Zum Inhalt springen
Procari Lexikon Supply Risk Management
Einkaufslexikon

Supply Risk Management

Supply Risk Management

Supply Risk Management ist das systemische Framework zur Identifikation, Bewertung, Steuerung und Überwachung aller Risiken in der Beschaffungsseite der Wertschöpfungskette. Es geht über die reine Lieferantenbewertung hinaus, bezieht Markt-, Material-, Geo- und Cyberrisiken ein und nutzt standardisierte Methoden wie ISO 31030, MCDM-Verfahren und die PEAK-Matrix-Logik von Gartner.

Detaillierte Erklärung

Supply Risk Management — kurz SRM, nicht zu verwechseln mit Supplier Relationship Management gleicher Abkürzung — orientiert sich an einem mehrdimensionalen Risikomodell. Die Dimensionen umfassen Lieferant, Material, Markt, Standort, Logistik, Compliance und Cyber. Jede Dimension wird in einer Risikomatrix bewertet, typisch mit Eintrittswahrscheinlichkeit (1 bis 5) und Schadensausmaß (1 bis 5). Das Produkt ergibt den Risiko-Score je Position.

ISO 31030 ist der internationale Standard für Travel Risk Management; im Kontext Supply Risk Management wird oft ISO 31000:2018 (Risk Management Guidelines) als methodischer Rahmen verwendet, ergänzt durch branchenspezifische Standards wie IATF 16949 §6.1.2 (Risiken und Chancen) oder VDA-Band 6.3 für Prozessaudits (siehe [[vda-6-3]]). Im DACH-Mittelstand werden diese Standards selten formal zertifiziert, aber ihre Methodik fließt in Lieferanten-Selbstauskünfte und in interne Risikomanagement-Handbücher ein.

Methodisch sticht MCDM heraus — Multi-Criteria Decision Making. Verfahren wie AHP (Analytic Hierarchy Process) und TOPSIS gewichten unterschiedliche Risikokriterien und liefern eine konsolidierte Rangfolge. Ein typisches AHP-Setup im Einkauf gewichtet finanzielles Risiko mit 30 Prozent, geografisches Risiko mit 20 Prozent, technologisches Risiko mit 25 Prozent und Compliance-Risiko mit 25 Prozent. Lieferanten erhalten je Kriterium eine Bewertung von 1 bis 9, der gewichtete Mittelwert ergibt den Risikoindex.

Gartner gruppiert SCRM-Tools seit 2022 in der PEAK-Matrix (PEAK = Performance, Experience, Ability, Knowledge, eine Klassifikation von Everest Group; Gartner selbst nutzt den Magic Quadrant). Im Magic Quadrant 2024 für Supply Chain Risk Management Solutions stehen Riskmethods, Resilinc, Everstream und Interos im Leaders-Quadranten. Coupa Risk Aware und Achilles ergänzen das Feld als Visionaries und Niche Players. Diese Marktreports orientieren Einkaufs-Leiter bei der Auswahl einer Plattform.

Inhärentes Risiko (siehe [[inherent-risk]]) und Residualrisiko (siehe [[residual-risk]]) sind die zentralen Größen. Inhärent ist das Risiko vor Mitigation, residual nach umgesetzten Kontrollen. Ein Lieferant mit hohem inhärentem Risiko kann nach Q-Vertrag, Sicherheitsbestand und Dual Sourcing ein akzeptables Residualrisiko aufweisen. Diese Differenzierung verhindert pauschale Lieferanten-Ausschlüsse und macht den Wert der Risikoarbeit messbar.

Praxisbeispiel (konkretes Einkaufsszenario)

Ein Anlagenbauer aus Bayern mit 1.150 Mitarbeitern beliefert die Lebensmittelindustrie. Im Januar 2026 startet das Einkaufsteam ein formales Supply Risk Management Programm für die Top-200-Lieferanten, die zusammen 78 Prozent des Beschaffungsvolumens abdecken (Jahresvolumen 142 Mio. EUR).

Schritt 1 — Risikokriterien festlegen: Der CPO definiert acht Kriterien gemäß ISO 31000: Finanzielles Risiko (Creditreform-Index), Standortrisiko (Länderranking gemäß OECD Country Risk Classification, siehe [[laenderrisiko]]), Konzentrationsrisiko (Anteil am Lieferanten-Umsatz, siehe [[klumpenrisiko-einkauf]]), Technologierisiko (Single-Source-Status), Compliance-Risiko (LkSG-Risikoprofil, siehe [[bafa-risikoprofil]]), Cyber-Risiko (TISAX-Label-Status), Qualitätsrisiko (ppm-Wert) und Logistikrisiko (OTD-Quote).

Schritt 2 — Datenaufnahme: Über das Lieferantenportal werden Selbstauskünfte eingeholt. Externe Quellen wie Creditreform, der Coface-Länderindex und der BAFA-Risikohinweis-Katalog ergänzen die Daten. Datenerfassung Q1, Bewertungsphase Q2.

Schritt 3 — AHP-Bewertung: Die acht Kriterien werden paarweise verglichen, die Konsistenzratio bleibt unter 0,10. Lieferanten erhalten einen Gesamtindex zwischen 1,0 und 5,0. 23 Lieferanten landen über dem Schwellwert 3,5 und werden als High-Risk klassifiziert. Bei diesen Lieferanten wird das inhärente Risiko gegen Mitigationsmaßnahmen aufgerechnet.

Schritt 4 — Maßnahmenkatalog: Für jeden High-Risk-Lieferanten definiert der Einkauf konkrete Mitigationen. Beispiel: Ein Edelstahl-Lieferant aus der Türkei (Türkei-Risiko, OECD-Klasse 5, Inflation, Geldpolitik) erhält Dual-Source-Aufbau in Tschechien, Vorauszahlungs-Hedging über Euro-Bankgarantie und Indexierungsklausel auf Nickelpreis. Inhärentes Risiko 4,2, Residual nach Maßnahmen 2,4 — unterhalb des Schwellwerts.

Schritt 5 — Monitoring: Vierteljährliches Review im Risk Board mit CPO, Qualitätsleitung und CFO. Frühwarnindikatoren laufen monatlich, eskaliert wird bei Score-Anstieg über 0,5 Punkte. Das Programm bindet zwei Vollzeitstellen im Einkauf und kostet jährlich 380.000 EUR, gegenüber einem versicherten Restrisiko-Volumen von 14 Mio. EUR.

Typische Fehler & Verhandlungskontext

Der häufigste Fehler ist die Trennung zwischen Risikoanalyse und Lieferantengespräch. Ein Risiko-Score, der nur in der Einkaufs-Akte existiert und nie mit dem Lieferanten besprochen wird, bleibt ohne Wirkung. Eine reife SRM-Praxis spricht den Risiko-Score offen an, fordert Verbesserungen ein und dokumentiert Fortschritte in der Lieferanten-Scorecard (siehe [[lieferantenscorecard]]).

Ein zweiter Fehler ist die Übergewichtung quantitativer Daten gegenüber qualitativen Signalen. Ein guter Bonitätsindex bedeutet nicht zwangsläufig Resilienz. Der CFO-Wechsel eines Lieferanten, eine Übernahmedrohung durch einen Wettbewerber oder Berichte über Kulturprobleme sind qualitative Frühwarnsignale, die der reine Score-Ansatz nicht abbildet. Das Risk Board sollte deshalb auch unstrukturierte Erkenntnisse aus dem Vertrieb, der Logistik und dem Außendienst einsammeln.

Im Verhandlungskontext lohnt es sich, das SRM-Programm als gemeinsamen Wert zu positionieren. Lieferanten, die in das SRM-Onboarding investieren — Selbstauskunft, TISAX-Audit (siehe [[third-party-risk-management]]), Sanktionslistenprüfung (siehe [[sanktionslistenpruefung]]) — gewinnen mittel- bis langfristig Volumen, weil sie das Vertrauen des Einkaufs erhalten. Wer SRM ausschließlich als Kontrollinstrument einsetzt, riskiert Abwehrhaltungen.

Wichtig ist die Abgrenzung zur reinen Compliance-Sicht. SRM ist breiter als das Lieferkettensorgfaltspflichtengesetz (siehe [[lieferkettensorgfaltspflichtengesetz]]). LkSG fordert Sorgfaltspflichten bei Menschenrechten und Umwelt; SRM deckt zusätzlich Kontinuität, Finanzstabilität, Geopolitik und Cyber ab. Beide Programme können organisatorisch zusammengeführt werden, sollten aber methodisch klar getrennt bleiben, um Doppelarbeit und Kompetenz-Konflikte zu vermeiden.

Verwandte Begriffe

  • [[lieferantenrisikomanagement]]
  • [[risikoanalyse-lieferkette]]
  • [[inherent-risk]]
  • [[residual-risk]]
  • [[third-party-risk-management]]

Alle 1.460+ Begriffe als PDF

Das komplette Procari Einkaufslexikon — kostenlos per Email.

PDF anfordern →