Wir sind telefonisch für Sie erreichbar!

Montag bis Freitag von 08:00 bis 15:00 Uhr

DIN Media Kundenservice
Telefon +49 30 58885700-70

Risiko Lieferkette: Anforderungen an die Unternehmenssteuerung

Globale Vernetzung bedeutet in der Regel die Einbindung einer Lieferkette in den Produktionsprozess. Der damit häufig erzielten Senkung der Herstellungskosten stehen allerdings wirtschaftliche und gesellschaftliche Risiken gegenüber. Lösungsansätze und Handlungsanweisungen finden sich in DIN- und ISO-Normen ebenso wie im deutschen Lieferkettengesetz.

Die Lieferkette in der Normung

Es gibt verschiedene Normen und Publikationen von Normungsorganisationen, in denen es um die Lieferkette geht. Zu nennen sind bei ISO (International Standardisation Organisation) und DIN (Deutsches Institut für Normung) insbesondere folgende Dokumente:

DIN ISO 20400:2021 Nachhaltiges Beschaffungswesen – Leitfaden

Die Norm stellt Empfehlungen zur Verfügung, auf welche Weise Nachhaltigkeit (wie sie in der ISO 26000:2017 – Leitfaden zur gesellschaftlichen Verantwortung beschrieben ist) in die Grundsätze und Verfahren der Beschaffung einschließlich der Lieferkette integriert werden kann, um die Risiken für nachhaltige Entwicklung in den Bereichen Umwelt, Soziales und Wirtschaftlichkeit zu steuern.

Die Norm soll die Chancen kleiner und mittelgroßer Organisationen in ihren Lieferketten verbessern. In Abschnitt 4 werden die Prinzipien der nachhaltigen Beschaffung beschrieben. Der Abschnitt legt einen Schwerpunkt auf die Beurteilung und Behandlung von relevanten Risiken. In Abschnitt 5 wird die Integration von Nachhaltigkeits-Gesichtspunkten auf strategischer Ebene in die Verfahren der Beschaffung behandelt. Dem Verständnis der Beschaffungsverfahren und der Lieferketten ist ein eigener Unterabschnitt gewidmet. Die Strukturierung der Beschaffungsfunktionen wird im Abschnitt 6 behandelt. Abschließend behandelt Abschnitt 7 die Integration von Nachhaltigkeit in die Beschaffungsprozesse.
 

DIN ISO 20400: Systematischer Überblick über den Inhalt


Die Lieferkette wird somit in der ISO 20400 als Teil der Beschaffungsthematik behandelt. Sie wird im Abschnitt 3.32 als Abfolge von Aktivitäten oder Parteien, die Güter oder Dienste für die Organisation bereitstellen, definiert. Eine Partei, die Güter oder Dienste bereitstellt, wird in Abschnitt 3.30 als Lieferant definiert. Der Auswahl der Lieferanten wird im Unterabschnitt 7.4 ein gesonderter Bereich eingeräumt.

Delivering Supply Chain Confidence (ISO Publ. 100452)

Die ISO veröffentlichte 2020 die Informationsbroschüre Delivering Supply Chain Confidence. Hintergrund ist der Umstand, dass moderne Lieferketten immer komplexer werden, während Unternehmen ihre Kosten zu optimieren suchen und gleichzeitig flexibel bleiben möchten. Lieferketten, die sich über mehrere Länder erstrecken, bedeuten für Compliance, Sicherheit sowie ökologische und soziale Verantwortung größere Herausforderungen. Beschaffung macht laut ISO bis zu 70 % des Aufwandes einer Gesellschaft aus, sodass eine Störung die Ertragslage, den Markenruf und die Kundenloyalität beeinflussen könne. In diesem Zusammenhang wird einleitend auf die Toolbox des Conformity Assessments (z. B. ISO/IEC 17025, ISO/IEC 17020, ISO/IEC 17024, ISO/IEC 17065 und ISO/IEC 17029) und die Akkreditierung der Prüforganisationen verwiesen.
Weiter heißt es, angesichts der Komplexität moderner Lieferketten seien Prüfungen und Zertifizierungen im Ausland als Nachweis für die Einhaltung rechtlicher Anforderungen und vertraglicher Spezifikationen wichtig, um Vertrauen in den freien Austausch von Gütern und Diensten zu erhalten.
Anhand von Beispielen werden die Vorteile dargestellt, die sich durch den Einsatz der Toolbox in Lieferketten erzielen lassen:

  • Qualitäts-Assessment für elektronische Komponenten
  • Qualitätsmanagement für Teile in der KfZ-Branche
  • Energiesparprogramm in China
  • Umweltlabel in China
  • IRIS-Zertifizierungen im Schienensektor
  • Gesundheits- und Sicherheitsbeurteilungen
  • Lieferkettensicherheit

ISO 9001 – What does it mean in the supply chain?
(ISO Publ. 100304)

Im Jahr 2016 ist die Informationsbroschüre ISO 9001 – What does it mean in the supply chain? in der dritten Auflage erschienen. Sie soll Antworten darauf geben, was es bedeutet, wenn Produkte und Dienste mit Bezug auf die ISO 9001 angeboten werden, und wie sich sicherstellen lässt, dass die Anbietenden auch halten, was sie versprechen. Es wird dargestellt, wie die ISO 9001 als Lieferkettenwerkzeug genutzt werden kann.

Die DIN EN ISO 9001 enthält Anforderungen für den Beschaffungsprozess und wirkt sich damit auch auf die Lieferkette aus.
Weiterhin wird erläutert, dass die ISO 9001 (in Deutschland vom DIN übernommen als
DIN EN ISO 9001:2015-11) Anforderungen für den Beschaffungsprozess enthält und es in den Händen der Abnehmer*innen liege, den Lieferant*innen genau vorzugeben, was gebraucht werde. Dafür erforderliche Überlegungen werden beispielhaft aufgeführt. Laut ISO können Anbietende auf verschiedene Weise den Nachweis erbringen, dass ihre Qualitätsmanagementsysteme die Anforderungen der ISO 9001 erfüllen. Wichtig: Diese Nachweise betreffen lediglich die Fähigkeit, konsistente, spezifikationskonforme Produkte oder Dienste zu liefern– nicht aber, dass die Produkte oder Dienste direkt die Anforderungen der ISO 9001 erfüllen.

ISO/TS 22318 Security and resilience – Business continuity management systems – Guidelines for supply chain continuity

Nur sieben Tage lang (vom 23. bis zum 29. März 2021) war der Suezkanal durch das Containerschiff »Ever Given« blockiert, doch der dadurch verursachte Schaden wird von der Versicherungswirtschaft auf 10 Milliarden US-Dollar beziffert. Lieferketten wurden durch den Zwischenfall gestört – mit unterschiedlichen Auswirkungen auf die betroffenen Unternehmen. Die Folgen des Rückstaus haben noch lange nachgewirkt – in den Unternehmen ging es dabei um die Aufrechterhaltung der Betriebsfähigkeit, ein Thema, bei dem sie durch DIN- und ISO- Normen unterstützt werden.
 

Blockade des Suezkanals: DIN- und ISO-Normen helfen, die Aufrechterhaltung der Betriebsfähigkeit zu sichern.
Im Dezember 2021 in neuer Auflage veröffentlicht, steht im Bereich der Lieferkette die ISO/TS 22318 Security and resilience – Business continuity management systems – Guidelines for supply chain continuity als Hilfestellung zur Verfügung. Die Norm baut auf der ISO 22301 und der ISO 22313 auf, die in Deutschland von der DIN als DIN EN ISO 22301:2020 Sicherheit und Resilienz – Business Continuity Management System – Anforderungen und als DIN EN ISO 22313:2020 Sicherheit und Resilienz – Business Continuity Management System – Anleitung zur Verwendung von ISO 22301 übernommen worden sind. Die darin beschriebenen Prinzipien zur Aufrechterhaltung der Betriebsfähigkeit werden auf die Steuerung von Lieferkettenbeziehungen ausgedehnt.

Das Lieferkettenmodell in der Übersicht.
Lieferant*innen sollten ein eigenes Steuerungssystem zur Aufrechterhaltung der Betriebsfähigkeit (BCM) implementiert haben, möglichst nach ISO 22301. Die Auswirkungen von Störungen in der Lieferkette können zu einer mitunter fatalen Störung des eigenen Betriebes führen. Daher sollte die Aufrechterhaltung der Lieferkette Teil der Steuerung der Aufrechterhaltung des eigenen Betriebes sein.

Bausteine zur Aufrechterhaltung der Lieferkette

Einbindung des Lieferkettenmodells

Mit der Einbindung der Lieferkette in das BCM der Organisation wird die Resilienz der Lieferkette gestärkt und das Risiko von Störungen bei der Beschaffung von Gütern oder Leistungen verringert. Damit erhöht sich auch das Vertrauen von Geschäftspartner*innen und Kund*innen.

ISO 28000:2007 Security management systems for the supply chain.

Auch die ISO 28000 versprach im Titel ihrer Fassung von 2007 Regelungen für die Lieferkette („Security management systems for the supply chain“). Tatsächlich enthielt sie jedoch fast ausschließlich Anforderungen an ein allgemeines Sicherheitsmanagementsystem. Sie wurde inzwischen »generalüberholt« und im März 2022 als ISO 28000:2022 Security and Resilience - Security management systems - Requirements veröffentlicht. Ihre Übernahme als nationale DIN‑Norm ist vorgesehen.

Die Lieferkette im deutschen Recht: 
das »Gesetz über die unternehmerischen Sorgfaltspflichten in Lieferketten« vom 16. Juni 2021

In Deutschland gibt es seit Sommer 2021 eine gesetzliche Regelung zur Lieferkette. Das Lieferkettensorgfaltspflichtengesetz (LkSG) vom 16. Juli 2021, auch häufig nur als „Lieferkettengesetz“ bezeichnet, gibt unternehmerische Sorgfaltspflichten zur Vermeidung von Menschenrechtsverletzungen in Lieferketten vor.

  • Vorschriften zu Ermächtigungen für das Bundesministerium für Arbeit und Soziales und der Unterabschnitt 3 zu Behördenzuständigkeiten sind bereits am 23. Juli 2021 in Kraft getreten. Das Gesetz selbst tritt in seiner Gesamtheit am 1. Januar 2023 in Kraft. Es ist dann auf inländische Unternehmen und inländische Zweigniederlassungen ausländischer Unternehmen anzuwenden, die in der Regel mehr als 3.000 Arbeitnehmende im Inland beschäftigen. Ab dem 1. Januar 2024 wird der Schwellenwert auf 1.000 Arbeitnehmende abgesenkt. Auch Leiharbeitnehmer*innen müssen bei der Ermittlung der Anzahl berücksichtigt werden, sofern ihre Einsatzdauer 6 Monate übersteigt. Die Arbeitnehmenden konzernangehöriger Gesellschaften sind bei der Berechnung der Obergesellschaften zu berücksichtigen.

    Lieferkettengesetz (Übersicht)

  • Abschnitt 2 des LkSG erinnert an den auf Risikomanagement basierenden Ansatz der ISO-Normenwelt zur Unternehmenssteuerung (Managementsystemnormen). Der § 3 verpflichtet die Unternehmen dazu, menschenrechtliche und umweltbezogene Sorgfaltspflichten in angemessener Weise zu beachten. Diese Sorgfaltspflichten enthalten:

    • die Einrichtung eines Risikomanagements nach § 4 Abs. 1 LkSG
    • die Festlegung der betriebsinternen Zuständigkeit nach § 4 Abs. 3 LkSG
    • die Durchführung regelmäßiger Risikoanalysen nach § 5 LkSG
    • die Abgabe einer Grundsatzerklärung nach § 6 Abs. 2 LkSG
    • die Verankerung von Präventionsmaßnahmen nach § 6 Abs. 1 und 3 LkSG und gegenüber unmittelbaren Zulieferern nach § 6 Abs. 4 LkSG
    • das Ergreifen von Abhilfemaßnahmen Nach § 7 Abs. 1 bis 3 LkSG
    • die Einrichtung eines Beschwerdeverfahrens nach § 8 LkSG
    • die Umsetzung von Sorgfaltspflichten in Bezug auf Risiken bei mittelbaren Zulieferern nach § 9 LkSG
    • die Dokumentation nach § 10 Abs. 1 und die Berichterstattung nach§ 10 Abs. 2 LkSG.

    Was angemessen ist, bestimmt sich nach Art und Umfang der Geschäftstätigkeit, dem Einflussvermögen, der zu erwartenden Schwere einer Verletzung und ihrer Umkehrbarkeit sowie dem Verursacherbeitrag des Unternehmens. Pflichtverletzungen nach LkSG begründen keine zivilrechtliche Haftung – eine unabhängig vom LkSG begründete Haftung bleibt aber auch unberührt.

    • Risikomanagement: Ein angemessenes und wirksames Risikomanagement ist in allen maßgeblichen Geschäftsabläufen zu verankern. Menschenrechtliche und umweltbezogene Risiken müssen identifiziert und minimiert werden können. Verletzungen von menschenrechts- und umweltbezogenen Plichten müssen verhindert, beendet oder minimiert werden, wenn das Unternehmen diese Risiken oder Verletzungen innerhalb der Lieferkette verursacht oder dazu beigetragen hat. Es muss festgelegt werden, wer dafür zuständig ist, das Risikomanagement zu überwachen. Bei der Umsetzung des Risikomanagementsystems müssen die Interessen der Beschäftigten angemessen berücksichtigt werden. Zum Risikomanagement gehört eine Grundsatzerklärung der Unternehmensleitung über dessen Menschenrechtsstrategie mit dem Inhalt des § 6 Abs. 3 LkSG.
    • Risikoanalyse: Die Analyse zur Ermittlung der menschenrechtlichen und umweltbezogenen Risiken im eigenen Geschäftsbereich sowie bei unmittelbaren Zulieferern ist jährlich und anlassbezogen durchzuführen, wenn das Unternehmen mit einer veränderten Risikolage in seiner Lieferkette rechnen muss. Die Ergebnisse der Risikoanalyse müssen an die maßgeblichen Entscheidungsträger*innen berichtet werden. Ermittelte menschenrechtliche und umweltbezogene Risiken sind angemessen unter Beachtung der Kriterien des § 3 Abs. 2 LkSG zu gewichten und priorisieren.
    • Präventionsmaßnahmen: Identifizierte Risiken müssen behandelt werden – in der Sprache des Gesetzes müssen Präventionsmaßnahmen im eigenen Geschäftsbereich und gegenüber unmittelbaren Zulieferern ergriffen werden. Beispielhaft werden solche Maßnahmen aufgeführt, deren Wirksamkeit jährlich und anlassbezogen bei Veränderungen der Risikolage zu überprüfen ist und die dann zu aktualisieren sind.
    • Abhilfemaßnahmen: Soweit Risiken (menschenrechts- oder umweltbezogene Pflichtverletzungen) bereits eingetreten sind oder unmittelbar bevorstehen, sind unverzüglich angemessene Abhilfemaßnahmen zu ergreifen, um die Verletzung noch zu verhindern, zu beenden oder zu mindern. Mitunter ist eine Geschäftsbeziehung zu einem unmittelbaren Zulieferer temporär auszusetzen oder sogar zu beenden. Die Wirksamkeit von Abhilfemaßnahmen ist jährlich und anlassbezogen bei Veränderungen der Risikolage zu überprüfen und die Maßnahme sind dann ggf. zu aktualisieren.
    • Beschwerdeverfahren: Unternehmen müssen angemessene Beschwerdeverfahren einrichten. Dafür muss eine öffentlich zugängliche Verfahrensordnung in Textform festgelegt werden und die Zuständigkeit von unabhängigen, von Weisungen ungebundenen, unparteiischen und zur Verschwiegenheit verpflichteten Personen festgelegt werden. Die Wirksamkeit des Beschwerdeverfahrens ist jährlich und anlassbezogen bei Veränderungen der Risikolage zu überprüfen.
    • Mittelbare Zulieferer: Beschwerdeverfahren und Risikoanalyse müssen auch mittelbare Zulieferer erfassen. Näheres dazu kann das Bundesministerium für Arbeit und Soziales im Einvernehmen mit dem Bundesministerium für Wirtschaft und Energie durch Rechtsverordnung regeln.
    • Dokumentations- und Berichtspflichten: Die Erfüllung der Sorgfaltspflichten nach § 3 LkGS ist fortlaufend zu dokumentieren und diese Dokumentation ist mindestens 7 Jahre aufzubewahren. Ein Bericht über die Erfüllung der Sorgfaltspflichten im vergangenen Geschäftsjahr muss spätestens 4 Monate nach Schluss des Geschäftsjahres für die Dauer von 7 Jahren auf der Internetseite des Unternehmens zugänglich gemacht werden.
  • Die Abschnitte vier (§§ 12 – 21), fünf (§ 22) und sechs (§§ 24 & 25) des Gesetzes enthalten Kontrollbefugnisse der Behörden und Sanktionen im Fall von Verstößen. Zu letzteren können der Ausschluss von der Vergabe öffentlicher Aufträge, Zwangsgelder bis 50.000 EUR und Bußgelder bis 500.000 EUR bei umsatzstarken Unternehmen bis zu einer Höhe von 2 % des durchschnittlichen Jahresumsatzes gehören.

Fazit

Der Schwerpunkt der Normierung zur Lieferkette durch Normungsinstitute liegt international und national eher im betriebswirtschaftlichen Bereich. Die Normen greifen Fragen zum Risikomanagement, zum Sicherheitsmanagement und zur Aufrechterhaltung der Betriebsfähigkeit auf. Die ISO behandelt in ihren Publikationen das Thema Vertrauen in die Lieferkette bzw. in die dort beteiligten Partner. Dagegen behandelt die deutsche Gesetzgebung zur Lieferkette eher gesellschaftliche Pflichten (social responsibility). Sie befasst sich mit dem Umgang mit Risiken im Zusammenhang mit Menschenrechten und Umweltschutz und formuliert dazu Pflichten für Unternehmen mit 1.000 oder mehr Mitarbeitenden.

  • Dr. Frank Herdmann


    Dr. Frank Herdmann ist Inhaber der Auxilium Management Service, die kleine und mittelgroße Unternehmen bei der Organisation ihres Geschäfts unterstützt. Er leitet mehrere DIN-Gremien aus dem Bereich der Organisationsprozesse und vertritt den DIN als Experte für Managementsystemnormen bei der ISO. Es ist Autor mehrerer Publikationen zu Steuerungssystemen für Unternehmen.


Publikation DIN Media Praxis 2021-03

Drei Schritte zur Aufrechterhaltung der Betriebsfähigkeit
Ausrichtung an DIN EN ISO 22301

ab 48,00 EUR inkl. MwSt.

ab 44,86 EUR exkl. MwSt.

Norm [AKTUELL] 2020-06

DIN EN ISO 22301:2020-06
Sicherheit und Resilienz - Business Continuity Management System - Anforderungen (ISO 22301:2019); Deutsche Fassung EN ISO 22301:2019

ab 112,30 EUR inkl. MwSt.

ab 104,95 EUR exkl. MwSt.

Norm [AKTUELL] 2021-02

DIN ISO 20400:2021-02
Nachhaltiges Beschaffungswesen - Leitfaden (ISO 20400:2017); Text Deutsch und Englisch

ab 216,10 EUR inkl. MwSt.

ab 201,96 EUR exkl. MwSt.