Betrachten Sie folgende Szenarien: Ein Cyberangriff legt einen wichtigen Lieferanten lahm und beeinträchtigt die Produktionsfähigkeit Ihres Unternehmens. Entlassungen bei einem IT-Anbieter führen zu einer verminderten Überwachung der Sicherheitskontrollen und Datenschutzmaßnahmen. Eine Naturkatastrophe oder ein geopolitisches Ereignis stört Ihre Lieferkette und verzögert die Markteinführung eines neuen Produkts. Ein wichtiger Dritter wird wegen eines Verstoßes gegen ethische Grundsätze angeklagt und mit einer Geldstrafe belegt, was zu Reputationsproblemen für Ihr Unternehmen aufgrund von „Sippenhaft“ führt.
Jedes der oben genannten Lieferantenrisiken kann zu Kostenüberschreitungen führen, den Umsatz gefährden und das Vertrauen der Kunden schädigen. Wenn diese Risiken überhaupt verfolgt werden, geschieht dies isoliert, was Unternehmen dazu zwingt, bei Störungen nur reaktiv zu reagieren. Wie können Ihre Beschaffungs- und Lieferantenmanagement-Teams Lieferantenrisiken vorbeugen, bevor sie sich auf Ihr Unternehmen auswirken? Hier sind sieben Möglichkeiten, um proaktive Risikosichtbarkeit und -kontrolle in jeder Phase der Lieferantenbeziehung zu erlangen.
1. Risikobewertungen in die Lieferantenauswahl und -beschaffung integrieren
Angesichts des komplexen Geschäftsumfelds von heute ist es riskant, die Beschaffungs- und Auswahl
en für Lieferanten
ausschließlich auf der technischen Eignung zu basieren. Für Beschaffungs- und Sourcing-Teams ist es mittlerweile unerlässlich, auch zu prüfen, ob das Risikoprofil eines potenziellen Lieferanten akzeptabel ist. Das bedeutet, dass mehrere Risikodimensionen bewertet werden müssen, darunter:
- Demografie: Befindet sich der Lieferant in einer Region, die anfällig für Naturkatastrophen oder geopolitische Instabilität ist?
- Viert-Parteien-Ökosystem: Auf welche vierte und n-te Partei
stützt sich der Lieferant? - Cybersicherheit: Wurde der Lieferant gehackt und wenn ja, welche Art von Daten waren davon betroffen? Wie hat er darauf reagiert?
- Geschäftlich und finanziell: Gab es in letzter Zeit Fusionen oder Übernahmen beim Lieferanten? Gibt es Bedenken hinsichtlich seiner Finanz- oder Kreditgeschichte?
- Compliance: Wurde der Lieferant wegen Verstößen gegen Datenschutz, Umwelt-, Sozial- und Governance-Vorschriften, Bestechung oder OFAC-Vorschriften gemeldet? Wurden Sanktionen gegen ihn verhängt?
- Reputation: Wurde der Lieferant in den Medien oder anderen öffentlichen Kommunikationskanälen kritisiert?
Indem Sie frühzeitig Einblicke in Risiken gewinnen, können Sie potenzielle Lieferanten über die technische Eignung hinaus vergleichen und ein Basisrisikoniveau für jeden von Ihnen ausgewählten Lieferanten festlegen.
2. Aufnahme risikobasierter Bestimmungen in Lieferantenverträge
Achten Sie darauf, alle Ergebnisse der Due-Diligence-Prüfung aus der Beschaffungs- und Auswahlphase in den Vertragslebenszyklus zu übertragen. Nehmen Sie wichtige Risikoklauseln in Ihre Lieferantenverträge auf und nutzen Sie eine automatisierte Lösung für das Vertragslebenszyklusmanagement, um:
- Optimieren Sie jeden Schritt des Vertragslebenszyklus mit Funktionen zur Workflow-Automatisierung.
- Behalten Sie wichtige Attribute wie Daten, Werte, Erinnerungen und Status im Blick.
- Optimieren Sie Genehmigungsprozesse mit Erinnerungen, Mahnungen und anderen Funktionen zur Aufgabenverwaltung.
- Sorgen Sie für Transparenz durch Diskussionsverfolgung, Dokumentenmanagement und Versionskontrolle.
Vertragliche Bestimmungen sollten den Zeitpunkt der Meldung von Vorfällen regeln und eine Vorwarnung bei Ereignissen vorschreiben, die sich auf Lieferantenbeziehungen auswirken könnten, damit Sie ausreichende Notfallpläne vorbereiten können.
3. Behalten Sie den Überblick über KPIs und KRIs
Die effektive Kommunikation von Lieferantenrisiken und deren potenziellen Auswirkungen auf das Geschäft kann eine Herausforderung sein. Die Messung und Verfolgung von Leistungskennzahlen (KPIs) und Risikokennzahlen (KRIs) ist für den SRM-Prozess von entscheidender Bedeutung, aber unübersichtliche Tabellenkalkulationen und übermäßig detaillierte Dashboards können es Entscheidungsträgern erschweren, „den Wald vor lauter Bäumen zu sehen“.
Um mehr Klarheit über KPIs und KRIs zu schaffen, hat Prevalent ein E-Book und eine Scorecard erstellt, die:
- Erläutert den Unterschied zwischen KPIs und KRIs
- Identifiziert vier Kategorien von Lieferantenmetriken zur Messung
- Priorisiert 25 empfohlene Lieferanten-KPIs und KRIs für die Berichterstattung an den Vorstand und die Geschäftsleitung
4. Verfolgen Sie einen einheitlichen Ansatz bei der Einstufung und Kategorisierung von Lieferanten.
Nicht jeder Lieferant erfordert das gleiche Maß an Kontrolle. Daher hilft Ihnen die Einstufung und Kategorisierung von Lieferanten nach ihrem Risiko dabei, Prioritäten zu setzen und den Umfang Ihrer laufenden Risikobewertungs- und Überwachungsinitiativen festzulegen.
Für einen strukturierteren Ansatz sollten Sie Ihre Lieferanten anhand von drei Risikokategorien gruppieren:
- Profiliertes Risiko: Gruppieren Sie Ihre Lieferanten zunächst anhand des profilierten Risikos, d. h. des Risikos, das mit der Branche jeder Gruppe, ihrer Bedeutung für die Geschäftsleistung, ihrem Standort und anderen übergeordneten Faktoren verbunden ist. Dies lässt sich in der Regel durch eine kurze Umfrage unter den internen Lieferantenmanagern erreichen.
- Inhärentes Risiko: Dies ist das spezifische Risikoniveau jedes Lieferanten, bevor die von Ihrem Unternehmen geforderten Kontrollen berücksichtigt werden. Verwenden Sie Lieferantenfragebögen, um Informationen über deren Zugriff auf Ihre Betriebsabläufe und Daten, interne Sicherheitsprozesse, Abhängigkeit von vierten und N-ten Parteien, gesetzliche und regulatorische Verpflichtungen sowie andere unternehmensspezifische Faktoren zu sammeln. Die daraus resultierenden Risiken sollten anhand ihrer Wahrscheinlichkeit und ihrer Auswirkungen auf das Geschäft bewertet werden.
- Restrisiko: Mit einer Basisbewertung des inhärenten Risikos können Sie das Restrisiko berechnen, also das Risiko, das nach Anwendung der Kontrollmaßnahmen verbleibt. Sie können das Restrisiko ermitteln, nachdem Sie eng mit jedem Lieferanten zusammengearbeitet haben, um die während des Bewertungsprozesses festgestellten Probleme zu beheben oder zu mindern.
Die Einstufung und Kategorisierung muss konsistent durchgeführt werden, um ein genaues Bild Ihrer Risiken durch Dritte zu erhalten, weitere Sorgfaltspflichten zu erfüllen und sicherzustellen, dass Lieferanten anhand der Risiken und Standards bewertet werden, die für Ihr Unternehmen am wichtigsten sind.
5. Setzen Sie die richtigen Ressourcen für die Risikobewertung von Lieferanten ein.
Eine genaue und umfassende Bewertung Ihres Lieferantenrisikos erfordert wahrscheinlich die Mitwirkung von Experten aus verschiedenen Bereichen Ihres Unternehmens, darunter Lieferantenmanagement, Beschaffung, IT-Sicherheit, Compliance und Datenschutz – ganz zu schweigen von Ihren Lieferantenkontakten. Eine zentralisierte SRM-Plattform kann dabei helfen, indem sie automatisierte, relevante Lieferantenrisikobewertungen liefert, die den manuellen Arbeitsaufwand drastisch reduzieren und gleichzeitig interne und externe Stakeholder um einen einzigen, einheitlichen Prozess herum versammeln.
Bei der Auswahl von Fragebögen zur Risikobewertung müssen Sie zwei wesentliche Faktoren berücksichtigen:
- Inhalt. Standardisiert oder individuell angepasst? Standardisierte Fragebögen erleichtern den Vergleich von Lieferanten. Individuell angepasste Inhalte ermöglichen eine genauere Bewertung.
- Vorgehensweise: Sollten Sie dies selbst tun oder an einen spezialisierten Managed Services Provider auslagern? Viele Unternehmen entscheiden sich dafür, ihre Ressourcen für das Risikomanagement einzusetzen und die Erfassung von Lieferantendaten an externe Spezialisten auszulagern.
Unabhängig vom Inhalt oder der Erfassungsmethode sollten Sie eine Strategie zur Behebung von Mängeln haben, um auf die Ergebnisse der Bewertung reagieren zu können. Es macht keinen Sinn, Risikobewertungen durchzuführen, wenn Sie nicht bereit (oder in der Lage) sind, den letzten Schritt zu gehen.
6. Kontinuierliche Überwachung der Lieferantenrisiken
Unternehmen können jederzeit scheitern, neue Produkte können auf den Markt kommen oder Fusionen und Übernahmen können stattfinden. Fragebogenbasierte Bewertungen sind unerlässlich, um zu bestimmten Zeitpunkten Daten von Lieferanten zu sammeln, aber zwischen den regelmäßigen Bewertungen treten zwangsläufig neue Risiken auf.
Sie können die Lücken zwischen den Bewertungen schließen, Risikobewertungen aktuell und genau halten und erkennen, wann weitere Untersuchungen erforderlich sind, indem Sie eine Lösung zur kontinuierlichen Risikoüberwachung einsetzen, um öffentliche und private Quellen für Lieferanteninformationen zu scannen auf:
- Cyberrisiken wie Datenverstöße, durchgesickerte Zugangsdaten und Unternehmensdaten im Dark Web
- Wirtschaftsnachrichten, wie M&A-Aktivitäten und operative Updates
- Finanzielle Aktualisierungen, wie öffentliche Einreichungen, Jahresberichte und Gewinn- und Verlustrechnungen
- Reputationsprobleme, wie negative Medienberichte und Führungskräfte auf Listen politisch exponierter Personen (PEP)
- Verstöße gegen Compliance-Vorschriften, Sanktionen, staatliche Unternehmen und andere Interessenkonflikte
Wenn es in diesem Beitrag eine bewährte Methode gibt, die Beschaffungs- und Lieferantenteams dabei hilft, proaktiver zu werden, dann ist es diese. Sie sollten nicht nur kontinuierliche Überwachungsdaten nutzen, um Bewertungsergebnisse zu validieren und zu aktualisieren, sondern auch nach einer SRM-Lösung suchen, die Überwachungs- und Bewertungsfunktionen integriert, um maximale Effizienz und Transparenz zu erzielen.
7. Vergessen Sie nicht das Offboarding-Risiko
Das Risiko, das ein Lieferant für Ihr Unternehmen darstellt, verschwindet nicht einfach, wenn der Vertrag ausläuft oder gekündigt wird. Ein Lieferant, der über sensible Daten verfügt, muss diese Daten zurückgeben und/oder sicher vernichten; Supportverpflichtungen können über die Laufzeit eines Kaufvertrags hinaus bestehen bleiben; und Unternehmen müssen sicherstellen, dass jeglicher Zugriff von Lieferanten auf interne Systeme beendet wird.
Wichtige Überlegungen für Ihre Strategie zum Auslaufen von Lieferanten sollten Folgendes umfassen:
- Zentrale Vertragsbewertungen, um sicherzustellen, dass die endgültigen Verpflichtungen erfüllt werden
- Offboarding-Workflow, um vor der endgültigen Freigabe die Zustimmung aller internen Stakeholder einzuholen
- Berichterstattung zur Überprüfung der Einhaltung
Auch wenn dies offensichtlich erscheinen mag, hat Prevalent Research herausgefunden, dass 43 Prozent der Unternehmen die Risiken ihrer Lieferanten beim Offboarding nicht aktiv bewerten.
Laden Sie den Leitfaden für bewährte Verfahren herunter
Um Ihren aktuellen Lieferantenrisikomanagementprozess anhand von Best Practices zu bewerten, laden Sie Sieben Schritte zu einem proaktiveren Risikomanagementprogramm für Lieferantenherunter. Der Leitfaden behandelt folgende Themen:
- Die Merkmale eines ausgereiften und proaktiven Lieferantenrisikomanagementprogramms (SRM)
- Wie unterschiedliche Risiken in jeder Phase der Lieferantenbeziehung gehandhabt werden sollten
- Wichtige Funktionen, auf die Sie bei einer Lösung achten sollten, die verschiedene Arten von Lieferantenrisiken abdeckt
- Reale Anwendungsfälle für Unternehmen, die ihre SRM-Herausforderungen erfolgreich gemeistert haben
- Tipps und Tricks, um die Zustimmung im gesamten Unternehmen zu sichern
Kontaktieren Sie uns noch heute, um einen Termin für eine Demo zu vereinbaren, in der wir Ihnen zeigen, wie Sie Ihr SRM-Programm von reaktiv zu proaktiv umstellen können.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
