Was und warum ist Supplier Management wichtig für ISO 27001?

Die Norm ISO 27001 erwartet von Unternehmen eine Vielzahl an Aktivitäten, um die Informationssicherheit zu gewährleiten. Der Bereich Supplier Management (Lieferantenmanagement) fordert von Organisationen, dass Sie ihre Lieferanten sorgfältig auswählen und ihre Verlässlichkeit fortwährend überwachen. Somit muss in unserem ISMS unser Lieferantenmanagement folgende Aktivitäten mit Nachweisen belegen:

  • Lieferanten qualifizieren
  • Risiken analysieren, die mit Lieferanten in Verbindung stehen
  • Lieferanten regelmäßig kontrollieren

Was versteht man unter Lieferantenmanagement?

Wenn ein Unternehmen die Beziehungen zu den Lieferanten systematisch steuert, nennt man das Lieferantenmanagement. Unternehmen verlagern Teile der Wertschöpfungskette auf Lieferanten. Dabei entsteht das Risiko einer Störanfälligkeit der Lieferkette, wenn ein Lieferant Probleme in der Qualität (z.B. mangelhafte Teilelieferungen) oder allgemeinen Lieferfähigkeit (z.B. Brand führt zu Stillstand in der Produktion). Im Bereich Einkauf gibt es häufig Abteilungen für Beschaffungsmarketing und Einkaufskooperationen. Diese Abteilungen finden neue Lieferanten, damit das eigene Unternehmen nicht von einem Lieferanten gefährlich abhängig wird.

Lieferantenmanagement umfasst im Wesentlichen die folgenden Bereiche:

  • die Bewertung und Auswahl der Zulieferer (Lieferantenbewertung)
  • die Entwicklung des Leistungsniveaus der Lieferanten
  • die Entscheidung, auf welcher Stufe der Lieferant in die Wertschöpfungskette einbezogen werden soll.
Lieferantenaudits sind wichtig für die ISO 9001 und ISO 27001 Dokumentation

Wann müssen wir ein Lieferantenaudit durchführen?

Ein Lieferantenaudit dient zur Auswahl und Beurteilung neuer oder bestehender Lieferanten. Dabei werden aktuelle Leistungen des Lieferanten mit dem vertraglich vereinbarten Soll-Zustand verglichen. Durch die detaillierte Betrachtung der Wertschöpfungsprozesse Ihres Lieferanten werden häufig Lücken und Verbesserungspotentiale erkannt.

Aus folgenden Gründen sollte man bei Bedarf solche Lieferantenaudits durchführen:

  • Lieferantenbewertung
  • Lieferantenauswahl
  • Optimierung und Einhaltung von Standards

Wenn man Teile seiner Wertschöpfungskette auslagert, dann muss auch die Leistungsfähigkeit der Lieferanten sicher gestellt werden. Die systematische Lieferantenbewertung ist die optimale Vorgehensweise. Unternehmen mit einem ISO 9001 Zertifikat müssen regelmäßig Lieferantenbewertungen durchführen. In wie weit eine Bewertung mittels interne Informationen (Statistik zur Liefermängel) erfolgen kann, hängt vom Risiko der Lieferantenbeziehung. Automobilhersteller werden üblicherweise bei Teilzulieferer immer ein Lieferantenaudit durchführen. Dabei betrachtet man die QM Unterlagen und die betrieblichen Qualitätsmanagementprozesse. Diese Audits werden aber auch in einigen Fällen sich auch auf die IT Infrastruktur und dem ISMS des Zulieferers erstrecken. Großkunden erwarten immer öfter von Zulieferern als auch Dienstleistern (z.B. Internetagentur, Designstudio) eine ISO 27001 Zertifizierung.