Skip to content
Home

7 Oktober 2025 | 5 min

Third-Party- und Lieferkettenrisiken als GRC-Fokus: Wie Unternehmen Abhängigkeiten beherrschen

Die globale Wirtschaft ist heute stärker vernetzt als je zuvor. Unternehmen sind auf ein weit verzweigtes Netz aus Lieferanten, Dienstleistern und Technologiepartnern angewiesen. Diese Abhängigkeiten schaffen Effizienz – aber sie bringen auch erhebliche Risiken mit sich.

Cyberangriffe auf Zulieferer, Menschenrechtsverletzungen in der Lieferkette oder plötzliche Insolvenzen kritischer Dienstleister können unmittelbare Auswirkungen auf das eigene Unternehmen haben. Diese Ereignisse gefährden nicht nur die operative Stabilität, sondern auch Reputation, Compliance und finanzielle Sicherheit.

Im Rahmen von Governance, Risk und Compliance (GRC) rückt das Thema Third-Party- und Lieferkettenrisiken deshalb immer stärker in den Mittelpunkt. Unternehmen müssen lernen, Risiken über Unternehmensgrenzen hinaus zu erkennen, zu bewerten und zu steuern.

Das Wichtigste in Kürze

  • Lieferketten und Third-Party-Abhängigkeiten sind eine der grössten Schwachstellen moderner Organisationen.
  • Die grössten Risiken entstehen durch mangelnde Transparenz, fehlende Kontrolle und unzureichendes Risikomanagement.
  • Regulatorische Anforderungen wie das Lieferkettengesetz, ESG-Reporting und NIS-2 erhöhen den Druck auf Unternehmen, ihre Partner sorgfältig zu überwachen.
  • Ein integriertes GRC-System hilft, Risiken systematisch zu erfassen, Verantwortlichkeiten zu definieren und Compliance sicherzustellen.

Warum Lieferkettenrisiken so gefährlich sind

Lieferketten sind heute komplex, global und dynamisch. Ein Produkt kann Bauteile aus fünf Ländern enthalten, über zehn Lieferantenstufen hinweg entstehen und von mehreren Logistikdienstleistern bewegt werden. Diese Struktur bietet enorme Kostenvorteile, macht Unternehmen aber gleichzeitig verletzlich.

Schon ein Ausfall einer einzigen Komponente kann die gesamte Produktion lahmlegen. Noch gravierender sind Fälle, in denen ethische, ökologische oder sicherheitsrelevante Verstösse innerhalb der Lieferkette auftreten. Menschenrechtsverletzungen, Umweltvergehen oder Datenpannen bei Partnern führen unweigerlich zu Reputationsschäden und können rechtliche Konsequenzen nach sich ziehen.

Zudem sind viele Risiken nicht direkt sichtbar. Sub-Lieferanten bleiben oft im Dunkeln, und viele Unternehmen wissen nicht, wer sich in den tieferen Ebenen ihrer Lieferkette tatsächlich befindet. Dieses fehlende Wissen ist einer der Hauptgründe, warum Unternehmen auf Krisen nur reagieren können, statt sie zu verhindern.

Der regulatorische Druck wächst

In den letzten Jahren hat die Politik reagiert. Sowohl in der EU als auch in der Schweiz und Deutschland entstehen neue Vorgaben, die Unternehmen zu mehr Verantwortung in ihrer Lieferkette verpflichten.

Das deutsche Lieferkettensorgfaltspflichtengesetz (LkSG) sowie die geplante EU-Lieferkettenrichtlinie (Corporate Sustainability Due Diligence Directive, CSDDD) verlangen von Unternehmen, Risiken entlang ihrer gesamten Wertschöpfungskette zu identifizieren, zu überwachen und zu adressieren.

Parallel dazu verschärfen ESG-Vorgaben wie die CSRD (Corporate Sustainability Reporting Directive) und die ESRS-Standards die Berichterstattungspflichten. Unternehmen müssen künftig nachweisen, dass sie ökologische und soziale Risiken in ihrer Lieferkette kennen und steuern.

Auch aus IT- und Sicherheits­perspektive wird der Druck grösser: Mit der NIS-2-Richtlinie und DORA im Finanzsektor rückt die Sicherheit von Drittparteien in den Fokus. Jedes Unternehmen ist verantwortlich, dass auch seine Partner angemessene Sicherheitsmassnahmen implementieren.

Der GRC-Ansatz: Struktur statt Reaktion

Um diesen Anforderungen gerecht zu werden, brauchen Unternehmen einen systematischen GRC-Ansatz. Governance, Risk und Compliance dürfen nicht isoliert betrachtet werden, sondern müssen die gesamte Lieferkette umfassen.

Ein modernes Third-Party-Risk-Management (TPRM) verfolgt drei Ziele: Transparenz schaffen, Risiken bewerten und Massnahmen steuern.

  1. Transparenz schaffen:
    Unternehmen müssen zunächst wissen, wer ihre Partner sind – auch über direkte Zulieferer hinaus. Eine vollständige Lieferantenliste ist der erste Schritt, gefolgt von einer Klassifizierung nach Kritikalität und Risikoexposition.
  2. Risiken bewerten:
    Für jeden Partner sollte eine strukturierte Risikobewertung erfolgen. Diese kann Faktoren wie finanzielle Stabilität, IT-Sicherheit, Nachhaltigkeit, Rechtskonformität und Reputationsrisiken umfassen.
  3. Massnahmen steuern:
    Auf Basis der Bewertung werden konkrete Kontrollen und Monitoring-Massnahmen definiert. Dazu gehören Audits, Zertifikatsprüfungen, kontinuierliches Screening und klare Eskalationsprozesse bei Auffälligkeiten.

Digitalisierung und Automatisierung als Erfolgsfaktoren

Die Komplexität globaler Lieferketten lässt sich kaum noch manuell beherrschen. Digitale GRC-Plattformen bieten die Möglichkeit, Daten zu zentralisieren und Risiken automatisiert zu überwachen.

Moderne Systeme integrieren Datenfeeds zu Finanzkennzahlen, Cyberrisiken und Compliance-Verstössen und erkennen so frühzeitig Auffälligkeiten. Ein weiterer Vorteil: Reporting und Nachweispflichten lassen sich automatisiert erfüllen – ein entscheidender Punkt im ESG- und Audit-Kontext.

Durch die Verbindung von TPRM mit bestehenden GRC-Modulen (z. B. Incident-, Policy- oder Audit-Management) entsteht ein ganzheitliches Risikobild. Das erhöht nicht nur die Sicherheit, sondern auch die strategische Handlungsfähigkeit.

Erfolgsfaktoren für ein wirksames Third-Party-Risk-Management

Unternehmen, die Third-Party- und Lieferkettenrisiken effektiv steuern wollen, sollten folgende Prinzipien beachten:

  • Verantwortung klar definieren: TPRM muss organisatorisch verankert werden, idealerweise in enger Zusammenarbeit von Einkauf, Compliance und Risikomanagement.
  • Risiken priorisieren: Nicht alle Lieferanten sind gleich kritisch. Ressourcen sollten sich auf die wichtigsten Partner konzentrieren.
  • Regelmässige Überprüfung: Lieferantenbewertungen müssen dynamisch sein. Risiken ändern sich mit Markt, Politik und Technologie.
  • Dokumentation und Nachvollziehbarkeit: Jede Entscheidung, Bewertung und Massnahme sollte dokumentiert werden – für Audits und regulatorische Nachweise.
  • Integration in GRC-Systeme: Nur durch die Verknüpfung mit Governance-, Risiko- und Compliance-Prozessen entsteht echte Transparenz.

Fazit

Third-Party- und Lieferkettenrisiken sind längst nicht mehr nur ein Thema für den Einkauf, sondern ein zentrales Element moderner Unternehmenssteuerung. In einer Welt, in der Unternehmen zunehmend für die Handlungen ihrer Partner haftbar gemacht werden, ist Transparenz entscheidend.

Ein professionell aufgesetztes Third-Party-Risk-Management, eingebettet in ein integriertes GRC-System, ermöglicht es Unternehmen, Risiken frühzeitig zu erkennen, regulatorische Anforderungen zu erfüllen und die Resilienz der gesamten Wertschöpfungskette zu stärken.

FAQ

Was versteht man unter Third-Party-Risiken?
Darunter fallen Risiken, die durch externe Geschäftspartner entstehen – etwa Lieferanten, IT-Dienstleister oder Berater. Sie können finanzielle, operative, rechtliche oder reputationsbezogene Folgen haben.

Warum sind Lieferkettenrisiken für GRC relevant?
Weil Governance, Risk und Compliance längst nicht mehr an den Unternehmensgrenzen enden. Regulatoren erwarten, dass Unternehmen ihre Partner nach denselben Standards prüfen, die intern gelten.

Wie kann man Lieferkettenrisiken bewerten?
Durch strukturierte Risikoanalysen, die Kriterien wie Nachhaltigkeit, Menschenrechte, Datensicherheit, Finanzlage und rechtliche Konformität abdecken.

Welche Rolle spielt Technologie im TPRM?
Digitale GRC-Plattformen automatisieren Risikoüberwachung, Reporting und Dokumentation und ermöglichen Echtzeit-Transparenz über Partnernetzwerke hinweg.

Welche Standards helfen bei der Umsetzung?
Wichtige Normen und Rahmenwerke sind ISO 31000 (Risikomanagement), ISO 27001 (Informationssicherheit), ISO 37301 (Compliance), ISO 9001 (Qualitätsmanagement) sowie die ESG-bezogenen Reporting-Standards ESRS und CSRD.

Share

Related posts

ISO 27031 – Der neue Standard für ICT-Readiness und Business Continuity
02 September 2025 | 4 min

ISO 27031 – Der neue Standard für ICT-Readiness und Business Continuity

 Die wachsende Abhängigkeit von Informationstechnologien macht Unternehmen zunehmend anfällig für Störungen, Ausfälle und Cyberangriffe. Ein einziger IT-Ausfall kann heute ganze Geschäftsprozesse lahmlegen, Lieferketten unterbrechen oder Kundenbeziehungen nachhaltig schädigen. Um dem zu begegnen, hat die Internationale Organisation für Normung (ISO) im Mai 2025 die überarbeitete Fassung des Standards ISO/IEC 27031 veröffentlicht. Er bietet einen Leitfaden für<a href="https://zazoon.com/de/iso-27031-der-neue-standard-fuer-ict-readiness-und-business-continuity/">Continue reading <span class="sr-only">"ISO 27031 – Der neue Standard für ICT-Readiness und Business Continuity"</span></a>
Read more
Wie Revolut GRC zur Kultur macht: Das Karma-System als Beispiel für modernes Risikobewusstsein
21 Oktober 2025 | 5 min

Wie Revolut GRC zur Kultur macht: Das Karma-System als Beispiel für modernes Risikobewusstsein

 Wenn man an Start-ups im Finanzbereich denkt, kommen einem meist Innovation, Wachstum und Geschwindigkeit in den Sinn – aber selten Governance oder Compliance. Das britische Fintech Revolut zeigt jedoch, dass sich beides nicht ausschliesst. Nach Jahren rasanter Expansion und einigen internen Reibungen hat das Unternehmen gelernt, dass gute Strukturen genauso wichtig sind wie kreative Ideen.<a href="https://zazoon.com/de/wie-revolut-grc-zur-kultur-macht-das-karma-system-als-beispiel-fuer-modernes-risikobewusstsein/">Continue reading <span class="sr-only">"Wie Revolut GRC zur Kultur macht: Das Karma-System als Beispiel für modernes Risikobewusstsein"</span></a>
Read more
Corporate Governance 2025: Trends, Tools und To-dos
01 April 2025 | 11 min

Corporate Governance 2025: Trends, Tools und To-dos

 Welche Trends prägen die Corporate Governance im Jahr 2025? Im Jahr 2025 wird Nachhaltigkeit in der Corporate Governance nicht mehr nur ein Trend, sondern ein Schlüsselelement sein. Unternehmen integrieren nachhaltige Praktiken in ihren Kernbetrieb, um langfristigen Erfolg zu gewährleisten und gesellschaftliche Verantwortung zu übernehmen. Parallel dazu wird die digitale Transformation eine entscheidende Rolle spielen – von der Implementierung datengetriebener Entscheidungsfindung bis<a href="https://zazoon.com/de/corporate-governance-2025-trends-tools-und-to-dos/">Continue reading <span class="sr-only">"Corporate Governance 2025: Trends, Tools und To-dos"</span></a>
Read more