KI in der Lieferkette Governance: KI bei Lieferanten bringt neue Risiken mit sich

Anbieter zum Thema

IntegrityNext GmbH

xSuite Group GmbH

Esker Software Entwicklungs-und Vertrieb

Yorizon GmbH & Co. KG

Autonome KI bei Lieferanten schafft neue Haftungs‑ und Audit-Risiken. Unternehmen müssen digitale Entscheidungen kontrollieren, bevor Aufsicht und Prüfer belastbare Nachweise hinsichtlich Governance und Compliance verlangen.

Viele Unternehmen haben in den vergangenen Jahren gelernt, Lieferketten anhand von Kennzahlen zu steuern: Emissionen, Zertifikate, Sorgfaltspflichten und Selbstauskünfte. Was zur Erfüllung von Governance und Compliance längere Zeit kaum im Fokus stand, ist eine andere Dimension: Wie entstehen Entscheidungen in der Lieferkette – und wer trifft sie eigentlich? Diese Frage gewinnt jetzt massiv an Bedeutung. Denn künstliche Intelligenz ist längst nicht mehr auf Pilotprojekte oder Innovationsabteilungen beschränkt. Lieferanten setzen KI ein, um Bestände zu optimieren, Aufträge zu priorisieren, Liefertermine zu disponieren, Risiken zu bewerten oder Eskalationen vorzubereiten – teilweise automatisiert, teilweise autonom.

Damit verschiebt sich die Verantwortung. Wenn ein KI‑System bei einem Lieferanten Fehlentscheidungen trifft, Verzerrungen erzeugt oder Sicherheitsprobleme verursacht, bleiben die Folgen selten dort stehen, wo sie entstehen. Sie schlagen sich nieder in Lieferausfällen, Vertragsverstößen, Reputationsschäden oder regulatorischen Fragen – und landen damit beim Auftraggeber. Die zentrale Frage lautet daher nicht mehr: Setzt ein Lieferant KI ein?
Sondern: Welche Entscheidungen beeinflusst diese KI – und unter welchen Kontrollen?

Warum daraus ein Risk‑ und Compliance‑Thema wird

Die meisten ESG‑ und Third‑Party‑Risk‑Frameworks stammen aus einer Zeit, in der Entscheidungen klar menschlich getroffen wurden. Sie erfassen Prozesse, Richtlinien und Kennzahlen – nicht aber algorithmische Entscheidungslogiken oder den Grad von Autonomie. In der Praxis führt das zu Lücken. Bei KI wird dieser Ansatz nicht ausreichen.

Mit zunehmender KI‑Regulierung verschiebt sich der Anspruch von Transparenz hin zu Nachweisbarkeit. Regulatoren, Wirtschaftsprüfer, Kunden und Aufsichtsgremien werden weniger danach fragen, ob Unternehmen „Prinzipien“ definiert haben, sondern ob sie wirksame Kontrollen umgesetzt haben – auch bei Dritten. Konkret bedeutet das: Unternehmen müssen erklären können,

• wo KI im Lieferantennetzwerk eingesetzt wird
• welche Entscheidungen dadurch beeinflusst oder ausgelöst werden,
• wie menschliche Kontrolle sichergestellt ist
• und wie Entscheidungen im Nachhinein nachvollzogen werden können

Das ist klassische Compliance‑Logik. Und sie endet nicht an der eigenen Organisationsgrenze. Besonders relevant ist das in komplexen Branchen wie der diskreten Fertigung. Hier treffen Systeme permanent Entscheidungen über Mengen, Prioritäten oder Lieferzeitpunkte. Je stärker automatisiert wird, desto größer ist der Einfluss von KI – und desto wichtiger wird ihre Governance.

Vom ESG‑Projekt zur neuen Grunddisziplin

Damit wird Lieferanten‑KI zu einem festen Bestandteil des Third‑Party‑Risk‑Managements. Ähnlich wie Cybersecurity oder Sanktionen entwickelt sich ein neues Mindestniveau an Erwartungen: klar definierte Verantwortlichkeiten, dokumentierte Prozesse, Eskalationsmechanismen und Audit‑Fähigkeit.

Unternehmen, die hier früh Strukturen schaffen, sind im Vorteil. Sie müssen Governance nicht unter regulatorischem Druck nachziehen, sondern können Standards selbst setzen – und KI in der Lieferkette nutzen, ohne Kontrolle abzugeben.

Fünf Schritte, um Governance beherrschbar zu machen

Damit Governance nicht abstrakt bleibt, lassen sich fünf praktische Schritte ableiten, die Unternehmen schon heute umsetzen können:

• 1. KI sichtbar machen: Erstellen Sie eine Übersicht, wo Lieferanten KI einsetzen und welche Prozesse betroffen sind. Besonders relevant sind Entscheidungen mit Einfluss auf Kosten, Qualität, Lieferfähigkeit oder Vertragsbeziehungen.
• 2. Entscheidungsrechte definieren: Trennen Sie klar zwischen KI als Empfehlungssystem und KI als Entscheidungsinstanz. Legen Sie fest, wo menschliche Freigaben verpflichtend sind – etwa bei Ausnahmen, Eskalationen oder hochvolumigen Transaktionen.
• 3. Governance vertraglich verankern: Verankern Sie KI‑Governance in Lieferantenverträgen und Codes of Conduct. Dazu gehören Anforderungen an Human‑in‑the‑Loop, Eskalationspflichten und Mindeststandards für Dokumentation.
• 4. Audit‑ und Incident‑Fähigkeit sicherstellen: Governance heißt auch: Entscheidungen erklärbar machen. Logs, Versionsstände, Change‑Dokumentation und definierte Incident‑Prozesse sind Voraussetzung dafür, im Prüf‑ oder Krisenfall handlungsfähig zu bleiben.
• 5. Verantwortung organisatorisch bündeln: Lieferanten‑KI ist kein Thema für eine einzelne Abteilung. Procurement, Compliance, Legal, IT‑Security und Risikomanagement erfordern gemeinsame Standards und klare Zuständigkeiten.