Update: Lieferketten

Transparenz in der Lieferkette schafft nachhaltiges Vertrauen

Ralf Hofstetter
Director, Trust & Transparency Solutions, Kompetenzzentrum für Attestierungen, PwC Schweiz

Mit zunehmender Komplexität und digitaler Vernetzung steigen die Risiken von globalen Lieferketten. Das American Institute of Certified Public Accountants (AICPA) hat aus diesem Grund einen Berichtsstandard für das Risikomanagement von Lieferketten vorgestellt. Fertigungsindustrie, Handel und Kundschaft sind allerdings gemächlicher unterwegs. Das dürfte sich bald ändern, denn gerade Unternehmen mit internationalen Produktions- und Vertriebsstrukturen werden dem Anspruch nach mehr Transparenz in der Lieferkette gerecht werden müssen.

Risiken reisen um den Globus

Die Welt der Produkte und Dienstleistungen ist genauso global wie der Erdball selbst. Das Internet der Dinge, die Digitalisierung und Automatisierung von Prozessen haben die Herstellung und den Vertrieb von Gütern zunehmend vernetzt. Das hat herstellende, zuliefernde und handelnde Unternehmen untereinander zusammen- und näher zu ihrer Kundschaft rücken lassen. Weshalb die Lieferketten fragiler geworden sind.
Diese Zerbrechlichkeit tritt dann zutage, wenn Turbulenzen in der Lieferkette auftreten. Man denke an die weltweiten Lockdowns im Rahmen der Pandemie im Frühjahr 2020 oder an den durch das Containerschiff «Ever Given» blockierten Suezkanal im Frühjahr 2021. Elf Jahre früher – am 17. März 2000 – brachte ein Blitzeinschlag eine Fertigungsstrasse von Siliziumwafern von Royal Philips Electronics in New Mexico zum Erliegen. Für Tausende von Smartphones konnten keine Chips mehr produziert werden, was einen damaligen Marktführer aus dem Markt drängte.

Ereignisse wie diese beleuchten Risiken in der Lieferkette, deren Relevanz bisher als unbedeutend eingestuft wurde. Sie verzögern nicht nur die Lieferzeiten, sondern bedingen eine Erholungsphase von sechs bis zwölf Monaten, bis sich das System wieder beruhigt hat. Quasi über Nacht mangelt es an Rohstoffen, Halbfabrikaten, Bau- und Ersatzteilen oder für einen Monopolanbieter lässt sich keine Alternative finden. Noch immer sind Beschaffungsengpässe an der Tagesordnung und stellen gerade Unternehmen mit internationalen Lieferketten vor Herausforderungen, die zumindest für die kommenden Monate anhalten dürften.

Zusätzliche Gefahren aus dem Cyberspace

Der pandemiebedingte Digitalisierungsschub hat zudem virtuelle Risiken ins Spiel gebracht, etwa durch Attacken aus dem Cyberspace, dem Diebstahl geschäftsrelevanter Angaben zu Produktionszyklen, Standorten, Transaktionen und Vertriebsdaten oder – noch schlimmer – den Missbrauch sensibler Kundendaten. Die Herstellung eines Produkts erfolgt zudem vermehrt in der Form einer verteilten Produktion. Lieferkettenrisiken und damit das Bedürfnis nach mehr Transparenz in der Lieferkette sind seit dem Ausbruch der Pandemie im Bewusstsein der Wirtschaftsakteure enorm gestiegen.

Standardsetter macht Tempo

Auf diese Herausforderungen hat das American Institute of Certified Public Accountants (AICPA) reagiert und ein Rahmenwerk für die Berichterstattung über das Risikomanagement von Lieferketten publiziert: die «System and Organization Controls (SOC) for Supply Chain», zu Deutsch System- und Organisationskontrollen in der Lieferkette. Dieser Standard bietet sowohl der Fertigungs- und Handelsindustrie als auch deren Kundinnen und Kunden ein praktisches Tool, Prozesse und Strukturen sowie Risiken und zugehörige Kontrollen von Lieferketten transparenter und nachvollziehbarer zu kommunizieren.

Neuer Bericht mit bewährten Kriterien

Der SOC-Bericht für die Lieferkette funktioniert wie die bereits etablierten Berichte1 SOC 1, SOC 2 und SOC 3. Demnach bilden die Berichterstattenden die Kontrollprozesse und -strukturen ihrer Lieferketten ab. Als Hilfsmittel dient der ausführliche Kriterienkatalog DC300. Ausserdem müssen die Unternehmen die Griffigkeit interner Kontrollen nach den sogenannten «Trust Services Criteria» (TSC) nachweisen. Diese Kriterien dokumentieren, wie Risiken der Sicherheit, Verfügbarkeit, Integrität, Vertraulichkeit und/oder des Datenschutzes verringert werden können. Die TSC-Kriterien wenden Wirtschaftsprüfende auch bei einer SOC2-Prüfung an.

Vorteile, die der Praxis standhalten

Der SOC-Bericht für die Lieferkette ist in mehrerlei Hinsicht ein effektives Instrument für Fertigungsbetriebe, Vertriebsorganisationen, Lieferunternehmen und deren Klientel:

  • Ein SOC-Bericht für die Lieferkette belegt, dass Prozesse und interne Kontrollmechanismen eingeführt wurden, die Lieferkettenrisiken feststellen, einschätzen, adressieren und verringern.
  • Die einmalige Bewertung lässt sich zur mehrfachen Berichterstattung nutzen. Damit kann ein Unternehmen schnell auf die zahlreichen unabhängigen Anfragen von aktuellen oder zukünftigen Kundinnen und Kunden antworten und vermeiden, dass es selbst oder ein Lieferkettenpartner mehrfach geprüft werden muss.
  • Ein solcher Bericht gibt Gewissheit, dass Produkte und Informationen innerhalb der Lieferkette sicher und verfügbar sind. Als zentrales Kommunikationsinstrument stärkt er das Vertrauen von Lieferkettenpartnern und Dialoggruppen – und wirkt sich positiv und vertrauensbildend auf das Image aus.
     

Aber?

Noch wird heute kaum ein SOC-Bericht für die Lieferkette eingefordert, erstellt oder geprüft. Diese Zurückhaltung erstaunt, denn sowohl das Marktumfeld als auch der Standardsetter machen deutlich, dass Lieferkettenrisiken an Dringlichkeit gewinnen und die Unternehmen diese nicht länger ignorieren können, wie die erwähnten Beispiele zeigen.


1 Mit dem Berichtstyp SOC 1 werden die relevanten Kontrollen beim beauftragten Dienstleister in Bezug auf die «Internen Kontrollen im Rahmen der Finanzberichterstattung» (ICFR) betrachtet. Prüftyp I ist eine Zeitpunktbetrachtung. Eine Prüfung nach Typ II prüft darüber hinaus die Wirksamkeit der implementierten Kontrollen über einen definierten Zeitraum. Beim SOC-2-Report geht es um interne Kontrollen von Sicherheit, Verfügbarkeit, Integrität, Vertraulichkeit und/oder Datenschutz – dabei ist ebenfalls eine Berichterstattung nach Typ I und Typ II möglich. Beim Reporttyp SOC 3 geht es wie bei SOC 2 um interne Kontrollen von Sicherheit, Verfügbarkeit, Integrität und Vertraulichkeit und/oder Datenschutz. Ein SOC-3-Report enthält keine Informationen über die im Einzelnen geprüften Kontrollen und deren Ergebnisse. Dieser Reporttyp wird in der Regel unterschiedlichen Adressaten allgemein zur Verfügung gestellt.

Fazit

Je komplexer eine Lieferkette, desto grösser deren Risiken. Jahrhundertereignisse wie die Pandemie mit wiederholten Lockdowns haben die Brisanz von Lieferkettenrisiken akzentuiert. Das AICPA trägt diesem Umstand mit dem SOC-Bericht für die Lieferkette Rechnung. Die Vorteile und Erkenntnisse, die eine solche Berichterstattung allen Beteiligten bringt, zeigen sich hingegen noch nicht in der Praxis. Nur wenige Kundinnen und Kunden verlangen von ihren Lieferanten in der Schweiz einen solchen SOC-Bericht oder von ihren zuständigen Wirtschaftsprüfenden eine unabhängige Prüfung. Immerhin wächst das Bedürfnis, zu wissen, dass Versorgungsketten nachhaltig sicher sind. Der neue SOC-Bericht bietet den Unternehmen eine elegante Möglichkeit, ihr Risiko- und Qualitätsmanagement anzupassen, die Verlässlichkeit ihrer Wertschöpfung noch breiter abzustützen und durch Transparenz das Vertrauen zu stärken.

Kontaktieren Sie uns

Ralf Hofstetter

Ralf Hofstetter

Director for Sustainability Assurance, PwC Switzerland

Tel.: +41 58 792 5625

Follow us