Verminderen kwetsbaarheid bij uitval leveranciers

Het is van belang dat internal auditors hun organisatie actief toetsen op de kwetsbaarheid voor uitval van kritieke leveranciers en partners. Zodat ook de gevolgen duidelijk zijn voor de continuïteit van de dienstverlening of productie/afzet van producten naar klanten. Dit als onderdeel van business continuity management.

Het beheersen/beperken van risico’s staat bij de meeste organisaties hoog op de agenda. Deze aandacht voor risico’s komt voort uit de dynamiek en complexiteit waarin organisaties opereren én uit een toename in interne en externe afhankelijkheden. Bijvoorbeeld de steeds complexer wordende toeleveranciersketen door globalisering, of een toename aan eisen die klanten stellen (sustainability-, leverbetrouwbaarheids- en kwaliteitseisen). Organisaties proberen het hoofd te bieden aan deze ontwikkelingen door in control te zijn en te blijven.

In control zijn

Het in control zijn – voor (beleids)normen en relevante regelgeving (denk aan NIS2 en DORA met betrekking tot IT-risico’s) – geldt voor de interne organisatie, maar ook voor alle externe partijen waarmee samengewerkt wordt. Te vaak gaat uitbesteding bijvoorbeeld (van een deel van het primaire of ondersteunende proces) gepaard met onvoldoende beheersing van daaraan verbonden (afhankelijkheids)risico’s, terwijl de continuïteit van leveranciers en hun partners voor bedrijven en organisaties van groot belang is.

Uitval van kritieke leveranciers en hun partners kan namelijk grote financiële, operationele, juridische en reputationele gevolgen hebben. De continuïteit van leveranciers en hun partners is tegenwoordig essentieel voor bedrijven en organisaties, omdat elke serieuze onderbreking ervan leidt tot directe impact voor de eigen organisatie én haar klanten en afnemers. De verplichtingen naar klanten en afnemers kunnen dan vaak niet of deels nagekomen worden. Daarbij maakt het niet uit of leveranciers door een cyberhack, een stroomstoring of uitval van gebouwen gaat: de impact is er direct en acute herstelmaatregelen zijn noodzakelijk.

Hoe weerbaar en veerkrachtig je bent als organisatie na uitval van een leverancier wordt bepaald door de keuzen die je van tevoren maakt

Supply chain business continuity management

Supply chain business continuity management (supply chain BCM) is het proces dat potentiële bedreigingen vanuit leveranciers en hun partners voor een organisatie identificeert en bepaalt wat de uitwerking op de operatie/dienstverlening van de organisatie is als deze bedreigingen zich daadwerkelijk voordoen. Om de bedreiging zo snel mogelijk te stoppen en de gevolgschade zoveel mogelijk te beperken, treden acute maatregelen in werking (bijvoorbeeld gebruikmaken van alternatieve leveranciers). De acute herstelmaatregelen zorgen er vervolgens voor dat de kritieke bedrijfsprocessen/dienstverleningen weer binnen een acceptabele periode hersteld kunnen worden.

Als bedrijf/organisatie kun je niet voorspellen welke onverwachte risico’s er precies op je pad komen wanneer leveranciers uitvallen. Maar je kunt wel voorspellen hoe je erop reageert. Hoe weerbaar en veerkrachtig je bent na uitval van een leverancier (of hun partner) wordt bepaald door de keuzen die je van tevoren maakt. Dit betekent dat je als afnemer ook minder kwetsbaar bent door specifieke BCM-eisen op te nemen in de contracten (SLA). Welke continuïteit moet een leverancier kunnen waarborgen en hoe toets je dat als afnemer? Door je bedrijf/organisatie voor te bereiden op het ongewone, ben je in staat om schade en verlies te beperken en snel weer volledig operationeel te zijn.

Drie adviezen voor internal audit

Internal audit (als derde lijn) vervult een essentiële rol om een onafhankelijk en objectief oordeel te vellen over het in control zijn van de organisatie. Hierbij is het verminderen van kwetsbaarheden binnen de organisatie en het vergroten van de veerkracht van organisaties een belangrijk onderdeel. Dit geldt ook voor het leveranciersmanagement. Drie concrete tips voor internal audit.

1 – Toets als auditor in hoeverre de continuiteïtsrisico’s van kritieke leveranciers en hun partners bekend zijn en of hierop adequate beheersmaatregelen zijn getroffen. En bovendien, worden de belangrijkste leveranciers ook geaudit, hoe en door wie? Welke rol heeft de eerste en tweede lijn hierin vanuit hun reguliere verantwoordelijkheid? De focus ligt hierbij op de zogenoemde first-tierleveranciers zelf, maar ook hoe deze weer met hún leveranciers(management) omgaan – om zo de hele supply chain te managen.

2 – Toets als auditor of contracten/dienstverleningsovereenkomsten ook bepalingen hebben met betrekking tot de continuïteit (naast de gebruikelijke aspecten als kwaliteit en kosten). Borduur hierbij voort op het continuïteitsplan van de organisatie (indien aanwezig). Het hebben van diepgaand inzicht in de zwakste schakels binnen het leveranciersmanagement van de organisatie is van groot belang. Niet alleen om de juiste beheersmaatregelen te treffen, maar ook om een auditprogramma op te zetten dat organisaties beter in staat stelt de continuiteïtsrisico’s bij leveranciers effectief te beheersen.

3 – Agendeer leveranciersmanagement en BCM bij de lijnverantwoordelijke en riskmanager (eerste en tweede lijn) en de raad van commissarissen/raad van toezicht (interne toezichthouder). Neem als internal audit het initiatief om het control framework te verbreden met dit thema. Ga in gesprek met deze interne stakeholders om het belang te benadrukken van deze verbreding in het licht van alle noodzakelijke maatregelen om risico’s van uitval van kritieke leveranciers en partners te voorkomen én om deze tijdig en adequaat te beheersen en te herstellen.