dort, wo es immer war: im tatsächlichen Verhalten unter realen Bedingungen.
Risikobeherrschung erkennt man nicht am Ordner. Man erkennt sie daran, ob Abweichungen früh sichtbar werden, ob Grenzwerte verstanden sind, ob kritische Tätigkeiten mit klaren Stopp Kriterien abgesichert werden und ob Führungskräfte bei Konflikten zwischen Produktion, Termindruck und Sicherheit tatsächlich Präsenz zeigen. Eine Checkliste kann diese Realität anstoßen, aber sie kann sie nicht ersetzen.
Audits schaffen Rechtssicherheit, aber sie sind keine Garantie
Audits sind Momentaufnahmen. Sie sind strukturierte Stichproben und dienen der systematischen Prüfung, ob Anforderungen erkannt, umgesetzt und nachvollziehbar belegt werden. Genau das ist für Rechtssicherheit entscheidend. Denn Rechtssicherheit entsteht nicht nur durch gute Absichten, sondern durch nachweisbare Organisation: durch klare Zuständigkeiten, qualifizierte Personen, definierte Prozesse, dokumentierte Prüfungen, belastbare Unterweisungen und eine nachvollziehbare Bewertung von Risiken.
Was Audits jedoch nicht leisten können, ist eine Garantie, dass im Alltag nichts passiert. Risiko folgt keinem Auditkalender. Ein Auditergebnis sagt etwas darüber, ob ein System grundsätzlich geeignet und gepflegt ist. Es sagt nicht automatisch, wie stabil dieses System unter Stress reagiert. Und HSSE Risiken entstehen besonders häufig dann, wenn Störungen auftreten, Personal fehlt, Fremdfirmen eingebunden werden oder Zeitdruck die Prioritäten verschiebt.
Warum Checklisten manchmal versagen
Viele Checklisten fragen nach dem Vorhandensein. Gibt es eine Gefährdungsbeurteilung. Gibt es Prüfprotokolle. Sind Unterweisungen dokumentiert. Gibt es eine Rechtskatasterpflege. Sind Betriebsanweisungen aktuell. Das sind sinnvolle Mindestfragen und sie gehören zu jeder auditfähigen Organisation. Die entscheidenden Fragen liegen aber tiefer.
Verstehen die Beschäftigten die Gefährdungen oder kennen sie nur den Inhalt einer Unterweisung. Sind Schutzmaßnahmen praktikabel oder sind sie theoretisch korrekt und werden deshalb im Alltag umgangen. Werden Beinaheereignisse und Abweichungen gemeldet oder stillschweigend kompensiert. Wird Wirksamkeit überprüft oder nur die Umsetzung abgehakt.
Wenn Audits diese Ebene nicht erreichen, erzeugen sie Sicherheitssymbole statt Sicherheitswirkung. Dann wird zwar Rechtssicherheit dokumentiert, aber das Restrisiko bleibt hoch.
Der blinde Fleck heißt Wirksamkeit
In HSSE Managementsystemen ist Wirksamkeit das große Wort und gleichzeitig der häufigste Schwachpunkt. Unternehmen dokumentieren Maßnahmen, aber sie belegen nicht, dass diese Maßnahmen das Risiko tatsächlich reduzieren. Ein Beispiel: Es gibt Regeln zur persönlichen Schutzausrüstung, die Ausgabe ist dokumentiert, Unterweisungen sind unterschrieben. Im Alltag wird die Schutzausrüstung aber nicht konsequent getragen, weil sie unbequem ist, weil Ersatz fehlt oder weil sie den Arbeitsablauf verlangsamt. Die Maßnahme ist da, die Wirkung nicht.
Wirksamkeitsprüfung ist unbequem, weil sie Realität sichtbar macht. Sie zwingt dazu, die Lücke zwischen Papier und Praxis offen anzusprechen. Genau diese Lücke ist der Ort, an dem Unfälle passieren, Umweltvorfälle entstehen, gefährliche Expositionen auftreten oder kritische Situationen eskalieren.
Wirksamkeit bedeutet in der Praxis: Es gibt eine klare Erwartung an Verhalten, die Führung wird sichtbar, Abweichungen haben Konsequenzen, und es existieren Indikatoren, die zeigen, ob die Regel tatsächlich gelebt wird. Das kann eine qualitative Beobachtung sein, eine Kennzahl, eine Trendanalyse aus Beinaheereignissen oder auch die Auswertung von Freigabesystemen und Permit to Work Prozessen.
Führung ist mehr als ein Statement
In Audits wird Führung oft abgefragt, aber zu selten bewertet. Dann gilt Management Commitment als vorhanden, weil es eine HSSE Politik gibt, weil Ziele definiert sind, weil Ressourcen formal bereitgestellt werden. Was ich in der Praxis sehe: In kritischen Situationen wird Verantwortung nach unten delegiert, ohne dass die unteren Ebenen die nötige Entscheidungsmacht haben. Schichtleitungen stehen zwischen Produktionszielen, Personalmangel und Sicherheitsanforderungen. Sie müssen täglich priorisieren.
Echte Führung zeigt sich dort, wo es unangenehm wird. Bei Konflikten zwischen Output und Sicherheit. Bei Störungen. Bei ungeplanten Abweichungen. Bei Fremdfirmeneinsätzen. Wenn in diesen Momenten Sicherheitsstandards verhandelbar werden, hilft das beste Auditprotokoll nicht. Dann bleibt das Risiko bestehen, obwohl der Auditbericht gut aussieht.
Kompetenz ist keine Unterschrift
Unterweisungen sind notwendig, auch rechtlich. Aber eine dokumentierte Unterweisung ist noch keine Kompetenz. Kompetenz heißt: Menschen erkennen Gefährdungen, verstehen Schutzprinzipien, können Abweichungen bewerten und handeln richtig, auch ohne ständige Anleitung. Viele Organisationen erfüllen die Unterweisungspflicht, bauen aber zu wenig Handlungskompetenz auf.
Besonders in HSSE relevanten Tätigkeiten ist das entscheidend. Lockout Tagout, Arbeiten in engen Räumen, Heißarbeiten, Tätigkeiten mit Gefahrstoffen, Arbeiten in der Höhe, Energieisolierung, Befahrungen, Reinigungs- und Instandhaltungsarbeiten unter Zeitdruck. Hier reicht es nicht, wenn man weiß, was im Dokument steht. Man muss verstehen, warum die Regel existiert und wann man die Arbeit stoppen muss.
Was sich in der Praxis bewährt: kurze, regelmäßige Lernimpulse direkt im Arbeitsumfeld, kombiniert mit Beobachtung, Feedback und konkreter Rückmeldung. Nicht einmal im Jahr Folien, sondern kontinuierliche Befähigung. Fragen wie: Woran erkennst du heute, dass du in einem kritischen Prozessschritt bist. Was ist dein Stopp Kriterium. Wen rufst du an, wenn du unsicher bist. Diese Fragen verändern Verhalten und damit Risiken.
Audits sollten Potenziale sichtbar machen, nicht nur Abweichungen
Ein Audit kann mehr sein als eine Kontrolle. Es kann Diagnoseinstrument sein. Es kann Potenziale aufdecken, etwa bei der Standardisierung von Freigabeprozessen, bei der Qualität von Gefährdungsbeurteilungen, bei der Steuerung von Fremdfirmen, bei der Instandhaltungsplanung, bei der Schnittstellenkommunikation oder bei der Wirksamkeitsbewertung von Maßnahmen.
Dafür braucht es ein Auditverständnis, das nicht in erster Linie fragt, ob etwas formal vorhanden ist, sondern ob das System robust ist. Robust heißt: Es funktioniert auch dann, wenn es stressig wird. Wenn eine Anlage steht. Wenn die Schicht dünn ist. Wenn die Fremdfirma drängt. Wenn es regnet und der Zeitplan kippt. Robustheit ist die eigentliche Messgröße guter HSSE Organisation, auch wenn sie sich nicht so leicht in Häkchen übersetzen lässt.
Was ich als gutachterliche Vorgehensweise empfehle
Erstens: Risikohotspots priorisieren. Nicht alles gleich auditieren. Dort Zeit investieren, wo Energie, Druck, Gefahrstoffe, Ex Bereiche, Verkehr, Maschinen, Arbeiten mit erhöhtem Gefahrenpotenzial oder relevante Umweltaspekte zusammenkommen. Risiko ist nicht gleichmäßig verteilt.
Zweitens: Arbeitsrealität beobachten. Hingehen, wo kritische Tätigkeiten stattfinden. Anlauf und Abstellung, Störung, Reinigung, Umrüstung, Schichtwechsel. Dort erkennt man, ob Regeln funktionieren oder nur existieren.
Drittens: Wirksamkeit sichtbar machen. Für jede wesentliche Maßnahme muss beantwortbar sein, woran man erkennt, dass sie wirkt. Wenn das nicht klar ist, ist es keine belastbare Risikoreduktion, sondern eine Absichtserklärung.
Viertens: Schnittstellen auditieren. HSSE Ereignisse entstehen häufig an Übergängen. Zwischen Abteilungen, zwischen Schichten, bei Fremdfirmen, bei neuen Produkten, bei Änderungen an Anlagen. Genau dort sind Systeme oft am empfindlichsten.
Fünftens: Entscheidungskriterien klären. Stopp Regeln, Eskalationswege und Verantwortlichkeiten müssen im Alltag glasklar sein. Nicht im Organigramm, sondern in der Praxis: Wer entscheidet. Wie schnell. Mit welchen Kriterien.
Audits dienen der Rechtssicherheit, und sie sind ein starker Hebel, um Pflichten zu strukturieren und Verbesserungspotenziale sichtbar zu machen. Checklisten sind dafür ein nützliches Werkzeug. Aber sie sind kein Ersatz für Risikokompetenz, Führung und gelebte Wirksamkeit.
Wenn Auditkonformität als Synonym für Sicherheit verstanden wird, entsteht ein gefährlicher Trugschluss. Dann ist das Audit gemacht, aber das Risiko bleibt. Wer dagegen Audits als Diagnose nutzt, als Spiegel der Praxis und als Startpunkt für robuste HSSE Verbesserungen, erreicht den eigentlichen Zweck: nicht nur Nachweise zu produzieren, sondern Risiken nachhaltig zu beherrschen.
