Am 8. Juni 2021 kündigte US-Präsident Biden die Einrichtung einer Task Force zur Bekämpfung von Lieferkettenunterbrechungen an. Die Task Force wurde zusammen mit den Ergebnissen der 100-Tage-Überprüfung kritischer Lieferketten durch den Präsidenten angekündigt, die aufgrund der COVID-19-Pandemie zu weitreichenden Engpässen, beispielsweise bei Halbleitern, geführt hatte. Die Task Force wird Handelspraktiken identifizieren und bekämpfen, die die Lieferketten der USA untergraben, die Produktion wichtiger Medikamente im Inland fördern und Standorte in den USA identifizieren, an denen kritische Mineralien, beispielsweise für Batterien, produziert werden können.
7 Schritte zur Vereinfachung der Lieferanten-Due-Diligence
Die Ergebnisse der 100-Tage-Überprüfung werden wahrscheinlich dazu führen, dass Hersteller, Transportunternehmen, Bauunternehmen und Pharmaunternehmen alte Offshore-Lieferanten ausmustern und neue inländische Lieferanten einbinden, da die Produktion kritischer Materialien wieder in die USA verlagert wird. Um den unvermeidlichen Due-Diligence-Prozess zu vereinfachen und zu beschleunigen und sicherzustellen, dass Lieferanten sicher ausgemustert werden, sollten Unternehmen diese 7 Schritte für das Risikomanagement in der Lieferkette in Betracht ziehen:
1. Implementierung eines umfassenden Vorab-Screening-Programms für Lieferkettenpartner
Stellen Sie sicher, dass die Beschaffungs- und Sourcing-Teams Zugang zu Informationen über alle neuen Lieferkettenpartner in Bezug auf Sicherheit, Betrieb, Datenschutz und Finanzpraktiken haben. Bei der Due Diligence vor Vertragsabschluss sollten neben den inhärenten Risikodaten auch die Ergebnisse bestehender Cybersicherheits- und Datenschutzbewertungen, Informationen zur Reputation, die Historie von Verstößen, rechtliche Schritte, Sanktionen und andere Informationen berücksichtigt werden, um fundierte Sourcing-Entscheidungen zu treffen.
2. Beziehen Sie mehrere interne Teams ein, wenn Sie neue Lieferanten einbinden.
In der Regel ist das Beschaffungsteam für die Verwaltung des Lebenszyklus der Lieferantenbeziehungen verantwortlich, aber mehrere Abteilungen, die mit Lieferanten interagieren (z. B. Produktionsteams), können Erkenntnisse beisteuern oder spezifische Anforderungen für die Lieferantenbewertung haben. Deshalb ist es wichtig, die Silos, die manchmal Teams voneinander trennen, aufzubrechen und Onboarding-Aufgaben für alle Beteiligten zu öffnen, die mit dem Lieferanten interagieren. Ein einfaches Aufnahmeformular kann den Prozess beschleunigen.
3. Bewerten Sie regelmäßig Ihre Lieferkettenpartner – insbesondere hinsichtlich der Geschäftskontinuität und der SLA-Leistung.
Veraltete, auf Tabellenkalkulationen basierende Risikobewertungsprozesse reichen nicht mehr aus – insbesondere, wenn Sie einen neuen Lieferanten bewerten, der für die von Ihnen gelieferten Produkte von entscheidender Bedeutung ist, und Sie sich das mit manueller Arbeit verbundene Risiko nicht leisten können. Nutzen Sie stattdessen eine automatisierte Lösung, die Fragebögen zur Lieferantenbewertung enthält, automatisch Risiken meldet, wenn die Ergebnisse nicht mit den erwarteten Risikotoleranzwerten übereinstimmen, und spezifische Abhilfemaßnahmen empfiehlt, um potenzielle Schwachstellen zu schließen. Die regelmäßige Bewertung von Lieferanten hinsichtlich ihrer SLA-Leistung, Geschäftskontinuität, Incident Response und Disaster Recovery-Pläne gibt Aufschluss darüber, wie widerstandsfähig sie im Falle einer Störung (z. B. einer weiteren Pandemie) sind, und kann als Grundlage für Vertragsverlängerungsgespräche dienen. Ein ausgelagertes Modell ermöglicht es Ihnen, komplexe Lieferantenbewertungen an Risikomanagement-Experten auszulagern, sodass Sie sich stattdessen auf die Risikobeseitigung konzentrieren können.
4. Lücken zwischen den Bewertungen durch kontinuierliche Cyber-, Geschäfts- und Finanzüberwachung schließen
Regelmäßige – in der Regel jährliche – Bewertungen sind für die Dokumentation der Kontrollen, Richtlinien und Prozesse von Drittanbietern unerlässlich, aber sie sind statischer Natur. Durch die Hinzufügung einer dynamischen Echtzeitüberwachung von Drittanbietern über die folgenden Quellen können potenziell nachteilige Ereignisse bei Lieferanten erkannt werden, bevor sie sich auf Ihr Unternehmen auswirken.
- Cyber Intelligence: Kriminelle Foren, Onion-Seiten, Dark-Web-Foren mit speziellem Zugang, Bedrohungs-Feeds, Paste-Seiten für geleakte Zugangsdaten, Sicherheits-Communities, Code-Repositorys und Schwachstellen-Datenbanken.
- Reputation des Lieferanten: Öffentliche und private Quellen für Informationen zur Reputation, darunter regulatorische und rechtliche Maßnahmen, M&A-Aktivitäten, Sanktionen, negative Medienberichte, politisch exponierte Personen und Interessenkonflikte.
- Finanzen und Investitionen: Finanzielle Leistung, Umsatz, Gewinn und Verlust sowie Transparenz der Aktionärsmittel.
Die Herausforderung, vor der viele Unternehmen hier stehen, besteht darin, dass in der Regel mehrere Tools erforderlich sind, um diese Erkenntnisse zu gewinnen. Wenn sie diese Informationen erhalten, stimmen sie in der Regel nicht mit den Ergebnissen der regelmäßigen Risikobewertungen überein, was die Validierung zu einer Herausforderung macht. Suchen Sie nach Lösungen, die die Ergebnisse regelmäßiger Bewertungen mit einer kontinuierlichen Überwachung vereinen, um die Identifizierung und Minderung von Risiken schneller und vollständiger zu gestalten.
5. Kritische Kontrollen validieren
Manchmal ist ein Lieferant für den Erfolg Ihres Unternehmens so wichtig, dass Standard-Risikobewertungen nicht ausreichen. Für diese wirklich kritischen Lieferanten sollten Sie Ihre Risikoanalyse um eine Überprüfung der Bewertungsantworten und -dokumentationen anhand festgelegter Kontrollprüfungsprotokolle erweitern, um die vom Lieferanten angegebenen Kontrollen zu validieren. Die Validierung kann von externen Experten oder Auditoren durchgeführt werden und wird für Lieferanten empfohlen, deren Ausfall keine Option ist.
6. Kennen Sie Ihre N-Parteien
Ihre Lieferanten sind auf ihre eigenen Lieferanten angewiesen, um Ihnen und anderen Kunden Waren und Dienstleistungen zu liefern. Und Sie müssen schnell reagieren, wenn in Ihrer erweiterten Lieferkette ein unerwünschtes Ereignis eintritt. Deshalb ist es wichtig, die Beziehungen zwischen Ihrem Unternehmen und Dritten, Vierten und N-ten Parteien zu identifizieren und zu visualisieren, um Abhängigkeiten und Risiken aufzudecken und Störungen zu vermeiden.
7. Verwalten Sie das Offboarding genauso sorgfältig wie das Onboarding.
Eine aktuelle Studie hat gezeigt, dass 60 % der Unternehmen die Risiken ihrer Lieferanten beim Offboarding nicht aktiv bewerten. Das Risiko endet nicht mit der Beendigung der Geschäftsbeziehung. Unternehmen müssen sicherstellen, dass ihre Lieferkettenpartner die Parameter zur Datenvernichtung einhalten, den Zugriff auf ihre Netzwerke sperren und finanzielle Vereinbarungen kündigen. Durch die Integration von Offboarding- und Kündigungsworkflows in regelmäßige Risikobewertungen erhalten die Lieferantenmanagement-Teams einen umfassenden Überblick über die Lieferantenbeziehungen und können Risiken bis zum Abschluss verfolgen.
Nächste Schritte für die Risikobewertung der Lieferkette
Ihre Unternehmen können beim Onboarding und Offboarding wichtiger Lieferanten einem enormen Risiko ausgesetzt sein. Durch die Einführung eines vorgeschriebenen Prozesses, der die erforderlichen Aufgaben automatisiert, wird sichergestellt, dass wichtige Risiken nicht übersehen werden, während gleichzeitig das Vertrauen in Ihr Risikomanagementprogramm für Dritte gestärkt und dessen Wiederholbarkeit erhöht wird. Beginnen Sie mit der Bewertung Ihrer eigenen internen Prozesse für das Risikomanagement von Dritten mit unserer kostenlosen Reifegradbewertung oder kontaktieren Sie uns für eine Strategiesitzung.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
