Risikomanagement für Lieferanten: Der endgültige Leitfaden

Was ist Risikomanagement für Lieferanten?

Beim Lieferantenrisikomanagement (SRM) geht es darum, die Risiken, die sich aus der Zusammenarbeit mit Drittanbietern ergeben können, zu ermitteln, zu analysieren und zu bewältigen. Zu diesen Risiken gehören Datenschutzverletzungen, Betriebsausfälle und andere Geschäftsunterbrechungen, die sich auf die Lieferanten eines Unternehmens auswirken können - und somit die Fähigkeit des Unternehmens einschränken, seinen Kunden Produkte und Dienstleistungen zu liefern.

Eine Lieferkette wird allgemein definiert als die Abfolge von Prozessen, die zur Herstellung eines Produkts oder einer Ware erforderlich sind. Diese Abläufe können kurz und einfach sein, wie z. B. bei einem Landwirt, der seine Waren auf einem Bauernmarkt verkauft, bis hin zu lang und komplex, wie z. B. bei einem Konsumgüterunternehmen, das seine Produkte entwirft und vermarktet, aber bei der Beschaffung von Rohstoffen, der Montage, der Verpackung und dem Vertrieb auf Hunderte von dritten, vierten und n-ten Parteien angewiesen ist.

Das Ziel von SRM ist die Aufrechterhaltung der Kontinuität der Lieferkette im Falle eines Vorfalls, der sich negativ auf Geschäftsbeziehungen, Kundenservice und Rentabilität auswirken könnte. Effektive SRM-Programme priorisieren voneinander abhängige Risiken, die zu Unterbrechungen und Ausfällen in der Lieferkette führen können, durch Lieferantenbewertungen, kontinuierliche Überwachung, Datenanalyse und Risikokartierung. Gut konzipierte Programme umfassen auch Prozesse zur Risikominderung und zum Risikotransfer sowie die Möglichkeit, wichtige Leistungsindikatoren (KPIs) zur laufenden Programmoptimierung zu messen und zu analysieren.

Ein klares Verständnis des Lieferantenrisikos ermöglicht es dem Unternehmen, sich besser auf Unterbrechungen bei der Lieferung von Produkten und Dienstleistungen vorzubereiten und darauf zu reagieren. Darüber hinaus kann die Planung Unternehmen dabei helfen, automatisierte Lösungen für das Lieferantenrisikomanagement zu implementieren, um einen Teil der Last zu schultern.

Warum Risikomanagement für Lieferanten heute so wichtig ist

Das Lieferantenrisikomanagement entscheidet heute für viele Unternehmen über Erfolg und Misserfolg. Die COVID-19-Pandemie, geopolitische Unruhen, der Klimawandel, Naturkatastrophen und andere Ereignisse haben viele Unternehmen dazu veranlasst, ihre Ansätze für das SRM zu überdenken. Während Just-in-Time-Lieferketten und globales Outsourcing in Zeiten der Stabilität die Kosten senkten und die Effizienz steigerten, haben diese Praktiken die Lieferketten in den letzten Jahren existenziellen Bedrohungen ausgesetzt.

Auch wenn Sie bestimmte Störungen nicht vorhersagen können, hilft ein umfassendes und effektives Risikomanagementprogramm für Lieferanten Ihrem Unternehmen, sich auf unerwartete Ereignisse vorzubereiten. Es befasst sich auch mit Themen auf Vorstandsebene, wie z. B. betriebliche Widerstandsfähigkeit, Geschäftskontinuität und Produktlebenszyklusmanagement.

Arten und Beispiele von Lieferantenrisiken

Cybersecurity-Risiken

Einige der wichtigsten Risiken, mit denen Lieferketten im 21. Jahrhundert konfrontiert sind, sind Datenschutzverletzungen und andere Cybervorfälle, die Lieferanten, deren Kunden und sogar die Kunden der Kunden gefährden können. In vielen Fällen verfügen große Unternehmen über robuste Cybersicherheitsprogramme, die sich jedoch nicht immer auf Drittanbieter erstrecken, die möglicherweise über wesentlich weniger Wissen und Fähigkeiten im Bereich Cybersicherheit verfügen. So kam es beispielsweise 2013 bei Target zu einer massiven Datenpanne, bei der die personenbezogenen Daten von bis zu 40 Millionen Kunden offengelegt wurden . Die Angreifer drangen über einen HLK-Subunternehmer ein, der zahlreiche Target-Standorte beliefert hatte.

Die SolarWinds-Panne

Ein weiteres bekanntes Beispiel ist der Angriff auf SolarWinds im Jahr 2020, bei dem die Orion-Plattform des Unternehmens angegriffen wurde. Dabei handelte es sich um einen der weitreichendsten und raffiniertesten Cyberangriffe der jüngeren Geschichte. Die Verletzung der Lieferkette von SolarWinds hat trotz aller Bemühungen, die Risiken zu erkennen und zu minimieren, bei Orion-Kunden auf der ganzen Welt großen Schaden angerichtet. Einer Studie zufolge beliefen sich die durchschnittlichen Kosten für die von dem SolarWinds-Angriff betroffenen Unternehmen auf etwa 12 Millionen US-Dollar.

Prevalent fand heraus, dass 37 % der betroffenen Unternehmen keine dokumentierten Richtlinien für die Reaktion auf den Einbruch bei SolarWinds hatten. Dieser Einbruch hat viele Unternehmen unvorbereitet getroffen und interne Verfahrensmängel in Bezug auf die Kundenberichterstattung und eine unzureichende Planung der Reaktion auf Vorfälle offenbart.

Die Sicherheitslücke bei SolarWinds ist ein hervorragendes Beispiel dafür, wie Unternehmen durch Cyber-Sicherheitsrisiken in der Lieferkette in Mitleidenschaft gezogen werden können. Selbst wenn die direkten Zulieferer eines Unternehmens SolarWinds nicht verwendet haben, könnten es ihre Subunternehmer gewesen sein. Dies ist auch ein Beispiel für das Risiko der vierten Partei, bei dem sich die Cybersicherheitslücken unbekannter Unterauftragnehmer negativ auf eine bestehende (und sogar sorgfältig verwaltete) Lieferkette auswirken können. Diese Risiken unterstreichen, wie wichtig es ist, ein detailliertes und vollständiges Verständnis Ihrer Lieferkette, einschließlich der Subunternehmer, zu erlangen, potenzielle Risiken genau zu erfassen und proaktiv einen Plan zur Reaktion auf Vorfälle zu erstellen, wenn diese eintreten.

Compliance-Risiken

Die jüngsten Unterbrechungen der globalen Lieferketten haben dazu geführt, dass SRM nicht nur auf Vorstandsebene, sondern auch bei Regulierungsbehörden und Gesetzgebern stärker in den Fokus gerückt ist. Obwohl mehrere Vorschriften Anforderungen an die IT-Sicherheitsrisiken von Lieferanten enthalten, stützen sich die meisten Unternehmen bei ihren Compliance-Programmen auf bewährte Verfahren, die entweder von NIST oder ISO beschrieben werden.

NIST

Organisationen, die mit Informationen der US-Regierung umgehen, müssen sich an die Richtlinien des NIST oder des National Institute of Standards and Technology halten. Da das NIST Ressourcen für den Umgang mit Risiken veröffentlicht, die für jedes Unternehmen gelten, haben fast 50 % der Unternehmen des privaten Sektors auch ihre Richtlinien übernommen. Mehrere Sonderveröffentlichungen des NIST beschreiben Kontrollen, die sich mit der IT-Sicherheit von Lieferanten befassen, darunter SP 800-53, SP 800-161 und das NIST Cybersecurity Framework.

ISO

Die Internationale Organisation für Normung (ISO) ist ein Expertengremium, das freiwillige, konsensbasierte Normen zur Lösung globaler Herausforderungen entwickelt. Die ISO-Normen für das Informationssicherheitsmanagement fallen unter die ISO 2700-Familie, wobei ISO 27001 und ISO 27002 die bekanntesten sind. Abschnitt 15 von ISO 27001 und ISO 27002 fasst die Anforderungen für den sicheren Umgang mit verschiedenen Arten von Dritten zusammen. Dies ist eine Ergänzung zu ISO 270036-2, die sich speziell auf die Anforderungen an die Informationssicherheit in den Beziehungen zu Lieferanten und Auftraggebern konzentriert.

Vorschriften außerhalb der IT-Sicherheit

Die IT-Sicherheit ist nicht die einzige Kategorie von Compliance-Risiken, wenn es um Lieferantenbeziehungen geht. Einige Beispiele für ESG-Vorschriften erfordern die Überwachung von Lieferantenpraktiken in den Bereichen Klimawandel und Nachhaltigkeit (E), soziale Gerechtigkeit, Lohngleichheit, Arbeitnehmerschutz (S), Unternehmensführung, Bekämpfung von Bestechung und Korruption sowie Vielfalt (G).

Geschäftliche und finanzielle Risiken

Die Risiken in der Lieferkette eines Unternehmens können viele Formen annehmen. So könnte beispielsweise ein wichtiger Lieferant Konkurs anmelden und seine Verträge nicht erfüllen. Tatsächlich zeigen einige Studien, dass 25 % der Unternehmen im vergangenen Jahr von der finanziellen Insolvenz eines Lieferanten betroffen waren.

Fusionen und Übernahmen können auch eine Änderung der Strategie oder eine Marktkonsolidierung signalisieren, die sich auf die Erbringung von Dienstleistungen, Preise oder Vertragsbedingungen auswirken können. Darüber hinaus können sich Führungswechsel oder rechtliche Probleme auf die Kultur, die Strategie und die Fähigkeit eines Unternehmens auswirken, seine Ziele zu erreichen.

Organisationen unterliegen auch zunehmend aufsichtsrechtlichen Sanktionen in Bezug auf finanzielle Offenlegungen und Ethik. Das Office of the Comptroller of the Currency (OCC) bietet beispielsweise spezielle Leitlinien für Banken, die Beziehungen zu Dritten wie Cloud-Service-Anbietern, Datenaggregatoren, Fintech-Unternehmen und Unterauftragnehmern eingehen.

Bei der Bewertung potenzieller Anbieter ist es von entscheidender Bedeutung, die finanzielle Situation des Unternehmens, die bestehenden vertraglichen Verpflichtungen und andere Faktoren zu kennen, die sie daran hindern könnten, Ihren Vertrag effektiv zu erfüllen. Je weniger Due-Diligence-Prüfungen vor der Einbindung eines Anbieters durchgeführt werden, desto wahrscheinlicher ist es, dass Sie eine erhebliche Geschäftsunterbrechung erleben.

Eine formelle und dokumentierte Strategie für das Risikomanagement von Drittanbietern kann helfen, diese Risiken zu bewältigen. Die Anbieter sollten einheitlich auf der Grundlage einer Reihe vorher festgelegter Kriterien bewertet werden, die den Vergleich mit konkurrierenden Anbietern erleichtern und potenzielle Lieferanten identifizieren, die Schwierigkeiten haben könnten, ihren vertraglichen Verpflichtungen nachzukommen.

Event-Risiken

Die Globalisierung hat die Komplexität der Lieferketten dramatisch erhöht. So kann beispielsweise eine Naturkatastrophe wie ein Wirbelsturm, ein Flächenbrand, ein Erdbeben oder ein Tsunami in einem Land Auswirkungen auf die Lieferketten rund um den Globus haben. Das Risiko von Unterbrechungen der Lieferkette aufgrund von Naturkatastrophen wird durch den Klimawandel voraussichtlich noch steigen.

Eine Veränderung der politischen Bedingungen oder der Sicherheitslage im Land eines wichtigen Lieferanten kann ebenfalls zu negativen Versorgungsschocks führen. Beispiele hierfür sind Konflikte wie Krieg, Änderungen in der Steuerpolitik, interne Stabilitätsprobleme und Handelsembargos. Es ist daher von entscheidender Bedeutung, die politischen, sozialen und wirtschaftlichen Bedingungen in den Regionen der Zulieferer zu überwachen und deren potenzielle Auswirkungen auf Ihre Lieferkette zu analysieren. Einblicke in Verstöße gegen das Office of Foreign Assets Control (OFAC), staatliche Unternehmen und politisch exponierte Personen (PEPs) sind der Schlüssel zum Verständnis geopolitischer Risiken.

Hier sind einige wichtige Beispiele für Ereignisrisiken:

Die COVID-19-Pandemie

Die COVID-19-Pandemie ist ein Paradebeispiel dafür, wie eine Gesundheitskrise die Lieferketten auf globaler Ebene stören kann. Im Januar und Februar 2020 stand China im Mittelpunkt der COVID-19-Krise, was zu weitreichenden Unterbrechungen der Lieferketten führte, die durch drastische Veränderungen der Nachfrage nach bestimmten Produkten noch verschärft wurden. So wurden beispielsweise die Lieferketten für wichtige persönliche Schutzausrüstungen wie N95-Atemschutzmasken und Gesichtsschutzschilde unterbrochen, während die Nachfrage sprunghaft anstieg. Mit dem Fortschreiten der Pandemie weiteten sich die Unterbrechungen auf die Lieferketten für Konsumgüter aus, und neue Varianten lösten zusätzliche globale Sperrungen aus.

Der Krieg in der Ukraine

Der Einmarsch Russlands in die Ukraine im Jahr 2022 zwang mehrere Hersteller weltweit zu Produktionspausen
und bedrohte die weltweite Weizenversorgung. Unternehmen wie Carlsberg, Coca-Cola, Mondelez International, Nestle und der Stahlhersteller und Bergbaukonzern ArcelorMittal haben bisher ihre Produktion ausgesetzt. Die Ukraine ist auch ein führender Produzent von Metallen der seltenen Erden wie Kupfer, das ein wichtiger Rohstoff für viele Industriegüter und Elektronikprodukte ist. Aufgrund dieser Störungen mussten die Unternehmen Informationen von Lieferanten mit ukrainischen Betrieben einholen und ihre Produktionspläne und -verfahren entsprechend anpassen.

Sanktionen sind eine weitere Überlegung. Nach der russischen Invasion in der Ukraine verhängten mehrere Länder Ausfuhrsperren und Sanktionen gegen die russische Regierung, was die Fähigkeit russischer Unternehmen, internationale Geschäfte zu tätigen, beeinträchtigt hat. Als Reaktion darauf sagen Experten eine Zunahme russischer Cyberangriffe auf westliche Regierungen und Unternehmen mit Sitz im Westen voraus.

Die Sperrung des Suezkanals

Ein weiteres aktuelles Beispiel für eine unvorhergesehene Unterbrechung der Lieferkette war die sechstägige Blockade des Suezkanals durch ein riesiges Containerschiff im März 2021, die zu einem geschätzten Handelsstau von 9,6 Milliarden Dollar pro Tag führte.

Es ist unmöglich, Pandemien, Kriege oder Katastrophen weit im Voraus vorherzusagen, aber es ist möglich, das Risiko zu mindern und seine Auswirkungen auf Ihr Unternehmen zu dämpfen. Zusätzlich zu einem Plan können Unternehmen auch Simulationen ihrer Lieferketten durchführen. Diese Simulationen können Ihnen dabei helfen, die anfälligsten Teile Ihrer Lieferkette zu erkennen und herauszufinden, wie sich Naturkatastrophen auf den Geschäftsbetrieb auswirken würden.

Soziale Verantwortung der Unternehmen und ESG-Risiken

Das Konzept des "guten Unternehmensbürgers" gibt es schon seit einiger Zeit, aber es entwickelt sich mit zunehmendem Bewusstsein weiter. Früher konnten Unternehmen die Definition der sozialen Verantwortung von Unternehmen (CSR) erfüllen, indem sie der Gemeinschaft durch Zeit- und Geldspenden etwas zurückgaben. CSR wird jedoch zunehmend mit ökologischen, sozialen und Governance-Praktiken (ESG) in Verbindung gebracht. Dazu gehören die Ansätze Ihres Unternehmens in Bezug auf ökologische Nachhaltigkeit, die Beziehungen zu Kunden, Mitarbeitern und Gemeinden sowie der Umgang mit der Vergütung von Führungskräften, internen Kontrollen und Aktionärsrechten.

Ein wachsendes Problem in verschiedenen Branchen ist außerdem der Einsatz von Sklaven- und Kinderarbeit - zum Beispiel:

• Die Notlage der uigurischen Minderheit hat Unternehmen, die Produkte in China herstellen, unter Druck gesetzt. In einem Bericht aus dem Jahr 2020 wurden 83 globale Marken genannt, die in China Fabriken mit Zwangsarbeit betreiben, darunter Nike, Gap, Target, Apple und H&M. Zusätzlich zum wachsenden Druck für einen Verbraucherboykott dieser Marken verabschiedete der Kongress 2021 den Uyghur Forced Labor Prevention Act (Gesetz zur Verhinderung uigurischer Zwangsarbeit ), um die Einfuhr von Waren zu verhindern, die mit Zwangsarbeit in China in Verbindung gebracht werden.
• Nachrichtenberichte über Kinderarbeit beim Abbau von Kobalt, das in Batterien verwendet wird, lenkten die Aufmerksamkeit auf die Lieferkettenpraktiken von Apple, Microsoft, Tesla, Samsung und anderen. Neben der Rufschädigung wurden mehrere dieser Unternehmen wegen ihrer Praktiken verklagt.
• Im März 2024 wurde ein Teilehersteller in Tennessee, der große Unternehmen wie John Deere und Yamaha beliefert, verpflichtet, auf 1,5 Millionen Dollar Gewinn zu verzichten, nachdem das Arbeitsministerium entdeckt hatte, dass Kinder in gefährlichen Berufen beschäftigt wurden. Darüber hinaus wurde das Unternehmen zu einer Geldstrafe von 296.951 Dollar verurteilt, weil es "10 Kinder zu repressiver Kinderarbeit" herangezogen hatte, wie das Ministerium mitteilte.

Auch der Druck der Regulierungsbehörden wächst. Die US-Börsenaufsichtsbehörde SEC (Securities and Exchange Commission) hat kürzlich Änderungen verabschiedet, die "bestimmte klimabezogene Informationen in ihren Registrierungserklärungen und Jahresberichten" verlangen, einschließlich "vor- und nachgelagerter Wertschöpfungsketten". Das Parlament der Europäischen Union (EU) hat ein Mandat vorgelegt, wonach EU-Unternehmen "die negativen Auswirkungen ihrer Tätigkeit auf die Menschenrechte, wie Kinderarbeit und Ausbeutung von Arbeitnehmern, und auf die Umwelt, z. B. Verschmutzung und Verlust der biologischen Vielfalt, ermitteln und erforderlichenfalls verhindern, beenden oder abmildern müssen".

Kapazitäts-Risiken

Unabhängig davon, ob es sich um geschäftliche Ereignisse, wirtschaftliche Bedingungen oder Naturkatastrophen handelt, kann es vorkommen, dass Lieferanten ihre Liefertermine nicht einhalten können. Deshalb ist es wichtig, die Kapazitäten der Zulieferer kontinuierlich zu messen, einschließlich der Verfolgung des aktuellen Auftragsstatus, der Leistung im Vergleich zur Auftragshistorie, der Antworten der Zulieferer und der Bestätigungen. Ein proaktiver Überblick über die Lieferantenkapazitäten kann Ihrem Unternehmen helfen, bei Störungen flexibler zu reagieren.

Performance-Risiken

Eng verbunden mit den Kapazitätsrisiken ist die Messung der Leistungsrisiken der Zulieferer, auch Key Performance Indicators (KPIs) genannt, zu denen Qualitätsmetriken, die termingerechte Lieferleistung und andere Risiken für die Einhaltung der vereinbarten Servicelevel gehören können. Entscheidend für das Management der Lieferantenleistung sind ein übersichtliches Dashboard, das Transparenz auf Unternehmensebene bietet, und die Festlegung von Vertragsklauseln mit durchsetzbaren Service Level Agreements (SLAs).

Branchenspezifische Belange des Risikomanagements für Lieferanten

Jede Branche steht vor einzigartigen Herausforderungen im Umgang mit Dritt-, Viert- und Drittlieferanten. Es ist wichtig, branchenspezifische Faktoren zu berücksichtigen und regelmäßige, detaillierte Überprüfungen vorzunehmen, um festzustellen, ob Branchenveränderungen Ihre Lieferkette gefährden könnten.

SRM-Belange im Gesundheitswesen

Die COVID-19-Pandemie hat viele Unzulänglichkeiten in der Versorgungskette des amerikanischen Gesundheitswesens offenbart. Es gab monatelang Engpässe bei der persönlichen Schutzausrüstung (PSA) und anderen wichtigen medizinischen Geräten. Das Gesundheitswesen ist aufgrund der Unvorhersehbarkeit von Gesundheitskrisen und des globalen Ausmaßes von nachfragebedingten Lieferkettenengpässen mit vielen einzigartigen Lieferkettenrisiken konfrontiert.

Organisationen des Gesundheitswesens mit Sitz in den USA müssen auch den Datenschutzgesetzen und der Cybersicherheit in der Lieferkette besondere Aufmerksamkeit schenken. In vielen Fällen müssen Drittanbieter gemäß Vorschriften wie der HIPAA-Klausel für "Geschäftspartner" dieselben Cybersicherheitsstandards einhalten wie die Gesundheitsorganisation. Für weitere Informationen zur Verbesserung des SRM in der gesamten Lieferkette des Gesundheitswesens empfehlen wir die Folienpräsentation des HPH zum Cyber Supply Chain Risk Management (C-SCRM).

SRM-Probleme in Produktion und Einzelhandel

Produktions- und Einzelhandelsunternehmen müssen den zunehmenden Fokus der Gesellschaft auf ESG-Praktiken (Umwelt, Soziales, Unternehmensführung) genau beachten. Investoren und Regierungen prüfen zunehmend die Art und Weise, wie Hersteller und Einzelhändler ihre Materialien beschaffen - nicht nur über Dritte, sondern auch über die erweiterte Lieferkette der vierten und neunten Partei.

ESG-Compliance-Anforderungen wie die europäische Richtlinie über die Sorgfaltspflicht von Unternehmen verpflichten dazu, die Lieferkette auf Sklavenarbeit und andere unmoralische Praktiken zu untersuchen, und die Strafen bei Nichteinhaltung können hoch sein. Wir empfehlen Fertigungs- und Einzelhandelsunternehmen, proaktiv dafür zu sorgen, dass ESG-Aspekte in jedem Schritt des Lebenszyklus des Lieferantenrisikomanagements berücksichtigt werden, und zwar aus Gründen der Compliance, der Ethik und des guten Rufs. Die Vorschriften werden sich in diesem Bereich zweifellos verschärfen, so dass ein proaktiver ESG-Ansatz zukünftige Herausforderungen für Ihr Unternehmen zweifellos verringern wird.

IT-Dienstleistungen, Software und Lieferkette Cybersicherheit

Auf den ersten Blick sind IT-Dienstleistungs- und Softwareunternehmen vielleicht nicht dem gleichen Lieferantenrisiko ausgesetzt wie Unternehmen in anderen Branchen. Die meisten Softwareunternehmen müssen keine Produkte und Rohstoffe aus politisch instabilen Ländern beziehen, und die meisten müssen sich keine Sorgen über Naturkatastrophen machen, die Drittanbieter betreffen. Sie sind jedoch einem erheblichen Risiko durch Cyberangriffe ausgesetzt.

In den letzten Jahren haben böswillige Akteure zunehmend auf die Kompromittierung von Drittanbietern von Software- und IT-Unternehmen zurückgegriffen, um Malware zu verbreiten und Kunden zu schädigen. Diese Angriffe verdeutlichen, wie wichtig es für IT-Firmen und andere Unternehmen ist, die Informationssicherheitspraktiken von Drittanbietern von Software und anderen Organisationen mit Zugang zu sensibler IT-Infrastruktur genau zu prüfen.

Diese Probleme sind besonders akut für MSPs und andere IT-Dienstleister mit Kunden aus verschiedenen Branchen. Beim Kaseya-Einbruch im Jahr 2021 wurde beispielsweise eine Schwachstelle in einer von Managed Service Providern (MSP) genutzten Lösung ausgenutzt. Diese Schwachstelle wiederum ermöglichte es den Angreifern, Ransomware an MSP-Kunden zu verteilen, die die Kaseya-Lösung nutzen.

Verstehen von profilierten, inhärenten und Restrisiken in der Lieferkette

Das Lieferantenrisiko lässt sich grob in drei Kategorien einteilen: inhärentes Risiko, profiliertes Risiko und Restrisiko. Wenn Sie diese Risikokategorien verstehen, können Sie Ressourcen effektiv priorisieren und das Risiko in der gesamten erweiterten Lieferkette mindern.

Profiliertes Lieferantenrisiko

Profiliertes Risiko
berücksichtigt Risiken auf der Grundlage der vom Lieferanten erbrachten Dienstleistungen, der Arten von Daten und Systemen, zu denen er Zugang hat, und der Branche, in der er tätig ist. Wenn zum Beispiel ein Fertigungsunternehmen 90 % seiner Rohstoffe von einem einzigen Lieferanten in einem politisch instabilen Land bezieht, dann würde dieser Lieferant ein hohes Risiko aufweisen. Umgekehrt würde ein Lieferant einer einzigen, unbedeutenden, leicht austauschbaren Komponente ein geringes Risiko aufweisen. Bei der Betrachtung von Risiken mit Lieferantenprofilen müssen Sie Folgendes berücksichtigen

• Compliance-Anforderungen: Zukünftige wie der Entwurf der europäischen Richtlinie über die Sorgfaltspflicht von Unternehmen werden wahrscheinlich hohe Geldstrafen für Unternehmen verhängen, die es versäumen, ESG-Best Practices in die Lieferkette zu integrieren. Lieferanten mit einer hohen Wahrscheinlichkeit von ESG-Bedenken oder mit einer schlechten Erfolgsbilanz beim ESG-Management stellen ein höheres Risiko dar.

• Zugang zu Daten und IT: Das Risikoprofil eines Drittanbieters steht in direktem Zusammenhang mit dem Umfang und der Art der Daten und IT-Systeme, auf die er Zugriff hat. Organisationen, die in hohem Maße Zugang zu vertraulichen Informationen haben, weisen ein höheres Risikoprofil auf. Wenn ein Zulieferer Ihre Unternehmensdaten speichert, verarbeitet oder mit ihnen interagiert, dann ist sein Sicherheitsprogramm auch Ihr Sicherheitsprogramm.

• Standort: Unternehmen, die in politisch instabilen Umgebungen tätig sind, stellen ein höheres Risiko dar als Unternehmen, bei denen dies nicht der Fall ist. Politische Instabilität kann Lieferketten schnell unterbrechen, sensible Daten gefährden und zu anderen schwer vorhersehbaren negativen Folgen führen.

Risikomanager für Lieferanten müssen viele Faktoren berücksichtigen, wenn sie das Risikoprofil potenzieller Lieferanten beurteilen. Machen Sie nicht den Fehler, den Schritt des Risikoprofils auszulassen, denn er liefert den entscheidenden Kontext für die Auswahl der Fragebögen für jede Lieferantenebene in Ihrem Drittanbieter-Ökosystem. Ohne ein Verständnis des Risikoprofils stellen Sie unweigerlich die falschen Fragen, erhalten irrelevante Daten und erhalten am Ende ungenaue Werte für das inhärente Risiko.

Inhärentes Lieferantenrisiko

Das inhärente Risiko zeigt das Risikoniveau eines Anbieters an, bevor die von Ihrer Organisation geforderten spezifischen Kontrollen berücksichtigt werden. Wenn eine Gesundheitseinrichtung beispielsweise Datenanalyseunternehmen für die Verarbeitung von Patientendaten in Betracht zieht, würde ein Unternehmen ohne Dokumentation, die HIPAA-konforme Richtlinien nachweist, ein inakzeptabel hohes inhärentes Risiko darstellen. Das Krankenhaus hätte dann die Wahl, von dem Anbieter die Umsetzung HIPAA-konformer Richtlinien und Verfahren zu verlangen oder vom Vertrag zurückzutreten. Bei der Analyse des inhärenten Risikos eines potenziellen Anbieters sollten Sie Folgendes berücksichtigen:

• Wäre Ihre Lieferkette von einer größeren Unterbrechung betroffen, wenn der Lieferant durch einen Cyberangriff nicht mehr in der Lage wäre, seinen Vertrag zu erfüllen?

• Erfüllt der Anbieter derzeit alle Compliance-Anforderungen, die von Ihrem Unternehmen ausgehen würden? (z. B. HIPAA, CCPA, GDPR)

• Verfügt der Anbieter über ein eigenes Risikomanagementprogramm für Zulieferer, das es ihm ermöglicht, im Falle einer Unterbrechung durch eine vierte oder neunte Partei weiter zu liefern?

• Verfügt der potenzielle Lieferant über ein ESG-Compliance-Programm? Werden vierte und neunte Parteien auf Bestechung, Korruption, moderne Sklaverei und andere ESG-Risiken geprüft?

Diese und andere relevante Fragen können Ihnen dabei helfen, das inhärente Risiko zu erkennen, das ein potenzieller Lieferant für Ihr Unternehmen und seine Lieferkette darstellt. Anhand der Antworten auf diese Fragen können Sie einen detaillierten Anforderungskatalog für einen Lieferanten erstellen, der auf einer Kombination aus dessen Profil und inhärentem Risiko basiert.

Restrisiko des Lieferanten

Das Restrisiko ist das Risiko, das verbleibt, nachdem ein Anbieter die von Ihrer Organisation geforderten Kontrollen erfolgreich umgesetzt hat. Ungeachtet des Risikoprofils des Lieferanten, des inhärenten Risikos und der Abhilfemaßnahmen wird immer ein gewisses Restrisiko verbleiben. Das Ziel eines effektiven Risikomanagementprogramms für Lieferanten ist es, das Restrisiko auf ein Niveau zu senken, das Ihr Unternehmen in seiner gesamten Lieferkette tolerieren kann.

Um ein akzeptables Restrisiko zu erreichen, müssen Sie sicherstellen, dass alle Lieferanten die "Muss"-Anforderungen Ihres Unternehmens erfüllen, um sichere und konforme Lieferketten zu gewährleisten. Zu diesen Anforderungen können gehören:

• Robuste und dokumentierte Informationssicherheitsprogramme

• Umfassende Disaster-Recovery-Planung

• Sichtbarkeit der vierten und n-ten Partei

• Ein ESG-Compliance-Programm

• Transparenz bei der Beschaffung von Rohstoffen (z. B. Konfliktmineralien)

Denken Sie daran, dass das Restrisiko während des gesamten Lebenszyklus des Lieferantenrisikomanagements nicht statisch ist. Es ist von entscheidender Bedeutung, Dritte während des gesamten Vertragslebenszyklus zu überwachen, um Änderungen des Restrisikos aufgrund von organisatorischen oder umweltbedingten Veränderungen zu erkennen

Eine Strategie für das Risikomanagement von Lieferanten im Überblick

1. Bilden Sie ein abteilungsübergreifendes SRM-Team

Die Identifizierung und Quantifizierung von Lieferantenrisiken kann auf den ersten Blick entmutigend sein. Daher ist es wichtig, das richtige Team für die Verwaltung und Steuerung Ihres SRM-Programms zusammenzustellen. Zu den Teilnehmern können Vertreter aus den Bereichen Einkauf und Beschaffung, Risikomanagement, Sicherheit und IT, Recht und Compliance sowie Datenschutz gehören. Es ist auch wichtig, das Produktmanagement und die Fertigung mit einzubeziehen, um die potenziellen Risiken an jedem Knotenpunkt der Wertschöpfungskette zu verstehen.

2. Auswahl eines Rahmens für das Risikomanagement

Wenn Sie Ihr SRM-Programm auf ein Risikomanagement-Rahmenwerk stützen, erhalten Sie eine Grundlage mit bewährten Verfahren und Leitlinien. Viele Unternehmen orientieren sich entweder an den NIST- oder den ISO-Rahmenwerken, je nach Branche und anderen Faktoren. Spezifische NIST-Richtlinien
die in Betracht gezogen werden sollten, sind NIST CSF v2.0, NIST SP 800-53 und NIST SP 800-161. Bei den ISO-Normen sollten Sie mit ISO 27001 und ISO 27036-2 beginnen.

3. Berücksichtigung von Risiken in Ausschreibungsprozessen mit vorvertraglicher Due Diligence

Achten Sie bei der Bewertung neuer Lieferanten darauf, dass bei Ausschreibungen, RFP und anderen Ausschreibungsprozessen Informationen über geschäftliche, finanzielle und Reputationsrisiken gesammelt werden, unter anderem aus folgenden Quellen:

• Unternehmensnachrichten (z. B. Fusionen und Übernahmen, behördliche und rechtliche Maßnahmen, betriebliche Veränderungen und Führungswechsel)
• Negative Medienberichterstattung (z. B. ESG-Verstöße, moderne Sklaverei, Bestechung, Korruption)
• Listen von Datenschutzverletzungen
• Finanzielle Aufzeichnungen
• Sanktionslisten (z.B. OFAC, EU, UN, BOE, FBI, BIS, etc.)
• Globale Durchsetzungslisten und Gerichtsakten (z. B. FDA, US HHS, UK FSA, SEC usw.)
• Listen staatlicher Unternehmen
• Listen politisch exponierter Personen (PEP)

Risiko-Intelligenz-Netzwerke und Dienste zur Erstellung von Risikoprofilen können dazu beitragen, diesen Prozess zu automatisieren. Wenn neue Lieferanten ausgewählt werden, sollte ein solides Verfahren für die Verwaltung des Vertragslebenszyklus vorhanden sein, um den Prozess zu rationalisieren und zu sichern.

4. Zentralisierung der Sichtbarkeit von Lieferantenprofilen

Der Aufbau und die Pflege einer zentralen Lieferantendatenbank sind für ein effektives SRM-Programm unerlässlich. Die Datenbank sollte umfassende Lieferantenprofile enthalten und einen rollenbasierten Zugriff auf Unternehmenskontakte, demografische Daten, Verbindungen^{zu vierten} und dritten Parteien sowie Risikoinformationen bieten - beginnend mit allen profilierten Risikodaten und externen Risikoinformationen, die während der Beschaffungs- und Auswahlphase erfasst werden.

5. Kategorisierung und Einstufung von Lieferanten auf der Grundlage des inhärenten Risikos

Um die Effektivität des SRM-Programms zu gewährleisten und die begrenzten Ressourcen optimal zu nutzen, sollten Sie Ihre Lieferanten auf der Grundlage ihres inhärenten Risikos kategorisieren und einstufen. Wie bereits erwähnt, ist das inhärente Risiko das Risiko eines Lieferanten vor Berücksichtigung der von Ihrem Unternehmen geforderten spezifischen Kontrollen. Eine wirksame Einstufung des inhärenten Risikos (siehe nachstehende Tabelle) kann sowohl Daten aus einfachen internen Fragebögen als auch aus externen Risikodaten, die während der Beschaffungsphase gesammelt wurden, kombinieren.

Ein einfaches SRM-Risiko-Scoring-Diagramm

6. Regelmäßige Risikobewertungen durchführen, um die Einhaltung der Vorschriften zu gewährleisten

Sobald Sie Ihre Lieferanten profiliert, kategorisiert und in Stufen eingeteilt haben, sollte es einfach sein, die Häufigkeit und den Umfang künftiger Risikobewertungen für jede Lieferantenkategorie festzulegen. So können Sie beispielsweise jährliche Bewertungen kritischer Lieferanten auf der Grundlage von Branchenstandards, gesetzlichen Vorschriften oder besonderen organisatorischen Anforderungen durchführen. Bei den Bewertungen können Informationen über interne Sicherheitskontrollen, Business-Continuity-Pläne, Disaster-Recovery-Pläne und vieles mehr abgefragt werden. Weitere Einzelheiten zu den Bewertungsarten finden Sie in unserem Blog-Beitrag How to Select a Vendor Risk Assessment Questionnaire.

7. Kontinuierliche Überwachung auf neue Lieferantenrisiken

Als Reaktion auf die sich rasch verändernde wirtschaftliche und geopolitische Lage sowie das Umfeld der Cybersicherheit entstehen ständig neue Lieferantenrisiken. Daher ist es wichtig, Ihre kritischen Lieferanten kontinuierlich auf neue Geschäfts-, Finanz-, Reputations- und Cyberrisiken zu überwachen. Diese Informationen können dazu verwendet werden, die Risikobewertungen der Lieferanten anzupassen und Maßnahmen zur Reaktion, Abschwächung und Behebung auszulösen, wie z. B. die Auswahl neuer Lieferanten, die Änderung von Lieferrouten oder die Anforderung weiterer Bewertungen.

8. Sicherstellung der Einhaltung von SLA und Leistungsanforderungen

Viele der in diesem Beitrag besprochenen Bewertungs- und Überwachungsmechanismen können auch angepasst werden, um die Leistung von Lieferanten anhand von SLAs und anderen Vertragsanforderungen zu bewerten. Beginnen Sie mit der Festlegung von wichtigen Leistungsindikatoren (KPIs) für Lieferanten und weisen Sie Schwellenwerte und Verantwortliche für jeden KPI auf der Grundlage der Vertragsattribute zu. Eine automatisierte Plattform kann Warnmeldungen auslösen, wenn KPIs verfehlt werden oder wenn wichtige Risikoindikatoren (KRIs) überschritten werden.

9. Schutz vor Risiken bei Auslaufen von Lieferantenverträgen

Das Offboarding wird beim Risikomanagement von Lieferanten oft übersehen, so dass die Sicherheitsrisiken nach dem Ende eines Vertrags oft noch größer werden. Deshalb ist es wichtig, die Profile von Lieferanten, die gekündigt werden, zu überprüfen und Offboarding-Bewertungen durchzuführen. Anhand dieser Bewertungen kann überprüft werden, ob die endgültigen Vertragsbedingungen eingehalten, die Lieferungen durchgeführt, der IT- und/oder physische Zugang widerrufen, die Vermögenswerte zurückgegeben und sensible Daten vernichtet wurden. Hier finden Sie eine Checkliste für das Offboarding, mit der Sie beginnen können.

Tipps für Ihr SRM-Programm

Anerkennen, dass das Lieferantenrisiko nicht bei Dritten aufhört

Das Risiko einer Organisation beschränkt sich nicht auf ihre direkten Mitarbeiter (Dritte) und Lieferanten. Schaden kann auch von ihren Partnern, auch bekannt als "vierte Parteien", sowie von denjenigen, die tiefer in der Lieferkette stehen, ausgehen. Die Herausforderung, solche Organisationen zu erkennen, die damit verbundenen Risiken, die von Dritten ausgehen, und ihre Fähigkeit, Kontrollen gegen diese Risiken zu verwalten und umzusetzen, ist für Unternehmen heute von großer Bedeutung. Die Komplexität, die mit der Bewertung und Reaktion auf diese Arten von Risiken verbunden ist, erfordert ein robustes und umfassendes Risikomanagementprogramm für Dritte.

Erstellung von Plänen zur Reaktion auf Vorfälle für wichtige Zulieferer

Egal, wie gut Ihre SRM- und Beschaffungsprogramme sind, Probleme werden immer auftreten. Für besonders kritische Teile Ihrer Lieferkette sollten Sie sich die Zeit nehmen, Notfallpläne zu erstellen, die es Ihnen ermöglichen, im Falle eines Zwischenfalls schnell umzustellen. Dies kann den Unterschied zwischen weitreichenden Unterbrechungen in Ihrem Unternehmen oder einem kleinen Schluckauf im Betrieb bedeuten. Je wichtiger der Lieferant ist, desto wichtiger ist es, dass Sie spezifische und umsetzbare Reaktionspläne für Zwischenfälle erstellen.

Implementierung eines SRM-Schulungsprogramms

Für größere Unternehmen kann es außerordentlich schwierig sein, unternehmensweit sichere und robuste Lieferketten zu gewährleisten. Verschiedene Abteilungen verfügen möglicherweise über separate Systeme für die Beschaffung und Auswahl von Anbietern, so dass es schwierig sein kann, alle Drittanbieter (und deren Lieferketten) zu identifizieren und zu verfolgen.

Ein SRM-Schulungsprogramm kann dazu beitragen, die Entscheidungsträger im gesamten Unternehmen aufeinander abzustimmen und klare Standards dafür festzulegen, wie Einzelpersonen und Abteilungen Drittparteien einbinden, überwachen, verwalten und ausschließen sollten. Ohne klare Standards, die angemessen und einheitlich kommuniziert wurden, kann ein SRM-Programm schnell entgleisen.

Nächste Schritte

Sie fragen sich, wie Sie loslegen können? Erfahren Sie mehr über unsere Lösungen für das Management von Lieferantenrisiken, unseren Service zur Überwachung von Lieferantenrisiken und unseren Service für Due-Diligence-Prüfungen im Einkauf. Möchten Sie wissen, ob die Lösungen und Dienstleistungen von Prevalent auch für Ihr Unternehmen geeignet sind? Fordern Sie eine Demo an.

---

Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.