Das sorgte im Sommer 2017 für Ärger: Die vielbefahrene Rheintalbahnstrecke zwischen Rastatt und Baden-Baden blieb für ganze sieben Wochen gesperrt. Die für den gesamten europäischen Güterverkehr bedeutsame Strecke musste aufgrund von Pannen bei einem Tunnelbau komplett dicht machen. Das Problem: Die Schienen hatten sich gesenkt, weil Wasser und Erde in die Baustelle eingedrungen waren. Im Normalbetrieb fahren hier bis zu 200 Güterzüge täglich. Umsatzausfälle und hohe Mehrkosten waren die Folge für viele Unternehmen.
Ein solcher Vorfall ist ein klassisches Risiko für Lieferanten und Abnehmer. Doch nicht nur das: Laut einer Analyse der größten Supply Chain-Risiken von Resilience360 waren die drei größten Risiken weltweit im Jahr 2018 auf drei Faktoren zurückzuführen: unterbrochene Handelsströme, Cyber-Sicherheitsvorfälle und extreme Wetterbedingungen bzw. Naturkatastrophen.
Die Hauptrisiken für den Einkauf
Das Schlimme daran: Deutsche Unternehmen sind auf plötzliche Ausfälle ihrer Lieferketten nur unzureichend vorbereitet. Das ist das Ergebnis der gemeinsamen Studie „Supply Chain Risk Management – Herausforderungen und Status Quo“ des Bundesverbands Materialwirtschaft, Einkauf und Logistik (BME) zusammen mit Riskmethods. Danach verzeichneten 71 Prozent der befragten Firmen mindestens eine Unterbrechung ihrer Supply Chain, 13 Prozent beklagten sogar 20 und mehr Störungen. Und es wird teuer: Jeder dritte solche Fall kostete laut Studie mindestens eine Million Euro. Jede zehnte Unterbrechung schlug mit mehr als zehn Millionen Euro zu Buche.
Trotzdem haben nur 20 Prozent ganzheitliche und systematische Maßnahmenpläne für diesen Fall parat. Auch werden Sub-Lieferanten zu selten in die Risikobewertung mit aufgenommen, obwohl knapp die Hälfte der Unterbrechungen (41 Prozent) ihre Ursache genau dort haben. Andere Ursachen von Störungen liegen bei den eigenen Produktionsstätten (29 Prozent) oder logistische Knotenpunkte wie Häfen oder Flughäfen (18 Prozent).
Zwei Drittel der schwerwiegenden Versorgungsstörfälle in Europa wurden 2018 durch Ladungsdiebstahl, Industriebrände und Explosionen sowie Zugunfälle verursacht. Luftverkehrs- und Landtransportunfälle stellten mit 44,7 Prozent die Mehrheit der Vorfälle dar. Der zweithöchste Anteil der Ereignisse entfiel mit 12,9 Prozent auf zivile Unruhen. Proteste im Zusammenhang mit dem Tag der Arbeit (1. Mai) und den Gelbwesten in Frankreich und Belgien unterbrachen Autobahnen, Häfen, Grenzübergänge und Zugangsstraßen zu Industriegebieten.
Auch Wetterereignisse stellen für die Beschaffung immer häufiger ein Problem dar. Eine mehrmonatige Dürre führte im Sommer und Herbst 2018 zu Rekord-Niedrigwasserständen am Rhein. Die Wasserstände behinderten den Schiffsverkehr, und Chemie- und Stahlhersteller in Deutschland, Frankreich und den Niederlanden sahen sich gezwungen, höhere Gewalt bei Lieferungen zu erklären. Naturkatastrophen betrafen auch Länder in ganz Europa: So wurde im Oktober Griechenland von einem Erdbeben heimgesucht, während Italien, Spanien, Frankreich und Großbritannien schwere Überschwemmungen erlitten.
Wollen Unternehmen nicht kalt erwischt werden, sollten sie Notfallpläne in der Schublade haben. Genau dabei soll die Norm ISO 28000 Spezifikationen für Sicherheitsmanagementsysteme für die Lieferketten helfen.
Was ist die ISO 28000?
Die ISO 28000 wurde im Jahr 2007 von der International Organisation for Standardization (ISO) veröffentlicht. Es war der erste internationale Managementsystemstandard für die Sicherheit von Lieferketten. Der Standard hilft Unternehmen dabei, systematisch die Risiken ihrer Lieferkette aufzuspüren und anschließend geeignete Maßnahmen einzuleiten. Er ist geeignet für Unternehmen jedweder Größe in den Bereichen Produktion, Dienstleistung, Lagerung und Transport und in allen Stufen der Herstellungs- oder Lieferkette.
Dabei befasst sich die Norm mit allen potenziellen Sicherheitsrisiken auf sämtlichen Stufen der Lieferkette: Finanzen, Produktion, Informationsmanagement, Lagerung und Zwischenlagerungen und Transport. Allerdings schreibt der Standard keine konkreten Sicherheitsmaßnahmen vor. Der risikobasierte Ansatz soll sicherstellen, dass nur effektive und risikorelevante Maßnahmen umgesetzt und deren Wirkungsgrad überwacht werden. Die Zertifizierung des Supply Chain Managements erfolgt über Audits von akkreditierten Zertifizierungsgesellschaften.
Zusätzlich gibt eine Reihe von weiteren Initiativen zur Lieferkettensicherheit und Standards. Initiativen sind oftmals geografisch beschränkt oder auch durch statische Checklisten in ihrer Flexibilität sehr limitiert. Daher decken sie nur einen Ausschnitt von Wertschöpfungsnetzwerken und damit auch nur einen Teil des potenziellen Risikospektrums ab.
Zugelassener Wirtschaftsbeteiligter
Das Zollrecht der Europäischen Union kennt sogenannte zugelassene Wirtschaftsbeteiligte. Die Abkürzung auf Deutsch lautet ZWB, auf englisch AEO (Authorized Economic Operator). Ein Unternehmen erhält diesen Status, wenn es nachgewiesenermaßen
- in der Vergangenheit die Zollvorschriften eingehalten hat,
- Geschäfts- und Beförderungsunterlagen nachkontrollierbar führt,
- eine gute Bonität nachweisen kann,
- geeignete Sicherheitsstandards erfüllt.
Dann gilt es als besonders zuverlässig und vertrauenswürdig und kann Vergünstigungen bei der Zollabfertigung in Anspruch nehmen. Der AEO gilt innerhalb der EU sowie mit der Schweiz, Norwegen, Japan, den USA und China.
Customs Trade Partnership against Terrorism (C-TPAT)
Das Customs Trade Partnership Against Terrorism (C-TPAT) ist eine freiwillige Initiative, um Lieferketten gegen Terrorismus zu sichern. Die bezieht sich vor allem auf die USA. Die Initiative wurde im November 2001 nach den Anschlägen auf die World Trade Center in New York aufgelegt. C-TPAT ist das US-Pendant zum europäischen Zugelassenen Wirtschaftbeteiligten (AEO).
Good Distribution Practice (GDP)
Die „gute Vertriebspraxis von Humanarzneimitteln“ betrifft die Lieferkette von Arzneimitteln. Sie soll vor allem verhindern, dass gefälschte Arzneimittel in die Lieferkette gelangen. Die GDP basiert auf einer EU-Richtline.
Transported Asset Protection Association (TAPA)
TAPA ist ein Zusammenschluss von internationalen Herstellern, Logistikern sowie Strafverfolgungsbehörden, die das Ziel verfolgen, Frachtdiebstahl und die damit verbundene Unterbrechung der Supply Chain zu minimieren. Die Sicherheitsanforderungen sind weltweit als industrieller Standard anerkannt.
Die ISO 28001 schließt diese Standards und Initiativen nicht aus, sondern integriert deren Anforderungen in ein ganzheitliches Management System.
Wie wenden Unternehmen die ISO 28000 an?
Vorne weg: Der Einkauf selbst kann die Norm nicht einfach einführen. Für eine solche Entscheidung ist die Unternehmensleitung zuständig. Dieses Prinzip der Verantwortung der Leitungsebene soll sicherstellen, dass sich das Management der Risiken für die Lieferkette bewusst ist, eine Risikoanalyse anstößt und aktiv handelt. Zusätzlich demonstrieren Unternehmen damit natürlich auch nach außen, also zu Kunden, Lieferanten und auch den eigenen Mitarbeitern, dass das Thema Sicherheit in der Lieferkette ernst genommen wird.
Welche Bereiche werden geprüft?
Eine Zertifizierung nach ISO 28000 soll jedoch mehr bringen als nur ein Plus an Transportsicherheit. Im Idealfall stellt sie alle Prozesse im gesamten Unternehmen auf den Prüfstand, die dazu dienen sollen, Risiken so gering wie möglich zu halten – oder sogar zu eliminieren. Dazu gehören auch die Bereiche:
- Finanzen
- Informationsmanagement
- Verpackung
- Lagerung
- Transport
Durch ihre sogenannte High Level Structure reiht sich die ISO 28000 in die Riege anderer ISO-Managementnormen ein wie beispielsweise die zu Qualitätsmanagement (ISO 9001), Umweltmanagement (ISO 14001), Energiemanagement (ISO 50001), IT Security (ISO 27001), Risikomanagement (ISO 31001) oder Business Continuity Management (ISO 22301).
Gemeinsam haben alle den Anspruch, einen kontinuierlichen Verbesserungskreislauf zu initiieren, der dafür sorgt, dass eine Organisation ihre systemeigenen Verluste kontinuierlich reduziert und gleichzeitig die operativen Prozesse effizienter gestaltet. Alles in Allem soll die Zertifizierung eine kontinuierliche Verbesserung ermöglichen - im Fall der ISO 28000 eben die der Sicherheit in der Lieferkette.