1 Einführung und Zielsetzung
Die Technische Spezifikation ISO/TS 22318 [1] versteht sich als Erweiterung zu den Ausführungen der Standards ISO 22301 Business continuity management systems – Requirements (s. Kap. 07342) sowie ISO 22313 Business continuity management systems – Guidance (s. Kap. 07345), die den Aufbau und Betrieb eines Business Continuity Management System (BCMS) darstellen.
SCCM
ISO/TS 22318 enthält Anleitungen zur Etablierung eines angemessenen Supply Chain Continuity Management (SCCM) innerhalb der Lieferkette einer Organisation, sowohl für externe Lieferanten als auch für interne Lieferbeziehungen. Dabei wird angenommen, dass die Organisation bereits ein BCMS etabliert oder dessen Einführung geplant hat und in diesem Zuge eine ausreichende Kontinuität ihrer Lieferanten gewährleisten will. Die ISO/TS 22318:2021 wird in diesem Kurzbeitrag als ISO/TS 22318 oder einfach als „Spezifikation” zitiert.
ISO/TS 22318 enthält Anleitungen zur Etablierung eines angemessenen Supply Chain Continuity Management (SCCM) innerhalb der Lieferkette einer Organisation, sowohl für externe Lieferanten als auch für interne Lieferbeziehungen. Dabei wird angenommen, dass die Organisation bereits ein BCMS etabliert oder dessen Einführung geplant hat und in diesem Zuge eine ausreichende Kontinuität ihrer Lieferanten gewährleisten will. Die ISO/TS 22318:2021 wird in diesem Kurzbeitrag als ISO/TS 22318 oder einfach als „Spezifikation” zitiert.
Klassifizierung von Lieferanten
Die Kritikalität der Lieferanten und die erforderliche Wiederherstellungszeit werden im Rahmen einer Business Impact Analysis (BIA) (s. ISO/TS 22317 in Kap. 07347) des BCMS bestimmt. Lieferanten werden klassifiziert gemäß der Kritikalität ihrer Produkte oder Services, d. h. den Auswirkungen von Lieferverzögerung oder -ausfall, sowie ihrer „Nähe” zur beauftragenden Organisation.
Die Kritikalität der Lieferanten und die erforderliche Wiederherstellungszeit werden im Rahmen einer Business Impact Analysis (BIA) (s. ISO/TS 22317 in Kap. 07347) des BCMS bestimmt. Lieferanten werden klassifiziert gemäß der Kritikalität ihrer Produkte oder Services, d. h. den Auswirkungen von Lieferverzögerung oder -ausfall, sowie ihrer „Nähe” zur beauftragenden Organisation.
Prioritäre Lieferanten sind diejenigen, die priorisierte Aktivitäten unterstützen und als diejenigen identifiziert werden, deren Verzögerung oder Ausfall die größten Auswirkungen auf Produkte und Services der Organisation hat. Tier-1-Lieferanten haben eine direkte Vertragsbeziehung mit der Organisation, während Tier-2-Lieferanten an Tier-1-Lieferanten liefern, Tier-3-Lieferanten an Tier-2-Lieferanten und so fort. Damit sind Tier-1-Lieferanten typischerweise gegenüber der Organisation für die gesamte Lieferkette verantwortlich. Diese Lieferanten sollten ermutigt werden, SCCM in ihrer eigenen Lieferkette zu implementieren, wodurch die Kontinuität der gesamten Lieferkette verbessert wird.
ISO 28000
Neben der ISO/TS 22318 existiert die ISO 28000:2022 [2] ; Sicherheit und Belastbarkeit – Sicherheitsmanagementsysteme – Anforderungen für die Lieferkette. Die deutsche Übersetzung der vorherigen Edition ist als DIN ISO 28000:2015-08 verfügbar. Darin werden über die Kontinuitätsaspekte der ISO/TS 22318 hinaus Sicherheitsanforderungen für Lieferketten in der Struktur eines prozess- und risikobasierten PDCA-Managementsystems festgelegt.
Neben der ISO/TS 22318 existiert die ISO 28000:2022 [2] ; Sicherheit und Belastbarkeit – Sicherheitsmanagementsysteme – Anforderungen für die Lieferkette. Die deutsche Übersetzung der vorherigen Edition ist als DIN ISO 28000:2015-08 verfügbar. Darin werden über die Kontinuitätsaspekte der ISO/TS 22318 hinaus Sicherheitsanforderungen für Lieferketten in der Struktur eines prozess- und risikobasierten PDCA-Managementsystems festgelegt.
2.1 Aufbau
Normkapitel 1 bis 3
Die für ISO typischen einführenden Kapitel beschreiben
Die für ISO typischen einführenden Kapitel beschreiben
| • | in Normkapitel 1 den Anwendungsbereich (Scope).Zusätzlich zu den bereits in Abschnitt 1 gemachten Ausführungen wird darin dargestellt:
| ||||||
| • | in Normkapitel 2 Normative Referenzen;hier werden genannt:
| ||||||
| • |
Hauptkapitel
Die Hauptkapitel 4–7 des Standards haben folgende Themen:
Die Hauptkapitel 4–7 des Standards haben folgende Themen:
| Normkapitel 4 | Der Wert von SCCM (vgl. Abschnitt 3.1) |
| Normkapitel 5 | BCMS-Voraussetzungen für SCCM (vgl. Abschnitt 3.2) |
| Normkapitel 6 | Effektives SCCM (vgl. Abschnitt 3.3) |
| Normkapitel 7 | Wartung, Leistung und kontinuierliche Verbesserung (vgl. Abschnitt 3.4) |
Anhänge
In den drei Anhängen der ISO/TS 22318 werden ergänzend dargestellt:
In den drei Anhängen der ISO/TS 22318 werden ergänzend dargestellt:
| A) | Beispiel für allgemeine Fragen an prioritäre Lieferanten, vgl. Abschnitt 4.1 |
| B) | Management von Störungen bei prioritären Lieferanten, vgl. Abschnitt 4.2 |
| C) | Beispiele für gemeinsame Übungen mit Lieferanten, vgl. Abschnitt 4.3 |
2.2 Änderungen zur Vorversion
Die vorliegende zweite Edition ersetzt die erste Edition von 2015 und weist folgende wesentliche Änderungen auf:
| • | Anpassung an die ISO 22301:2019 |
| • | Klärung vor- und nachgelagerter Beziehungen innerhalb der Lieferkette |
| • | Aktualisierung des Titels |
| • | Streichung der „Key points” am Ende eines Kapitels |
| • | Einfügen neuer Diagramme sowie der Anhänge A bis C |
3.1.1 Die Lieferkette
Übersicht
Lieferketten werden immer komplexer, z. B. bzgl. ihrer Struktur (gemischt intern/extern), ihrer Ausdehnung (international) und auch ihrer Änderungshäufigkeit. Damit wachsen auch das Risiko potenzieller Unterbrechungen mit entsprechenden Schadensauswirkungen und die Berechtigung zur Einführung eines SCCM.
Lieferketten werden immer komplexer, z. B. bzgl. ihrer Struktur (gemischt intern/extern), ihrer Ausdehnung (international) und auch ihrer Änderungshäufigkeit. Damit wachsen auch das Risiko potenzieller Unterbrechungen mit entsprechenden Schadensauswirkungen und die Berechtigung zur Einführung eines SCCM.
Ein wirksames SCCM setzt voraus, dass das Unternehmen sicherstellt, dass jedes Glied seiner Lieferkette über wirksame Kontinuitätsmaßnahmen verfügt. Lieferketten erstrecken sich über den direkten Einfluss der Organisation hinaus, wobei viele Faktoren den Grad der Kontrolle bestimmen, darunter die relative Größe, die geografische Lage sowie Zahl und Art der Lieferanten.
Neben direkten Unterbrechungen in der Lieferkette sollte die Organisation auch die Auswirkungen auf Angebot und Nachfrage aufgrund globaler oder lokaler Ereignisse sowie die Marktdynamik berücksichtigen. Organisationen sind aufgrund der Konzentration auf wertschöpfende Kerntätigkeiten und damit verbunden zunehmenden Outsourcings unterstützender Prozesse stärker voneinander abhängig geworden.
Modell der Lieferkette
Ein allgemeines Bild der Lieferkette für Organisationen aller Arten und Größen umfasst
Ein allgemeines Bild der Lieferkette für Organisationen aller Arten und Größen umfasst
| • | die Bereitstellung von Ressourcen durch Lieferanten an die Organisation (vorgelagert) und |
| • | die Lieferung von Produkten und Dienstleistungen der Organisation an ihre Kunden (nachgelagert). |
Abbildung 1 veranschaulicht ein einfaches Modell der Lieferkette und verdeutlicht die Beziehungen der Organisation, die in der ISO/TS 22318 behandelt werden.
Es ist möglich, dass der Endverbraucher nicht der unmittelbare Kunde der Produkte und Services ist. Die Organisation kann Verträge in Erwägung ziehen, um die spätere Nutzung zu kontrollieren, oder Endnutzervereinbarungen einführen, um die weitere Weitergabe zu begrenzen.
Eine Lieferkette besteht, wenn die Bereitstellung von Ressourcen von anderen Organisationen abhängt, die nicht unter der direkten Leitung oder Kontrolle der Organisation stehen.
Typen von Lieferbeziehungen
Die Beziehungen innerhalb der Lieferkette können vorgelagert (V) oder nachgelagert (N) sein (s. o.). Dazu einige Beispiele:
Die Beziehungen innerhalb der Lieferkette können vorgelagert (V) oder nachgelagert (N) sein (s. o.). Dazu einige Beispiele:
| V: | Langfristig für wiederkehrende Ressourcen wie Rohstoffe, Arbeitsraum, professionelle Dienstleistungen; |
| V: | einmalige Beziehungen für die seltene Beschaffung von Ressourcen, z. B. für spezielle Projekte; |
| V: | Berufsverbände wie Franchises, Lieferantenverbände; |
| N: | Business-to-Business (Großhändler und Einzelhändler); |
| N: | Business-to-Customer. |
Grundlage all dieser Beziehungen sind Verpflichtungen zur Erfüllung der Erwartungen der interessierten Parteien. Diese Verpflichtungen können entweder explizit (z. B. Vertrag, Service Level Agreement oder Bestellung) oder implizit (z. B. Stand der Technik) sein.
Zu berücksichtigen ist weiterhin, dass die Kontrolle bei wesentlichen Diensten und stark regulierten Anbietern eingeschränkt sein kann, z. B. bei nationalen Stromversorgern, Telekommunikations- und Internetanbietern.
3.1.2 Supply Chain Continuity Management (SCCM)
SCCM
Supply Chain Continuity Management (SCCM) ist ein Managementprozess, der potenzielle Auswirkungen einer Unterbrechung der Lieferkette auf eine Organisation identifiziert und einen Ansatz zur Bewältigung dieser Auswirkungen bietet. Eine Unterbrechung der Lieferkette kann die Bereitstellung von Produkten und Services beeinträchtigen oder sogar verhindern. Ein effektives SCCM ermöglicht es dem Unternehmen, die Folgen einer Unterbrechung zu vermeiden oder zu minimieren.
Supply Chain Continuity Management (SCCM) ist ein Managementprozess, der potenzielle Auswirkungen einer Unterbrechung der Lieferkette auf eine Organisation identifiziert und einen Ansatz zur Bewältigung dieser Auswirkungen bietet. Eine Unterbrechung der Lieferkette kann die Bereitstellung von Produkten und Services beeinträchtigen oder sogar verhindern. Ein effektives SCCM ermöglicht es dem Unternehmen, die Folgen einer Unterbrechung zu vermeiden oder zu minimieren.
Zielkonflikt
Hier entsteht ggf. ein Konflikt zwischen SCCM und Effizienzzielen des Lieferkettenmanagements, z. B. der Notwendigkeit, Kosten zu senken, übermäßige Bestände zu vermeiden und Lieferzeiten zu optimieren.
Hier entsteht ggf. ein Konflikt zwischen SCCM und Effizienzzielen des Lieferkettenmanagements, z. B. der Notwendigkeit, Kosten zu senken, übermäßige Bestände zu vermeiden und Lieferzeiten zu optimieren.
SCCM versucht, diejenigen Lieferanten zu identifizieren, die einen erheblichen Einfluss auf das Unternehmen haben können, und dafür geeignete Strategien bereitzustellen. Eine wichtige Rolle spielen dafür formelle Lieferantenvereinbarungen, in denen die Anforderungen der Organisation bzgl. Geschäftskontinuität berücksichtigt sind, sowie die Betrachtung von Lieferanten, die außerhalb der direkten Kontrolle der Organisation liegen (Ebene-2, 3, …).
Integration und Prozessstruktur
Ein wirksames SCCM muss in das unternehmenseigene Lieferkettenmanagement und weitere Unternehmensprozesse integriert sein und im Sinne eines kontinuierlichen Überprüfungs- und Verbesserungsprozesses agieren (z. B. nach PDCA-Zyklus).
Ein wirksames SCCM muss in das unternehmenseigene Lieferkettenmanagement und weitere Unternehmensprozesse integriert sein und im Sinne eines kontinuierlichen Überprüfungs- und Verbesserungsprozesses agieren (z. B. nach PDCA-Zyklus).
Lebenszyklus
Innerhalb des Lebenszyklus einer Lieferbeziehung bietet der Abschluss eines neuen oder die Änderung eines bestehenden Vertrags die Möglichkeit, das Verhalten des Lieferanten im Sinne der Organisation zu beeinflussen, sowie zur Analyse und ggf. Modifikation der aktuellen Lieferkette, insb. bzgl. der Ermittlung prioritärer Lieferantenbeziehungen sowie der Anforderungen und Möglichkeiten für die Implementierung von SCCM.
Innerhalb des Lebenszyklus einer Lieferbeziehung bietet der Abschluss eines neuen oder die Änderung eines bestehenden Vertrags die Möglichkeit, das Verhalten des Lieferanten im Sinne der Organisation zu beeinflussen, sowie zur Analyse und ggf. Modifikation der aktuellen Lieferkette, insb. bzgl. der Ermittlung prioritärer Lieferantenbeziehungen sowie der Anforderungen und Möglichkeiten für die Implementierung von SCCM.
SCCM-WesensmerkmaleFür
die organisationsweite Einbindung von SCCM nennt ISO/TS 22318 folgende wesentliche Voraussetzungen (V) und Ausführungsaspekte (A):
die organisationsweite Einbindung von SCCM nennt ISO/TS 22318 folgende wesentliche Voraussetzungen (V) und Ausführungsaspekte (A):
| V: | Engagement der obersten Führungsebene (vgl. Abschnitt 3.2.1); |
| V: | Verbreitung der BC-Grundsätze in der gesamten Lieferkette (vgl. Abschnitt 3.2.2); |
| V: | Analyse der BC-Anforderungen, die während des BIA-Prozesses ermittelt wurden, und Bewertung der Risiken (vgl. Abschnitt 3.2.3); |
| A: | Ermittlung von SCCM-Strategien und -Lösungen (vgl. Abschnitt 3.3.1); |
| A: | Bewertung der SCCM-Compliance prioritärer Lieferanten und Sicherstellung, dass deren Verträge die vereinbarten Kontinuitätsmaßnahmen widerspiegeln (vgl. Abschnitt 3.3.2); |
| A: | Festlegung vertraglicher Verpflichtungen, die den Anforderungen der Organisation entsprechen (vgl. Abschnitt 3.3.3); |
| A: | Überprüfung und Aktualisierung der mit jedem Lieferanten vereinbarten Kontinuitätsanforderungen (vgl. Abschnitt 3.3.4). |
Nutzen und Chancen
Zum potenziellen Nutzen eines effektiven SCCM für alle Beteiligten gehören:
Zum potenziellen Nutzen eines effektiven SCCM für alle Beteiligten gehören:
| • | besseres Verständnis der Lieferkette und der Auswirkungen möglicher Unterbrechungen |
| • | verbessertes Management der Lieferantenbeziehungen |
| • | verbesserte Reaktion auf Unterbrechungen der Lieferkette |
| • | Identifizierung und Abschwächung von Risiken in der Lieferkette |
| • | verbesserte Planung, Sorgfaltspflicht, Sicherheit und Arbeitsbeziehungen mit Lieferanten |
| • | Wettbewerbsvorteile gegenüber Marktbegleitern ohne SCCM |
Die Chancen von SCCM:
| • | verbesserte Information und Entscheidungsfähigkeit des Managements |
| • | effektive Integration der SCCM-Verantwortlichkeiten im Unternehmen |
| • | Verständnis der Kontinuitätsfähigkeiten der Lieferanten und ihrer Anforderungen an die Organisation |
| • | Festlegung von Leistungsmetriken |
| • | Verbesserung der Strategie für Lieferanten über Ebene 1 hinaus |
3.1.3 Risikoverantwortung
Im Fall einer Unterbrechung der Lieferkette trägt die Organisation das Risiko des möglichen Ausfalls von Produkten oder Services und wird von ihren Kunden dafür verantwortlich gemacht. Daher ist es wichtig, dieses Risiko zu reduzieren und angemessen auf derartige Unterbrechungen vorbereitet zu sein, um die Marke und den Ruf des Unternehmens nicht unnötig zu gefährden.
3.1.4 Verantwortung für das SCCM
SCCM-Verantwortliche
Die Organisation sollte Verantwortliche für das SCCM festlegen. Die Rolle eines SCCM-Owners sollte an Mitarbeiter übertragen werden, die für die Auftragsvergabe und den Einkauf zuständig sind. Die Verantwortung sollte eng mit den umfassenderen Vorkehrungen für das BCM innerhalb der Organisation verbunden sein.
Die Organisation sollte Verantwortliche für das SCCM festlegen. Die Rolle eines SCCM-Owners sollte an Mitarbeiter übertragen werden, die für die Auftragsvergabe und den Einkauf zuständig sind. Die Verantwortung sollte eng mit den umfassenderen Vorkehrungen für das BCM innerhalb der Organisation verbunden sein.
Der SCCM-Owner ist verantwortlich für die
| • | Ernennung von Beauftragten für die Verwaltung von SCCM-Aufgaben, |
| • | Sicherstellung, dass SCCM-Anforderungen in Verträge, Bestellungen und andere verbindliche Vereinbarungen aufgenommen werden, |
| • | Sicherstellung, dass die Lieferanten die Bedingungen ihrer Vereinbarungen einhalten, |
| • | Sicherstellung, dass die Einhaltung der Bestimmungen durch die Lieferanten angemessen nachgewiesen wird und dass vereinbarte Abhilfemaßnahmen innerhalb des vereinbarten Zeitrahmens abgeschlossen werden. |
3.2.1 Engagement der obersten Führungsebene
Das Management der Organisation sollte folgende Aspekte zuweisen bzw. sicherstellen:
| Verantwortung | |||||||||||||||
| • | Verantwortung und Berichtspflicht für die Verwaltung des SCCM, inkl.:
| ||||||||||||||
| Ressourcen | |||||||||||||||
| • | Ausreichende Ressourcen für das Management des SCCM, um
| ||||||||||||||
| SCCM-Framework | |||||||||||||||
| • | SCCM-Framework mit
| ||||||||||||||
| Leistungsbewertung | |||||||||||||||
| • | Programm zur Leistungsbewertung, u. a.
| ||||||||||||||
3.2.2 Verbreitung der BC-Grundsätze in der gesamten Lieferkette
Die Verbreitung der BC-Grundsätze in der gesamten Lieferkette kann erreicht werden durch
| • | Aufnahme von BC-Anforderungen in die Verträge der Lieferanten, |
| • | Festlegung des erforderlichen Konformitätsniveaus der Lieferanten, |
| • | Entwicklung von Methoden zur Überwachung der Einhaltung, |
| • | Verpflichtung der Lieferanten zur Bekanntmachung innerhalb ihrer eigenen Lieferkette. |
3.2.3 Analyse der BC-Anforderungen und Bewertung der Risiken
Überblick
Die Organisation sollte die von den Lieferanten geforderte Geschäftskontinuität ermitteln, insb. für prioritäre Lieferanten, deren Einschränkung priorisierte Aktivitäten der Organisation stören kann. Für diese ist ein strukturierter Ansatz erforderlich. Aus einer durchgeführten BIA sollte eine Liste dieser Lieferanten resultieren.
Die Organisation sollte die von den Lieferanten geforderte Geschäftskontinuität ermitteln, insb. für prioritäre Lieferanten, deren Einschränkung priorisierte Aktivitäten der Organisation stören kann. Für diese ist ein strukturierter Ansatz erforderlich. Aus einer durchgeführten BIA sollte eine Liste dieser Lieferanten resultieren.
BC-Anforderungen
Innerhalb des SCCM sollte die Organisation
Innerhalb des SCCM sollte die Organisation
| • | relevante verfügbare Unterlagen zusammenstellen, inkl. BIA, Risikobewertungen und Lieferantenliste, | ||||||||||||||
| • | die prioritären Lieferanten identifizieren, durch Nutzung der BIA und Bewertung der Kritikalität der bereitgestellten Ressourcen, | ||||||||||||||
| • | für jeden prioritären Lieferanten bewerten:
| ||||||||||||||
| • | Maßnahmen für den Fall festlegen, dass ein Lieferant die Anforderungen der Organisation nicht erfüllt, | ||||||||||||||
| • | bestehende Strategien und Lösungen für prioritäre Lieferanten ermitteln, | ||||||||||||||
| • | bewerten, wo Lieferanten gemeinsame Abhängigkeiten haben, die das Risiko für die Organisation erhöhen, | ||||||||||||||
| • | eine Liste prioritärer Lieferanten erstellen, für die es derzeit keine zufriedenstellende Strategie oder Lösung gibt, als Input für eine entsprechende Erarbeitung von Strategien und Lösungen. |
Risikobewertung
Das SCCM muss bei der Bewertung eines Lieferanten die entsprechenden Risiken berücksichtigen, sowohl die Risiken für die Organisation als auch die Risiken für den Lieferanten.
Das SCCM muss bei der Bewertung eines Lieferanten die entsprechenden Risiken berücksichtigen, sowohl die Risiken für die Organisation als auch die Risiken für den Lieferanten.
Zu den möglichen Risiken für die Organisation gehört:
| • | der Verlust oder die Reduzierung von rechtzeitiger Lieferung, Qualität, und Flexibilität. |
Zu den möglichen Risiken für den Lieferanten gehören:
| • | Anteil an der Lieferantenkapazität, Zahlungsfähigkeit des Lieferanten, bekannte Lieferantenrisiken des Lieferanten, Naturkatastrophen und geopolitische Risiken. |
Wenn ein prioritärer Lieferant die Organisation nicht als wichtig erachtet, kann dies ein erhebliches Risiko darstellen.
Ebenso sollten die Auswirkungen der Störung eines Lieferanten auf andere Teile der Lieferkette der Organisation berücksichtigt werden.
3.3 Effektives SCCM
Überblick
In Normkapitel 6 der ISO/TS 22318 wird auf der Grundlage der gerade beschriebenen BCMS-Voraussetzungen für SCCM die Implementierung von Prozessen zur Erreichung eines effektiven SCCM dargestellt. Diese sind
In Normkapitel 6 der ISO/TS 22318 wird auf der Grundlage der gerade beschriebenen BCMS-Voraussetzungen für SCCM die Implementierung von Prozessen zur Erreichung eines effektiven SCCM dargestellt. Diese sind
| • | Ermittlung von Strategien und Lösungen, |
| • | Bewertung der Einhaltung der Kontinuität durch die Lieferanten, |
| • | Festlegung vertraglicher Verpflichtungen, |
| • | Überprüfung und Aktualisierung. |
Auf diese Weise kann das SCCM die Erwartungen der relevanten interessierten Parteien festlegen und erfüllen.
3.3.1 Auswahl von Strategien und Lösungen
Einführung
Um geeignete SCCM-Strategien und -Lösungen für jeden identifizierten Lieferanten auszuwählen, sollte die Organisation
Um geeignete SCCM-Strategien und -Lösungen für jeden identifizierten Lieferanten auszuwählen, sollte die Organisation
| • | die Kosten der Unterbrechung quantifizieren, wobei der Umfang der zu implementierenden SCCM-Maßnahmen in einem angemessenen Verhältnis zu den Kosten der Unterbrechung stehen sollte, |
| • | die formulierten Kontinuitätsanforderungen und die durchgeführte Risikobewertung als Input nutzen. |
Die Bestimmung der geeigneten Strategien und Lösungen sollte gemeinsam mit den beteiligten Parteien erfolgen. Dazu zählen u. a.
| • | SCCM-Eigentümer, Management, Beschaffung oder Vertragsmanagement, BC-Team, Aktivitätenverantwortliche sowie ggf. Vertreter der prioritären Lieferanten. |
ISO/TS 22318 beschreibt in den Abschnitten 6.2.2 bis 6.2.5 vier unterschiedliche Optionen für die Umsetzung der geeignetsten Lösungen, die auch kombiniert eingesetzt werden können.
Option 1Verringerung der Abhängigkeit und der Auswirkungen
Die Organisation kann die Abhängigkeit von einem Lieferanten durch die folgenden Maßnahmen verringern:
| • | Sicherstellung von zwei oder mehr Bezugsquellen zu jeder Zeit |
| • | Erhöhung der Lagerbestände innerhalb des Unternehmens oder bei Zwischenhändlern |
| • | Umsetzung pragmatischer Maßnahmen zur Bewältigung des Risikos, das von prioritären Lieferanten ausgeht, auf die das Unternehmen keinen Einfluss hat, z. B. die Bereitstellung eines Notstromaggregats für den Fall eines Stromausfalls |
| • | Abschluss einer Versicherungspolice durch die Organisation selbst oder auf Verlangen der Organisation durch den Lieferanten |
| • | ganze oder teilweise Übernahme des Zulieferers |
Vertrauen auf eigene BC-Strategien und -Lösungen
Die Organisation kann beschließen, sich auf ihre eigenen BC-Strategien und -Lösungen zu verlassen. In diesem Fall ist es wichtig, dass die folgenden Punkte berücksichtigt werden:
| • | Beschaffung eines geeigneten alternativen Lieferanten zum Zeitpunkt der Unterbrechung |
| • | Ausarbeitung eines Vertrags mit alternativen Lieferanten auf Abruf |
| • | Aktualisierung der Geschäftskontinuitätspläne der Organisation, um sicherzustellen, dass diese Strategien und Lösungen umgesetzt werden |
Um sicherzustellen, dass alternative Lieferanten im Bedarfsfall liefern können, sollte die Organisation:
| • | regelmäßige Prüfungen und Übungen durchführen sowie z. B. einen Notfallbeschaffungsprozess einführen, |
| • | ermitteln, ob die alternativen Lieferanten von der gleichen Störung betroffen sein können wie der normale Lieferant. |
Vertrauen auf BC-Strategien und -Lösungen des Lieferanten
Die Organisation kann beschließen, sich auf die BC-Strategien und -Lösungen des Lieferanten zu verlassen. In diesem Fall muss unbedingt überprüft werden, ob diese den Anforderungen der Organisation entsprechen (siehe Anhang A). Dies kann in folgenden Schritten geschehen:
| • | Wenn ein Lieferant nach ISO 22301 zertifiziert ist:
| ||||
| • | Wenn ein Lieferant nicht nach ISO 22301 zertifiziert ist:
| ||||
| • | Unabhängig von der Konformität zur ISO 22301 sollte sich die Organisation versichern lassen, dass
|
Auch bei Vorliegen eines validierten BC-Plans kann ein Lieferant für die Organisation ausfallen, z. B. wegen Insolvenz.
Option 4Keine Aktion und bewusste Akzeptanz des Risikos
Wenn sich die Organisation entscheidet, bei prioritären Lieferanten nichts zu unternehmen, sollte dies eine dokumentierte und von der Unternehmensleitung genehmigte Entscheidung sein.
3.3.2 Bewertung der Einhaltung bei den Lieferanten
Lieferantenbewertung
Die Organisation sollte die ausgewählten BC-Strategien und Lösungen für jeden prioritären Lieferanten bewerten.
Die Organisation sollte die ausgewählten BC-Strategien und Lösungen für jeden prioritären Lieferanten bewerten.
Das SCCM soll sicherstellen, dass die festgelegten Kontinuitätsanforderungen von jedem prioritären Lieferanten verstanden und eingehalten werden. Dazu sollten die Lieferanten geeignete Nachweise erbringen. Die Angleichung an oder die Zertifizierung nach ISO 22301 kann zu diesem Nachweis beitragen.
Der SCCM-Beauftragte der Organisation sollte weiterhin sicherstellen, dass die festgelegten Kontinuitätsanforderungen von allen potenziellen Lieferanten verstanden werden, z. B. durch Prüfung der vom Lieferanten während der Ausschreibung zur Verfügung gestellten Informationen.
3.3.3 Festlegung vertraglicher Verpflichtungen
Vertragsklauseln
Sowohl zwischen dem Unternehmen und seinen Lieferanten als auch zwischen den Lieferanten und ihren Zulieferern sollten vertragliche Vereinbarungen existieren, die die vereinbarten Kontinuitätsanforderungen enthalten. Diese sollten u. a. auch die regelmäßige Durchführung von Kontinuitätsprüfungen und Audits umfassen.
Sowohl zwischen dem Unternehmen und seinen Lieferanten als auch zwischen den Lieferanten und ihren Zulieferern sollten vertragliche Vereinbarungen existieren, die die vereinbarten Kontinuitätsanforderungen enthalten. Diese sollten u. a. auch die regelmäßige Durchführung von Kontinuitätsprüfungen und Audits umfassen.
Die Organisation sollte dazu Standardklauseln entwickeln, die auf neue Verträge anzuwenden sind und bereits Teil des Auswahlverfahrens für neue Lieferanten sind. Änderungen an den Kontinuitätsanforderungen der Organisation sollten so schnell wie möglich in die Verträge aufgenommen werden.
Wesentliche Anforderungen
ISO/TS 22318 enthält in Abschnitt 6.4.3 eine strukturierte Auflistung von Kontinuitätsanforderungen als Teil vertraglicher Vereinbarungen.
ISO/TS 22318 enthält in Abschnitt 6.4.3 eine strukturierte Auflistung von Kontinuitätsanforderungen als Teil vertraglicher Vereinbarungen.
Als Hauptpunkte werden genannt:
| • | Rahmenbedingungen (Einzelheiten zu BCMS und SCCM) |
| • | Abhängigkeiten, insb. Kritikalität des Lieferanten |
| • | Strategien und Lösungen zur Unterstützung der Kontinuitätsanforderungen der Organisation, inkl. Einbindung von Unterlieferanten |
| • | Kommunikationsprozess zwischen Lieferanten und Organisation, inkl. Eskalationsverfahren |
| • | Störungsmanagement: vor, während und nach einer Störung |
| • | Anforderungen an die Validierung und Überprüfung von Schulungen und Übungen, inkl. Ergebnissen von Audits durch Dritte |
| • | Audit und Managementüberprüfung vereinbarter Anforderungen |
3.3.4 Überprüfung und Aktualisierung
Die Organisation sollte die mit den einzelnen Lieferanten vereinbarten Kontinuitätsanforderungen regelmäßig überprüfen und aktualisieren.
Dazu können z. B. dienen:
| • | Erfahrungen und Ergebnisse von Unterbrechungen |
| • | Ergebnisse von Übungen und Tests |
| • | Auditberichte zur Geschäftskontinuität |
| • | Einhaltung der vereinbarten Leistungsmessungen |
| • | Unterlagen, die die vereinbarte Aufrechterhaltung der Geschäftskontinuität durch den Lieferanten belegen |
| • | Status der Abhilfemaßnahmen |
Dies gilt sowohl für die Organisation als auch für ihre Zulieferer. Die Überprüfung sollte sich auch auf das Risikoprofil des Lieferanten erstrecken.
Auf der Grundlage der dabei gewonnenen Ergebnisse sollte die Organisation geeignete Maßnahmen zur Aufrechterhaltung und Verbesserung ihres SCCM ergreifen (s. a. Normkapitel 7.2 und 7.4).
3.4 Aufrechterhaltung, Leistung und kontinuierliche Verbesserung
Überblick
Die Organisation soll ihr SCCM aufrechterhalten, seine Leistung bewerten und es kontinuierlich verbessern, um die Wirksamkeit sicherzustellen. Dabei sollten alle Voraussetzungen (vgl. Abschnitt 3.2) sowie Prozesse zur Sicherstellung eines wirksamen SCCM (vgl. Abschnitt 3.3) berücksichtigt werden. Dazu gehört auch eine Überprüfung der intern geforderten und mit den Lieferanten vereinbarten Kriterien für die SCCM-Fähigkeit.
Die Organisation soll ihr SCCM aufrechterhalten, seine Leistung bewerten und es kontinuierlich verbessern, um die Wirksamkeit sicherzustellen. Dabei sollten alle Voraussetzungen (vgl. Abschnitt 3.2) sowie Prozesse zur Sicherstellung eines wirksamen SCCM (vgl. Abschnitt 3.3) berücksichtigt werden. Dazu gehört auch eine Überprüfung der intern geforderten und mit den Lieferanten vereinbarten Kriterien für die SCCM-Fähigkeit.
3.4.1 Aufrechterhaltung
Umfang
Die Aufrechterhaltung sollte umfassen:
Die Aufrechterhaltung sollte umfassen:
| • | Sicherstellung der Relevanz der geschaffenen Voraussetzungen |
| • | Sicherstellung, dass Strategien und Lösungen regelmäßig aktualisiert werden |
| • | Einbeziehung von Verbesserungen, die im Rahmen des Überprüfungsprozesses festgestellt werden |
| • | Implementierung eines kontinuierlichen Überprüfungsprozesses zur Überwachung von Änderungen in der Lieferkette und zur Umsetzung von Verbesserungen |
| • | Sicherstellung, dass alle Verträge mit prioritären Lieferanten mit den geltenden Kontinuitätsanforderungen aktualisiert werden |
| • | Reaktion auf alle Auditfeststellungen |
3.4.2 Leistungsbewertung
Die Organisation sollte ihr SCCM regelmäßig bewerten und einen Eskalationsprozess einrichten, der bei Nichterfüllung der Leistungskriterien eingeleitet wird.
Umfang
Die Leistungsbewertung sollte umfassen:
Die Leistungsbewertung sollte umfassen:
| • | Pflege der Leistungsdaten und regelmäßige Aktualisierung der Analyse |
| • | laufende Überwachung anhand von Leistungskennzahlen (KPIs)/Metriken |
| • | Entwicklung und Anwendung von geeigneten Methoden zur Leistungsbewertung durch die Organisation |
| • | Bewertung des Beschaffungsprozesses der Organisation sowie der Standard-SCCM-Vertrags- und Zeitplanklauseln |
| • | Sicherstellung von Audits in geplanten Abständen |
| • | Überwachung evtl. Nichtkonformitäten |
Vorteile
Die Vorteile des Prozesses sind:
Die Vorteile des Prozesses sind:
| • | größeres Vertrauen in die Widerstandsfähigkeit der Lieferkette |
| • | Bewertung des Erfüllungsgrads der Kontinuitätsanforderungen durch Organisation und Lieferanten |
| • | frühzeitige Hinweise auf relevante Veränderungen für die Lieferkette |
| • | Identifizierung von Mängeln, die zu beheben sind |
| • | Überwachung von Organisation und Lieferanten anhand von Kennzahlen/Metriken |
3.4.3 Kontinuierliche Verbesserung
Schlüsselkomponente
Kontinuierliche Verbesserung ist eine Schlüsselkomponente des SCCM. Dies kann durch regelmäßige Überprüfungen, Übungen und die Anwendung der gewonnenen Erkenntnisse erreicht werden.
Kontinuierliche Verbesserung ist eine Schlüsselkomponente des SCCM. Dies kann durch regelmäßige Überprüfungen, Übungen und die Anwendung der gewonnenen Erkenntnisse erreicht werden.
Umfang
Die kontinuierliche Verbesserung sollte die Effektivität und Effizienz des SCCM steigern und Folgendes umfassen:
Die kontinuierliche Verbesserung sollte die Effektivität und Effizienz des SCCM steigern und Folgendes umfassen:
| • | Identifizierung der zu behandelnden Themen und des gegenwärtigen Zustands („Raum für Verbesserungen”) |
| • | Identifizierung des derzeitigen Prozesses und der Kontrollen |
| • | Bestimmung der durchzuführenden Änderungen (Verbesserung) |
| • | die Umsetzung der Änderungen und die Überprüfung, ob sie erfolgreich durchgeführt wurden |
Die Organisation sollte auch Möglichkeiten zur Verbesserung des SCCM in Betracht ziehen, die sich z. B. aus Änderungen folgender Komponenten ergeben können:
| • | Kontext der Organisation, interne Struktur der Organisation, Produktions- oder Liefermittel (z. B. technologischer Wandel, Verbesserungen der Infrastruktur), weiterentwickelte Methoden oder Technologien zur Gewährleistung der Kontinuität |
Diese sollten im Hinblick auf ihren potenziellen Nutzen für die Organisation bewertet werden.
4.2 Annex B: Management von Störungen bei prioritären Lieferanten
Einführung
Eine Unterbrechung der Lieferkette kann sowohl durch den Lieferanten als auch durch die Organisation verursacht werden. In beiden Fällen liegt der Schwerpunkt einer wirksamen Reaktion auf einer klar definierten Kommunikation über die einzelnen Phasen der Störung, die regelmäßig getestet werden sollte. Zusätzlich sollten angemessene Mechanismen etabliert sein und überwacht werden, um vor möglichen Störungen zu warnen.
Eine Unterbrechung der Lieferkette kann sowohl durch den Lieferanten als auch durch die Organisation verursacht werden. In beiden Fällen liegt der Schwerpunkt einer wirksamen Reaktion auf einer klar definierten Kommunikation über die einzelnen Phasen der Störung, die regelmäßig getestet werden sollte. Zusätzlich sollten angemessene Mechanismen etabliert sein und überwacht werden, um vor möglichen Störungen zu warnen.
Vor dem Vorfall
Bevor es zu einer Unterbrechung kommt, sollte sich die Organisation mit jedem Lieferanten auf Folgendes einigen:
Bevor es zu einer Unterbrechung kommt, sollte sich die Organisation mit jedem Lieferanten auf Folgendes einigen:
| • | Auslösepunkte und Schwellenwerte |
| • | Verfahren der Aktivierung der zuvor eingerichteten Kommunikationskanäle |
| • | Test- und Übungsplan für die Strategien und Lösungen zur Lieferkettenkontinuität |
Während der Störung
Während des Vorfalls sollen die Organisation und die beteiligten Lieferanten
Während des Vorfalls sollen die Organisation und die beteiligten Lieferanten
| • | kontinuitätsspezifische Kommunikationskanäle aktivieren, |
| • | die geeigneten Strategien und Lösungen aufrufen und koordinieren, |
| • | die sich verändernde Situation und die Auswirkungen auf die Kontinuität der Organisation überwachen. |
Nach der Störung
Nach dem Vorfall sollten Organisation und Lieferanten gemeinsame Überprüfungen durchführen:
Nach dem Vorfall sollten Organisation und Lieferanten gemeinsame Überprüfungen durchführen:
| • | Berichte zur Störung erstellen und auswerten |
| • | gelernte Lektionen, identifizierte Verbesserungsbereiche und Nichtkonformitäten dokumentieren |
| • | Korrekturmaßnahmen dokumentieren |
| • | Folgemaßnahmen planen, um die Umsetzung der Abhilfemaßnahmen sicherzustellen |
4.3 Annex C: Beispiele für gemeinsame Übungen mit Lieferanten
Annex C listet folgende Beispiele für gemeinsame Übungen auf, die mit einem einzelnen Lieferanten oder mit mehreren Lieferanten gleichzeitig durchgeführt werden können:
| • | Recovery planning walk-through:ein Treffen zur Diskussion, Abstimmung und Dokumentation der von beiden Parteien zu ergreifenden spezifischen Maßnahmen |
| • | Tabletop-Übung vor Ort oder aus der Ferne:szenariobasierte Übungen, um die Kenntnisse der Teilnehmer über die erforderlichen Maßnahmen in bestimmten dynamischen Situationen zu überprüfen und zu aktualisieren |
| • | Simulation:eine geplante Übung auf der Grundlage spezifischer Störungen, die die tatsächliche Umsetzung von Wiederherstellungsplänen erfordern |
Quellen
1
ISO/TS 22318:2021; Security and resilience – Business continuity management systems – Guidelines for supply chain continuity management, Titel (Deutsch): Sicherheit und Resilienz – Business Continuity Management System – Richtlinien für Continuity Management in der Lieferkette
2
ISO 28000:2022; Sicherheit und Belastbarkeit – Sicherheitsmanagementsysteme – Anforderungen für die Lieferkette; Orginaltitel (Englisch): Security and resilience – Security management systems – Requirements
