Kontrollen sind gut, Transparenz ist besser

Cristian Manganiello

Cristian Manganiello
Partner for Risk and Compliance Management Services, PwC Switzerland

Ralf Hofstetter

Ralf Hofstetter
Director for Trust & Transparency Solutions, PwC Switzerland

Das American Institute of Certified Public Accountants (AICPA) hat ein Rahmenwerk für die Berichterstattung über das Risikomanagement von Lieferketten präsentiert. Die System- und Organisationskontrollen für die Lieferkette (SOC for Supply Chain) sind für produzierende, zuliefernde und handelnde Unternehmen ein wertvolles Instrument, das Vertrauen untereinander zu stärken.

Komplexität gestiegen

Die Herstellung und der Vertrieb von Produkten sowie den entsprechenden Dienstleistungen sind komplexer und vernetzter denn je, unter anderem aufgrund des Internet of Things (IoT) und der Digitalisierung von Prozessen. Neue Technologien und Organisationsformen haben erzeugende, zuliefernde und handelnde Unternehmen rund um den Erdball enger mit ihren Geschäftspartnern/-partnerinnen und Kunden/Kundinnen zusammenrücken lassen.
Der Ausbruch der Pandemie hat deutlich gemacht, dass die Anfälligkeit der vernetzten und globalisierten Lieferketten seit Jahren – von der Öffentlichkeit weitestgehend unbemerkt – gestiegen ist. Dieser Trend verstärkt sich mit der Digitalisierung. Zu den Schlüsselrisiken gehören nicht nur die Verfügbarkeit von Rohstoffen, Halbfabrikaten und Produkten oder die Abhängigkeit von Monopolanbietenden, sondern vermehrt auch Datenschutzverletzungen und Angriffe aus dem Cyberspace. Zum einen ist das Risiko von Produkten mit IoT-Konnektivität an sich schon hoch. Zum anderen hat die Pandemie einen Digitalisierungsschub ausgelöst und Cyberkriminellen neue Angriffsflächen geboten, unter anderem um Geschäftsgeheimnisse oder sensible Informationen über Produktionszyklen, Standorte, Transaktionen und Lieferungen betrügerisch auszunutzen. Es erstaunt daher nicht, dass der Ruf nach mehr Transparenz in der Lieferkette aktuell immer lauter wird.

Branchenübergreifender Standard

Um diesem Bedürfnis gerecht zu werden, hat das AICPA im März 2020 ein neues Rahmenwerk mit Kriterien für die freiwillige Berichterstattung über System- und Organisationskontrollen für die Lieferkette in einem entsprechenden SOC-Bericht vorgestellt. Diese Kriterien sind branchenunabhängig anwendbar und geben der Offenlegung des Risikomanagements von Lieferketten einen institutionalisierten, prüfbaren Rahmen.
Wie bei anderen SOC-Berichten müssen Unternehmen die Lieferkette, ihre Systeme und die betrieblichen Prozesse beschreiben. Als Grundlage für diese Beschreibung dient ein Kriterienkatalog (DC300). Der Bericht enthält zudem einen ausführlichen Nachweis der Implementierung und Wirksamkeit interner Kontrollen nach den AICPA-«Trust Services Criteria» (TSP), um die mit der Sicherheit, Verfügbarkeit, Integrität, Vertraulichkeit oder mit dem Datenschutz verbundenen Risiken zu minimieren. Die TSP-Kriterien sind die gleichen, wie sie in einer SOC2-Prüfung angewendet werden.

Vorteile

Mithilfe des SOC-Berichts für die Lieferkette können die Unternehmen, Kunden/Kundinnen und Wirtschaftsprüfer/-innen nachweisen, dass Instrumente und interne Kontrollen etabliert sind, mit denen sich zentrale Lieferkettenrisiken identifizieren, bewerten, adressieren und minimieren lassen.
Das Modell der «einmaligen Bewertung zur mehrfachen Berichterstattung» hilft, die Anzahl unabhängiger Anfragen von bestehenden oder potenziellen Kunden/Kundinnen zu reduzieren und Mehrfachprüfungen durch Nutzer/-innen mit denselben Lieferanten/Lieferantinnen zu vermeiden.
Die Prüfung eines SOC-Berichts für die Lieferkette gehört zwar zu den komplexesten und aufwendigsten überhaupt. Doch ist ein solcher Bericht ein wichtiges Kommunikationsinstrument, um Gewissheit zu vermitteln, dass Produkte und Informationen innerhalb der Lieferkette sicher und verfügbar sind. So schafft ein Unternehmen maximale Transparenz über seine gesamte Wertschöpfung hinweg und stärkt das kostbare Vertrauen von Kunden/Kundinnen und Geschäftspartnern/-partnerinnen in sich und seine Marke.

Ausblick

Risiken in der Lieferkette sind seit der Pandemie in der Wahrnehmung von Wirtschaft, Politik und Öffentlichkeit gestiegen. Noch fordern nur wenige Kunden/Kundinnen in der Schweiz von ihren Lieferbetrieben einen SOC-Bericht für die Lieferkette und von ihren Wirtschaftsprüfern/-prüferinnen deren unabhängige Prüfung. Das könnte sich schon bald ändern. Zum einen ist die nationale und internationale Gesetzgebung auf allen Ebenen im Umbruch. Zum anderen gewinnt das Bedürfnis nach mehr Sicherheit in der Lieferkette weiter an Bedeutung. Die SOC-Berichterstattung über Lieferketten ermöglicht weitsichtigen Unternehmen einen risikobasierten Fahrplan, um Risiko- und Qualitätsmanagement sowie Compliance-Prozesse weiterzuentwickeln und die wesentlichen Risiken in der Wertschöpfung noch gezielter anzugehen.

Trust in Transformation

Trust & Transparency Solutions

Transparenz und Vertrauen, um die Compliance-Anforderungen zu erfüllen, konkurrenzfähig zu bleiben und langfristiges Wachstum zu ermöglichen.

Mehr erfahren

#social#

Kontaktieren Sie uns

Cristian  Manganiello

Cristian Manganiello

Partner for Risk and Compliance Management Services, PwC Switzerland

Tel.: +41 58 792 56 68

Ralf Hofstetter

Ralf Hofstetter

Director for Sustainability Assurance, PwC Switzerland

Tel.: +41 58 792 5625