In den letzten Jahren haben beispiellose Ereignisse Schwachstellen in unserer globalen Lieferkette aufgedeckt. Angesichts der Vernetzung moderner Lieferketten ist Ihr Unternehmen wahrscheinlich mit vielen Lieferantenrisiken konfrontiert, die Sie bis vor kurzem vielleicht noch nicht für wichtig gehalten haben.
Da Lieferketten immer komplexer werden, ist es wichtiger denn je, diese Risiken zu verstehen und zu mindern. In diesem Beitrag werden die größten Risiken für Lieferketten untersucht, mit denen Unternehmen heute konfrontiert sind, und Maßnahmen zur Verringerung ihrer Auswirkungen vorgestellt.
Was sind Lieferantenrisiken?
Lieferantenrisiken sind Risiken, die mit Unternehmen oder Personen verbunden sind, die Rohstoffe, Komponenten oder Dienstleistungen liefern, die für die Produktions- oder Betriebsprozesse eines Unternehmens unerlässlich sind. Sie können zu finanziellen Verlusten, Betriebsstörungen und Reputationsschäden führen.
Die Identifizierung von Risikokategorien bei Lieferanten und die Bestimmung ihrer Relevanz für Ihr Unternehmen ist ein wichtiger erster Schritt beim Aufbau eines effektiven Risikomanagementprogramms für die Lieferkette.
Finanzielle Risiken
Jedes Unternehmen, mit dem Sie Geschäfte tätigen, ist mit verschiedenen potenziellen finanziellen Risiken konfrontiert, von denen jedes einzelne letztendlich Auswirkungen auf Ihr Unternehmen haben kann. Finanzielle Risiken für Unternehmen werden in der Regel in vier Kategorien unterteilt:
- Kredit- oder Ausfallrisiken, sowohl aus den Verbindlichkeiten des Unternehmens als auch aus den Krediten, die es seinen Kunden gewährt
- Liquiditätsrisiken im Zusammenhang mit dem Cashflow des Unternehmens und seiner Fähigkeit, Vermögenswerte in Bargeld umzuwandeln
- Operative Risiken aufgrund von Klagen gegen das Unternehmen, behördlichen Geldstrafen oder Problemen mit seinem Geschäftsmodell
- Marktrisiken, die sich auf die gesamte Branche oder den Sektor auswirken, in dem das Unternehmen tätig ist
Finanzielle Herausforderungen in diesen Bereichen können einen Lieferanten davon abhalten, seinen Verpflichtungen gegenüber Ihrem Unternehmen nachzukommen, die Qualität seiner Dienstleistungen beeinträchtigen oder sogar dazu führen, dass er seinen Betrieb ganz einstellt – was zu einer Unterbrechung Ihrer Lieferkette führt.
Minderung finanzieller Risiken bei Lieferanten
Finanzielle Probleme können zu den schwierigsten Kategorien von Risiken durch Dritte gehören, die es zu mindern gilt – insbesondere, wenn sie bestehende Lieferanten betreffen, mit denen Sie vertragliche Verpflichtungen haben. Aus diesem Grund ist die Durchführung einer Finanzrisikoanalyse während des Due-Diligence-Prozesses im Beschaffungswesen vor der Aufnahme eines Lieferanten von entscheidender Bedeutung.
Im Folgenden finden Sie einige bewährte Verfahren zur Identifizierung und Minderung finanzieller Risiken durch Dritte. Diese Tipps gelten auch für die anderen in diesem Artikel behandelten Risikoarten.
Zentralisierung und Standardisierung von Lieferantendaten: Die Zentralisierung von Lieferantendaten ist für den Vergleich der Risiken potenzieller Lieferanten von entscheidender Bedeutung. Eine zentrale Lösung für das Lieferantenrisikomanagement kann Daten aus Bonitätsprüfungen, öffentlichen Unterlagen und anderen ersten Finanzrecherchen mit profilierten Risikodaten – wie zu erbringende Dienstleistungen, Art/Umfang der zu verarbeitenden Daten, Standort und Branche – korrelieren, um standardisierte Risikobewertungen für jeden potenziellen Lieferanten zu erstellen.
Beziehungen zu Fourth-Party-Lieferanten abbilden: Fourth-Party-
(d. h. Lieferanten Ihrer Lieferanten), Fifth-Party-Lieferanten (Lieferanten ihrer Lieferanten) und andere Unternehmen, die noch tiefer in Ihrer Lieferkette angesiedelt sind (Nth-Party-Lieferanten), können alle mit finanziellen Herausforderungen konfrontiert sein, die letztendlich zu Störungen in Ihrem Unternehmen führen können. So führte beispielsweise die COVID-19-Pandemie zu finanziellen Schwierigkeiten für unzählige Unternehmen, von denen viele ihren Betrieb einstellen oder unterbrechen mussten. Dies führte überall zu erheblichen Störungen in der Lieferkette, von der Lebensmittel- und Getränkeindustrie bis hin zur Automobilindustrie. Eine TPRM-Plattform kann die Kartierung von Beziehungen automatisieren und bietet Transparenz über Beziehungen zu vierten und N-ten Parteien, sodass Sie Risiken im Voraus erkennen und mindern können.
Über die Bonitätsprüfung hinausgehen: Bonitätsprüfungen und öffentliche Einträge sind ein guter erster Schritt, um die finanzielle Situation eines Lieferanten zu verstehen. Für eine umfassendere Bewertung des finanziellen Risikos eines Lieferanten ist es jedoch wichtig, auch andere Faktoren zu berücksichtigen. So können beispielsweise Fusionen und Übernahmen, Führungswechsel, Rechtsstreitigkeiten, negative behördliche Feststellungen und Marktveränderungen finanzielle Auswirkungen haben. Durch eine kontinuierliche Risikoüberwachung können Sie diese und andere finanzielle Risiken erkennen, sobald sie im Rahmen Ihrer Lieferantenbeziehungen auftreten.
ESG-Risiken
ESG-Risiken sind Risiken, die mit den Umwelt-, Sozial- und Governance-Praktiken Dritter zusammenhängen. In vielen Fällen sind ESG-Risiken schwer zu erkennen, bis sie auf den Titelseiten großer Nachrichtenseiten erscheinen, sodass der Ruf Ihres Unternehmens möglicherweise bereits geschädigt ist. ESG-Risiken nehmen zu, da die Umwelt- und Arbeitsbedingungen von Unternehmen zunehmend von Aufsichtsbehörden, Wirtschaftsprüfern und Verbrauchern überprüft werden.
Umweltrisiko
Umweltkriterien wie Energieverbrauch, Abfall, Umweltverschmutzung und Verbrauch natürlicher Ressourcen bewerten die Nachhaltigkeitsleistung eines Unternehmens. Viele Organisationen sind in letzter Zeit wegen schlechter Umweltpraktiken in die Kritik geraten, und Unternehmen werden zunehmend danach beurteilt, wie sie auf den Klimawandel reagieren. Dritte müssen streng nach ihren Umweltpraktiken und der Nachhaltigkeit ihrer Rohstoffbeschaffung bewertet werden.
Soziales Risiko
Soziale Kriterien bewerten, wie ein Unternehmen mit seinen Mitarbeitern, Lieferanten, Kunden und lokalen Gemeinschaften in Bereichen wie Vielfalt, Menschenrechte und Verbraucherschutz umgeht. Soziale Verantwortung wird für Anbieter immer wichtiger. Unternehmen sollten potenzielle Anbieter vor Vertragsunterzeichnung sorgfältig auf Menschenrechtsverletzungen wie moderne Sklaverei überprüfen
.
Soziale Risiken können für Unternehmen, die diese nicht berücksichtigen, erhebliche Störungen verursachen.
Governance-Risiko
Governance befasst sich mit der Unternehmensführung, der Vergütung von Führungskräften, Wirtschaftsprüfungen, internen Kontrollen und Aktionärsrechten. Schlechte Managementpraktiken wie Steuerhinterziehung, Bestechung und mangelnde Vielfalt bei der Personalauswahl können den Ruf eines Unternehmens und der Unternehmen, mit denen es zusammenarbeitet, sowohl in der Lieferkette als auch außerhalb dieser erheblich schädigen.
Minderung von ESG-Risiken bei Lieferanten
ESG-Risiken können aufgrund ihrer Vielschichtigkeit schwer zu mindern sein. Wie bei finanziellen Risiken ist es wichtig, ESG-Prüfungen für potenzielle Lieferanten in den ersten Due-Diligence-Prozess einzubeziehen – bevor Verträge unterzeichnet werden.
Da mehrere ESG-orientierte Vorschriften Unternehmen nun für Probleme wie Bestechung und Sklaverei in ihren Lieferketten zur Verantwortung ziehen, ist die Durchführung von Beziehungsanalysen und Risikoanalysender viertenund n-ten Partei von entscheidender Bedeutung, um potenzielle Probleme in der Lieferkette aufzudecken, die ein negatives Licht auf Ihr Unternehmen werfen könnten.
ESG bei der Beschaffung nicht übersehen: Um das ESG-Risiko potenzieller Lieferanten schnell zu überprüfen (oder sich über bestehende Lieferanten zu informieren), sollten Sie ein Vendor Risk Intelligence Network abonnieren. Diese Netzwerke sind Repositorien für On-Demand-Risikoberichte zu Lieferanten, die aus abgeschlossenen Bewertungen und externen Überwachungsdaten zusammengestellt werden. Ein gutes Netzwerk bietet Einblicke in verschiedene Arten von Risiken, darunter auch ESG.
ESG-Fragen in regelmäßige Risikobewertungen einbeziehen: Um einen individuelleren Überblick über die ESG-Risiken Ihrer bestehenden Lieferanten zu erhalten , können Sie fragebogenbasierte Lieferantenrisikobewertungen durchführen. Mit der richtigen TPRM-Plattform können Sie die Antworten auf die Bewertung automatisch Ihren Geschäftsanforderungen und verschiedenen Branchen- und behördlichen Vorschriften zuordnen.
Erkennen Sie, dass ESG-Risiken jederzeit auftreten können: Behalten Sie den Überblick über ESG-bezogene Ereignisse, sobald sie auftreten, indem Sie eine kontinuierliche Überwachung der Risiken durch Dritte in Ihrem gesamten Lieferantenökosystem durchführen. Lösungen zur Risikoüberwachung können Forschungsergebnisse aus Tausenden von Quellen miteinander verknüpfen, um alles zu identifizieren, von negativen Presseberichten bis hin zu Compliance-Verstößen, die Ihre Lieferanten betreffen.
Risiken im Bereich Cybersicherheit und Compliance
Während finanzielle Risiken und Reputationsrisiken von Anbietern Ihr Unternehmen schwer beeinträchtigen können, geraten Lieferantenrisiken oft in die Schlagzeilen, wenn Verstöße durch Dritte auftreten.
Daten- und Datenschutzrisiken
Datenverstöße können personenbezogene Daten (PII), geschützte Gesundheitsdaten (PHI), geistiges Eigentum oder andere sensible Informationen gefährden, die Sie Ihren Lieferanten zur Verarbeitung oder Speicherung anvertrauen. Sie können durch gezielte Versuche von Angreifern, Schwachstellen in den Systemen der Lieferanten auszunutzen, oder durch unsachgemäßen Umgang mit Daten verursacht werden. So wurde Morgan Stanley kürzlich von der OCC mit einer Geldstrafe von 60 Millionen US-Dollar belegt, weil das Unternehmen einen Drittanbieter, der für die Stilllegung eines Teils der IT-Hardware des Unternehmens verantwortlich war, nicht ordnungsgemäß überwacht und einer Due-Diligence-Prüfung unterzogen hatte.
Risiken für IT-Systeme und kritische Infrastrukturen
Verstöße gegen die Cybersicherheit können zum Diebstahl von Daten und zur Beschädigung oder Störung von Computernetzwerken von Anbietern, SCADA-Systemen (Supervisory Control and Data Acquisition) oder anderen IT-Systemen führen. Ransomware-Angriffe wie die Verstöße bei Colonial Pipeline und Kaseya, von denen Managed Service Provider und ihre Kunden betroffen waren, sind nur ein Beispiel dafür, wie Angreifer den IT-Betrieb Ihrer Lieferanten lahmlegen können.
Compliance-Risiken
Während Compliance ein Faktor für fast alle Risikokategorien in diesem Artikel ist, konzentrieren sich die meisten Vorschriften mit Auswirkungen auf das Risikomanagement von Dritten auf Datensicherheit und Datenschutz. Beispielsweise sehen viele behördliche und branchenbezogene Anforderungen – wie DSGVO, HIPAA, CCPA und andere – strenge Kontrollen dafür vor, wie und wann Daten an Dritte weitergegeben werden dürfen. Selbst unwissentliche Verstöße können zu schweren finanziellen und in einigen Fällen sogar strafrechtlichen Sanktionen führen.
Minderung von Cybersicherheits- und Compliance-Risiken
Im Vergleich zu finanziellen und ESG-Risiken lassen sich Risiken aufgrund von IT-Sicherheitslücken und fehlenden oder unzureichenden Sicherheitskontrollen leichter identifizieren und gemeinsam mit Anbietern und Lieferanten beheben. Im Folgenden finden Sie einige bewährte Verfahren, mit denen Sie Informationssicherheitsrisiken durch Dritte aufdecken und auf ein für Ihr Unternehmen akzeptables Restrisiko reduzieren können.
Befreunden Sie sich mit Ihrem CISO: Die Zusammenarbeit mit Ihrem Chief Information Security Officer (CISO) und dessen Team ist für den Erfolg entscheidend. Beziehen Sie sie in jeden Schritt des TPRM-Prozesses mit ein. Wenn Sie sich mit Cybersicherheitsrichtlinien wie denen im NIST-Bericht „Key Practices in Cyber Supply Chain Risk Management“ vertraut machen, erhalten Sie einen Anhaltspunkt für die Zusammenarbeit mit Ihrem Sicherheitsteam.
Anpassung an ein Rahmenwerk: Ihr IT-Sicherheitsteam sollte über festgelegte Richtlinien und erforderliche Kontrollen für alle Lieferanten verfügen, die Zugriff auf Ihre Systeme oder Daten haben. Die Anpassung an ein etabliertes IT-Sicherheitsrahmenwerk, wie beispielsweise das von NIST oder ISO beschriebene, erspart Ihnen und Ihren Lieferanten viel Kopfzerbrechen im Vergleich zu einem Neuanfang. In Kombination mit den geltenden Compliance-Anforderungen bietet ein standardisiertes Rahmenwerk eine solide Grundlage für die Erstellung Ihrer Fragebögen zur Risikobewertung von Lieferanten. Noch besser ist es, eine TPRM-Plattform mit vorgefertigten Fragebögen zu verwenden, die sofort auf Frameworks und Vorschriften abgestimmt sind.
Beachten Sie die Lücke zwischen den Bewertungen: Regelmäßige Fragebogenbewertungen eignen sich zwar hervorragend, um festzustellen, ob Ihre Lieferanten über die richtigen IT-Sicherheitskontrollen verfügen, sind jedoch kein Allheilmittel. Um ein vollständiges Bild der Daten- und Datenschutzrisiken von Drittanbietern zu erhalten, sollten Sie auch eine kontinuierliche Überwachung der Cyberrisiken Ihrer kritischen Lieferanten durchführen. Mit der richtigen Lösung zur Überwachung von Lieferantenrisiken können Sie das öffentliche Internet, das Deep Web und das Dark Web durchkämmen, um Schwachstellen und Hinweise auf Datenverletzungen aufzudecken, die Ihre Lieferanten betreffen. Die Cyberrisikolandschaft entwickelt sich ständig weiter, daher hilft Ihnen die Überwachung dabei, zwischen den Bewertungen den Überblick über die Situation zu behalten.
Nächste Schritte zur Reduzierung des Lieferantenrisikos
Die moderne Wirtschaft hat das Management von Lieferantenrisiken nicht nur extrem wichtig, sondern auch sehr schwierig gemacht. In vielen Fällen sind Unternehmen undurchsichtigen und komplexen Lieferketten ausgeliefert, die sich unmöglich vollständig nachvollziehen lassen. Durch das Verständnis der Risiken in der Lieferkette und die Anwendung bewährter Verfahren im Risikomanagement können Sie jedoch inakzeptable Risiken mindern und sicherstellen, dass Ihre Lieferketten unerwarteten Schocks standhalten können.
Prevalent erleichtert Ihnen das Management von Risiken durch Dritte und Vierte in Ihrer gesamten Lieferkette. Unsere Lösung für das Lieferantenrisikomanagement vereint automatisierte Risikobewertung mit kontinuierlicher Überwachung der Cyber-, Finanz- und Reputationsrisiken und bietet Ihnen so einen 360-Grad-Überblick über die Risiken Ihrer Lieferanten. Fordern Sie noch heute eine Demo an, um zu sehen, ob Prevalent zu Ihnen passt.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
