Erster Schritt: Die Risiken identifizieren

Naturkatastrophen, Streiks, Sanktionen, Brände oder Insolvenzen – Ursachen für Versorgungsunterbrechungen sind vielfältig. Die Globalisierung macht Lieferketten störanfällig und die Folgen sind gravierend: Vertragsstrafen, Produktions-stopps, Umsatzeinbrüche oder Imageverluste. Ein ganzheitliches Risikomanagement hilft, Lieferbeziehungen zu sichern und Versorgungsengpässe zu verhindern. Hierzu gehören die Risikoidentifizierung und -überwachung, die Risikobewertung, Ermittlung des Schadensausmaßes sowie Notfallpläne und Maßnahmenplanung.

Identifizierung der Lieferketten. Im ersten Schritt der Risikoidentifizierung wird definiert, welche Lieferketten in die Risikobetrachtung einbezogen werden. Hierfür gibt es zwei Ansätze: Entweder werden

Die folgenden Kriterien bieten sich als Auswahlparameter an: Einkaufsvolumen, Umsatzrelevanz, Technologie & Patente, Beteiligungsverhältnisse, Kundenvorgaben oder Regionen. Empfohlen sei an dieser Stelle, zumindest alle Lieferketten von Direktmaterial-Lieferanten zu berücksichtigen, da sich bei genauer Betrachtung der Sub-Tier Strukturen manche vermeintlich schnell und einfach substituierbare Lieferanten als überraschend kritisch „entpuppen“.

Die Tatsache, dass 51 % der Lieferunterbrechungen nicht beim Direktlieferanten, sondern aus den Sub-Lieferketten resultieren, zeigt die Notwendigkeit auf, sowohl die Lieferketten-Struktur der ersten Ebene als auch Lieferketten-Substrukturen in die Risikobetrachtung mit einzubeziehen (Quelle: Studie „Supply Chain Resilience 2014“, Business Continuity Institute). Neben den (Sub-)Lieferanten ist die Erfassung der Wege und Strukturen gleichermaßen wichtig: Hierzu gehören neuralgische Logistik-Knotenpunkte (Häfen, Flughäfen, Engpassregionen wie z. B. Rotterdam, Suezkanal) sowie Standorte von Lagern und Distributionszentren.

Risiko-Scorecard. Nachdem die zu überwachenden Lieferketten festgelegt sind, gilt es nun, das unternehmensspezifische Risiko-Inventar zu erstellen. Eine dazu geeignete Risiko-Scorecard enthält alle Indikatoren, welche Risikoveränderungen wahrnehmen. Zur leichten Definition und Einordnung der Einzelrisiken ist es hilfreich, thematische Cluster zu bilden, wie: wirtschaftliche Stabilität der Lieferkette, Versorgungsunterbrechungsrisiken, Markt- und Kostenrisiken, Image- und Compliancerisiken oder Performance- und Qualitätsrisiken. Dabei darf wiederum nicht nur die Lieferantenperspektive betrachtet werden (Solvenz, CSR-Konformität, …); Unterbrechungen erfolgen auch auf den Lieferwegen: Lokationsrisiken wie zum Beispiel Naturkatastrophen, Streiks und Unfälle an Standorten oder Logistikknotenpunkten betreffen oftmals gleich mehrere Lieferanten.

Wichtig ist es, die Risiko-Informationen in weitere Einkaufsprozesse, wie z. B. Vergabeentscheidungen oder Lieferantenqualifizierungen zu integrieren bzw. etablierte Einkaufsprozesse wie RFIs oder Selbstauskünfte zur Datenerhebung und aktualisierung von beispielsweise Lieferkettenstrukturen zu nutzten. So werden Synergien für die unterschiedlichsten Einkaufsprozesse genutzt.

Datenbeschaffung + Automatisierung. Die Herausforderung bei der Identifizierung und kontinuierlichen Überwachung der Risiken entlang der Lieferketten liegt in dem enormen Datenbedarf: Zur initialen Einschätzung der latenten Lieferkettenrisiken sind Informationen aus zahlreichen Expertendatenbanken notwendig. Dasselbe gilt für die durchgängige Risikoüberwachung auf (Nahe-)Echtzeitebene, um eintretende Krisenfälle ad-hoc zu identifizieren. Eine hohe Automatisierung bei der Datenbeschaffung und -aktualisierung auf globaler Ebene ist daher unumgänglich und sollte ein wesentliches Entscheidungskriterium bei der Etablierung eines SCRM sein. Neben Aktualität und Belastbarkeit ist ebenso die Relevanz zu nennen: Die Alarmierungslogik sollte Grundrauschen von tatsächlichen Signalen filtern.

Organisatorische Einbindung. Ein weiterer erfolgskritischer Aspekt ist die Vereinheitlichung der Daten. Erst die Schaffung einer einheitlichen Terminologie stellt klare Verständlichkeit sicher. So müssen Daten wie beispielsweise Finanzkennzahlen (Rating: AAA, AA+, …, D), Erdbeben (Stochastische Eintrittswahrscheinlichkeiten sowie Ausprägung anhand der Mercalli Skala von MM I bis XII.) oder politische Stabilität (Global Peace Index Score in Kategorien mit Skala 1 bis 5) in eine einheitliche Risiko-Skala gebracht werden. An dieser Stelle helfen verständliche Skalen wie zum Beispiel „Kein Risiko“, „Geringes Risiko“, „Mittleres Risiko“, „Hohes Risiko“ und „Risiko-Event“.

Eine gleich hohe Priorität wie die konzeptionelle und inhaltliche Entwicklung des Risikomanagements gilt der organisatorischen Einbindung. Beschaffung beim günstigsten Lieferanten bedeutet nicht unbedingt die risikoärmste Variante zu wählen – eine gute Balance in Zielsystemen zwischen risikojustierter Vergabe und Einsparungen sind bisher selten. Die Konsequenzen daraus sind beschrieben! Damit dieser Zielkonflikt nicht erst entsteht braucht Risikomanagement Top Level Management Awareness, klare Verantwortlichkeiten und definierte Rollen innerhalb der Prozesse – idealerweise in Form eines verantwortlichen Risiko Managers. Eine Verankerung des Risikomanagements in den Zielvereinbarungen aller beteiligten Einkäufer und Warengruppenmanager sollte Pflicht sein. Um den Erfolg von Risikomanagement in der gesamten Organisation sicherzustellen, gilt es, Bewusstsein für den Nutzen von Risikomanagement zu schaffen und messbare Ziele zu setzen.

Der zweite Teil der Beitrags-Serie „Risikomanagement in der Lieferkette“ erscheint in der November-Ausgabe der Beschaffung aktuell und gibt eine Handlungsanleitung zur Risikobewertung.

Quelle: Studie „Der ROI von Supply Chain Risk Management“,

eckseler consult & riskmethods