Inkooprisicomanagement; het onverwachte is onvermijdelijk nov. 2024.pdf

| Deal! | NOVEMBER 2024 | 17
“Belangrijkste risico’s zijn
cybercrime, kostenstijgingen,
en schaarste aan personeel,
grondstoffen en halffabrikaten”

omgevingsrisico’s zijn toegenomen. Risico’s die voortkomen
uit geopolitieke ontwikkelingen, klimaatverandering en ook
wetgeving, denk aan het EU Corporate Sustainability Due
Diligence Directive en de EU-anti-ontbossingswetgeving die
de gemoederen bezighouden. En dat zijn de risico’s waar je
als inkoop nauwelijks of niets aan kunt doen. Wel zijn er dienst-
verleners, zoals Sphera en Prewave, die real time alerts geven
over mogelijke risico’s. Zoals natuurrampen, stakingen, cy-
beraanvallen en politieke instabiliteit die invloed kunnen hebben
op toeleveranciers.
SCALE
Een interessante ontwikkeling is dat het in kaart brengen van
risico’s in ketens in de VS een zaak van nationaal belang is ge-
worden. Het Commerce Department introduceerde daarvoor dit
jaar ‘SCALE’, een diagnose-instrument dat beleidsmakers waar-
schuwt voor tekorten aan kritische materialen. Kritisch in de zin
van een risico voor de Amerikaanse economie en staatsveiligheid.
De eerste ervaring is opgedaan met het vaststellen van de risi-
co’s in de supply chains van AI-datacenters.
Cyberaanval
Het verkleinen van omgevingsrisico’s mag dan lastig of soms
zelfs onmogelijk zijn, je kunt je wel voorbereiden op de mogelijke
gevolgen. Neem het risico van een cyberaanval. Het is een
relatief nieuw risico, dat grote gevolgen kan hebben voor steeds
meer organisaties, want het aantal aanvallen neemt jaar op jaar
toe. Uit recent internationaal onderzoek van KnowBe4, platform
voor security-awareness trainingen en simulated phising, blijkt dat
de maakindustrie het zwaarst wordt getroffen door cyberaan-
vallen. Een op de vier incidenten is op deze sector gericht, waar-
van 45 procent malware-aanvallen zijn.
Losgeldbetalingen
De maakindustrie zag een stijging van 88 procent in losgeldbeta-
lingen, die het afgelopen jaar gemiddeld 2,4 miljoen dollar be-
droegen. VDL Groep is een conglomeraat van ruim honderd
maakbedrijven en was enige jaren geleden het doelwit van een
cyberaanval. VDL was op dit risico voorbereid met een draaiboek
voor zo’n aanval en de ondersteuning van een gecontracteerd
cyperbeveiligingsbedrijf. Systemen werden direct losgekoppeld
en de back-ups veiliggesteld.
Leverancierssegmentatie
Organisaties, zeker de grote, hebben (vele) duizenden leveran-
ciers. Het is schier onmogelijk om het inkooprisicomanagement
op al die leveranciers te richten. Inkooprisicomanagementexpert
Van Veen hanteert daarom een risicogebaseerde leveranciers-
segmentatie, in de vorm van een matrix. Op de verticale as, die
de mate van business impact aangeeft, staan de verschillende
leverancierssegmenten: onderaan de basisleveran-
ciers, helemaal bovenaan de strategische leveran-
ciers. Op de horizontale as de waarschijnlijkheid/
kans dat een omgevings- of leveranciersrisico zich
daadwerkelijk voordoet. Van links naar rechts: van
kleine kans naar grote kans. Zo ontstaat een heat-
map, met in het rechter bovenkwadrant de rode le-
veranciers waarop het risicomanagement zich voor-
al moet richten.
De 4 T’s
Daarmee komen we op de vraag wat te doen met
het risico bij een bepaalde inkoopcategorie? De 4
T’s spelen hierbij een grote rol: Terminate, Treat,
Transfer en Take.
1. Grote kans en grote impact: Terminate. Door
bijvoorbeeld de inkoop anders te organiseren, of
door insourcing. Boeing is een goed voorbeeld.
Door aanhoudende kwaliteitsproblemen bij Spi-
rit Aero Systems (onder meer een losschietende
deur), belangrijkste leverancier van onder meer
rompdelen, besloot Boeing tot overname van dit
bedrijf.
2. Grote kans, kleine impact: Transfer. Het risico
overdragen aan bijvoorbeeld een verzekeraar of
aan de leverancier door bijvoorbeeld het gebruik
van de Algemene Inkoopvoorwaarden.
3. Kleine kans, geringe impact: Take. Accepteer
het risico en hou bijvoorbeeld een veiligheids-
voorraad aan. Besteed in eerste aanleg weinig
resources aan dit segement.
4. Kleine kans, grote impact: Treat. Bijvoorbeeld
door dual sourcing of de positie creëren van pre-
ferred customer. Neem Sligro. Deze Nederlandse
voedingsmiddelengroothandel koopt sinds jaar
en dag vele containers olijfolie bij een Spaanse
leverancier. Vorig jaar was de olijfoogst door kli-
maatverandering zeer laag. Omdat Sligro voor
deze leverancier preferred customer is, kreeg
men toch nog wat geleverd, maar moest men
noodgedwongen ook uitwijken naar Griekenland.
Zelf gecreëerd risico
Van Veen: “Let wel; risico’s kunnen zich bewegen in
de heatmap en van kleur verschieten. Het continue
monitoren van de positionering van een leverancier
in deze heatmap is daarom van essentieel belang.”
En risico’s zijn er niet alleen in de keten. “Sterker
nog”, zegt Van Veen: “In de eigen organisatie liggen
vaak de grootste risico’s. Als je primair op kosten
stuurt, leveranciers jaar na jaar uitknijpt, dan cre-
ëer je zelf een risico, zeker in inkoopcrisissituaties
waar het er echt om gaat. Zo’n zelf gecreëerd risico
is ook een slechte alignment met een belangrijke
leverancier, door bijvoorbeeld conflicterende orga-
nisatieculturen.”
Procesmatige aanpak
Goed inkooprisicomanagement begint daarom in
de eigen organisatie. Van Veen hanteert een leve-
ranciersrisicomanagement proces in zes stappen.
“We moeten investeren
in het beheersen van
leveranciersrisico’s”
18 | Deal! | NOVEMBER 2024 |

basis van de SCoC, om er zeker van te zijn dat de standaarden
worden gerespecteerd.”
Zwaarder aangezet
Kortom: inkooprisicomanagement vraagt om een gediversifieer-
de aanpak en dat is allesbehalve nieuw voor DHL. Wat wel nieuw
is, dat het op corporate niveau, gezien de Duitse Supply Chain
Act (Lieferkettengesetz), inmiddels zwaarder is aangezet. Het
team van Behncke staat opgesteld om de risico’s zoals op het
gebied van ESG, cyberaanvallen en de financiële risico’s bij derde
partijen in kaart te brengen, te meten en indien nodig te mitige-
ren. Het creëren van bewustwording binnen de organisatie hoort
daar ook bij. Diverse gespecialiseerde partijen leveren de infor-
matie aan over onder meer de diverse soorten risico’s. Financiële
informatie over onder meer toeleveranciers, informatie over lan-
denrisico’s en mensenrechten.
Aggregatietool
DHL maakt gebruik van een spend management tool, waaronder
de module voor risicomanagement. Behncke: “We zetten het in
als een aggregatietool voor alle informatie over risico’s. Ook
kunnen leveranciers door middel van deze applicatie vragen stel-
len.” Dit tool is ook van groot belang voor het kunnen rapporte-
ren. Duitsland, het moederland van DHL, kent sinds twee jaar de
eerdergenoemde Lieferkettengesetz, wetgeving die grote orga-
nisaties verantwoordelijk stelt voor misstanden in hun supply
chains. Een misstand vormt een risico, omdat het bedrijf verant-
woordelijk is voor de gevolgen. Conform deze wetgeving moeten
bedrijven hun risicomanagementactiviteiten rapporteren. Dat is
mogelijk met de risicomanagementtool.
CSDDD
Dit jaar moeten grote bedrijven in de EU voor het ­ eerst
­ rapporteren conform het Corporate Sustainability Reporting
Directive (CSRD). Op de drempel staat ook nieuwe wetgeving.
Eerder dit jaar werd het Corporate Sustainability Due Diligence
Directive (CSDDD) door het Europees parlement aangenomen.
In 2027 wordt deze wetgeving van kracht voor alle grote
­ bedrijven in de EU, en zijn ze verantwoordelijk voor misstanden
in hun activiteitenketens, zowel downstream als upstream.
Behncke ziet CSDDD ook als een kans voor DHL: “Het creëert
een level-playing field in de EU. Niet alleen voor Europese bedrij-
ven, maar ook voor bedrijven van buiten de EU die in de EU za-
kendoen.” En, deze wetgeving geldt niet alleen upstream in de
keten, maar ook downstream naar klanten. “Dat biedt een grote
kans voor een bedrijf als DHL, want klanten zijn in toenemende
mate op zoek naar een logistieke partner die echt oog heeft voor
mens en milieu”, aldus Behncke.
•
Een van de essentiële stappen is de hierboven be-
sproken leveranciersrisicoclassificatie. Het risico-
managementproces loopt parallel met, en is gekop-
peld aan, het strategische sourcingproces, dat ook
weer zes stappen kent. In elke sourcingfase vindt
de juiste risicomanagementactiviteit plaats. Van
Veen: “Dat proces eindigt met proactief prestatie-,
contract- en leveranciersmanagement. Een van de
grote voordelen van deze procesmatige aanpak is
zeker ook dat de contract- of leveranciersmanager
zijn werk beter kan doen. Er komen immers minder
risico’s uit de hoge hoed.”
Grotere risico’s
DHL is de grootste logistieke onderneming ter
wereld. Marc Behncke is vice president corporate
supplier risk management bij DHL. Hij heeft een
toename gezien van het aantal risico’s door cy-
beraanvallen en meer focus op export control en
trade compliance als gevolg van geopolitieke span-
ningen. Trade compliance is inherent aan het busi-
nessmodel van DHL, dat actief is in zo’n 220 landen,
maar de handelsrisico’s zijn duidelijk groter gewor-
den. Behncke constateert dat de global trade
weliswaar nog licht toeneemt, maar dat handels-
barrières tot een sterkere groei leiden in de intra-
regionale handelsstromen.
In het business-DNA
Risicomanagement is voor DHL allesbehalve een
nieuwe activiteit. Het zit als het ware in het busi-
ness-DNA. Je moet wel weten wát je vervoert, en of
het veilig en verantwoord is. Alleen al daarmee hou-
den veel medewerkers zich dagelijks bezig. Sinds
jaar en dag is het ook een essentieel onderdeel van
het strategische inkoopproces. DHL wil uitsluitend
zakendoen met leveranciers die dezelfde standaar-
den hanteren als DHL. Daarom dient elke leveran-
cier een leveranciersgedragscode (Supplier Code of
Conduct – ScoC) te accepteren. In bepaalde cate-
gorieën ziet corporate supplier risk manager Behncke
een toename van de risico’s. “In de inkoopcategorie
van diensten – zoals wegvervoer – bijvoorbeeld be-
oordelen en auditen we onze onderaannemers op
“Als je primair op kosten
stuurt en leveranciers jaar
na jaar uitknijpt, dan creëer
je zelf een risico”
| Deal! | NOVEMBER 2024 | 19