Einkauf und Security brauchen eine Risikoklassifizierung

Der Konflikt ist in fast jedem mittelständischen Unternehmen bekannt: Der Einkauf drängt darauf, einen neuen Lieferanten schnell einzubinden. Security verlangt mehr Prüfung. Der Einkauf verweist auf den Zeitdruck. Security verweist auf das Risiko. Am Ende wird eine Entscheidung vertagt, oder sie wird ohne klare Grundlage getroffen — und beide Seiten sind unzufrieden.

Zwei legitime Ziele, eine gemeinsame Lösung

Der Einkauf misst seinen Erfolg an Kosten und Durchlaufzeit. Wer Partner schnell onboarden kann, verschafft dem Unternehmen Flexibilität und schont das Budget. Das ist kein Fehler — es ist die Logik seiner Funktion.

Security schaut auf Risikoexposition. Wer ohne ausreichende Prüfung einen Lieferanten einbindet, der Zugang zu kritischen Daten oder Systemen erhält, schafft ein unkontrolliertes Risiko. Das ist ebenfalls kein Fehler — es ist die Logik ihrer Funktion.

Beide haben recht. Beide verfolgen Ziele, die für das Unternehmen wichtig sind. Der Fehler liegt nicht bei Einkauf oder Security — er liegt darin, dass kein gemeinsamer Rahmen existiert, der beide Perspektiven verbindet.

Warum Unternehmen im Kreis drehen

Ohne gemeinsamen Rahmen entscheidet jedes Mal neu: Wie tief prüfen wir diesen Lieferanten? Was ist vertretbar? Was nicht? Diese Fragen sind situationsabhängig, und die Antworten variieren je nach Zeitdruck, Stimmung und Verhandlungsposition. Das Ergebnis ist keine Steuerung — es ist Improvisation.

Die Konsequenz: Security blockt, Einkauf klagt, Entscheidungen verzögern sich oder werden am Prozess vorbei getroffen. Beiden Seiten fehlt Handlungssicherheit, weil der Rahmen fehlt, in dem sie handeln sollen.

Die Risikoklassifizierung als gemeinsamer Nenner

Eine Lieferanten-Risikoklassifizierung löst diesen Knoten — nicht weil sie alle Fragen beantwortet, sondern weil sie die entscheidende Frage vorab beantwortet: Wie kritisch ist dieser Lieferant für unser Unternehmen?

Die Klassifizierung orientiert sich an Faktoren wie Datenzugang, Systemintegration, Ersetzbarkeit und Ausfallwirkung. Ein Lieferant, der Büromaterial liefert, bekommt Klasse A — schnelles Onboarding, minimale Prüfanforderungen. Ein Lieferant, der Zugang zu Kundendaten hat oder in kritische Infrastruktur integriert wird, bekommt Klasse C — tiefe Prüfung, dokumentierte Risikoakzeptanz, vertragliche Anforderungen.

Das Ergebnis: Es wird nicht mehr diskutiert, ob geprüft wird. Sondern wie tief — abhängig vom Risiko. Einkauf behält Tempo für unkritische Lieferanten. Security behält Kontrolle dort, wo es zählt. Beide arbeiten auf Basis derselben Kriterien.

Was eine Klassifizierung braucht, um zu funktionieren

Eine Risikoklassifizierung ist kein Excel-Tab. Sie braucht drei Dinge, damit sie im Alltag trägt: Erstens klare Kriterien, die nicht jedes Mal neu ausgehandelt werden. Zweitens Legitimation durch die Führungsebene — wenn der Prozess von der Geschäftsleitung mitgetragen wird, haben Einkauf und Security eine gemeinsame Autorität im Rücken. Drittens eine Verbindung zur Risikoakzeptanz: Wer entscheidet, wenn ein Lieferant in Klasse C eingestuft wird, das Unternehmen ihn aber trotzdem benötigt? Dieser Beschluss muss auf Managementebene fallen.

Unsere Security-Assessments helfen dabei, genau diese Klassifizierungslogik aufzubauen — auf Basis des tatsächlichen Lieferantenportfolios, nicht als generisches Framework, das niemand verwendet.

Fazit

Der Zielkonflikt zwischen Einkauf und Security ist kein Personalthema — er ist ein Strukturthema. Eine gemeinsame Risikoklassifizierung gibt beiden Seiten Handlungssicherheit, ohne dass jeder Lieferant zum Einzelfall wird. Das spart Zeit, schafft Klarheit und macht aus einer Dauerdiskussion eine Entscheidungsgrundlage.