Eine Einführung in die Risikobewertung von Lieferanten

Risikobewertungen von Lieferanten sind von zentraler Bedeutung, wenn es darum geht, Bedrohungen für Ihre Lieferkette zu erkennen, deren potenzielle Auswirkungen zu verstehen und die Widerstandsfähigkeit Ihres Unternehmens zu stärken. Befolgen Sie diese Best Practices, um ein effektives Programm zur Bewertung von Lieferantenrisiken in Ihrem Unternehmen aufzubauen.

Mitratech-Mitarbeiter
Mitratech-Mitarbeiter Oktober 24, 2022 10 min gelesen

Die Bewertung des Lieferantenrisikos ist für viele Programme des Lieferantenrisikomanagements (SRM) von grundlegender Bedeutung. SRM ist zu einem wichtigen Thema für Aufsichtsbehörden und Unternehmensvorstände geworden, da die COVID-19-Pandemie, der Ukraine-Krieg und andere Ereignisse zu Engpässen bei Gütern von Treibstoff bis hin zu Halbleitern geführt haben. Diese Unterbrechungen der Lieferkette haben zu einer Rekordinflation geführt und weitere geopolitische Krisen ausgelöst.

Es ist klar, dass die proaktive Bewertung von Lieferantenrisiken wichtiger denn je ist. Risikobewertungen von Lieferanten können Ihnen helfen zu verstehen, wie sich Bedrohungen für Unternehmen in Ihrer Lieferkette auf die Fähigkeit Ihres Unternehmens auswirken könnten, seine Produkte und Dienstleistungen zu liefern. Einige Arten von Lieferantenrisiken, wie Leistungs- und Ereignisrisiken, sind seit einem halben Jahrhundert oder mehr bekannt, während andere Arten, wie ESG-Risiken und Cyberrisiken in der Lieferkette, relativ neue Konzepte sind.

Was ist eine Lieferkette?

Bevor wir die Besonderheiten der Bewertung des Lieferantenrisikos erörtern, sollten wir uns eine grundlegende Frage stellen: Was ist eine Lieferkette?

Eine Lieferkette ist die Abfolge von Prozessen, die zur Herstellung eines Produkts oder einer Ware erforderlich sind. Diese Abläufe können kurz und einfach sein, wie z. B. bei einem Erzeuger, der seine Waren auf einem Bauernmarkt verkauft, oder sie können lang und komplex sein, wie z. B. bei einem Konsumgüterhersteller, der seine Produkte entwirft und vermarktet, dann aber Hunderte von dritten, vierten und n-ten Parteien für Rohstoffe, Montage, Verpackung und Vertrieb in Anspruch nimmt.

Was ist eine Risikobewertung für Lieferanten?

Risikobewertungen von Lieferanten bilden das Rückgrat eines umfassenderen Risikomanagementprogramms für Lieferanten (SRM). Sie umfassen die Erfassung von Daten über die Kontrollen der Informationssicherheit und des Datenschutzes, die Finanzen, die ESG-Praktiken, die Unternehmensrichtlinien, die Programme zur Reaktion auf Vorfälle, die Beziehungen zu Drittanbietern und andere Faktoren, die sich auf die Kontinuität und Widerstandsfähigkeit des Unternehmens auswirken können.

Die Risikobewertung von Lieferanten erfolgt durch das Versenden von Fragebögen an die wichtigsten Lieferantenkontakte, die Analyse der Antworten, die Identifizierung von Risiken und deren potenziellen Auswirkungen sowie die Festlegung erforderlicher Abhilfe- oder Minderungsmaßnahmen. Die Bewertungen werden in der Regel in der Einführungsphase durchgeführt. Die Häufigkeit und der Umfang der Folgebewertungen richten sich nach den Dienstleistungen des Lieferanten und seiner Bedeutung für das Unternehmen.

Wenn Sie mit der Formalisierung eines SRM-Programms in Ihrem Unternehmen beginnen, können Sie Bewertungen nutzen, um ein Basisniveau des Lieferkettenrisikos zu ermitteln. Wenn Sie bereits über ein solideres Programm verfügen, können Sie mit Hilfe einer Bewertung den aktuellen Risikostatus mit dem akzeptablen Niveau vergleichen und wichtige Abhilfemaßnahmen ermitteln, die Sie ergreifen können, um das Restrisiko auf ein akzeptables Niveau zu senken.

Prozess der Risikobewertung von Lieferanten

Wie fließt C-SCRM in die Risikobewertung von Lieferanten ein?

Das Lieferantenrisikomanagement (SRM) umfasst das Management von IT- und Nicht-IT-Risiken in der gesamten Lieferkette. Das Cyber-Supply-Chain-Risikomanagement (C-SCRM) ist ein Teilbereich des SRM, der sich ausschließlich auf das Management von IT-Risiken wie Datenschutzverletzungen, Kontrolllücken und die Nichteinhaltung von Datenschutz- und Informationssicherheitsvorschriften konzentriert. Ein effektives Risikomanagementprogramm für Lieferanten sollte eine wichtige Komponente für das Risikomanagement in der Cyber-Lieferkette enthalten, aber C-SCRM allein reicht nicht aus, um das Lieferantenrisiko zu mindern.

Bei der Bewertung der Cyber-Lieferkette sollten auch die Sicherheitskontrollen, die Richtlinien für den Informationsaustausch und die Datenschutzpraktiken der einzelnen IT-Anbieter bewertet werden. Zusätzlich zu den Bewertungsergebnissen und den Nachweisen über die Cybersicherheits- und Datenschutzprogramme des Anbieters sollten die Profile der IT-Anbieter auch Informationen über die Art, die Sensibilität und die Menge der Daten Ihres Unternehmens enthalten, die sie verarbeiten oder auf die sie Zugriff haben. Auf diese Weise können Sie schnell die Anbieter identifizieren, die ein hohes Risiko für Ihr Unternehmen darstellen, wenn es zu Sicherheitsverletzungen kommt, oder die möglicherweise Lücken in ihren Informationssicherheitsprogrammen haben, die bei der Aufnahme der Lieferanten nicht erkannt wurden .

Die verschiedenen Arten von Lieferantenrisiken verstehen

Es gibt viele Risiken für die Lieferkette Ihres Unternehmens, von Wetterereignissen, die sich auf die Lieferungen auswirken, bis hin zu unethischen Geschäftspraktiken von Dritt- oder Viertlieferanten, die zu einer Schädigung des Rufs führen. Bei der Durchführung von Risikobewertungen in der gesamten Lieferkette ist es wichtig, die Herausforderungen zu verstehen und zu kategorisieren, denen sich Ihre Lieferanten in Bezug auf Geschäftskontinuität und Widerstandsfähigkeit gegenübersehen. Zu den Risikokategorien für Lieferanten gehören:

  • Cybersecurity-Risiken
  • Compliance-Risiken
  • Geschäftliche und finanzielle Risiken
  • Event-Risiken
  • Soziale Verantwortung der Unternehmen und ESG-Risiken
  • Kapazitäts-Risiken
  • Performance-Risiken

Cybersecurity-Risiken

Verstöße, Schwachstellen, fehlende Informationssicherheitskontrollen und andere Bedrohungen der Cybersicherheit müssen bei der Risikobewertung von Lieferanten unbedingt berücksichtigt werden. Anders als bei physischen Produkten können Kundendaten und andere sensible Informationen über die gesamte Lieferkette hinweg übertragen und gespeichert werden. Angreifer können auch Schwachstellen in Ihrer technologischen Lieferkette ausnutzen, um direkt auf die Systeme und Daten Ihres Unternehmens zuzugreifen. Dies kann zu nachteiligen Folgen führen, z. B. zu Datenschutzverletzungen, Verstößen gegen die Vorschriften, Geldstrafen und Gerichtsverfahren sowie zur Schädigung des Rufs Ihres Unternehmens.

Compliance-Risiken

Fast alle Unternehmen unterliegen heute einer oder mehreren Datenschutz- oder Informationssicherheitsvorschriften wie GDPR, CCPA, HIPAA, PCI DSS und Dutzenden anderen. Die Strafen für die Nichteinhaltung können je nach Verstoß und Vorschrift von Geldstrafen bis hin zur persönlichen strafrechtlichen Haftung reichen. Eng mit den Compliance-Risiken verbunden sind Sanktionen, z. B. gegen Lieferanten, die wegen Geschäften mit staatlichen Unternehmen oder wegen Geldwäsche oder Korruption vorgeladen wurden.

Geschäftliche und finanzielle Risiken

Geschäftsausfälle und finanzielle Probleme können zu schwerwiegenden Unterbrechungen in Ihrer Lieferkette führen, selbst wenn die Unterbrechung bei einem vierten oder neunten Lieferanten auftritt. Zu den geschäftlichen und finanziellen Risiken gehören der Wechsel von Führungskräften, Fusionen und Übernahmen, Konkurse, Gerichtsverfahren und Vorschriften, die sich auf die Fähigkeit eines Lieferanten auswirken könnten, einen Vertrag zu erfüllen.

Event-Risiken

Die letzten Jahre haben gezeigt, wie sehr unvorhersehbare Ereignisse die organisatorischen und globalen Lieferketten stören können. COVID-19, die Blockade des Suez-Kanals, der Ukraine-Krieg und zunehmend verheerende Wirbelstürme und Waldbrände sind nur einige Beispiele für Ereignisse, die für Tausende von Organisationen und Regierungen auf der ganzen Welt enorme Risiken und finanzielle Belastungen mit sich brachten.

Soziale Verantwortung der Unternehmen und ESG-Risiken

Früher konnten Unternehmen die Definition der sozialen Verantwortung von Unternehmen (Corporate Social Responsibility, CSR) erfüllen, indem sie der Gemeinschaft durch Zeit- und Geldspenden etwas zurückgaben. CSR wird jedoch zunehmend mit ökologischen, sozialen und Governance-Praktiken (ESG) in Verbindung gebracht. Dazu gehören die Ansätze Ihres Unternehmens in Bezug auf ökologische Nachhaltigkeit, die Beziehungen zu Kunden, Mitarbeitern und Gemeinden sowie der Umgang mit der Vergütung von Führungskräften, internen Kontrollen und Aktionärsrechten. Die Zusammenarbeit mit Unternehmen, die eine schlechte Umweltbilanz aufweisen, Zwangsarbeit in ihren Lieferketten einsetzen oder andere korrupte Praktiken anwenden, kann Ihr Unternehmen einem erheblichen Reputations-, Zivil- und sogar strafrechtlichen Risiko aussetzen.

Kapazitäts-Risiken

Es kann vorkommen, dass Zulieferer ihre Liefertermine nicht einhalten können, sei es aufgrund von Geschäftsereignissen, wirtschaftlichen Bedingungen oder Naturkatastrophen. Aus diesem Grund ist es wichtig, die Kapazitäten der Lieferanten kontinuierlich zu messen, einschließlich der Verfolgung des aktuellen Auftragsstatus, der Leistung im Vergleich zur Auftragshistorie, der Antworten der Lieferanten und der Bestätigungen. Ein proaktiver Überblick über die Lieferantenkapazitäten kann Ihrem Unternehmen helfen, bei Störungen flexibler zu reagieren.

Performance-Risiken

Risiken in Bezug auf die Lieferantenleistung stehen in engem Zusammenhang mit Kapazitätsrisiken, die Sie durch die Messung von Leistungskennzahlen (Key Performance Indicators, KPIs) ermitteln können. Zu den KPIs können Qualitätskennzahlen, Lieferleistung und Kriterien für die Einhaltung vereinbarter Servicelevel gehören. Das Management der Lieferantenleistung ist einfacher, wenn Sie Vertragsklauseln mit durchsetzbaren Service Level Agreements (SLAs) festlegen und ein SRM-Dashboard nutzen, das Transparenz auf Unternehmensebene bietet.

Fünf Schlüssel zu effektiven Risikobewertungen von Lieferanten

Verschiedene Unternehmen gehen das Management von Lieferantenrisiken auf sehr unterschiedliche Weise an. Die Zusammensetzung, der Schwerpunkt und der Umfang eines ausgereiften SRM-Programms hängen stark von der Branche des Unternehmens sowie von der Größe und Komplexität seiner Lieferkette ab. Die fünf wichtigsten Punkte gelten jedoch für fast alle Lieferketten in allen Branchen, vom Einzelhandel bis zur Technologiebranche.

Wirksame Risikobewertungen von Lieferanten

1. Profil und Einstufung Ihrer Zulieferer

Eine wirksame Bewertung Ihrer Drittanbieter auf der Grundlage des Profils, des inhärenten Risikos und des Restrisikos ist für Ihren Gesamtansatz zur Bewertung des Lieferantenrisikos unerlässlich.

Profiliertes Lieferantenrisiko

Das profilierte Risiko bezieht sich auf die Art und Kritikalität der Produkte oder Dienstleistungen eines Lieferanten für Ihr Unternehmen. So würde beispielsweise der Halbleiterlieferant eines Computerherstellers ein viel höheres Risiko darstellen als sein Verpackungslieferant.

Inhärentes Lieferantenrisiko

Ein inhärentes Risiko ist ein bestehendes Risiko, das vom Anbieter ausgeht, bevor Abhilfemaßnahmen getroffen werden. Beispiele für inhärente Risiken sind eine schlechte Finanzlage, unzureichende Informationssicherheitskontrollen oder betriebliche Ineffizienzen.

Restrisiko des Lieferanten

Das Restrisiko ist das Risiko, das verbleibt, nachdem ein Anbieter angemessene Abhilfemaßnahmen getroffen hat. Ihr Risikomanagementteam muss feststellen, ob das Restrisiko akzeptabel oder inakzeptabel ist.

Jede Risikokategorie kann unabhängig oder kombiniert bewertet werden, um fundiertere, risikobasierte Entscheidungen und Maßnahmen zu treffen. Organisationen mit einem hohen Grad an profilierten oder inhärenten Risiken benötigen möglicherweise zusätzliche Risikobewertungs- und Abhilfemaßnahmen, wie z. B.:

  • Durchführung häufigerer interner Bewertungen und/oder kontinuierlicher externer Überwachung
  • Anforderung an den Lieferanten, ein Audit nach einem Informationssicherheitsrahmen wie ISO 27001, SOC 2 oder dem NIST Cybersecurity Framework zu bestehen
  • Festlegung von Vertrags- oder SLA-Bestimmungen in Bezug auf die Aufbewahrung und Vernichtung von Informationen und deren Einhaltung

Das Verständnis und die Implementierung eines effektiven Prozesses zur genauen Bestimmung des Profils, des inhärenten Risikos und des Restrisikos ist der zentrale Baustein Ihres gesamten Risikomanagementprogramms für Lieferanten. Stellen Sie vor der Durchführung von Lieferantenrisikobewertungen einen prozessgesteuerten Rahmen für die Bewertung von Profil-, inhärenten und Restrisiken sicher.

2. Richten Sie Ihre Lieferantenrisikobewertungen an einem SRM-Rahmen aus

Wenn Sie Ihre Risikobewertungen für Zulieferer auf einRahmenwerk für das Risikomanagement ( ) stützen, können Sie sicherstellen, dass sie den Best-Practice-Richtlinien folgen und Deckungslücken minimiert werden. Viele Unternehmen orientieren sich an NIST- oder ISO-Rahmenwerken, je nach Branche und anderen Faktoren. Zu den spezifischen NIST-Richtlinien gehören NIST CSF v2.0, NIST SP 800-53 und NIST SP 800-161. Für ISO-Standards sollten Sie mit ISO 27001, ISO 27036-2 und ISO 27701 beginnen.

3. Unterschätzen Sie nicht die Bedeutung von ESG

Die Bewertung von ESG-Risiken sollte bei der Beurteilung Ihrer Liefer- und erweiterten Lieferketten an erster Stelle stehen. Unternehmen mit einer schlechten ESG-Bilanz laufen Gefahr, dass sie sich von ihrem Unternehmen trennen, ihren Ruf schädigen und von ihren Kunden abgelehnt werden. Investoren und Kunden sind zunehmend besorgt über Themen wie Kohlenstoffemissionen, Abholzung, moderne Sklaverei und Korruption. Achten Sie bei Ihren Risikobewertungen für Lieferanten darauf, dass Sie ESG-Risiken berücksichtigen - nicht nur bei Ihren direkten Lieferanten, sondern auch bei Dritt- und Drittlieferanten in Ihrer erweiterten Lieferkette.

4. Behalten Sie den Überblick über die Einhaltung der sich weiterentwickelnden Vorschriften

Die Bewertung der Einhaltung von Vorschriften durch Dritte ist ein Kernelement einer wirksamen Strategie für das Risikomanagement von Lieferanten. Die Einhaltung der Vorschriften sollte auf jeder Ebene Ihres SRM-Programms berücksichtigt werden, von der Beschaffung und Auswahl bis hin zum Offboarding. Die Durchführung einer jährlichen Risikobewertung der Lieferanten ermöglicht es, potenzielle Compliance-Lücken zu identifizieren und sie mit den relevanten Stakeholdern zu besprechen.

Regelmäßige Bewertungen ermöglichen es Ihnen auch, Ihr aktuelles Compliance-Programm im Hinblick auf Vorschriften zu bewerten, die möglicherweise seit der Aufnahme eines Lieferanten erlassen oder aktualisiert wurden. Das deutsche Gesetz zur Sorgfaltspflicht in der Lieferkette enthält beispielsweise mehrere wichtige Anforderungen an Unternehmen zur Bekämpfung der modernen Sklaverei in ihren Lieferketten. Durch eine proaktive Risikobewertung im Hinblick auf Vorschriften, die noch nicht in Kraft getreten sind, können Sie Situationen vermeiden, in denen Sie möglicherweise den Lieferanten wechseln müssen oder zusätzliche Abhilfemaßnahmen vor einer Vertragsverlängerung erforderlich sind.

5. Lücken zwischen den Beurteilungen durch kontinuierliche Überwachung schließen

Die Bewertung von Lieferanten bei ihrer Aufnahme ist von entscheidender Bedeutung, und es ist ebenso wichtig, fortlaufende, regelmäßige Risikobewertungen durchzuführen (z. B. jährlich), um über neu auftretende Risiken und Veränderungen in den Geschäftsabläufen der einzelnen Lieferanten auf dem Laufenden zu bleiben. Neue Bedrohungen und Schwachstellen können jedoch jederzeit auftreten und Ihr Unternehmen beeinträchtigen. Natürlich ist es unpraktisch und praktisch unmöglich, tägliche oder sogar monatliche Lieferantenbewertungen auf der Grundlage von Fragebögen durchzuführen. An dieser Stelle können Lösungen zur kontinuierlichen Risikoüberwachung helfen. Durch kontinuierliches Scannen und Analysieren von Tausenden von Quellen für Cyber-, Geschäfts-, Finanz- und Reputationsinformationen über einen Lieferanten können Sie aufkommende Risiken erkennen und darauf reagieren, bevor sie Ihr Unternehmen beeinträchtigen.

Nächste Schritte

Risikobewertungen von Lieferanten können die Widerstandsfähigkeit Ihres Unternehmens gegen Unterbrechungen der Lieferkette aufgrund von Geschäftsausfällen erhöhen, das Risiko und die Auswirkungen von Datenschutzverletzungen durch Dritte verringern und den Reputationsschaden minimieren, der auf Mängel in den ESG-Praktiken der Lieferanten zurückzuführen ist.

Sie fragen sich, wie Sie beginnen können? Erfahren Sie mehr über unsere Lösungen fürdas Lieferantenrisikomanagement, den Service zur Überwachung von Lieferantenrisiken und den Service zur Due-Diligence-Prüfung der Beschaffung. Möchten Sie wissen, ob die Lösungen und Dienstleistungen von Prevalent auch für Ihr Unternehmen geeignet sind? Fordern Sie eine Demo an.

Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.