Die meisten Audits sind nicht explorativ. Das heißt, die Standards beruhen auf geschlossenen Fragen, die es abzuhaken gilt. Das funktioniert dann gut, wenn man weiß, was passieren kann. Allerdings ist das kaum zu leisten, denn selbst fundierte Audits haben einen bestimmten Fokus und können nie alles abdecken. Wer sich auf Sozialaudits verlässt, übersieht möglicherweise die Risse in einem Produktionsgebäude. So kommt es trotzdem zu Tragödien wie dem Einsturz von Rana Plaza in Bangladesch oder dem Brand bei Ali Enterprises in Pakistan. Beide Unternehmen wurden kurz vor dem Vorfall auditiert.
In einer Studie von Germanwatch von 2022 wurden Zertifizierungen der Rohstoffindustrie untersucht. Demnach bewertet etwa der Due Diligence Standard der Responsible Mineral Initiative (RMI), "inwieweit Rohstoffschmelzen und Raffinerien Managementprozesse der menschenrechtlichen Sorgfalt gemäß den OECD-Leitlinien in ihren Lieferketten umsetzen, ohne jedoch die Produktionsstätten selbst auf die Einhaltung von ESG-Belangen hin zu überprüfen". RMI beauftrage zwar selbst den Zertifizierungsdienstleister mit dem Audit, sodass es den Einfluss des zertifizierten Unternehmens reduzieren könne. Doch es beziehe die Rechteinhaber (Beschäftigte oder Menschen, die vor Ort leben) nicht ein und mache die Ergebnisse der Zertifizierung auch nicht transparent. Dass die Umwelt einer Mine nicht mit Arsen verseucht ist, kann ein solches Zertifikat also bspw. nicht bescheinigen. Zudem fokussiert sich die RMI auf die OECD Due Diligence Guidance for Minerals from Conflict-Affected and High-Risk Areas (CAHRAs). Damit sind menschenrechtliche Sorgfaltspflichten nur in beschränktem Ausmaß abgedeckt und auf Hochrisikoländer beschränkt, die gemäß der eigenen Methodologie als solche definiert sind.
Generell sollten Unternehmen bedenken, worauf Audits beruhen und wie sie ablaufen:
- Welche Standards und Teile der Menschenrechts- und Sorgfaltspflichten in der Lieferkette deckt das Audit ab?
- Inwiefern ist das Audit angekündigt oder haben Unternehmen die Möglichkeit, vorab auf anderen Wegen davon zu erfahren und mögliche Missstände zu verschleiern?
- Führt eine unabhängige Partei (third party) das Audit durch oder sind die Auditorinnen und Auditoren vom Zulieferer selbst beauftragt und bezahlt?
- Beziehen Besuche und Befragungen die Rechteinhaber ein und beruhen sie auf Interviews, die in entsprechenden Schutzräumen oder vertrauensvollen Rahmenbedingungen stattfinden?
- Welche Expertise bringen die Auditorinnen und Auditoren mit?
- In welchem Turnus finden die Audits statt (in der Regel alle 1 bis 3 Jahre)?
Die Standards und Zertifizierungen bilden inzwischen ein eigenes Ökosystem und Geschäftsfeld. Manche ergänzen sich gegenseitig. Der Zertifikate-Dschungel ist nicht einfach zu durchschauen, wobei hier vor allem große Unternehmen schon viel Erfahrung und Expertise haben. Dennoch bleiben Blindspots. Der Helpdesk Wirtschaft & Menschenrechte, das Unternehmen eine unabhängige Beratung anbietet, brachte 2022 ein Infopaket zur Rolle von Audits im Sorgfaltsprozess heraus. "Bei einem Audit [...] handelt es sich stets um eine Momentaufnahme, die Auskunft über die übliche Situation vor Ort geben kann, aber nicht muss", heißt es in dem Papier. Zeitgründe, Gefälligkeit gegenüber dem Auftraggeber, zu gering qualifiziertes Personal oder Korruption – all das kann die Ergebnisse beeinflussen und dazu führen, dass Unternehmen die tatsächlichen Verhältnisse vor Ort falsch einschätzen. "Ein Zertifikat ist bestenfalls ein gutes Abbild im Moment, schlechtestenfalls ein reines Feigenblatt", resümiert auch Johannes Blankenbach.