Besonders das Risikomanagement wird im dynamischen Markt der pharmazeutischen Produktion zu einem zentralen Aufgabenfeld der Einkaufsabteilung. Ursachen hierfür sind maßgeblich die unzureichende Verfügbarkeit durch wachsende Komplexität in den Wertschöpfungsketten, z. B. aufgrund von länderspezifischen Strategien im Umgang mit der Covid-19-Pandemie und geopolitische Spannungen. Zusätzlich setzen steigende Energiepreise, unsichere Gaslieferungen sowie knappe Rohstoffe Produzenten unter Druck. Doch auch der hohe Anteil der Einzelquellenbeschaffung (Single Sourcing) bei gleichzeitig langen und kostenintensiven Entwicklungs- und Freigabephasen stellen in der pharmazeutischen Industrie spezielle Herausforderungen dar.
Nicht zuletzt müssen Unternehmen verschärfte und neu eingeführte Vorschriften, Gesetze und Grenzwerte beachten – in jüngster Zeit etwa das Lieferkettenverantwortungsgesetz, Klima- und Umweltschutzauflagen oder branchenspezifische Richtlinien wie die GxP-Regeln, deren Anforderungen von internationalen Institutionen und Behörden wie der EU und der US-amerikanischen FDA festgelegt und kontrolliert werden. Ungeachtet all dieser Herausforderungen erwarten die Abnehmer von pharmazeutischen Zwischenprodukten sowie CMOs (Contract Manufacturing Organisations) ihrerseits zunehmend Nachweise über bestehende Risikomanagementsysteme von ihren Lieferanten und machen diese zur Voraussetzung für die Aufnahme bzw. Fortführung der Geschäftsbeziehung.
Wie kann sich der Einkauf in dieser angespannten Marktlage organisieren? Welche Prozesse sollten etabliert werden, um Risiken frühzeitig zu erkennen und entsprechende Handlungen abzuleiten? Die Antwort auf beide Fragen liegt in einem holistischen Risikomanagement zur Stärkung der Resilienz der Wertschöpfungskette. Das Ziel besteht dabei nicht in der größtmöglichen Reduzierung sämtlicher Gefahren, da ansonsten die Kosten in keinem adäquaten Verhältnis zum erzielbaren Nutzen stünden. Vielmehr geht es bei der systematischen Erfassung und Bewertung von Risiken um die gezielte Kontrolle und adaptive Steuerung von vorhandenen Risiken. Somit soll nach Eintritt einer Störung schnellstmöglich das ursprüngliche Leistungsniveau der Wertschöpfungskette wiederhergestellt werden. Damit bleibt der Einfluss auf die Wettbewerbsfähigkeit der Wertschöpfungskette möglichst gering.
Das Geschäft nicht gefährden
Pharmazeutische Produzenten, die ein wirkungsvolles Risikomanagement implementieren, stärken ihren Einkauf präventiv und können potenzielle Versorgungsrisiken frühzeitig vermeiden. Im Ernstfall können sie auf akute Herausforderungen zudem sofort reagieren. Für die Entwicklung und Umsetzung müssen vier Dimensionen des Risikomanagements berücksichtigt werden:
- Risikoarten und Key-Risk-Indicators
- Prozess
- Strategie und Organisation
- Tools
Risikoarten und Key-Risk-Indicators
In einer turbulenten Marktsituation stellen operative Risiken häufig die größte Gefahr dar, wenn Lieferanten nicht in der geforderten Kapazität oder Qualität liefern können und es zu Versorgungsengpässen kommt. Daneben besteht eine Vielzahl weiterer Risikoarten, die sich in interne und externe Risiken kategorisieren lassen (siehe Abbildung 1). Interne Risiken beschreiben hierbei die Risiken, die sich aus den Strukturentscheidungen der Organisation ergeben. Im Gegensatz dazu beziehen sich externe Risiken auf Unsicherheiten, die außerhalb der Kontrolle und des Einflusses der beteiligten Akteure der Supply Chain liegen.
Auch finanzielle Risiken können entstehen, wenn Lieferanten in finanzielle Schwierigkeiten geraten und ihre unternehmerische Tätigkeit nicht mehr aufrechterhalten können. Greifen Lieferanten auf reputationsschädigende Praktiken zurück, stellt dies ein Reputationsrisiko dar. Bei Marktrisiken wird die Lieferkette durch Marktbewegungen gestört. Mögliche Schäden beim Transport von Produkten führen zu einem Qualitäts- bzw. Materialausfall. Auch höhere Gewalt, z. B. in Form von Feuer oder Explosionen, dürfen Unternehmen ebenso wenig außer Acht lassen wie Naturkatastrophen, die die Lieferkette stören können, Cyberrisiken durch Cyberangriffe oder geopolitische Risiken: Dabei wird die Lieferkette von Kriegen, Handelsbarrieren oder Sanktionen gestört.
Durch quantitative und qualitative Key-Risk-Indicators (KRI) können all diese Risiken überwacht und gesteuert werden. In die Bewertung fließen einerseits vorhandene Daten, beispielsweise Lieferperformance, Fragmente vorhandener Lieferantenbewertungen oder Lieferantenselbstauskünfte in Form interner Quellen. Hinzu kommen externe Informationen: Frei zugängliche Indizes von etablierten NGOs zur Beschreibung von länderspezifischen Risikoarten wie Cyberkriminalität, Naturkatastrophen oder Menschenrechtsverletzungen. Außerdem ziehen Unternehmen lieferantenspezifische Bonitätsprüfungen hinzu, die auch die finanzielle Risikodimension abdecken.
Der Prozess des Risikomanagements
Nachdem sämtliche relevante Risikoarten definiert wurden und überwacht werden können, gilt es, einen zweistufigen Risikomanagementprozess zu etablieren. Er besteht zum einen aus der Identifizierung und Bewertung von Risiken und zum anderen aus der Ableitung, Durchführung und Nachverfolgung von Maßnahmen.
Eine wesentliche Voraussetzung zur Umsetzung dieses Risikomanagementprozesses besteht in der Schaffung von Datentransparenz. Organisationen müssen Antworten finden auf Fragen wie: Wo werden welche Produkte und Dienstleistungen eingekauft? Welche Vormaterialien (und gegebenenfalls Vorlieferanten) werden dafür benötigt? Welche Transportwege werden genutzt? Einkaufsverantwortliche sollten für diesen Schritt auch andere Bereiche der Organisation einbeziehen, zum Beispiel Produktion, Entwicklung, Qualität und Logistik, um sich ein umfassendes Bild für einen validen Ausgangspunkt weiterer Aktivitäten zu verschaffen. Bei der initialen Datenkonsolidierung müssen Akteure typischerweise mit mehreren Herausforderungen rechnen: Etwa die Menge an heranzuziehenden (Stamm-)Daten und dessen jeweilige Relevanz für das Risikomanagement.
Um den Risikomanagementprozess effizient aufzusetzen, lohnt es sich unter Umständen bestimmte Produktgruppen im Vorfeld zu priorisieren. Verantwortliche in der Organisation sollten sich bei der Definition relevanter Produktgruppen jedoch nicht nur auf die Bedeutung für den Umsatz konzentrieren – da auch kleinere Volumina zu einem Produktionsausfall führen können.
Datenbasis aufbauen
Nach Aufbau einer Datenbasis inklusive geeigneter KRIs werden die verschiedenen Arten von Risiken für Produkte, Warengruppen und Lieferanten bewertet, gegebenenfalls auch auf Kundenproduktebene. Verantwortliche sollten von vornherein definieren, in welchem Zyklus die Risikoanalyse wiederholt wird. Dabei kann in Eintrittswahrscheinlichkeit und Schwere unterschieden werden. Zunächst wird dafür die Brutto-Eintrittswahrscheinlichkeit bewertet, also das Eintreten eines bestimmten Risikos ohne entsprechende Gegenmaßnahme. Zur zielgerichteten Durchführung von Maßnahmen empfiehlt es sich, sowohl präventive als auch reaktive Maßnahmenpläne vorzubereiten. Maßnahmen können entweder sofort gestartet oder an die jeweilige Situation angepasst werden. Wurden bereits Maßnahmen implementiert, müssen diese Informationen aufgenommen werden, um zusätzlich eine Netto-Eintrittswahrscheinlichkeit zu ermitteln. Entscheidend ist dabei, dass Maßnahmenpläne schon im Vorfeld rechtzeitig gegenüber anderen Fachbereichen kommuniziert werden, um Überraschungen zu vermeiden. Nach Auswahl einer geeigneten Maßnahme findet eine interne Abstimmung statt, in der geklärt wird, wer für die Durchführung der jeweiligen Maßnahme verantwortlich ist. Bei Bedarf werden Kunden oder Lieferanten in die Kommunikationsstrategie einbezogen, sodass alle Stakeholder die gleichen, relevanten und richtigen Informationen zur Verfügung haben.
Kommunikationswege etablieren
Es empfiehlt sich, je nach Risikolage sowohl kurzfristige als auch langfristige Kommunikationswege im Risikomanagement zu etablieren. Zur kurzfristigen Kommunikation zählen Kommunikations- und Eskalationsstufen, um schnell weniger gravierende Risiken zu kontrollieren und auf Risiken flexibel reagieren zu können. Die langfristige Kommunikation umfasst unter anderem die Etablierung eines fachbereichsübergreifenden Komitees, das langfristige Maßnahmen entwickeln und durchsetzen kann. Um unternehmensweit Awareness zu schaffen und sicherzustellen, dass nicht nur der Einkauf das Thema verfolgt, sollten Verantwortliche dabei das oberste Management hinzuziehen.
Strategie und Organisation
Effizientes und erfolgreiches Risikomanagement ist keine alleinige Aufgabe des Einkaufs – andere Fachbereiche müssen gleichermaßen involviert werden. Damit das Risikomanagement ein Teil der gesamten Unternehmensstrategie wird, muss es auf alle relevanten Fachabteilungen gleichermaßen abgeleitet werden, sodass ein kongruentes Zielbild entsteht: Auf Logistik und Produktion ebenso wie auf den Einkauf. Erst im Anschluss und mit Unterstützung der Geschäftsführung können Verantwortlichkeiten klar bestimmt werden.
Je nach Komplexität empfiehlt es sich, zusätzlich eine dedizierte Verantwortlichkeit für das lieferantenseitige Risikomanagement zu etablieren, um ein Bindeglied zwischen den Fachabteilungen zu schaffen, welches ein funktionierendes Risikomanagement koordiniert und sicherstellt. Diese Rolle verantwortet die Nachverfolgung von Maßnahmen und prüft die Wirksamkeit des Risikomanagementsystems inklusive deren Maßnahmen. Je nach Qualität der verwendeten Datenbasis sollte über die Schaffung einer Position entschieden werden, die durch Datenaffinität sicherstellt, dass auch die Voraussetzungen für eine ausreichende IT-Unterstützung vorhanden sind.
Tools für den Erfolg
Die beschriebenen durchzuführenden Schritte ergeben eine umfassende Liste an Aufgaben, die erfüllt werden müssen, damit ein effizientes Risikomanagement im Unternehmen geschaffen wird. Die positive Botschaft für Verantwortliche lautet: Es existiert eine Vielzahl an professionellen Tools, die Sie dabei unterstützen können. Zudem können – je nach Komplexität – elementare und initiale Risikobewertungen oft in bereits vorhandenen Tools umgesetzt werden.
Verantwortliche sollten sich schon im Vorfeld ein Bild darüber verschaffen, welche Informationen ihnen bereits zur Verfügung stehen und welche zusätzlichen Informationen sie benötigen, um valide Risikobewertungen durchzuführen. Falls bereits eine elektronische Procurement-Suite zum Einsatz kommt, kann das Risikomanagement über entsprechende Schnittstellen aufgebaut werden. Professionelle Softwareanbieter verfügen hierbei über den Vorteil, in Echtzeit und mithilfe von künstlicher Intelligenz Daten generieren zu können, sodass sie stets aktuelle Vorkommnisse in der Planung ihrer mehrstufigen Lieferketten berücksichtigen können. Beispiele sind Streiks, Erdbeben oder eine Firmeninsolvenz.
Qualität, Sicherheit und Umwelt
Effektives Risikomanagement für Pharmaunternehmen kann sicherstellen, dass Lieferanten die Anforderungen an Qualität, Sicherheit und Umwelt erfüllen und regelmäßig überwacht werden. Es erleichtert zudem, diejenigen Lieferanten auszuwählen, die ein qualitativ hochwertiges Produkt zu einem guten Preis zur Verfügung stellen. Verantwortliche schaffen darüber hinaus aber auch wirkungsvolle Maßnahmen für die frühzeitige Erkennung von Herausforderungen und Bottlenecks.
Durch die konsequente Umsetzung der ausgeführten Aktionen gelingt es Unternehmen, ihr Risikomanagement im Einkauf auch in Anbetracht der aktuellen Herausforderungen signifikant zu verbessern. In Kombination mit einem ausgewogenen cross-funktionalen Lieferantenmanagement können Organisationen ihr Risikomanagement kontinuierlich verbessern und auf die nächste Stufe heben. So ist sichergestellt, dass sämtliche Risiken stets geringgehalten werden und die Resilienz des gesamten Unternehmens kontinuierlich gestärkt wird.
Höveler Holzmann Consulting GmbH, Düsseldorf
Autor: Tobias Stein
Manager,
Höveler Holzmann
Autor: Jakob Robben
Consultant,
Höveler Holzmann
