Der jüngste Global Supply Chain Report von Interos , der IT- und Beschaffungsentscheider in Europa und den USA befragte, ergab, dass Lieferketten-Störungen große Unternehmen durchschnittlich 184 Millionen US-Dollar pro Jahr kosten. Zudem gaben 83 Prozent der Befragten an, dass ihr Unternehmen dadurch einen Imageschaden erlitten hat.
Um sich besser auf etwaige Ereignisse vorzubereiten und gleichzeitig die Unzulänglichkeiten von modernen Ansätzen für das Risikomanagement in der Lieferkette zu überwinden, setzen viele Unternehmen auf sogenannte Resilience Operations Center (ROC).
Das ROC-Framework kann das Betriebsergebnis verbessern und basiert auf drei einfachen, aber wichtigen Prinzipien:
1) der Abstimmung von Risikomanagement und Unternehmenszielen,
2) dem Aufbrechen von Silos und
3) der Modernisierung der Bedrohungserkennung und -abwehr durch Technologien wie Automatisierung, künstliche Intelligenz (KI) und natürliche Sprachverarbeitung.
Herausforderungen für die betriebliche Resilienz
Dennoch ist die Ausrichtung auf einen neuen Risikomanagement-Ansatz nicht immer eine reibungslose Angelegenheit. Die folgenden Probleme und Fallstricke können in der gesamten erweiterten Lieferkette und innerhalb des eigenen Unternehmens auftreten:
- Schwache, ineffektive Governance-Prozesse für das operative Risikomanagement auf der Ebene des Vorstands, der Geschäftsleitung, des Linienmanagements der Geschäftseinheiten und des unabhängigen Risikomanagements im Unternehmen
- Unvollständiges Business Continuity Management für kritische Betriebsfunktionen, einschließlich Überwachung, Szenarioanalyse, regelmäßiger Tests und Tabletop-Übungen, Mitarbeiterschulungen und Verfügbarkeit
- Fehlende Szenarioplanung und -analyse, um potenzielle Unterbrechungen in Lieferketten zu antizipieren. Die Szenarioplanung sollte mit Prognosen kombiniert werden, um Wahrscheinlichkeiten für das Eintreten von Szenarien zuzuordnen und die Pläne weiter zu verfeinern
- Unsichere Informationssysteme, einschließlich unzureichender Schutzmaßnahmen für sensible Informationen bei der Übertragung und Speicherung an allen Standorten
- Ineffektive Betriebsüberwachung, Protokollüberprüfung, Folgemaßnahmen und Berichterstattung
Jede dieser Ineffizienzen kann zum Verlust erheblicher finanzieller Ressourcen führen und stellt ein zusätzliches Betriebsrisiko für das Unternehmen dar.
ROC-Erfolgsfaktoren
Der Erfolg eines ROC hängt von vielen Faktoren ab: Mit den folgenden fünf Grundprinzipien kann jede Organisation den Grundstein legen, um von den Vorteilen des Frameworks zu profitieren.
1. Die wichtigsten operativen Risiken in der eigenen Branche identifizieren.
Unternehmen müssen sich der wichtigsten betrieblichen Risiken in ihrer Branche bewusst sein. Unterschiedliche Branchen sind verschiedenen Arten von Risiken ausgesetzt, die auch unterschiedlich stark reguliert sind. Finanzdienstleister konzentrieren sich beispielsweise auf Serviceunterbrechungen in ihren Lieferketten, die durch Fehlkonfigurationen, Missbrauch und Phishing/Hacking verursacht werden. IT-Hygiene, die sich auf die aktive Überwachung der Bedrohungsumgebung und das proaktive Patchen von Sicherheitsschwachstellen konzentriert, ist eine wichtige Aktivität, ebenso wie ein ausgereifter Softwareentwicklungszyklus. Risikomanager für die Lieferkette in der Fertigung konzentrieren sich auf Unterbrechungen der Logistik, des Transports und der Rohmaterialbeschaffung. Die Überwachung und das Ergreifen von Maßnahmen gegen politische Instabilität, Naturkatastrophen und das Potenzial für „schwarze Schwäne“ wie Pandemien können eine größere betriebliche Widerstandsfähigkeit gewährleisten. Wenn man die eigenen kritischen Risiken versteht, kann man sich auf die wichtigsten Schritte zur Risikominderung konzentrieren und so die betriebliche Widerstandsfähigkeit sicherstellen.
2 Geschäftsrisiken und Verantwortlichkeiten können nicht einfach ausgelagert werden.
Geschäftseinheiten gehen oft davon aus, dass sie, sobald eine Funktion an einen Lieferanten ausgelagert wurde, nicht mehr für diese Funktion oder die Leistung ihrer Lieferanten und erweiterten Lieferketten verantwortlich sind. Das ist jedoch nicht der Fall. Es liegt in der Verantwortung des Managements, eine angemessene Aufsicht über diese Beziehungen zu etablieren. Durch vierteljährliche Leistungsüberprüfungen der Lieferanten auf der Grundlage vorher festgelegter Erfolgskriterien ist dies beispielsweise leicht zu bewerkstelligen. Zur Aufsicht über das Outsourcing gehört auch die Fähigkeit, Dienstleistungen im Falle eines Lieferantenausfalls aufrechtzuerhalten und, falls erforderlich, wiederherzustellen. Alle ausgelagerten kritischen Geschäftsdienstleistungen benötigen einen Notfallplan, um die Funktion entweder wieder ins Haus zu holen oder sie rechtzeitig zu einem neuen Lieferanten zu migrieren.
3. Kenntnisse über die Betriebsausführung aufrechterhalten.
Neben der Verantwortlichkeit kann auch das Wissen um den effektiven Betrieb eines Unternehmens verloren gehen, wenn es nicht sorgfältig aufbewahrt wird. So sollte man immer einen Notfallplan für seine Lieferanten haben, um die eigene betriebliche Ausfallsicherheit im Falle einer Katastrophe zu gewährleisten. Die Bewahrung dieses Wissens innerhalb des Unternehmens, mit der Fähigkeit, die Funktionalität bei Bedarf auszulagern oder zu migrieren, wird oft vernachlässigt und kann zu einer Situation führen, in der die Fähigkeit, den Betrieb fortzuführen, mit der Zeit verloren gehen kann.
4. Compliance nicht mit Risikomanagement gleichsetzen.
Das interne SCRM-Programm kann sich zu sehr auf die Einhaltung von Vorschriften und „Check-the-Box“-Übungen konzentrieren, um zu zeigen, dass die Lieferanten überprüft wurden, um operative Risiken zu identifizieren. Der eigentliche Fokus sollte sein sicherzustellen, dass angemessene Schritte unternommen wurden, um die Risiken auf ein Niveau zu reduzieren, das der eigenen Risikobereitschaft entspricht. Compliance ist keine Ausfallsicherheit. Festgelegte KPIs können beispielsweise Tendenzänderungen bei der Lieferung kritischer ausgelagerter Produkte und Dienstleistungen melden, bevor die Ausfallsicherheit von Produkten oder Dienstleistungen negativ beeinflusst wird.
5. Der Fokus auf die Gesamtbetriebskosten (TCO) des SCRM-Programms legen.
Letztlich sollte man sich auf die Gesamtbetriebskosten (TCO) des SCRM-Programms konzentrieren. Das eigene SCRM-Programm kann leicht zu einem „Field of Dreams“-Projekt werden, bei dem Jahre damit verbracht werden, ein Anlageninventar aufzubauen, Manager für Lieferantenbeziehungen zu identifizieren und immer umfangreichere Risikobewertungen durchzuführen, ohne eine Risikominderung zu erreichen. Risikobewertungen allein führen nicht zu einer Reduzierung des Betriebsrisikos. In Kombination mit einem ungebremsten Wachstum der Anzahl der vom eigenen Unternehmen genutzten Lieferanten kann dies zu Ineffizienzen im gesamten Risikomanagementprogramm und einer Verschlechterung der betrieblichen Leistung führen. Von Anfang an sollten Quick Wins identiziert werden, die tatsächliche Risiken mindern. Alle Managementebenen sollten über die Fortschritte, die auf dem Weg zu einer größeren operativen Belastbarkeit erzielt werden, informiert sein.
Fazit
Fazit: Angesichts der jüngsten Ereignisse ist die Fragilität globaler Lieferketten unübersehbar geworden, und ihre Auswirkungen sind in praktisch jeder Branche und in jedem Winkel der Welt spürbar. Auf solche Ereignisse unvorbereitet zu sein, ist kostspielig. Dies hat eine Neuausrichtung der Strategien für das Risikomanagement in der Lieferkette ausgelöst. Vorausdenkende Unternehmen setzen neue Ansätze wie ROC ein, um auch bei ungünstigen Markt- oder Lieferkettenereignissen weiterhin Produkte oder Dienstleistungen anbieten zu können. Während der Weg zur Geschäftskontinuität mit solchen Ansätzen nicht geradlinig ist und von Branche zu Branche variiert, sind die Vorteile klar und universell.
Über den Autor:
Thomas Tack ist Direktor für Nordeuropa bei Interos. Er hat Wirtschaftsinformatik studiert und war zuletzt im Software-Bereich „Marketing Automation“ tätig, um amerikanischen Unternehmen zu helfen in Deutschland Fuß zu fassen.
