Das Rezept für ein gelungenes Supply Chain Risk Management

Transkript

1 SCRM r ü f t p e z e R Zutaten: ferketten g Lie nsparenz g Tra iken - 2 EL Ris ßnahmen a M e is r P -1 vermengen s s e z o r p s f au - Mit Eink -... WHITEPAPER Das Rezept für ein gelungenes Supply Chain Risk Management In Zusammenarbeit mit

2 -2-

3 WHITEPAPER Das Rezept für ein gelungenes Supply Chain Risk Management Inhalt Seite 1 Einleitung 5 2 Zutat 1: Auswahl der relevanten Lieferketten Umsatzrelevanz Kundenvorgabe Region Einkaufsvolumen Ausgewählte indirekte Materialien und Leistungen Technologie & Patente Beteiligungsverhältnisse 6 3 Zutat 2: Definition des Risiko-Inventars Beispiele für Lieferanten-Risiken und Indikatoren Beispiele für Lokations-Risiken und Indikatoren Beispiele für Länder-Risiken und Indikatoren 8 4 Zutat 3: Supply-Chain Visibilität 9 5 Zutat 4: Identifizieren von Risiken 10 6 Zutat 5: Bewerten von Risiken & Kritikalität 11 7 Zutat 6: Risikominimierende Maßnahmen 12 8 Zutat 7: Integration in Einkaufsprozesse Interaktion bei Vergabeentscheidungen Interaktion bei Lieferantenqualifikationen/-selbstauskünften Interaktion zu Einkaufsdashboards/-reporting 13 9 Zusammenfassung 14

4 SUPPLY CHAIN RISK MANAGEMENT

5 1 Einleitung Dieses Whitepaper dient als Unterstützung für all diejenigen, die sich mit der Implementierung eines Supply Chain Risk Managements (SCRM) beschäftigen. Ziel dieser Anleitung ist es, Firmen eine Checkliste aller erfolgsrelevanten Zutaten für eine professionelle Komposition eines Supply Chain Risk Managements an die Hand zu geben. Damit können zeitraubende Versäumnisse und kostspielige Fehler vermieden werden. In den einzelnen Kapiteln werden die folgenden Zutaten eines ganzheitlichen Supply- Chain-Risk-Management-Prozesses und deren organisatorische Einbindung detailliert beschrieben: Definition des Umfang Festlegung der zu überwachenden Risiken ( Risiko-Inventar ) Lieferkettentransparenz Identifizierung der Risiken Bewertung der Risiken Maßnahmen-Management zur Minimierung von Risiken Integration in weitere Einkaufsprozesse Da es sich in diesem Whitepaper um einen generischen Ansatz handelt, gilt es, die Spezifika der jeweiligen Branche und Unternehmensgröße zu adaptieren, um das generische Konzept entsprechend anzupassen. 1 Eine detaillierte Darstellung der Nutzenaspekte und Return on Investment eines professionellen Supply Chain Risk Managements finden Sie in der Studie Der ROI von Supply Chain Risk Management. 2 Wie bei jedem Gericht gilt: Dosieren Sie Ihre Zutaten anhand der persönlichen (firmenspezifischen) Geschmacksvorlieben! Checkliste aller erfolgsrelevanten Zutaten: - Definition des Umfangs - Lieferkettentransparenz - Identifizierung der Risiken - Bewertung der Risiken Auf diesen Hinweis wird in den folgenden Kapiteln verzichtet. 2 Kostenfreier Download unter

6 -6-2 Zutat 1: Auswahl der relevanten Lieferketten Im ersten Schritt wird definiert, welche Lieferketten im Fokus stehen und in die SCRM-Betrachtung einbezogen werden sollen. Hierfür gibt es im Wesentlichen zwei Ansätze: Entweder werden a) alle Lieferketten überwacht oder b) ein genau spezifizierter Ausschnitt der Lieferketten. Folgende Parameter können für die Spezifizierung des Ausschnitts für die Risikoüberwachung herangezogen und betrachtet werden: 2.1 Umsatzrelevanz Neben dem Einkaufsvolumen gilt es, auch die Umsatzrelevanz als Parameter zu berücksichtigen. Ziel der Auswahl anhand der Umsatzrelevanz ist es, zusätzliche Lieferketten zu erfassen, welche mit geringerem Einkaufsvolumen dennoch hohe Relevanz für die Lieferbarkeit eines Produktes oder einer Dienstleistung haben. 2.2 Kundenvorgabe Da Lieferketten, welche auf Kundenvorgaben basieren, nicht durch die klassischen Entscheidungsabläufe ausgewählt wurden, können sie im Zusammenspiel mit dem etablierten Liefernetzwerk zusätzliche Risiken enthalten. An dieser Stelle sind z. B. Insolvenzrisiken ( Pain-Sharing ), Performance- oder auch Qualitätsrisiken zu nennen. 2.3 Region Hintergrund einer regionalen Auswahl ist, dass Lieferketten aus instabilem regionalem oder nationalem Umfeld im Fokus der Risiko-Management-Aktivitäten stehen. Gründe hierfür liegen oft in infrastrukturellen, makroökonomischen oder auch politischen Risiken. Die Kritikalität kann sich zusätzlich erhöhen, wenn bestimmte Sachverhalte bestehen, wie beispielsweise Single- Source-Situationen, extrem lange Verlagerungszeiträume oder Abhängigkeiten von Patenten. 2.5 Ausgewählte indirekte Materialien und Leistungen Bei genauer Betrachtung der umsatzrelevanten Lieferketten entpuppen sich manche vermeintlich schnell und einfach substituierbare Leistungen als zumindest überwachungsrelevant: Die Verfügbarkeit bestimmter indirekter Materialien und Leistungen wie z. B. Logistik-Leistungen, Maschinen, Vertriebsmaterialien oder IT können je nach Industrie und Firmengröße durchaus Versorgungsrelevanz haben. 2.6 Technologie & Patente Zur Risikoüberwachung der Lieferketten gilt es, auch die technologische Kompetenz und rechtliche Situation, ggfs. sogar Abhängigkeiten durch Patente zu beachten: Gibt es Technologien, welche einen USP für die eigenen Produkte sichern? Patente, welche Single-Source-Situationen erzwingen oder für künftige Produktoder Dienstleistungen notwendig sind? Dann ist es wichtig, diese Lieferketten ebenfalls in die Überwachung aufzunehmen. 2.7 Beteiligungsverhältnisse Mögliche Beteiligungsverhältnisse des eigenen Unternehmens an Lieferanten oder auch von Wettbewerbern erfordern es ggfs., solche Lieferbeziehungen in die Risikoüberwachung aufzunehmen. 2.4 Einkaufsvolumen Nach dem Pareto-Prinzip können z. B. die 20 % der Lieferketten identifiziert werden, die für den Großteil (80 %) des Einkaufsvolumens stehen. Intension dieses Parameters ist, dass alle großvolumigen Lieferketten im Risiko-Radar enthalten sind. Oft werden weitere Parameter mit diesem kombiniert, da das Einkaufsvolumen allein nicht sicherstellt, dass alle kritischen Bauteile oder Serviceleistungen im Fokus abgedeckt sind.

7 -7-3 Zutat 2: Definition des Risiko-Inventars 3.1 Beispiele für Lieferanten-Risiken und Indikatoren Nachdem der Fokus der zu überwachenden Lieferketten festgelegt ist, gilt es, das unternehmensspezifische Risiko-Inventar festzulegen. Das Risiko-Inventar wird typischerweise in einer unternehmensweit einheitlichen Risiko-Scorecard festgehalten. Diese Scorecard enthält alle Einzelrisiken sowie Indikatoren, welche die Risikoveränderung als Sensoren wahrnehmen. Zur leichten Definition der Einzelrisiken ist es hilfreich, thematische Cluster zu bilden. Beispielsweise können alle Aspekte zu der Stabilität der Lieferkette Versorgungsunterbrechungsrisiken Markt- und Kostenrisiken Image- und Compliancerisiken Performance- und Qualitätsrisiken in Einzelbereiche strukturiert werden. Die Entscheidung, welche Risiken in eine solche Risiko-Scorecard übernommen werden, kann anhand von Kriterien wie z. B. Reflexion der Unternehmens- und Einkaufsstrategien, Reduktion auf die relevanten Risiken (d. h. keine nice-to-know -Informationen), Verfügbarkeit (Gibt es eine belastbare Datenbasis?), Globale Abdeckung der Datenbasis gestaltet werden. Dabei sollte nicht nur die Lieferantenperspektive betrachtet werden (Solvenz, CSR-Konformität, ); Unterbrechungen können auch auf den Lieferwegen erfolgen: Lokations- Risiken wie zum Beispiel Naturkatastrophen, Streiks und Unfälle an Standorten, Logistikknotenpunkten oder im Lager, betreffen oftmals gleich mehrere Lieferanten. Darüber hinaus können die mit Lieferanten und Lokationen immanent verbundenen Länder-Risiken wie infrastrukturelle, politische oder makroökonomische Risiken ganze Märkte beeinflussen. In der Praxis ergibt sich zumeist ein Subset aus folgend beschriebenen Risiken, die anhand von 1-n-Indikatoren überwacht werden können. Financial stability supplier - Ownership structure - Revenue stability - Insurance coverage - Current ratio - Profit margin - Contract limit - Cash collection - Payment behaviour - Patents/rights - Credit rating - Low-cost supplier threat - Field issues - Major product release delays - Revenue/growth outlook - Bankruptcy Innovation potential - Number of new patents - Key employee stability Operational capabilities - Manufacturing capabilities - Crisis management Disasters at supplier site - Any disasters at supplier site (man-made, other hazards) Material / Services availability - Accessibility to rare raw materials Staff disputes - Industrial disputes at supplier plant Price Increase - Monopoly / Oligopoly situation - Currency exchange rates Labour / Health & Safety - Labor Practices & Human Rights principles at supplier Environmental / Sustainability - Environment - Hazardous substances - Carbon footprint Fair Business Practices - Fair Business Practices principles at supplier Sustainable Procurement - Sustainable Procurement principles at supplier Information / IP Security - Confidential information security - Cyber attacks or other IT security issues - Intellectual property (IP) security Regulatory & Legal - Sanctioned suppliers - Sanctioned persons - Supplier corruption or bribery - Conflict minerals Quality - Relocation - Failures Delivery Reliability - Delivery quantity reliability - OTD performance

8 -8-3 Zutat 2: Definition des Risiko-Inventars 3.2 Beispiele für Lokations-Risiken und Indikatoren 3.3 Beispiele für Länder-Risiken und Indikatoren Local Events - Civil unrest - Terrorist acts - Disasters at location - Power outages - Industrial disputes at location Natural Hazards - Earthquake - Volcano - Riverflood - Tropical cyclone - Wildfire - Extratropical winterstorms - Flashflood - Hailstorm - Lightning - Stormsurge - Tornado - Tsunami Financial stability country - Country rating - GDP growth rate - GDP per capita - Unemployment rate - Population below poverty line - Public debt - Inflation rate Pandemic outbreaks - Pandemic diseases outbreaks Logistics Performance - Customs - Infrastructure - International Shipments - Logistics Competence - Tracking & Tracing - Timeliness Labour cost - Labour cost Corruption or bribery - Country corruption or bribery Political situation country - Political situation - War

9 -9-4 Zutat 3: Supply-Chain Visibilität Für ein ganzheitliches Risikomanagement entlang der gesamten Lieferkette ist es sinnvoll, neben dem Umfang der Lieferketten und dem Risiko-Inventar möglichst alle relevanten Ebenen der Lieferketten in den Risiko-Radar einzubeziehen. Der Grund dafür ist naheliegend: Ca. 51 % der Lieferkettenunterbrechungen resultieren aus den 2nd-Tier-Lieferbeziehungen oder darunter. 3 Daher gilt es, die Lieferketten-Struktur der ersten Ebene (1st- Tier) sowie auch die Lieferketten-Substrukturen zu erfassen. Da nur ein Teil der Versorgungsunterbrechungen auf Vorfälle bei Lieferanten zurückzuführen sind, ist die Erfassung der Wege und Strukturen ebenso notwendig und in die Risikoüberwachung mit aufzunehmen. Hierzu gehören die neuralgischen Logistik-Knotenpunkte wie z. B. Häfen und Flughäfen, Engpassregionen wie z. B. Nord-Ostsee-Kanal oder Suezkanal und Standorte z. B. der Lager und Distributionszentren Probate Mittel zur Identifizierung der teils nicht vorliegenden Informationen sind F ragebogenversand an 1st-Tier-Lieferanten inkl. Nachfassen (z. B. durch externe Dienstleister), Aufnahme der benötigten Informationen in die RFX-Prozesse (Request for Information, Request for Quotation), Integration der benötigten Informationen in zyklische Lieferrantenselbstauskünfte, Integration der benötigten Informationen in den Lieferantenqualifizierungsprozess ( Onboarding ), Integration der benötigten Informationen in die Lieferantenauditfragebögen. Die Praxis zeigt, dass die Informationseinholung beim Lieferanten einfacher ist, wenn hierbei die Hintergründe erläutert werden. So wird Verständnis auf Lieferantenseite generiert und ggfs. bestehende Vorbehalte (z. B. Bypassing des 1st-Tier- Geschäftspartners) werden ausgeräumt. Hilfreich ist natürlich auch, wenn Lieferanten von der Offenlegung ihrer 2nd-Tier-Strukturen profitieren: So teilen z. B. einige Unternehmen die generierten Risiko-Alerts aus den 2nd-Tier-Strukturen mit ihren direkten Lieferanten (1st-Tier). In der Folge erfahren beide Parteien einen unmittelbaren Nutzen und die Informationsbeschaffung erfolgt schneller und vollständiger. Die Telekommunikationsbranche oder Chemieindustrie haben in ähnlichen Ansätzen bereits themenspezifische Netzwerke zum Austausch von Risiko-Informationen im CSR-Bereich geschaffen. 4 Dies zeigt, dass Ansätze zum Teilen von Risiko-Informationen in Teilbereichen bereits erfolgreich funktionieren: Der Aufwand für jeden Einzelnen sinkt, da sich das Netzwerk einerseits den Aufwand zur Informationserhebung (z. B. Audit) teilt, und zugleich die Einflussnahme bei identifizierten Missständen steigt. Im Übrigen profitieren auch die Lieferanten von dem Netzwerk, da redundante Audits und damit auch Kosten vermieden werden können. 3 Supply Chain Resilience 2014 Business Continuity Institute. 4 Die Telekommunikationsindustrie kooperiert mit GeSI (Global e-sustainability Initiative) und teilt Informationen zu CSR in der Supply Chain. Ebenso die Chemieindustrie anhand der Initiative TfS (Together for Sustainability).

10 -10-5 Zutat 4: Identifizieren von Risiken Die Herausforderung bei der Identifizierung und kontinuierlichen Überwachung der Risiken entlang der Lieferketten liegt in dem enormen Datenbedarf: Zur initialen Einschätzung der latenten Lieferkettenrisiken sind Informationen aus zahlreichen Expertendatenbanken notwendig. Dasselbe gilt für die durchgängige Risikoüberwachung auf (Nahe-)Echtzeitebene, um eintretende Krisenfälle ad hoc zu identifizieren. So erfordert die Überwachung von lediglich 100 wichtigen Lieferketten (1st- und 2nd-Tier) anhand einer 40 Indikatoren umfassenden Scorecard die kontinuierliche Aktualisierung von ca Informationen. 5 Eine hohe Automatisierung bei der Datenbeschaffung und -aktualisierung ist daher naheliegend und sollte ein wesentliches Entscheidungskriterium bei der Etablierung eines SCRM sein. Auch unter Nutzen-Aspekten ist die hohe Automatisierung von Vorteil: Da der Effizienzgewinn (Arbeitszeit) durch Wegfall von manueller Datenbeschaffung und -aktualisierung entfällt, verbleibt mehr Arbeitszeit für wertschöpfende Tätigkeiten wie z. B. Risiko-Prävention. Ebenfalls gilt es, die Aktualität der benötigten Informationen zu berücksichtigen: Datenbanken wie beispielsweise die der UNISDR (United Nations Office for Disaster Risk Reduction) bieten zwar zahlreiche historische Daten zu Katastrophen, jedoch keine Hilfe bei der Etablierung eines Frühwarnsystems. Daher ist es anzuraten, webbasierte Suchmethoden anzuwenden, um in Nahe- Echtzeit Risiko-Vorfälle aus Online- und sozialen Medien zu identifizieren. Die Integration von intelligenten Suchmechanismen unterstützt zudem dabei, die Treffergenauigkeit zu erhöhen und nur relevante und belastbare Informationen zu erhalten. Die Relevanz der Risiko-Information sollte ein weiteres Kriterium bei der Informationsbeschaffung sein. Hilfreich ist es hier, die Abfragen bei den Datenquellen auf die zu überwachenden Risiko- Objekte (Lieferanten, Logistik-Knotenpunkte, Lager, Engpassregionen, ) zu fokussieren. Unterstützung für geopolitische und Lokationsbezogene Risiken bieten Geokodierungen der wichtigen Lokationen (Lieferantenwerke, Logistik-Knotenpunkte, ), um adressgenaue Abfragen zu ermöglichen. Bei Abrufen von Firmendaten sollten Stammdaten wie beispielsweise Name, Rechtsform und Adresse etc. verfügbar sein, um optimale Trefferquoten, bei z. B. Kreditauskunftsabfragen oder Sanktionsprüfungen, zu erzielen. Um die Belastbarkeit der benötigten Risiko-Informationen sicherzustellen, sollten, soweit verfügbar, etablierte Datenquellen verwendet werden: Rückversicherer wie die MunichRE bieten globale, fundierte und höchst belastbare Daten zu Naturgefahren weltweit. Regierungen stellen oftmals kostenfreie Daten zu Infrastruktur, Makroökonomie, Korruption oder Gesundheitswesen (CIA Worldfactbook, RSOE, ) zur Verfügung. Nichtregierungsorganisationen wiederum bieten Daten zu Kriegs-Indices, Verbreitung von Epidemien, Korruptions-Indices etc. (Vereinte Nationen, Weltbank oder Transparency International, WHO, CDC, ). Darüber hinaus können Lieferantendaten zu Bonität, Sanktionen oder Corporate Social Responsibility von kommerziellen Anbietern (wie z. B. D&B, Bureau van Dijk, Creditsafe, Format, European Compliance Company, EcoVadis, ) herangezogen werden. Verständlichkeit für die Beteiligten am Risiko-Managementprozess ist ebenfalls ein wichtiger Parameter bei der Risiko-Identifikation. Aus Praktikabilitätsgründen ist es anzuraten, auf eine zu wissenschaftlich basierte Methodik bei der Risiko-Erfassung explizit zu verzichten (z. B. Ermittlung der Wahrscheinlichkeit einer Streikaktion/Unruhen). Insbesondere bei Softfacts (durch Personen festzulegende Risiko-Einschätzungen) ist eine einfache und verständliche Skala (Bandbreite) für den Anwender erfolgskritisch. An dieser Stelle helfen verständliche Skalen wie zum Beispiel kein Risiko, geringes Risiko, mittleres Risiko, Hohes Risiko und Risiko-Event, um das Expertenwissen der Mitarbeiter einfließen zu lassen. Einfacher, mobiler Zugang (Accessibility) zur Unterstützung einer abteilungsübergreifenden Methodik ist ein weiteres Kriterium für ein erfolgreiches SCRM. So ermöglichen beispielsweise Mobile Apps die einfache Integration von Expertenwissen aus Qualität, Logistik, Finanzen, Rechtsabteilung, Versicherung, Compliance, Corporate Social Responsibility und Enterprise Risk Management per Fingertipp. Hier fördert eine verständliche Risiko-Skalierung (siehe vorheriger Absatz zu Verständlichkeit ) das Zusammenspiel der Bereiche, da ein ganzheitliches Verständnis der Risiko-Identifizierung einfach zu etablieren ist. Gleiches gilt übrigens auch für alle Informationsempfänger des Frühwarnsystems. 5 Berechnung wie folgt: 100 1st-Tier-Lieferanten nd-Tier-Lieferanten = 400 zu überwachende Lieferanten (Annahme: auf einen 1st-Tier-Lieferant kommen drei 2nd- Tier-Lieferanten). Dazu kommen 800 zu überwachende Lokationen (Annahme: Zwei Logistik-Knotenpunkte je Lieferpfad). Formel: (400 Lieferanten x 40 Indikatoren) + (800 Lokationen x 40 Indikatoren) = Risiko-Informationen benötigt.

11 -11-6 Zutat 5: Bewerten von Risiken & Kritikalität Die Definition von Toleranzbereichen (z. B. in der Scorecard auf Indikatorebene) ermöglicht es, Automatismen für Alarmhinweise festzulegen. Bewegt sich ein Indikator beispielsweise durch Veränderung des Ausfallindex eines Lieferanten aus dem tolerierten Bereich heraus, löst dies einen Hinweis/Alarm an die verantwortlichen Mitarbeiter aus. Daraufhin können im Krisenfall zeitnah geeignete Reaktionen zum Risiko-Vorfall generiet werden. Analysen ermöglichen zudem, Risiko-Situationen (ohne Eintritt) zu untersuchen, um präventiv passgenaue Risiko- Vermeidungsaktivitäten zu initiieren. So können z. B. aufgrund von Trends oder Kumulrisiko-Situationen Präventivmaßnahmen aktiviert werden. In beiden Szenarien gilt es, die Kritikalität der betroffenen Lieferketten zu bewerten. In vielen Fällen ist die Ermittlung einer warengruppen-/artikelspezifischen Kritikalität unumgänglich. Die dadurch gewonnene Granularität in der Bewertung ermöglicht es im Ernstfall dann die adäquaten und fokussierten Maßnahmen zu initiieren. Typische Faktoren bei der Ermittlung der Kritikalität sind: Bewertung der Abhängigkeit - Ermittelbar durch z. B. EVO vs. Umsatz des Lieferanten (Abhängigkeit des Lieferanten) - Ermittelbar durch z. B. EVO vs. Umsatzanteil der Lieferantenprodukte (Abhängigkeit vom Lieferanten) - Alternative, qualifizierte Quellen (Marktstruktur) Bewertung der (potenziellen) Unterbrechung - Wiederherstellungszeitraum (Total Time to Recovery, TRR) - Lagerbestand inkl. rollenden Lagers - Ausfall an Teilen (durch TTR) Produktionsplan für TTR-Zeitraum (Teile) + Lagerbestand = Delta Bewertung der finanziellen Auswirkung - Umsatzverlust durch Delta - Gewinnverlust durch Delta - Reputationsschaden durch Event Bewertung der Marktauswirkung - Ermittlung der betroffenen Kunden - Aufwände für korrigierende Marketingund Vertriebsaktivitäten Weitere Risiken/Indikatoren in Abhängigkeit von Branche, Unternehmensgröße etc.

12 -12-7 Zutat 6: Risikominimierende Maßnahmen Die Interpretation aktueller Bedrohungen (vgl. Kapitel 5) sowie deren Schadensmaß (vgl. Kapitel 6) sind eine wichtige Informationsbasis, um adäquate Maßnahmen abzuleiten. Dabei unterscheidet man zwischen reaktiven Maßnahmen zur Minimierung des Schadensausmaßes bei unvermeidbaren Risiken und präventiven Maßnahmen zur vorbeugenden Risikovermeidung und -minderung. Hilfreich ist es bei der Beurteilung der Situation, die gemeinsame Wirkung von Bedrohung und potenziellem Schadensmaß zu berücksichtigen: So kann beispielsweise eine hohe latente Bedrohung durch Erdbeben bei kritischen Lieferketten mit Monopolisten mittels Versicherungen transferiert werden, aber zugleich können auch bauliche Maßnahmen an den Lagerstätten und Produktionsstandorten der Lieferanten risikominimierend wirken. Andererseits führt ein Engpass in einer Lieferkette mit ausreichend qualifizierten, alternativen Bezugsquellen und geringer Anlaufzeit typischerweise zu einer Maßnahme, welche die Aktivierung der Ausweichalternative(n) und Umplanung der Logistik beinhaltet. Diese beiden Beispiele zeigen auf, dass es eine große Unterstützung sein kann, diese beiden wesentlichen Parameter bei der Wahl der Maßnahme zu berücksichtigen. Das Umsetzen von Risikomanagement-Maßnahmen in der Supply Chain ist i. d. R. eine abteilungsübergreifende Aufgabe: Benötigtes Expertenwissen, Reaktivmaßnahmen im Krisenfall sowie Risiko-Prävention erfordern die Zusammenarbeit des Einkaufs u. a. mit Logistik, Compliance/CSR, Versicherungsbereich, Risikomanagement, Vertrieb und weiteren Abteilungen. Um einen reibungslosen und koordinierten Ablauf von Risikomaßnahmen zu sichern, bietet sich an, beispielsweise eine Art Maßnahmenmatrix aufzubauen: Trägt man für ein Risiko-Objekt (Lieferant, Standort/Lieferketten-Knotenpunkt, Land, Lieferkette) die jeweiligen Bedrohungen sowie die (ggfs. artikelspezifischen) Kritikalitäten/Schadensmaße ab, so erhält man einen Eindruck in welchen Fällen a. Maßnahmen wirksam erscheinen sowie b. welche Maßnahme(n) sich anbieten und c. welche Abteilungen sinnvollerweise beteiligt werden. Oft werden Maßnahmen anhand ihrer Wirkung unterschieden: Risiko-Vermeidung (z. B. Ausqualifizierung von risikobehafteten Lieferanten bei Neuvergabe) Risiko-Verminderung (Risikopotenzial-Reduktion, durch z. B. Aufbau alternativer Kapazitäten/Diversifikation) Risiko-Begrenzung/-transfer (Festlegung definierter Obergrenzen von Risiken durch z. B. Betriebsunterbrechungs- Versicherungen mit Selbstbehalt) Risiko-Akzeptanz (eventuelle Risiken werden als vertretbar bewertet) Schadenpotenzial Niedrig Mittel Hoch Vermeidung Verlagerung Begrenzung Minderung Hoch Mittel Niedrig Eintrittswahrscheinlichkeit Akzeptanz Die Kommunikation der Risiko-Situation in transparenter und nachvollziehbarer Weise ist eine weitere Aufgabe in der Maßnahmendurchführung. So ist dringend zu empfehlen, für Krisenfälle ein Szenario zu entwickeln, welches Verantwortungen und Abläufe für Kommunikation, Durchführung der Schadensbegrenzung und Folgewirkungen sowie Nachbereitungsaufgaben zwecks Prävention enthält. Zur Prävention wiederum gehört das Etablieren von Risiko-Identifikation (Zutat 4), Risiko-Bewertung (Zutat 5) zwecks Früherkennung sowie Vorbereitung präventiver Maßnahmen und reaktiver Notfallpläne (Zutat 6). Hierbei wird ersichtlich, wie stark prozessorientiert ein (Supply Chain) Risikomanagement-Regelkreis gestaltet werden kann, um seine maximal beschützende Wirkung zu entfalten.

13 -13-8 Zutat 7: Integration in Einkaufsprozesse Der Risikomanagementprozess entlang der Lieferkette kann von anderen Einkaufsabläufen profitieren sowie diese auch unterstützen. Dieses Whitepaper fokussiert auf folgende Interaktionen innerhalb des Einkaufs: Interaktion bei Vergabeentscheidungen Interaktion bei Lieferantenqualifikationen/-selbstauskünften Interaktion zu Einkaufsdashboards/-reporting 8.1 Interaktion bei Vergabeentscheidungen Im Rahmen von Vergabeentscheidungen bewertet der Einkauf traditionell die Kosten und im Zusammenspiel der anfragenden Fachabteilung die Qualität und den Umfang der ausgeschriebenen Leistung. Mit den Risikodaten aus dem SCRM steht ein weiteres wichtiges Kriterium für Vergabeentscheidungen zur Verfügung, welches zur Steuerung und Optimierung der Gesamtkosten über den Zyklus der Zusammenarbeit mit den Geschäftspartnern herangezogen werden kann. Bessere Vergabeentscheidungen sind die positive Konsequenz, wie in der Studie Der ROI von Supply Chain Risk Management von eckseler consult und riskmethods aufgeführt. Mit der Einbindung der Risiko- Daten können extreme Kosten durch Lieferunterbrechungen und Imageschäden von risikoreichen Supply Chains im Idealfall komplett vermieden werden. Insbesondere für die Identifizierung der 1-n-Tier-Supply Chains bietet sich gerade in dem Vergabeprozess (z. B. im RFI) die Chance, schnell und vollständig diese Informationen von den potenziellen Geschäftspartnern zu erhalten, so dass bereits dann eine Risikobewertung erfolgen kann. 8.2 Interaktion bei Lieferantenqualifikationen/ -selbstauskünften Regelmäßig wiederkehrende Lieferantenqualifizierungen/ Lieferantenselbstauskünfte sind ein probates Mittel, um Lieferkettenstrukturen von potenziellen und bestehenden Lieferanten zu erfassen. In der Praxis dürften im Wesentlichen drei Aspekte von Relevanz sein: Verifizierung der zu überwachenden Produktionsstandorte (vs. Vertriebsstandorte) Erfassung der wesentlichen Logistik-Knotenpunkte (z. B. Suezkanal, Rotterdam, ) Ermittlung der Sub-Tier-Lieferanten Der Nutzen liegt auf der Hand: Auf Basis der zyklisch abgefragten Informationen (a c) können Lieferkettenstrukturen automatisch erfasst und aktualisiert werden ohne Recherche- oder Pflegeaufwand durch den Einkauf. Zusätzlich kann ein Mehrwert für Lieferanten generiert werden, sofern beispielsweise das ermittelte Risikoprofil über das Qualifizierungsportal dem Lieferanten zur Verfügung gestellt wird. Moderne Lieferantenmanagement- Systeme unterstützen sogar die folgende Interaktion, um Lieferantenfeedbacks und ggfs. sogar (selbst)initiierte Maßnahmen aufgrund des publizierten Risiko-Profils zu ermöglichen und nachzuverfolgen. 8.3 Interaktion zu Einkaufsdashboards/-reporting Viele Einkaufssysteme bieten umfassende Lieferanten-Dashboards, um bspw. Warengruppen-Managern und Leadbuyern die Durchführung der Warengruppenstrategien zu erleichtern. Ein integrierter Leitstand hilft die Daten aus unterschiedlichen Einkaufsprozessen zentral anzuzeigen, zu analysieren und die bestmöglichen Ableitungen und Maßnahmen zu initiieren. Um wichtige Entscheidungen, wie über beispielsweise Lieferantenreduktion, Aufbau alternativer Quellen, Risiko-Vermeidungsmaßnahmen, Änderung der Betriebsunterbrechungsabsicherung oder andere Maßnahmen, fundiert zu fällen, ist eine solche Sicht inklusive Risikodaten unabdingbar. Risiko- und Kritikalitätsprofile von (Sub-Tier-)Lieferanten, Standorten und (Sub-Tier-) Lieferkettenstrukturen sind neben Einkaufsvolumen, Bedarfsvorhersagen, Vertragsdaten, strategischen Bedeutungen, Anforderer-Spezifikationen etc. eine der wichtigsten Komponenten für die ganzheitliche Sicht der Einkaufsexperten und erfolgreiche Steuerung des Einkaufs.

14 -14-9 Zusammenfassung Sicherlich kann ein einziges Whitepaper nicht alle individuellen Anforderungen eines Unternehmens an ein SCRM generisch beantworten. Dennoch hoffen wir, Ihnen hiermit eine fundierte Zusammensetzung an Zutaten und Ideen für Ihre firmenspezifische Organisation, den Prozessablauf und mögliche Inhalte zur Ausgestaltung eines professionellen SCRM bieten zu können. Wir freuen uns auf Ihre Kommentare, Feedbacks und Erfahrungen gerne publizieren wir auf Wunsch auch Ihre Erfahrungsberichte in unserem Experten-Blog Supply Chain Risk Management (blog.riskmethods.net/). Besonderer Dank geht an die beteiligten Einkäufer, die im Rahmen von persönlichen Gesprächen und einem Vor-Ort-Workshop ihre Erfahrungen haben einfließen lassen und dieses Whitepaper erst ermöglicht haben: Karl-Heinz Pöhlmann VP Global SC & Purchasing, Hottinger Baldwin Messtechnik GmbH Jürgen Schuhmacher Direktor strategischer Einkauf, KARDEX Deutschland Produktion GmbH Jörg Thürwächter Strategischer Einkäufer, KARDEX Deutschland Produktion GmbH

15

16 Über riskmethods riskmethods bietet Unternehmen eine umfassende Supply Chain Risk Management Lösung zur proaktiven Überwachung und Bewertung von Risiken in der Lieferkette. Gefährdungspotenziale werden frühzeitig erkannt, sodass durch proaktives Agieren die Lieferfähigkeit erhalten, Compliance sichergestellt und das Unternehmensimage nicht gefährdet wird. Die in Deutschland entwickelte SaaS-Lösung Supply Risk Network kombiniert modernste Technologie mit einer innovativen Bereitstellung von Risiko-Intelligenz zu einem führenden Standard im Supply Chain Risk Management. Kontakt Heiko Schwarz Kontakt riskmethods GmbH Orleansstraße München Tel.: +49(0) info@riskmethods.net Stand Februar 2015