Lieferanten-Risikomatrix erstellen, in 6 Schritten zur belastbaren Bewertung
Schritt 1: Kritikalität definieren (ABC-Analyse). Schritt 2: Lieferanten-Daten zusammentragen (Tier-1 + relevante Tier-2). Schritt 3: 6 Risiko-Dimensionen bewerten (Finanz, Operativ, Geo, Compliance, ESG, Cyber). Schritt 4: Risikomatrix bauen (5×5, Eintritt × Schaden). Schritt 5: Mitigation pro Hochrisiko-Lieferant. Schritt 6: Review-Rhythmus festlegen (mind. jährlich, BAFA-konform).
Eine Risikomatrix ist kein Audit-Ordner für die Schublade, sondern ein Steuerungsinstrument. Sie muss klar genug sein, dass die Geschäftsführung sie liest, und detailliert genug, dass Einkauf und Compliance damit arbeiten.
Kritikalität der Beschaffungsobjekte definieren (ABC-Analyse)
Nicht jeder Lieferant ist gleich wichtig. Klassifizieren nach Wertanteil und strategischer Bedeutung: A-Teile (Top 20% Wertanteil + strategisch), B-Teile, C-Teile. Single-Source-Komponenten immer mindestens B, oft A, auch bei niedrigem Wert. Output: priorisierte Liste der wirklich relevanten 50–200 Lieferanten.
Lieferanten-Daten zusammentragen
Mindest-Datenfelder: Standorte aller Werke, Hauptkunden (Klumpenrisiko), Finanz-Kennzahlen (Bonität via Creditreform/D&B), Zertifizierungen (ISO 9001, 14001, 45001, amfori BSCI), Single- oder Multi-Source, kritische Sub-Lieferanten Tier-2. Daten via Self-Assessment-Fragebogen + öffentliche Quellen + Visibility-Plattform.
6 Risiko-Dimensionen bewerten
Pro Lieferant Punktwert (1–5) in jeder Dimension: Finanz (Insolvenzrisiko), Operativ (Qualität, OTIF-Historie, Kapazitätsauslastung), Geografie (Erdbeben, politische Stabilität. Indizes wie World Bank Governance), Compliance (LkSG, Sanktionslisten, Anti-Korruption), ESG (Menschenrechte, CO2, EUDR-Konformität bei Holz/Soja/Palmöl), Cyber (ISO 27001, jüngste Vorfälle). Gewichtung nach Branche festlegen.
Risikomatrix bauen (5×5: Eintrittswahrscheinlichkeit × Schaden)
Pro Lieferant pro Top-Risiko ein Punkt in der 5×5-Matrix. Y-Achse: Eintrittswahrscheinlichkeit (1=sehr selten, 5=erwartet). X-Achse: Schadenshöhe (1=unwesentlich, 5=existenzbedrohend). Drei Zonen: Grün (akzeptiert), Gelb (mitigieren), Rot (sofort handeln). Schadenshöhe immer in € quantifizieren, sonst Bauchgefühl.
Mitigation pro Hochrisiko-Lieferant
Pro rotem/gelbem Risiko: Verantwortlicher, Maßnahme, Termin, Budget. Hebel: Dual-Source-Qualifikation (12–24 Monate Vorlauf), Safety-Stock erhöhen, vertragliche Sorgfaltsklauseln (LkSG-konform), Versicherung (Business Interruption), Audits, Lieferanten-Entwicklung. Restrisiko bewusst akzeptieren und dokumentieren, das verlangt das BAFA.
Review-Rhythmus festlegen
LkSG verlangt mind. jährliche Risikoanalyse + anlassbezogen (z. B. Sanktion, neuer Lieferant, Vorfall). Empfehlung: Quartals-Review für rote Risiken, Halbjahres-Review für gelbe, jährliches Full-Refresh. Ergebnisse in BAFA-Bericht überführen. Real-Time-Monitoring (News-Feeds) ergänzend.
Fazit
Häufige Fehler
(1) Matrix ohne Tier-2, der typische Bruch passiert dort. (2) Schaden in „hoch/mittel/niedrig“ statt in €. (3) Self-Assessment-Daten ungeprüft übernehmen. (4) Mitigation ohne Verantwortliche und Budget. (5) Matrix nach Audit-Termin in der Schublade.. Vermeidbar mit klarem Prozess und Tool-Support.
Hinweis
Dieser Artikel ersetzt keine Rechtsberatung. Verbindliche Quellen für LkSG-konforme Umsetzung: BAFA-Handreichungen zum LkSG, ISO 31000 (Risikomanagement).
FAQs
Verwandt
Fachkraft für Supply-Chain-Management (IHK)
Im Lehrgang verwandelst du dieses Wissen in einen konkreten Umsetzungsplan — mit Templates, Use Cases und IHK-Zertifikat.
Kostenlos testenthekey.academy ist eine deutsche Online-Lernplattform für IHK-zertifizierte berufliche Weiterbildung — 25 Lehrgänge zu KI, Führung, Resilienz, Marketing und HR. 100 % online, self-paced, mit IHK-Zertifikat.
:quality(85))