Supply Chain Continuity Management – Vorsorge für Notfälle in der Lieferkette

  1. Home
  2. Blog
  3. BCM
  4. Blog Post
Veröffentlicht am 16.03.2017

Damit die Lieferkette auch unter Last hält   – Business Continuity Management für die Lieferkette

1. SUPPLY CHAIN CONTINUITY MANAGEMENT – EIN ELEMANTERER BBAUSTEIN FÜR EINE SUPPLY CHAIN RESILIENCE
Wenn die Lieferkette an einer Stelle reißt, kommt häufig die gesamte Wertschöpfungskette für ein Produkt oder einen Service zum Stillstand. Die Vorsorge für Notfälle in der Lieferkette – das Supply Chain Continuity Management – ist daher ein elementarer Baustein für eine widerstandsfähige Lieferkette. Der vorangegangene Beitrag „Supply Chain Resilience“ behandelte die Governance, Risk und Compliance-Aspekte. Dieser Beitrag geht vertieft auf die Rolle des Business Continuity Management zur Sicherung der Lieferketten bei Unterbrechungen ein.

Im Februar 2017 suchte der Automobilhersteller VW händeringend nach 20.000 Parkplätzen in Ostfriesland. Was war passiert? Bei einem Lieferanten in Tschechien war drei Wochen zuvor die Produktionshalle einem Brand zum Opfer gefallen. An diesem Produktionsstandort des Zulieferers wurden Klappen für das Handschuhfach der Passat-Produktion im VW-Werk Emden hergestellt. Vorübergehend konnte der Lieferausfall durch VW mit Handschuhfach-Klappen aus China überbrückt werden, doch die Wiederaufnahme der Produktion des Lieferanten war zeitaufwendig und dauerte länger. So mussten kurzfristig die fabrikneuen Fahrzeuge ohne die dringend benötigte Handschuhfach-Klappe zwischengeparkt werden.

Störungen und Unterbrechungen der Lieferketten können vielfältige Ursachen haben – von Schlechtwetterereignissen, technischen Störungen, IT-Ausfällen bis hin zu Insolvenzen von Lieferanten. Das Business Continuity Management darf daher nicht an der Unternehmensgrenze enden, sondern muss die Lieferketten umfassend miteinschließen.

Für Finanzdienstleister, als Teil der kritischen Infrastruktur, gibt es daher dedizierte regulatorische Vorgaben und Grenzen der Auslagerungen im Rahmen des Gesetzes für das Kreditwesen KWG und der Mindestanforderungen für das Risikomanagement des BaFin (MaRisk). Diese Regelungen für Auslagerungen stehen zudem bei der gerade anstehenden Novellierung der MaRisk mit im Vordergrund.
Der von Dun and Bradstreet (D&B) für das Chartered Institute of Procurement & Supply (CIPS) monatlich ermittelte Risikoindex für Supply Chain Risks „CIPS Risk Index“ hat für 2016 einen neuen Höchstwert der vergangenen 24 Jahre für die ökonomischen und politischen Risiken ermittelt, denen die Lieferketten ausgesetzt sind. Der Index stieg von 79,14 Ende 2015 auf 82,64 im 4. Quartal 2016. Dieser starke Anstieg des Risiko-Index gilt insbesondere für West-Europa, wo Brexit und ein neuer Protektionismus aus den USA für ein erhöhtes Risiko sorgen.

In dem seit sechs Jahren vom Business Continuity Institute (BCI) durchgeführten Horizon Scan Report wurde in der aktuellen Studie 2017 von 726 Organisationen in 79 Ländern die Unterbrechung von Lieferketten erneut unter den Top 10-Risiken gesehen (Rang 8 von 10). Bei den tatsächlich eingetretenen Risiken liegen der Ausfall von Versorgern (Strom, Gas, Wasser) auf Rang 3, Transportunterbrechungen auf Rang 6 und die Unterbrechung von Lieferketten auf Rang 8. Bei den Top 10 Trends liegt das Risiko der zunehmenden Komplexität der Lieferketten auf Rang 7. Dies zeigt die zunehmende Bedeutung des Risikomanagements für die Lieferketten.

2. DIE HERAUSFORDERUNGEN FÜR DAS SUPPLY CHAIN CONTINUITY MANAGEMENT
Die Wertschöpfungsketten von Unternehmen sind von einer Vielzahl funktionierender Lieferanten- und Dienstleisterbeziehungen abhängig. Dies beginnt in der Produktion mit der Zulieferung von Rohmaterial und Zulieferteilen auf Basis zeitlich eng getakteter Logistikketten. Neben Zulieferungen von Waren und Dienstleistungen ist die aktuelle Bereitstellung von Daten und Informationen auf elektronischen Wegen für die Durchführung vieler Prozesse geschäftskritisch.

Mit der zunehmenden Konzentration auf das Kerngeschäft haben Unternehmen zahlreiche Dienstleistungen und Prozesse an externe Dienstleister ausgelagert. Dies reicht von wertschöpfungsfernen Prozessen, wie dem Betrieb und der Wartung von Gebäuden und technischen Anlagen, der Durchführung von Sicherheitsdienstleistungen, der Betriebsverpflegung über unterstützende Prozesse wie der Bereitstellung und dem Betrieb von IT-Anwendungen und IT-Systemen bis hin zur Auslagerung wertschöpfender Prozesse oder Prozessteile aus der Wertschöpfungskette. Das Ergebnis ist ein kaum mehr zu überblickendes Geflecht an gegenseitigen Lieferbeziehungen, die es zu „orchestrieren“ gilt, damit die Liefer- und Wertschöpfungsketten nicht an der schwächsten Stelle reißen.

Zu diesen Vertragspartnern zählen Betreiber von ausgelagerten Geschäftsprozessen, Vertriebs- und Logistikdienstleister, Rechenzentrumsbetreiber, Application Service Provider (ASP), Softwareentwicklungsunternehmen, Wartungsunternehmen, , Telekommunikationsdienstleister, Energieversorger, Anbieter von Cloud-Diensten, Berater und Auditoren, Callcenter, Dienstleister für die Dokumenten- und Datenentsorgung, Sicherheitsunternehmen, Facility Management Dienstleister sowie Software- und Hardwarelieferanten.

 

Supply Chain Continuity Management, Wertschöpfungskette im Unternehmen

Diese Aufgabe ist komplex und stellt Unternehmen vor große Herausforderungen:

  • Eine der größten Herausforderungen besteht darin, einen Überblick über dieses Beziehungsgeflecht zu erhalten und vor allem auch zu behalten. Große Unternehmen haben oftmals eine vierstellige Anzahl an Lieferantenbeziehungen global über den gesamten Globus verteilt. Dies berücksichtigt nur die Anzahl der direkten Lieferantenbeziehungen (Tier 1). Blickt man hinter diese erste Ebene der direkten Lieferantenbeziehungen vervielfacht sich die Anzahl der beteiligten Unternehmen in den Lieferketten.
  • Diese hohe Anzahl an Beteiligten der Lieferkette macht ein strukturiertes Vorgehen mit einer klaren Priorisierung notwendig. Die zuliefernden Unternehmen müssen nach ihrer Kritikalität für die Wertschöpfungskette sowie nach den Risiken bewertet werden. Maßnahmen zur Absicherung der Lieferketten müssen unter Kosten- und Risikoaspekten differenziert werden.
  • Beim Outsourcing müssen rechtliche und regulatorische Anforderungen berücksichtigt werden. Dies betrifft in Deutschland insbesondere   auch Finanzdienstleister. Das Kreditwesengesetz und die MaRisk des BaFin untersagen die Auslagerung bestimmter Prozesse, stellen Anforderungen an die Notfallvorsorge, schränken Weiterverlagerungen durch den Dienstleister ein und fordern Kontrollmöglichkeiten sowie Berichtspflichten.
  • Anforderungen an die Dienstleister und Lieferanten müssen definiert, vertraglich vereinbart und deren Einhaltung laufend überprüft werden.
  • Geografische Entfernungen, sprachliche und kulturelle Unterschiede erschweren die Zusammenarbeit und Kommunikation.
  • Auslagerungen werden in der Regel unter wirtschaftlichen Gesichtspunkten entschieden. Der Aufwand zur Steuerung der Lieferbeziehungen und die Umsetzung risikomindernder Maßnahmen reduzieren den ökonomischen Nutzen und können gar ein Outsourcing letztendlich wirtschaftlich unrentabel machen.

3. BAUSTEINE DES SUPPLY CHAIN CONTINUITY MANAGEMENT
Die Notfallvorsorge für Lieferketten – Supply Chain Continuity Management – hat zum Ziel, Unterbrechungen der Lieferkette durch Notfälle vorzusorgen und Schäden bei Ausfällen zu minimieren. Supply Chain Continuity Management stellt insofern eine Teil-Disziplin im Business Continuity Management dar. Die Methoden und Verfahren des BCM kommen auch hier zum Tragen, doch erfordern die spezifischen oben genannten Herausforderungen eine Erweiterung des Methodenbaukastens. Eine solche Erweiterung soll hier vorgestellt werden.

Bausteine eines Supply Chain Continuity Management

Ziel der Analysephase ist es, eine „Landkarte“ der Lieferbeziehungen zu erstellen sowie die Dienstleister und Lieferanten nach Risiko und Kritikalität für das Unternehmen zu kategorisieren. In kaum einem Unternehmen gibt es eine unternehmensübergreifende Sicht auf die bestehenden Lieferbeziehungen der Lieferketten. Einkauf / Beschaffung, IT, Verwaltung, Fachbereiche – jeder Bereich verantwortet häufig unabhängig voneinander den Bezug von Waren, Dienstleistungen, IT-Anwendungen und Services. Doch wie kann dieser „blinde Fleck“ geschlossen werden?
Die Business Impact Analyse im Business Continuity Management bietet eine hervorragende Basis, um diese notwendige Transparenz zu schaffen.
Ausgehend von den Geschäftsprozessen werden in der Business Impact Analyse Dienstleister und Lieferanten als eine der essentiellen Prozess-Ressourcen  betrachtet.  Über die Zuordnung der Dienstleister / Lieferanten zu Prozessen lassen sich die spezifischen Auswirkungen einer Unterbrechung der Lieferkette ermitteln und damit die Kritikalität der Dienstleister / Lieferanten für das Unternehmen.

Supply Chain Continuity Management, Folgeschäden bei Ausfall

Im Risiko-Assessment des BCM werden Risiken für die Lieferkette und durch den Ausfall einzelner Lieferanten identifiziert. Hierzu gehören „Klumpen-Risiken“ wie zum Beispiel die Konzentration von Lieferanten in besonders gefährdeten Regionen oder die Abhängigkeit von einzelnen Lieferanten im Single-Sourcing.
Die Ergebnisse der Business Impact- und Risikoanalysen erlauben eine Kategorisierung der Lieferanten nach Kritikalität und Risiko für das Unternehmen. Bei einer großen Zahl an Lieferanten ist eine solche Differenzierung zwingend notwendig, um Maßnahmen risikoorientiert und wirtschaftlich umsetzen zu können.
Das Outsourcing-Management beinhaltet die einzelnen Schritte der Notfallvorsorge für kritische Dienstleistungen.

Hierzu gehören die Phasen

  • Planung des Outsourcing
  • Due Diligence des Dienstleisters/Lieferanten
  • Vertragsverhandlung und -abschluss
  • „Betrieb“ und Monitoring des Outsourcings
  • Beendigung des Outsourcings.

Unter BCM-Gesichtspunkten gehört zur Planung eines Outsourcing-Vorhabens

  • die Identifikation der betroffenen Geschäftsprozesse,
  • Impact- und Risiko-Assessment des Outsourcing-Vorhabens (Kritikalität der betroffenen Prozesse, Impact-Analyse eines Ausfalls, relevante Risiken),
  • Anforderungen an die Verfügbarkeit der Produkte und Dienstleistungen,
  • Identifikation von Notfallkonzepten für das Outsourcing (Bsp. Multi-Supplier-Strategien, Rückverlagerungsoptionen, Zwischenlager etc.),
  • Rechtliche und regulatorische Rahmenbedingungen,
  • Erforderliche Nachweise, Zertifizierungen (Bsp. ISO 22301 für das BCM).

Ergebnis der Planungsphase ist ein Anforderungskatalog mit den spezifischen Anforderungen für das Outsourcing-Vorhaben an den Dienstleister. Im Anforderungskatalog sollte zwischen Muss-, Soll- und Kann-Anforderungen differenziert werden. Basis kann ein standardisierter BCM-Anforderungskatalog für Outsourcing-Vorhaben sein, der jeweils um spezifische Anforderungen ergänzt wird.
Gegenstand der Due Diligence ist die Prüfung der Erfüllung der Anforderungen durch den Dienstleister sowie die Abstimmung der Notfallkonzepte zwischen Outsourcer und Dienstleister.

Auf der Grundlage des Anforderungskatalogs wird ein Lieferantenfragebogen erstellt, der vom Dienstleister zu beantworten ist. Der ausgefüllte und ausgewertete Lieferantenfragebogen ist Grundlage für eine Vor-Ort-Besichtigung und einem walk-through. Risiken und Notfallkonzepte des Dienstleisters werden in einem Vor-Ort-Termin in Augenschein genommen und mit den BCM-Verantwortlichen durchgesprochen. Die Abstimmung der Notfallkonzepte ist elementar für eine funktionierende Notfallvorsorge und daher für Finanzdienstleister zwingend vorgeschrieben. Leider gibt es in der BCM-Welt keine einheitlichen Begrifflichkeiten. Dies gilt auch für die Definition von „Störungen“, „Notfällen“, „Störfällen“oder „Krisen“. Wichtig ist daher, die jeweilige Verwendung der Begrifflichkeiten sowie die spezifischen Melde- und Eskalationswege des Vertragspartners zu kennen. Was bedeutet die Ausrufung eines „Notfalls“ beim Dienstleister? Ist dies die Vorstufe einer „Krise“ oder bereits die höchste Eskalationsstufe? Zur Abstimmung der Notfallkonzepte zählt ebenso die Festlegung der Informationswege und Kontaktdaten im Notfall.

Wie sieht die Leistungserbringung des Dienstleisters im Notfall konkret aus?

Werden Lieferungen und Services zum Beispiel bei einem Standortausfall aus einer Ausweichlokation erbracht, ändern sich gegebenenfalls Lieferwege und- zeiten, Ansprechpartner und Kontaktdaten sowie Kommunikationswege kurzfristig.

Auch der Notfall beim Outsourcer sollte in der Abstimmung der Notfallkonzepte mit berücksichtigt werden.

Bei einer Relokation muss der Lieferant beispielsweise kurzfristig an einen anderen Standort liefern und benötigt entsprechende Zufahrts- und Zutrittsrechte.

Bei der Vertragsverhandlung und dem Vertragsabschluss sind die Anforderungen des Business Continuity Management zu berücksichtigen. Idealerweise verfügt das BCM über bereits vorformulierte und juristisch geprüfte Vertragselemente, die für Standardfälle genutzt werden können.

Diese vertraglichen Regelungen beinhalten beispielsweise

  • Prüfrechte für die Durchführung von Dienstleister-Audits,
  • Berichtspflichten des Dienstleisters (reguläre BCM-Berichte, Sonderberichte über eingetretene Störungen und Notfälle),
  • Informationspflichten über Störungen und Notfälle,
  • Genehmigungspflicht für Weiterverlagerungen,
  • Planungen zu BCM-Tests und Übungen, Berichte über durchgeführte BCM-Tests und Übungen,
  • neu erteilte Zertifizierungen im BCM, Re-Zertifizierungen und Ablauf von BCM-Zertifizierungen.

Nach erfolgtem Vertragsabschluss kann nun endlich das Outsourcing in die Betriebsphase gehen. In der Betriebsphase sind die vertraglichen Verpflichtungen auf Einhaltung zu kontrollieren, BCM-Berichte des Dienstleisters zu überprüfen sowie gemeinsame Tests und Übungen durchzuführen. Bei kritischen Dienstleistern sind in regelmäßigen Abständen Audits sowie gemeinsamen Tests und Übungen durchzuführen.

Eingetretene Störungen und Notfälle sollten dazu genutzt werden, die Notfallkonzepte weiterzuentwickeln.

Das Outsourcing endet im Idealfall planmäßig und geordnet mit der Überführung des Outsourcings auf einen anderen Dienstleister oder das Insourcing der ausgelagerten Leistung. Gerade diese Transitionsphasen sind auch unter Notfallgesichtspunkten sehr kritisch zu sehen, da Ansprechpartner und Verantwortlichkeiten (noch) nicht definiert sind.

Leider gibt es jedoch auch den Fall der vorzeitigen ungeplanten Beendigung der Geschäftsbeziehung. Hierzu gehört zum Beispiel die Insolvenz eines Lieferanten. Gut, wenn es einen Notfallplan für diese Situation gibt.
Finanzdienstleister sind verpflichtet, auch für entsprechende Situationen Vorsorge zu treffen. Gibt es keinen Notfallplan für diese Situation, führt dies in der Regel zur Unterbrechung der Lieferkette mit gravierenden Folgen hinsichtlich Kosten und Reputation des Unternehmens. Ein kurzfristiges Insourcing ist zumeist nicht mehr möglich, da Know How und Technik nicht mehr im Unternehmen vorhanden sind. Ein kurzfristiger Wechsel auf einen anderen Dienstleister ohne entsprechende vertragliche, technische und organisatorische Vorbereitung ist nicht möglich. Im Extremfall kann dies dazu führen, dass der Outsourcer den Dienstleister finanziell stützen oder gar ganz übernehmen muss, wie Beispiele aus der Automobilindustrie zeigen.

4. FAZIT:
Man könnte versucht sein, Supply Chain Continuity Management als die Königsdisziplin des BCM zu bezeichnen. Groß sind die Herausforderungen in der Konzeption und schließlich in der Umsetzung. Die Unterbrechung einer Lieferkette führt zu hohen finanzielle Verlusten und Reputationsschäden für das Unternehmen. Ein methodisch fundierter Schritt-für-Schritt-Ansatz ist daher erfolgskritisch. Die gute Nachricht: mit einem methodischen Vorgehen können die Risiken erkannt und reduziert werden. Auch auf Lieferantenseite wächst die Erkenntnis und Bereitschaft zur Zusammenarbeit. Der Nutzen liegt auf beiden Seiten und lohnt den Aufwand.

Die Bedeutung dieser Thematik unterstreicht auch der brandneue ISO-Standard ISO 44001:2017 Collaborative business relationship management systems — Requirements and framework. Aus dem Standard BS 11000 hervorgegangen, unterstützt die Norm beim Aufbau, Management und Beendigung interner und externer Lieferbeziehungen.

Weitere Informationen finden Sie auf www.haemmerle-consulting.de.

Matthias Hämmerle zum Thema Supply Chain Continuity Management

 

Matthias Hämmerle, Geschäftsführer von haemmerle-consulting, ist ein erfahrerener und anerkannter Experte für Business Continuity und Informationssicherheitsmanagement. Seine Erfahrungen sammelte der studierte Wirtschaftswissenschaftler sowohl im Finanzsektor als auch bei Unternehmensberatungen und Wirtschaftsprüfungsgesellschaften. Seine Kompetenz im BCM wurde vom Busienss Continuity Institute durch die Verleihung des Member-Status dokumentiert. Er ist Lead Auditor ISO 22301 und als Dozent für den Themenberiche BCM an der Frankfurt School of Finance & Management tätig. Zudem ist er Herausgeber der BCM-News, dem führenden deutschsprachigen Informationsportal für BCM.

 

Tags