Auditierung (interne/externe Audits, angekündigt & unangekündigt):

Bei der Angebotserstellung müssen Bieter für Sicherheitsdienstleistungen ein schriftliches “Audit- und Inspektionskonzept” einreichen, das detailliert beschreibt, wie sie die oben genannten Audittartenn während der Vertragslaufzeit umsetzen werden. Die Ausschreibungsunterlagen sollten dies als verpflichtenden Bestandteil der technischen Angebotsunterlagen fordern.

• Audit-Typen und Frequenz: Eine klare Beschreibung, welche Audit-Typen durchgeführt werden (interne Audits, Audits durch den Auftraggeber, externe Zertifizierungsaudits, unangekündigte Kontrollen, Mystery-Checks etc.) und wie häufig jeweils. Zum Beispiel könnte der Bieter zusagen, interne Objektbegehungen jedes Einsatzortes wöchentlich vorzunehmen, Management-Reviews monatlich, gemeinsame Audits mit dem Kunden vierteljährlich und einen externen Zertifizierungsaudit jährlich. Sowohl regelmäßige Intervalle als auch Ad-hoc-Möglichkeiten sollten abgedeckt sein (z.B. „zusätzliche unangekündigte Prüfungen erfolgen anlassbezogen bei Leistungsauffälligkeiten“).

• Anwesenheit und Pünktlichkeit der Wachpersonale: Überprüfung, dass alle Posten gemäß Dienstplan besetzt sind und das Personal pünktlich erscheint (keine Schichtlücken oder Verspätungen).

• Einhaltung der SOPs und Dienstanweisungen: Kontrolle, ob die Sicherheitskräfte alle vorgeschriebenen Prozeduren befolgen (z.B. ordnungsgemäßes Führen von Besucherlisten, korrekte Zugangskontroll-Prozesse, Rundgänge in den vorgegebenen Intervallen, sachgerechte Alarmreaktionen, Meldungen von Vorkommnissen).

• Vorfallmanagement und Dokumentation: Bewertung, wie sicherheitsrelevante Vorfälle gehandhabt und protokolliert werden. Audits sollten sich Einsatzberichte, Alarmprotokolle etc. ansehen, um zu prüfen, ob Zwischenfälle nach Vorschrift eskaliert und ausgewertet werden.

• Ausrüstung und Technik: Sicherstellen, dass die eingesetzten Sicherheitseinrichtungen (z.B. Kommunikationsgeräte, Handscanner, Zeiterfassungssysteme, Alarmanlagen, Fahrzeuge für Revierfahrten) funktionstüchtig sind und korrekt benutzt werden. Prüfer könnten stichprobenartig Geräte testen oder Wartungsnachweise einsehen.

• Uniformierung und Auftreten: Kontrolle, ob das Sicherheits-Personal den vereinbarten Dresscode und ein professionelles Erscheinungsbild einhält (korrekte Uniform, Dienstausweis sichtbar getragen, gepflegtes Auftreten).

• Compliance-Prüfungen: Gerade in Deutschland wichtig – Überwachung der Einhaltung gesetzlicher Pflichten wie Bewacherregister-Einträge, 34a GewO-Unterrichtung/Prüfung der Mitarbeiter, Arbeitszeitvorschriften und insbesondere des Mindestlohngesetzes (MiLoG). Ein robustes Auditkonzept könnte vorsehen, auch Lohnabrechnungen oder Stundenaufzeichnungen stichprobenhaft zu prüfen, um sicherzustellen, dass der Dienstleister z.B. nicht gegen den gesetzlichen Mindestlohn oder Sozialversicherungspflichten verstößt. Im Grunde soll der Bieter alle vertraglichen und rechtlichen Anforderungen, die dem Auftraggeber wichtig sind, durch entsprechende Prüfpunkte abdecken.

• Methodik und Hilfsmittel: Bieter sollten erklären, wie sie die Audits durchführen und dokumentieren. Werden digitale Checklisten oder Apps eingesetzt? Beispielsweise statten manche moderne Sicherheitsfirmen ihre Objektleiter mit Tablet-Software aus, um Inspektionen durchzuführen, Punkte zu bewerten und sofort einen Bericht zu generieren. Der Einsatz digitaler Tools (wie QR-Code-Scanner an Kontrollpunkten, GPS-Tracking für Rundgänge oder Echtzeit-Reporting-Apps) kann positiv hervorgehoben werden, da er die Zuverlässigkeit und Transparenz erhöht. In der Angebotsunterlage sollte auf solche Innovationen im Auditprozess hingewiesen werden, sofern vorhanden, da dies ein Pluspunkt in der Bewertung sein kann.

• Audit-Team und Qualifikation: Das Konzept muss darlegen, wer die Audits durchführt. Bei internen Audits kann dies z.B. ein Quality Manager des Anbieters sein oder dezidierte „Kontrollteams“ aus erfahrenen Objektaufsichten. Bei externen Audits sollte erwähnt werden, welche Stellen involviert sind (z.B. TÜV, externe ISO-Auditoren) oder welche Zertifikate man anstrebt/aufrechterhält. Wichtig ist die Qualifikation der Prüfer: Hat der Anbieter internes Personal mit Ausbildung zum Auditor (z.B. interne Revision oder ISO-Qualitätsmanagement)? Verfügen die Supervisors über langjährige Erfahrung, um objektiv zu bewerten? Falls der Bieter plant, Dritte für spezielle Audits einzusetzen (z.B. einen Mystery Shopper Dienstleister), sollte das benannt werden. Der Auftraggeber gewinnt durch diese Angaben Vertrauen, dass die Audits kompetent und unabhängig genug durchgeführt werden.

• Berichtswesen und Dokumentation: Es reicht nicht, Audits nur durchzuführen; der Bieter muss erläutern, wie die Ergebnisse dokumentiert und kommuniziert werden. Das Auditkonzept sollte festlegen, dass zu jedem Audit/Inspektion ein Bericht oder Protokoll erstellt wird und wie/wann dieser dem Auftraggeber zugänglich gemacht wird. Häufig fordern Auftraggeber, dass monatliche oder vierteljährliche Zusammenfassungen aller Auditergebnisse vorgelegt werden. Der Bieter sollte dies einplanen (mehr Details dazu in Abschnitt 7 zur Berichterstattung). Zudem kann angegeben werden, in welcher Sprache die Berichte verfasst werden (in internationalen Konzernen oft Englisch, ansonsten Deutsch) und ob beispielhafte Checklisten oder Report-Vorlagen existieren, die dem Auftraggeber bei Bedarf vorgelegt werden können.

Durch die Forderung dieser Details im Angebot stellt die Vergabestelle sicher, dass jeder Bieter einen durchdachten Plan für kontinuierliche Qualitätssicherung präsentiert. Ein guter Bieter wird möglicherweise sogar Beispiel-Formulare oder Ablaufdiagramme beilegen, um die Ernsthaftigkeit seines Systems zu belegen. Das Ziel ist, dass der Auftraggeber noch vor der Vergabe beurteilen kann, wie jeder Bieter sich selbst kontrollieren und dem Auftraggeber Einblick gewähren will. In der Tat betonen Best-Practice-Leitfäden für Sicherheitsbeschaffung, dass „jeder private Sicherheitsanbieter über eine interne Qualitätskontroll- und Test-Methodik verfügen sollte“ und dass die Inspektionsprozesse dem Auftraggeber glaubhaft die Objektivität der internen Kontrollen vermitteln müssen. Dementsprechend sollte in der Ausschreibung festgeschrieben sein, dass Bieter ein Auditkonzept mit all diesen Punkten vorlegen. Bieter, die hier unvollständige oder schwache Angaben machen, sollten im Qualitätswertungsteil entsprechend Punktabzug erhalten, da gerade dieses Konzept entscheidend dafür ist, ob der Dienstleister nach Zuschlag die vertraglich zugesicherte Qualität tatsächlich einhält.

Interne Audits sind das Fundament des eigenen Qualitätsmanagement-Systems (QMS) eines Sicherheitsdienstleisters. Lange bevor ein Auftraggeber oder externer Prüfer etwas kontrolliert, muss das Sicherheitsunternehmen sich selbst regelmäßig überwachen.

• Objektkontrollen durch Vorgesetzte: Üblich ist, dass Einsatzleiter oder Supervisors des Sicherheitsdienstes unangekündigte Objektbesuche durchführen, um die Leistung der Wachleute vor Ort zu bewerten. Beispielsweise könnte ein Revierdienstleiter jede Nacht mehrere betreute Objekte spontan anfahren, um zu prüfen, ob die Wachpersonen wachsam sind, ordnungsgemäß ausgerüstet und die Dienstanweisungen befolgen. Diese internen Inspektionen finden planmäßig (z.B. jedes Objekt mindestens einmal pro Woche) sowie zusätzlich anlassbezogen nach Vorfällen oder Kundenbeschwerden statt. Der Bieter sollte die Frequenz solcher internen Rundgänge angeben und erläutern, was dabei geprüft wird (Dienstbuch-Einträge, Kenntnis der Alarmabläufe, Zustand von Schließmitteln etc.).

• Einsatz von Checklisten und KPIs: Wirksame interne Audits nutzen standardisierte Checklisten und Kennzahlen (KPIs), um Einheitlichkeit und Messbarkeit sicherzustellen. Bieter können beispielhafte Prüfpunkte nennen – etwa: „Ist das Wachbuch vollständig und korrekt ausgefüllt? Wurden alle geplanten Rundgänge laut Tourenplan durchgeführt? Wurden Meldeanlagen ordnungsgemäß getestet?“. Oft werden Ergebnisse in Form von Punktbewertungen festgehalten. Bei Nutzung digitaler Audit-Tools lässt sich z.B. eine Prozent-Compliance pro geprüftem Objekt errechnen. Diese Einzelbewertungen fließen dann in KPIs ein, die das Management im Auge behält (z.B. durchschnittliche Audit-Erfüllungsquote pro Monat, Anzahl festgestellter Mängel pro Objekt). Der deutsche Standard DIN 77200 fordert im Grunde ein dokumentiertes, nachvollziehbares Vorgehen bei der Planung und Erbringung von Sicherheitsdienstleistungen – ein zertifiziertes Unternehmen wird also in der Regel bereits solche Checklisten und Prüfprozesse etabliert haben.

• Dokumentation der Feststellungen: Das interne Auditkonzept muss betonen, dass alle Prüffeststellungen dokumentiert werden. Wenn ein Supervisor z.B. feststellt, dass ein Feuerlöscher fehlt oder ein Wachmann seinen Posten unbesetzt gelassen hat, muss dies im Prüfbericht vermerkt werden. Idealerweise wird auch fotografische Evidenz gesammelt (heutzutage einfach per Smartphone). Der Bieter sollte zusichern, dass diese internen Prüfberichte aufbewahrt und in verdichteter Form dem Auftraggeber zugänglich gemacht werden (z.B. in Form monatlicher Zusammenfassungen). Diese Dokumentation ist entscheidend für die Rechenschaftspflicht und um im Zeitverlauf Verbesserungen nachweisen zu können.

• Interne Eskalation und Ursachenanalyse: Was passiert, wenn ein internes Audit Mängel aufdeckt? Das Qualitätskonzept des Bieters sollte einen Eskalationsprozess für Auditfeststellungen beschreiben. Kleinere Abweichungen werden vielleicht sofort vor Ort behoben (z.B. ein Mitarbeiter ermahnt und nochmals eingewiesen). Ernste oder wiederholte Verstöße sollten jedoch an höhere Stellen gemeldet werden. Der Dienstleister könnte z.B. vorsehen, dass bei kritischen Mängeln unverzüglich der Qualitätsmanagement-Beauftragte informiert wird und dieser ggf. die Geschäftsführung. Zudem sollte eine Ursachenanalyse erfolgen: Wurden beispielsweise bei mehreren Audits unverschlossene Türen gefunden, wird nicht nur die Tür verschlossen (Symptom behoben), sondern hinterfragt, warum das passiert (Ursache). Liegt es an Personalmangel, an mangelhafter Kontrolle durch Schichtleiter oder an fehlendem Bewusstsein? Bieter, die Bereitschaft zeigen, den Ursachen auf den Grund zu gehen und nicht nur Symptome zu bekämpfen, demonstrieren einen reifen Qualitätsansatz.

• Zugänglichkeit für den Auftraggeber: Oft fordern Auftraggeber – insbesondere in sensiblen Bereichen – dass der Auftragnehmer Ergebnisse interner Audits mit ihnen teilt. Dies schafft Vertrauen. Im Konzept sollte der Bieter vorschlagen, in welchem Rhythmus und in welcher Form dies geschieht. Üblich ist z.B. ein Monats- oder Quartalsbericht an den Auftraggeber, der alle internen Prüfungen, festgestellten Mängel und ergriffenen Korrekturmaßnahmen kurz zusammenfasst. Manche Auftraggeber wünschen auch die Teilnahme an einzelnen internen Audits oder zumindest Einsicht in die Protokolle. Wenn der Bieter hier Transparenz anbietet, punktet er. In vielen Verträgen sind die Berichte der internen Qualitätssicherung fester Bestandteil der Review-Meetings zwischen Auftraggeber und Auftragnehmer (z.B. wird in der monatlichen Dienstleistungsbesprechung auch die Statistik der letzten internen Kontrollen präsentiert und diskutiert).

Kurz gesagt sind interne Audits das Selbstkontrollinstrument des Dienstleisters. Ein Bieter mit einem starken internen Auditprogramm zeigt, dass er nicht darauf wartet, bis der Auftraggeber oder jemand Externes einen Mangel entdeckt – er wird ihn selbst finden und beheben. Ausschreibungen in Deutschland und der EU betonen vermehrt die Bedeutung interner Qualitätssicherung; Vergabe-Leitfäden heben hervor, dass interne Kontrollen mit höchstmöglicher Objektivität durchgeführt werden müssen. Im Angebot sollte daher spürbar werden, dass die eigenen Supervisoren und Qualitätsmitarbeiter des Bieters rigoros und unparteiisch die Einhaltung der Vorschriften prüfen. Dazu gehört auch eine interne Rechtmäßigkeits-Prüfung, z.B. ob alle Wachpersonen die erforderlichen Unterrichtungen/Prüfungen haben, ob Stundenaufzeichnungen korrekt sind, ob das vorgeschriebene Equipment vorhanden und geprüft ist usw. – nichts wird dem Zufall überlassen.

Über die Eigenkontrolle des Dienstleisters hinaus muss das Auditkonzept bestätigen, dass Auftraggeber und externe Stellen uneingeschränkt Prüfrechte haben und wie der Bieter damit umgeht. Der Vertrag wird typischerweise Klauseln enthalten, die dem Auftraggeber das Recht einräumen, Audits durchzuführen oder Dritte damit zu beauftragen.

• Prüfungsrecht des Auftraggebers: Der Auftraggeber (bzw. dessen Revisions- oder Sicherheitsabteilung) kann regelmäßige oder spontane Inspektionen der Sicherheitsleistung durchführen. Das Konzept des Bieters sollte festhalten, dass man Audits durch den Auftraggeber willkommen heißt – egal ob es sich um geplante gemeinsame Begehungen oder überraschende Kontrollen handelt. Während solcher Audits muss der Dienstleister Zugang zu allen relevanten Bereichen, Dokumenten und Personen gewähren. Ein guter Bieter geht noch weiter und schlägt proaktive Maßnahmen vor, z.B.: „Wir empfehlen, alle zwei Wochen ein Abstimmungsgespräch mit dem Auftraggeber-Sicherheitsbeauftragten zu führen, in dessen Rahmen der Auftraggeber auch eine Vor-Ort-Kontrolle vornehmen kann.“ Entscheidend ist hier das Bekenntnis zur Transparenz: Der Dienstleister sollte nichts „zu verbergen“ haben und die Überprüfungen des Auftraggebers aktiv erleichtern.

• Einsatz externer Prüfer: Mitunter zieht der Auftraggeber unabhängige Dritte hinzu, um die Leistung des Sicherheitsdienstes zu evaluieren (z.B. eine beauftragte Audit-Firma oder externe Consultants für Qualitätssicherung). Der Bieter sollte zusichern, mit allen externen Audits im Auftrag des Kunden vollumfänglich zu kooperieren. Das beinhaltet, geforderte Unterlagen bereitzustellen, Interviews mit Wachpersonal zu ermöglichen und ggf. Maßnahmenempfehlungen umzusetzen. Zudem verlangen viele Verträge vom Sicherheitsanbieter, bestimmte Zertifizierungen aufrechtzuerhalten – beispielsweise ISO 9001 (Qualitätsmanagement), ISO 45001 (Arbeitsschutzmanagement) oder spezifisch in Deutschland DIN 77200 für Sicherheitsdienste. Diese Zertifizierungen gehen mit regelmäßigen externen Audits durch Zertifizierungsstellen einher. Das Auditkonzept sollte auf bestehende Zertifikate des Bieters verweisen und bestätigen, dass externe Auditoren (von Zertifizierern oder Behörden) jederzeit Zugang zur Prüfung erhalten. Beispielsweise durchläuft ein nach ISO 9001:2015 zertifiziertes Unternehmen jährliche Überwachungsaudits durch eine akkreditierte Stelle – der Bieter kann dies als Vorteil hervorheben, da es ein etabliertes externes Kontrollsystem bedeutet.

• Auditvorbereitung und -zugang: Das Konzept des Bieters kann darlegen, wie man sich auf umfangreichere externe Audits vorbereitet. Normalerweise umfasst das die Benennung eines Ansprechpartners für die Auditoren, das Sicherstellen, dass alle relevanten Aufzeichnungen (Schulungsnachweise, Schichtpläne, Einsatzberichte etc.) aktuell und geordnet verfügbar sind, sowie die Bereitstellung von Räumlichkeiten für das Audit-Team. Obwohl ein Auditkonzept kein „Schönfärbe-Plan“ sein soll, zeigt die Beschreibung solcher organisatorischer Vorkehrungen, dass der Bieter gründlich und audit-erfahren ist. Dies ist besonders relevant in Deutschland, wo externe Audits sich auch auf Rechtskonformität erstrecken können. So überprüfen externe Prüfer beispielsweise, ob der Auftragnehmer den Mindestlohn (MiLoG) zahlt und das Arbeitnehmer-Entsendegesetz (AEntG) einhält – beides zentrale Themen wegen der Problematik von Lohndumping in der Wachbranche. Der Bieter sollte darlegen, dass er jeglichen Nachweis liefert, der nötig ist, um die Gesetzeskonformität zu belegen (Lohnabrechnungen, Sozialabgaben-Nachweise, Anwesenheitsdokumentation etc.). TÜV Rheinland bietet etwa Audits von Werkvertragsnehmern an, die auf rechtliche Rahmenbedingungen fokussieren und unangemeldete Vor-Ort-Prüfungen beinhalten – ein Sicherheitsdienstleister sollte also nicht überrascht sein, sondern vorbereitet, falls der Auftraggeber eine solche Prüfung initiiert.

• Vertragsklauseln zur Auditierung: Es sei angemerkt, dass gut formulierte Verträge die Zusammenarbeit bei Audits genau regeln. Der Bieter sollte in seinem Angebot keinerlei Vorbehalte gegenüber Standardklauseln zeigen wie: „Der Auftragnehmer gestattet dem Auftraggeber nach angemessener Vorankündigung Zugang zu seinen Räumlichkeiten, Unterlagen und Mitarbeitern zum Zwecke von Audits, wobei diese Audits während üblicher Geschäftszeiten und unter Wahrung berechtigter Interessen erfolgen.“ In der Regel erfolgen solche Audits auf Kosten des Auftraggebers, außer es werden gravierende Mängel festgestellt (in dem Fall kann der Vertrag vorsehen, dass der Auftragnehmer die Kosten trägt). Ein überzeugender Bieter wird in seinem Konzept sogar hervorheben, dass Audit-Feststellungen von Kundenseite oder Dritten ernst genommen und für Verbesserungen genutzt werden (anstatt sie abzustreiten).

Zusammengefasst geht es bei externen und kundenseitigen Audits um Rechenschaftspflicht gegenüber dem Auftraggeber und den Standards. Bei der Angebotsbewertung werden jene Bieter positiv auffallen, die Bereitschaft zu Offenheit zeigen. Tatsächlich kann das demonstrierte Commitment zur Transparenz – z.B. ausdrücklich zu erwähnen, dass man unangekündigte Kundenprüfungen akzeptiert und namhafte externe Auditoren einbindet – einen Bieter hervorheben. Es versichert dem Käufer, dass er nach Vertragsvergabe nicht auf Widerstand stoßen wird, wenn er die Leistung überprüfen möchte. Stattdessen hat er einen Partner, der versteht, dass „Vertrauen ist gut, Kontrolle ist besser“ beiden Seiten nützt. Ein externes Zertifizierungsaudit könnte beispielsweise Schwachstellen aufdecken, deren Behebung anschließend zu einer verbesserten Sicherheitsqualität für den Auftraggeber führt. Daher muss das Auditkonzept unmissverständlich klarstellen, dass Audits durch den Auftraggeber und Dritte integraler und willkommener Bestandteil des Service Delivery Models sind.

Unangekündigte Audits und Mystery-Checks verdienen im Auditkonzept besondere Aufmerksamkeit, da sie die unverfälschteste Sicht auf die Servicequalität bieten. Bieter müssen ausdrücklich anerkennen, dass der Auftraggeber (oder beauftragte Prüfer) jederzeit unangekündigte Vor-Ort-Kontrollen durchführen kann, und darlegen, wie sie das organisatorisch ermöglichen. Darüber hinaus signalisiert der eigene Einsatz von Mystery-Tests durch den Bieter eine proaktive Qualitätskultur.

• Unangekündigte Vor-Ort-Besuche: Anders als geplante Audits erfolgen unangekündigte Besuche ohne Vorwarnung. In den Vertragsunterlagen sollte (und im Angebot muss) festgehalten sein, dass der Auftraggeber oder ein externer Prüfer unangekündigt an einem Wachposten oder der Sicherheitszentrale auftauchen darf, um eine Überprüfung durchzuführen. Dies stellt sicher, dass die „Alltagsleistung“ evaluiert wird. Beispielsweise könnte eine unangekündigte Nachtkontrolle zeigen, ob ein Wachmann schläft oder ob Zugänge während der Ruhezeit unbewacht offenstehen. Wie zuvor erwähnt, fördern unangekündigte Audits häufig deutlich mehr Probleme zutage; ein Zertifizierungsprogramm (NAID) stellte fest, dass bei zufälligen Audits die Anzahl der festgestellten Non-Compliance-Vorfälle sechs Mal höher war als bei angekündigten Überprüfungen. Dies unterstreicht ihren Wert: Sie wirken gegen Nachlässigkeit und liefern ein ehrliches Leistungsbild. Bieter sollten darlegen, dass sie Überraschungsaudits nicht nur dulden, sondern aktiv unterstützen. Praktisch bedeutet das z.B., dass ihre Objektleiter und Wachpersonen angewiesen sind, jeden sich ausweisenden Kontrollierenden (Auftraggebervertreter oder Auditor) umgehend und umfassend zu unterstützen, auch wenn niemand diesen Besuch erwartet hat. Außerdem impliziert es eine permanente Grundbereitschaft – z.B. müssen Unterlagen jederzeit ordentlich geführt und zugänglich sein und dürfen nicht erst für angekündigte Audits „zurechtgelegt“ werden.

• Mystery-Checks (verdeckte Tests): Mystery-Checks gehen Hand in Hand mit unangekündigten Audits, indem sie noch einen Schritt weitergehen und Täuschung als Testmethode einsetzen. Das Auditkonzept sollte erwähnen, ob der Bieter eigene Mystery-Shopper-Programme durchführt – etwa einen unbekannten Testperson engagiert, die versucht, mit falschem Ausweis aufs Gelände zu kommen, um die Wachsamkeit zu prüfen. Falls der Bieter solches praktiziert, ist das ein starkes Indiz für hohe Qualitätsansprüche. Unabhängig davon kann auch der Auftraggeber Mystery-Tests durchführen (lassen).

• Ein „mysteriöser Besucher“, der versucht, die Empfangskontrolle ohne Berechtigung zu passieren oder als Unbefugter hinter einem Berechtigten ins Gebäude zu schlüpfen (Tailgating), um zu schauen, ob der Sicherheitsdienst eingreift.

• Eine Person, die sich als verärgerter Mitarbeiter oder Lieferant ausgibt, um zu testen, ob das Sicherheitspersonal Konfliktsituationen deeskalierend und nach Vorschrift behandelt.

• Das Platzieren eines herrenlosen Gepäckstücks in der Lobby, um zu beobachten, ob und wie der Sicherheitsdienst reagiert (Verdachtsobjekt-Prozedur).

• Ein Anruf bei der Sicherheitsleitstelle, bei dem sich der Anrufer als jemand anderes ausgibt und versucht, vertrauliche Informationen zu erlangen (Test der Wachsamkeit gegenüber Social Engineering).

Der Bieter sollte zusichern, dass verdeckte Simulationen erlaubt sind und sogar als wertvolles Feedback geschätzt werden. Im Idealfall erklärt der Bieter, dass er nach Auftragserteilung bereit ist, gemeinsam mit dem Auftraggeber Mystery-Szenarien zu entwickeln. Wichtig ist zudem, dass Ergebnisse von Mystery-Checks in die Leistungsbewertung einfließen. Wenn z.B. ein Wachmann den Mystery-Test nicht besteht (d.h. einen „Eindringling“ passieren lässt), könnte vertraglich festgelegt sein, dass der Auftraggeber eine formelle Abmahnung oder im Wiederholungsfall Vertragsstrafen aussprechen kann. Bieter müssen sich dessen bewusst sein und sich damit einverstanden zeigen, dass solche Konsequenzen gerechtfertigt sind – es geht schließlich um die Verantwortung für die Sicherheit. Auf der anderen Seite könnte konsequent gutes Abschneiden bei Mystery-Tests positiv honoriert werden (etwa durch Bonuspunkte im KPI-System oder zumindest durch Lob bei Meetings).

• Auswirkung auf KPI und Vergütung: Befunde aus unangekündigten Audits und Mystery-Aktionen beeinflussen in der Regel die Leistungsbewertung des Auftragnehmers. Das Auditkonzept sollte erwähnen, dass alle Auditresultate erfasst und ggf. bewertet werden. Viele Dienstleistungsverträge verwenden KPI-Kennzahlensysteme (Ampelberichte, Scoring etc.), in denen z.B. jede Kontrolle mit „erfüllt/nicht erfüllt“ oder einer Prozentzahl einfließt. Wiederholte Feststellungen aus unangekündigten Audits könnten die durchschnittliche monatliche KPI-Bewertung senken, was dann gemäß SLA zu Sanktionen führen kann. Umgekehrt trägt das konsequente Einhalten aller Prüfpunkte zur Bonus-Qualifikation bei, falls ein Bonus-Malus-System vereinbart ist. Das Konzept des Bieters sollte zeigen, dass ihm klar ist: gute Audit-Ergebnisse sind entscheidend für den vertraglichen Erfolg.

• Korrekturmaßnahmen bei Überraschungsbefunden: (Details zu Meldung und Nachverfolgung folgen im nächsten Abschnitt, aber hier sei es vorweg erwähnt:) Bieter müssen bereit sein, auf Mängel, die durch unangekündigte Audits oder Mystery-Tests entdeckt werden, umgehend zu reagieren. Wenn z.B. eine unangekündigte Nachtprüfung ergibt, dass ein Posten unbesetzt ist, sollte der Dienstleister Verfahren parat haben, um sofort gegenzusteuern (Ersatz schicken, den Vorfall untersuchen, den Kunden informieren etc.). Solche Reaktionsfähigkeit im Konzept aufzuzeigen, beruhigt den Auftraggeber: Der Dienstleister wird nicht defensiv oder nachlässig reagieren, wenn er „auf frischer Tat“ ertappt wird, sondern er wird das Problem ernstnehmen und beheben.

Zusammenfassend sind unangekündigte und verdeckte Audits unverzichtbare Bestandteile eines modernen Sicherheitsvertrages. Sie sorgen für Ehrlichkeit und kontinuierliche Wachsamkeit und geben ein echtes Abbild der Sicherheitslage. Aus Sicht der Vergabestelle wäre jeder Bieter, der sich gegen spontane Überprüfungen sträubt, ein Warnsignal. Umgekehrt zeigt ein Bieter, der von sich aus auf häufige unangekündigte Eigenkontrollen hinweist und Kunden-Stichproben begrüßt, dass er eine Kultur der ständigen Verbesserung lebt. Das Auditkonzept sollte diese Haltung deutlich ausdrücken. Wie es in einem Branchenkommentar hieß: Sich nur auf angekündigte Audits oder Selbstauskünfte zu verlassen, setzt den Standard zu niedrig – zufällige Audits erhöhen die Compliance erheblich. Im Vergabeverfahren sollte man daher jene Bieter bevorzugen, die sich diese Philosophie bereits zu Eigen gemacht haben.

Ein noch so ausgefeiltes Auditprogramm entfaltet nur dann seine Wirkung, wenn die Ergebnisse transparent berichtet und zeitnah korrigiert werden.

• Standardisierte Auditberichte: Jede durchgeführte Prüfung/Inspektion sollte in einem einheitlichen Berichtformat dokumentiert werden. Der Bieter sollte entsprechende Vorlagen dafür beschreiben oder beifügen. Typischerweise enthält ein Auditbericht eine Zusammenfassung des Prüfumfangs, die angewandten Kriterien oder Checkpunkte, die festgestellten Befunde (inkl. Einzelheiten zu Abweichungen) sowie – bei relevanten Mängeln – einen Plan von Korrekturmaßnahmen. Viele Organisationen nutzen zur Bewertung ein Ampelsystem oder eine Skala, um die Ergebnisse auf einen Blick darzustellen – z.B. Grün (alles in Ordnung oder nur sehr geringfügige Abweichungen), Gelb (moderate Mängel, Handlungsbedarf) und Rot (schwerwiegende Abweichungen, umgehend zu beheben). Die Ausschreibung kann ein solches Schema verlangen, um Trends im Zeitverlauf leicht zu erkennen. Bieter sollten signalisieren, dass sie bereit sind, ein solches Bewertungsschema zu verwenden. So könnte ein angekündigtes Audit etwa mit „95% erfüllt (Grün)“ abschließen, wenn nur Kleinigkeiten fehlten, während ein durchgefallener Mystery-Check in dem spezifischen Punkt ein „Rot“ verursachen würde. Das Zusammenführen dieser Ergebnisse in Scorecards ermöglicht dem Auftraggeber ein kontinuierliches Monitoring.

• Übermittlung der Auditergebnisse: Das Konzept muss festhalten, wann und wie die Auditresultate dem Auftraggeber mitgeteilt werden. Es ist Best Practice, dass für jedes formelle Audit (ob vom Kunden beauftragt oder extern) ein schriftlicher Bericht innerhalb einer definierten Frist geliefert wird (z.B. innerhalb von 5 Werktagen nach dem Audittermin). Für routinemäßige interne Audits wird der Auftraggeber meist nicht jeden einzelnen Rohbericht erhalten, aber er sollte regelmäßig übersichtliche Zusammenfassungen bekommen. Beispielsweise könnte vereinbart werden: „Der Auftragnehmer übermittelt quartalsweise einen Auditbericht an den Auftraggeber, der alle durchgeführten internen Audits und Kundeninspektionen des Zeitraums zusammenfasst, inklusive festgestellter Mängel und ergriffener Maßnahmen.“ In manchen Fällen werden auch Live-Einblicke angeboten – Bieter können erwähnen, ob sie dem Auftraggeber Zugang zu einem Online-Dashboard oder Reporting-Portal geben können, wo Kennzahlen und Berichte fortlaufend einsehbar sind. Die Bereitstellung solcher digitalen Übersichten demonstriert Transparenz und ein modernes QM-System.

• Fristen für Korrekturen: Es ist entscheidend, den Zeitplan für die Behebung von Auditmängeln festzulegen. Kleinere Probleme kann man oft sofort vor Ort lösen, aber für strukturellere Themen braucht es definierte Fristen. Das Auditkonzept sollte Aussagen enthalten wie: „Alle kritischen Sicherheitsmängel werden unverzüglich behoben und dem Auftraggeber innerhalb von 24 Stunden gemeldet. Weniger kritische Abweichungen werden innerhalb von 7 Tagen korrigiert, und sämtliche Korrekturmaßnahmen werden spätestens innerhalb von 14 Tagen abgeschlossen sein.“ Solche Zusagen entsprechen gängigen Qualitätsmanagement-Vorgehensweisen. In vielen leistungsorientierten Verträgen legt der Auftraggeber tatsächlich ein Zeitfenster fest (z.B. 10 Arbeitstage), innerhalb dessen der Auftragnehmer entdeckte Mängel beheben muss, bevor weitere Konsequenzen drohen. Der Bieter sollte zeigen, dass er solche Erwartungen versteht und bereit ist, sie einzuhalten.

• Nachverfolgung von Maßnahmen: Das Programm muss eine Methode vorsehen, um jede Auditfeststellung bis zur Erledigung zu verfolgen. In der Praxis wird hierzu ein Maßnahmenprotokoll oder -plan geführt mit Angaben pro Befund: Beschreibung des Problems, verantwortliche Person, geplante Korrekturschritte, Frist und Status. Der Bieter könnte den Auftraggeber z.B. darüber informieren, dass er ein systematisches Verfahren zur Korrektur- und Vorbeugemaßnahmen (CAPA – Corrective and Preventive Action) analog ISO 9001 nutzt – was bedeutet, dass jeder aufgedeckte Mangel nicht nur oberflächlich korrigiert, sondern auch hinsichtlich der Ursache analysiert und einer Präventionsmaßnahme unterzogen wird. Konkret: Findet ein Audit z.B. heraus, dass mehrfach Streifenfahrten ausgelassen wurden, besteht die Sofortmaßnahme darin, den betreffenden Mitarbeiter zu schulen und zu verwarnen (Symptom beheben). Die Ursachenanalyse könnte jedoch zeigen, dass das Tourenplanungssystem unzuverlässig war oder Übermüdung eine Rolle spielte – als Präventivmaßnahme würde man dann ggf. die Tourenplanung anpassen oder zusätzliche Pausen einführen. Die Vergabestelle wird einen klaren Plan, der auf Vermeidung von Wiederholungsfällen abzielt, sicherlich positiv bewerten – im Gegensatz zu einem Anbieter, der immer nur „Feuer löscht“, aber nie daraus lernt.

• Follow-Up Audits: Nach Umsetzung von Korrekturmaßnahmen ist es oft sinnvoll, den betreffenden Bereich erneut zu prüfen, um sicherzustellen, dass die Abweichung wirklich beseitigt ist. Das Auditkonzept sollte erwähnen, dass bei erheblichen Mängeln ein Nachaudit oder zumindest eine Nachkontrolle erfolgt. Beispielsweise: Wenn ein externes Audit ergeben hat, dass an einem Objekt die Besucherregistrierung lückenhaft war (Maßnahme: Wachpersonal nachschulen und Formular umstellen), wird der Qualitätsbeauftragte gezielt bei der nächsten internen Kontrolle die Besucherlisten dieses Objekts erneut prüfen, um die Verbesserung zu verifizieren. Damit wird der PDCA-Zyklus (Plan-Do-Check-Act) im Qualitätsmanagement geschlossen.

• Information des Auftraggebers und Mitwirkung: Der Auftraggeber sollte über all diese Schritte im Bilde bleiben. Das Bieterkonzept kann zusichern, dass zu jedem Auditbericht auch ein Korrekturmaßnahmenplan (Action Plan) an den Auftraggeber kommuniziert wird, in dem steht, was bis wann von wem unternommen wird. Außerdem wünschen manche Auftraggeber regelmäßige Review-Meetings speziell zu Audits (z.B. monatliche Treffen, in denen die jüngsten Auditergebnisse und der Stand offener Maßnahmen besprochen werden). Das Konzept sollte Bereitschaft hierzu signalisieren. In Deutschland, wo man Wert auf Nachweisführung legt, kann ein sorgfältiger Umgang mit Audit-Reporting einen Bieter auszeichnen. Ein europäischer Leitfaden betont etwa, dass regelmäßiges Reporting und Auswertung der Sicherheitsdienstdaten zu korrektiven oder präventiven Maßnahmen führen sollten – z.B. wenn Berichte zeigen, dass zu Stoßzeiten vermehrt Zwischenfälle auftreten, sollte als Maßnahme die Verstärkung des Personals zu diesen Zeiten erfolgen. Dies veranschaulicht, wie Auditergebnisse direkt zur Verbesserung der Leistung genutzt werden.

• Einsatz von Scorecards und Kennzahlen-Tabellen: Um das Engagement zu verdeutlichen, könnte ein Bieter beispielhaft eine Scorecard oder KPI-Tabelle präsentieren. Darin könnten z.B. relevante Kennzahlen aufgeführt sein: „Audit-Compliance-Rate (% erfüllter Prüfpunkte), Anzahl der Vorkommnisse, durchschnittliche Reaktionszeit, Anteil der Mitarbeiter mit bestandenen Mystery-Tests“ usw., jeweils mit Sollwerten und Ampelstatus. Dadurch verknüpft man das Auditprogramm mit dem übergreifenden Leistungsmonitoring. In der Tat koppeln manche Auftraggeber einen Teil der Vergütung an solche KPIs. Auch wenn die genauen Parameter je Vertrag variieren, soll das Auditkonzept zeigen, dass der Anbieter misst, berichtet und an klaren Kennzahlen verbessert – was dem Auftraggeber die Sicherheit gibt, dass Qualität nicht nur subjektiv „gefühlt“, sondern objektiv gemanagt wird. (Nebenbei: Das US-Behördenkonzept des QASP – Quality Assurance Surveillance Plan – z.B. der GSA – sieht genau das vor: Der Auftragnehmer liefert Inspektionsformulare, Service-Logs und Nachweise zur Bearbeitung von Korrekturmaßnahmen, und die Behörde überwacht an Hand dessen die Qualität.)

Letztlich sollte das Audit- und Inspektionskonzept Audits nicht als punktuelle Ereignisse behandeln, sondern als Teil eines kontinuierlichen Verbesserungsprozesses. Jedes Audit generiert Daten; diese Daten werden in Maßnahmen umgesetzt; die Umsetzung wird nachverfolgt und geprüft; der Auftraggeber wird darüber in Kenntnis gesetzt – und so schließt sich der Kreis, immer wieder. Der Auftraggeber soll jederzeit einen klaren Überblick über den Stand der Vertragseinhaltung haben und wissen, was gegen etwaige Mängel unternommen wird. Bieter können sich hierbei auf Normen wie ISO 9001 berufen (die interne Audits und Korrekturprozesse vorschreibt), um zu untermauern, dass ihr Ansatz systematisch ist. Am Ende braucht der Auftraggeber die Gewissheit, dass, wenn er einen Auditbericht liest, auch darauf vertrauen kann, dass die darin genannten Punkte angegangen werden – und dass der Bericht im nächsten Quartal eine Verbesserung zeigt.

Aus Sicht der Vergabestelle sollte die Qualität des Auditkonzepts eines Bieters ein wichtiges Bewertungskriterium bei der Zuschlagsentscheidung sein. Besonders in Deutschland und der EU, wo verstärkt das wirtschaftlich günstigste Angebot (Preis-Leistungs-Verhältnis) statt des reinen Niedrigstpreises zählt, signalisiert ein detailliertes Auditkonzept hohe Leistungsbereitschaft und vermindertes Ausfallrisiko.

• Qualität und Struktur des Auditkonzepts: Die Gutachter prüfen die Klarheit, Logik und Vollständigkeit des eingereichten Auditplans. Deckt der Bieter alle geforderten Auditarten ab? Sind Frequenzen angemessen? Sind die Methoden nachvollziehbar beschrieben? Ein voll ausgearbeitetes, gut strukturiertes Konzept (ggf. mit beispielhaften Checklisten oder Berichten) erzielt mehr Punkte als eine bloße Absichtserklärung à la „Wir machen dann schon Audits“. Dieses Kriterium spiegelt im Grunde, wie fundiert der Bieter die Anforderungen aus Punkt 3 (Inhalte des Konzepts) verstanden und beantwortet hat. Ein übersichtlicher, durchdachter Plan zeigt, dass der Anbieter erfahren ist und einen proaktiven Ansatz zur Qualitätssicherung hat.

• Bekenntnis zu Transparenz und Kontrollierbarkeit: Hier geht es um die Haltung des Bieters gegenüber Kunden- und Dritt-Audits (siehe Abschnitt 5) und zur Compliance. Indikatoren sind z.B. eine explizite Zustimmung zu unangekündigten Besuchen, die Bereitschaft, interne Prüfergebnisse offen zu legen, sowie Hinweise auf die Einhaltung relevanter Standards. Ist der Bieter bereits zertifiziert (ISO, DIN etc.) oder nennt er Mitgliedschaften in Branchenverbänden, unterstreicht das seine Compliance-Kultur. Die Bewerter fragen sich: Zeigt der Bieter Offenheit, geprüft zu werden, und bietet er von sich aus Einblicke an? Ein Angebot, das z.B. formuliert „Der Auftraggeber kann jederzeit ohne Voranmeldung alle Einsatzorte inspizieren“ und bestehende Zertifizierungen aufführt, wird hier gut bewertet. Auch die Maßnahmen gegen Schwarzarbeit und Lohndumping (Stichwort AEntG/MiLoG) können in diesem Kontext betrachtet werden – ein Bieter, der darlegt, wie er solche gesetzlichen Vorgaben intern auditieren wird, demonstriert Verantwortungsbewusstsein.

• Integration ins Qualitätsmanagement: Dieses Kriterium betrachtet, wie sehr die Audit- und Inspektionsaktivitäten in das interne Managementsystem des Bieters eingebettet sind. Ein gutes Konzept steht nicht isoliert, sondern zeigt den Zusammenhang mit dem kontinuierlichen Verbesserungsprozess des Unternehmens. Zum Beispiel: Verweist der Bieter darauf, dass Auditergebnisse in Management-Review-Meetings diskutiert werden? Nutzt er ein zertifiziertes Managementsystem (ISO 9001, ISO 18788 für Sicherheitsoperationen etc.)? Plant er, die Auditergebnisse systematisch zur Mitarbeiterqualifizierung oder Prozessoptimierung einzusetzen? – Solche Punkte würden eine höhere Bewertung rechtfertigen. Es geht um die Frage: Werden die Auditerkenntnisse wirklich genutzt, um Qualität zu steuern? Wenn ja, und dies womöglich durch anerkannte Systeme belegt ist, fließt das positiv ein. Sollte ein Auditkonzept dagegen sehr losgelöst wirken (etwa nur „zusätzliche Kontrollen“ ohne Verbindung zu einem QM-System), gibt es Abzüge.

• Innovation und Einsatz von Hilfsmitteln: In der heutigen Sicherheitsbranche können digitale Innovationen die Wirksamkeit von Audits erheblich steigern. Bieter können hier punkten, indem sie innovative Lösungen vorschlagen: z.B. Echtzeit-Berichtssysteme, elektronische Wächterkontrollsysteme (Guard-Tour-Systeme mit RFID/QR-Code, die man auch auditieren kann), mobile Apps für Checklisten, oder auch Auswertungen mittels Statistik/Datenanalyse, um Mustern von Vorkommnissen vorzubeugen. Einige deutsche Sicherheitsdienste werben etwa damit, dass Auftraggeber über Webportale tagesaktuelle Berichte einsehen oder Alarm- und Rundgangsdaten live mitverfolgen können. Solche Innovationen sind zwar kein Selbstzweck, aber sie zeigen ein fortschrittliches Mindset des Bieters. In der Bewertung kann es dafür Zusatzpunkte geben, weil der Einsatz von Technik die Zuverlässigkeit und Nachvollziehbarkeit der Audits erhöht (z.B. „Durch unser digitales System wird gewährleistet, dass kein Prüfschritt vergessen wird und Ergebnisse unmittelbar protokolliert und dem Kunden verfügbar gemacht werden“). Man sollte jedoch darauf achten, reale und einsatzbereite Innovationen zu werten – bloße Schlagworte ohne Substanz haben weniger Gewicht.

• Erfahrung und Referenzen: Ein weiteres Kriterium ist die Erfahrung des Bieters mit Audits und Qualitätssicherung. Hat er in der Vergangenheit nachweislich solche Konzepte umgesetzt? Gibt es Referenzkunden, die bestätigen können, dass der Anbieter eine gute Auditpraxis hat? Auch bereits erlangte Zertifikate fallen darunter: Ein Bieter, der z.B. seit Jahren nach ISO 9001 zertifiziert ist und regelmäßige Überwachungsaudits „ohne Abweichungen“ besteht, bringt einen Vertrauensvorschuss mit. Vielleicht hat er auch Mystery-Guest-Programme schon bei anderen Auftraggebern praktiziert oder interne Auditteams etabliert. All das sollte im Angebot erwähnt sein (oft im Qualitätskonzept oder im Abschnitt „Erfahrungen/Referenzen“). Die Vergabestelle kann hierfür Punkte vorsehen, da nachgewiesene Routine in Sachen Audit die Wahrscheinlichkeit erhöht, dass das vorgeschlagene Konzept auch in der Praxis funktioniert. Zudem kann gefordert sein, dass der Bieter Beispieldokumente einreicht (z.B. ein anonymisiertes Auditprotokoll aus einem anderen Objekt) – die Qualität dieser Unterlagen würde dann ebenfalls in die Bewertung einfließen.

Es kann sinnvoll sein, dass die Vergabestelle eine gewichtete Bewertungsmatrix speziell für das Auditkonzept erstellt. So ließen sich z.B. 30 von 100 Qualitätspunkten allein auf das Audit- und Qualitätssicherungssystem entfallen, unterteilt in die oben genannten Unteraspekte. Tatsächlich empfehlen Manuals wie „Buying Quality Private Security Services“, Qualitätspunkte dafür zu vergeben, ob interne und externe Kontrollmechanismen vorhanden sind und objektiv angewendet werden – was sich 1:1 in solche Bewertungskriterien übersetzen lässt. Letztlich gilt: Ein Bieter, der überzeugend darlegt „wir steuern diesen Auftrag über kontinuierliche Audits und Kontrollen“, birgt für den Auftraggeber weniger Risiko und mehr Mehrwert. Dies sollte im Bewertungsmodell entsprechend honoriert werden, um den Zuschlag an den qualitativ besten Anbieter zu fördern, nicht nur an den billigsten.