Blockchain AuditCloud — Sichere Verlagerung von Unternehmensaudits in die Cloud
Wie Blockchain/DLT die Zertifizierung von Unternehmen in NRW automatisieren kann
Co-Authors: T. Bergs, Johannes Mayer, A Beckers, A. Stoffers
This article is also available in English.
Präambel
Dieser Use Case ist innerhalb des vom Ministerium für Wirtschaft, Innovation, Digitalisierung und Energie des Landes Nordrhein-Westfalen geförderten Projekts Blockchain Reallabor für das Rheinische Revier entstanden, mit dem Ziel eine themabezogene Interessengemeinschaft zu bilden. Wenn Sie sich angesprochen fühlen, wenden Sie sich bitte an uns (mail@senseering.de), Alexander Stoffers von NextAudit oder direkt an das Projekt (kontakt_realllabor@fit.fraunhofer.de oder https://blockchain-reallabor.de/). Die ursprüngliche Publikation des Blockchain Reallabors findet sich hier.
Problemstellung
Audits erfüllen die Aufgabe der Überprüfung und des Nachweises, ob bspw. ein Produktionsprozess anhand ausgewählter Prüfkriterien den Qualitätsanforderungen entspricht [1]. Mögliche Kriterien an den Produktionsprozess sind u. a. die Produktivität (Ausbringungsmenge im Verhältnis zur Einsatzmenge), die Prozessstabilität, die Gewährleistung der zu erfüllenden Funktion und die Skalierbarkeit. Audits werden allgemein zwischen First Party (Produkt-, Prozess-, Systemaudit), Second Party (Lieferantenaudit) und Third Party (Zertifizierungsaudit) unterschieden. Sie finden in festen zeitlichen Intervallen statt und werden von einem neutralen Auditor sowie von einem begleitenden, unbeeinflussten Beobachter durchgeführt. Anhand der bereitgestellten Informationen bewertet der Auditor die Produkte/Prozesse, verordnet ggf. umzusetzende Maßnahmen und berichtet der zuständigen Leitung von den Ergebnissen seiner Überprüfung. Für Unternehmen aus verschiedenen Branchen ist es für den Erfolg zwingend notwendig, eine gültige Zertifizierung aufzuweisen. Insbesondere bei sicherheitskritischen Bauteilen und deren Produktionsprozessen haben Zertifizierungen und dementsprechend Auditierungen eine zentrale Bedeutung [3].
Audits sind durch sieben Prinzipien charakterisiert, deren Einhaltung äußerst problematisch nachzuweisen ist [4]. Alle am Auditprozess beteiligten Personen (u. a. Auditor und Beobachter etc.) sollen integer, sachlich, sorgfältig, vertraulich, unabhängig, faktengestützt und risikoorientiert handeln. Dies setzt u. a. Ehrlichkeit, Verantwortung, Kompetenz, Unparteilichkeit, Objektivität, Sensibilität und Sicherheit von Informationen gegenüber jeglichen Einflüssen auf ihr Urteilsvermögen bei der Prüfung von Produkten/Prozessen voraus. Diese Eigenschaften können aktuell nur schwer garantiert oder bewiesen werden. Das potenzielle Misstrauen in den Intermediär bzgl. der neutralen Bewertung und des Umgangs mit den bereitgestellten produkt-/prozessspezifischen Informationen sowie die einmalige Prüfung der Produkte/Prozesse innerhalb eines definierten zeitlichen Intervalls (termingebunden) kann sich auf das Vertrauen des Kunden auswirken.
Durch das fehlende Vertrauen in den Intermediär wird in der Industrie eine sehr große Anzahl an Lieferanten-Audits durchgeführt, da jeder Kunde eigenständig seine Lieferkette prüft. Das fehlende Vertrauen führt also zu einer Überauditierung in der Wirtschaft, die volkswirtschaftlich vermieden werden soll. Einfaches Beispiel: Sowohl VW als auch BMW beziehen Teile von Zulieferer Rehau. VW auditiert Rehau mit Schulnote 1, in der nächsten Woche kommt BMW und auditiert Rehau auch mit Schulnote 1, da das gleiche Schema genutzt wird. Ein Audit war volkswirtschaftlich überflüssig.
Lösungsansatz
Als mögliche Lösung für die Problematiken des fehlenden Vertrauens in die einheitliche, neutrale Bewertung der Auditoren und die termingebundene Auditierung kann eine blockchain-basierte Lösung für alle Auditakteure (produzierende Unternehmen, Zulieferer, Kunden) Abhilfe schaffen.
Die Auditierung basiert auf dem verschlüsselten Transfer aller audit-/zertifizierungsrelevanten Informationen eines Lieferanten bzw. produzierenden Unternehmens in die Blockchain-Plattform. Verantwortliche Stellen können auf diese Prozessdaten zugreifen (bspw. durch Bezahlung eines speziellen Zertifizierungs-Tokens), entweder zur Prüfung einer Neu-Zertifizierung oder zur Kontrolle, ob ein Unternehmen, Lieferant, Prozess oder Produkt die nötigen Anforderungen zur Wahrung der aktuellen Zertifizierung erfüllt. Der Auditor übernimmt in diesem Szenario den neuen Aufgabenbereich eines Datenanalysten, der die Zuverlässigkeit der digitalen Daten und Systeme beurteilt und Risiken schneller erkennt. Sobald er die verfügbaren Daten untersucht, wird über einen Smart Contract die Bezahlung für den Aufwand des Audits gefordert. Bei der Datenanalyse werden die bereitgestellten Daten anhand der definierten Prüfkriterien gegen die Qualitätsanforderungen gespiegelt und verschlüsselt Feedback (ggf. mit Korrekturmaßnahmen) in die Blockchain-Plattform transferiert, bei Bedarf in Echtzeit. Smart Contracts ermöglichen einen unmittelbaren Transfer der Maßnahmen, sodass diese, nach Kenntnisnahme des betroffenen Unternehmens, schnellstmöglich implementiert werden können. Wurden die Anforderungen erfüllt, wird via Smart Contract die erfolgreiche Zertifizierung bestätigt, ansonsten wird diese entzogen. Jeder Akteur entlang der Wertschöpfungskette kann nun die erfolgreiche/nicht erfolgreiche Zertifizierung einsehen.
Einerseits ist die Auditierung durch die Obsoleszenz des Auditors bzw. dessen Rollenverschiebung hin zu einem reinen Datenanalysten, faktengestützt, objektiv und transparent. Andererseits stehen Unternehmen stets in der Verantwortung, ihre Produkte oder Prozesse gemäß den zertifizierungsrelevanten Anforderungen zu gestalten, da durch das Bereitstellen der Informationen jederzeit unerwartet eine Auditierung automatisch durchgeführt werden kann. Das Vertrauen der Stakeholder in die Produkte/Prozesse wird durch diese Verpflichtung des produzierenden Unternehmens gewahrt/erhöht.
In einem ersten Schritt bietet es sich an, ein Network of Trust mit Lieferantenaudits aufzubauen, bei der noch nicht die Produktionsprozesse automatisiert in eine datengetriebene Auditierung aufgenommen werden. Statt dessen könnten Lieferantenaudits fälschungssicher auf einer Blockchain abgelegt werden und von anderen Partnern im Produktionsnetzwerk bei Einsicht über einen Smart-Contract bezahlt werden. Schon mit dieser Herangehensweise wäre es möglich viele überflüssige Audits einzusparen. Das Network of Trust ließe sich über einen integrierten Bewertungsmechanismus (KI-unterstützt) weiter aufbauen.
Eine Blockchain AuditCloud ermöglicht kosteneffektive, datengetriebene und manipulationsfreie Verifikationsprozesse. Die Kosten für die dritte Instanz des Auditors werden reduziert und das Bezahlen bspw. für den Datenanalysten, das Audit oder das Zertifizieren erfolgt automatisch. Über die erzeugte Transparenz gilt letztendlich das Vertrauen als verifiziert. Eine Auditierung kann jederzeit automatisch durchgeführt werden (24/7-Audits). Verbesserungen an den Produkten, Prozessen oder Lieferketten sind schneller umzusetzen, da nicht auf die Auditierung am bspw. Jahresende gewartet werden muss. Die einfache, automatische und schnelle Durchführbarkeit hebt die Begrenzung auf Stichproben auf und ermöglicht das Überprüfen ganzer Datenbestände. Dies fördert das Arbeiten/Produzieren nach Zertifizierungsstandard und damit das Kundenvertrauen. Der Bericht, der als Beweis für die durchgeführte Auditierung aufzubewahren ist, kann manipulationssicher in der Blockchain gespeichert werden.
Eine erfolgreiche Zertifizierung bzw. die Nicht-Zertifizierung ist für jeden Partner entlang der Wertschöpfungskette sichtbar, digital gekennzeichnet und zurückverfolgbar. Gefälschte Zertifizierung sind sofort ersichtlich. Der Vorteil dieser Transparenz ist das Vertrauen von produzierenden Unternehmen in Hersteller/Lieferanten aus anderen Ländern und deren Zertifizierung, sodass Materialien auch aus bisher unberücksichtigten, misstrauten Ländern bezogen werden kann [5].
Herausforderungen
Für den beschriebenen Anwendungsfall ist ein einheitlicher Audit- und Zertifizierungsprozess notwendig, welcher bspw. in Form eines ISO-Standards definiert werden sollte. Standards für eine erfolgreiche Zertifizierung komplettieren den Aspekt des vollkommenen Vertrauens, da sie einen durchgängigen Bewertungsmaßstab zwischen verschiedenen Unternehmen garantieren. Ein Abgleich mit den zertifizierungsrelevanten Anforderungen eines solchen Standards bedarf einer Identifikation geeigneter, bauteil-/prozessspezifischer Prozessdaten. Die Einflüsse einzelner Prozesseingangsgrößen auf Bauteilmerkmale müssen hierfür hinreichend bekannt sein bzw. über entwickelte Modelle abgeleitet werden, sodass Abweichungen von Vorgaben identifiziert werden können. Zur Datenerhebung ist die Implementierung von Sensorsystemen erforderlich, welche die Informationen in ein dezentrales Netzwerk übertragen. Ist die Verfügbarkeit geeigneter Daten gewährleistet, sind die ursprünglichen Auditoren aufgrund ihren neuen Rolle als Datenanalysten in Form einer Schulung zu befähigen, um aus den vorliegenden Daten audit- bzw. zertifizierungsrelevante Aussagen zu treffen.
Anwendungsfallübergreifend sind sowohl das Vertrauen in die bereitgestellten Daten als auch die Auswahl der Technologie zu lösende Herausforderungen. In die Blockchain-Plattform transferierte Informationen sind unveränderlich und werden zu Vertrauenszwecken lückenlos mit einem Orts- und Zeitstempel spezifiziert. Dies ermöglicht zu jedem Zeitpunkt eine Rückverfolgbarkeit. Das Abgleichen und Kontrollieren der Transaktionen und Informationen durch die Teilnehmer des Netzwerks schafft ebenfalls Vertrauen in die Richtigkeit der Daten. Ein Abgleich von Maschinenlaufzeiten und produzierter Menge gewährt eine Verifikation der gespeicherten Informationen. Bei der Auswahl einer passenden Technologie ist zu berücksichtigen, dass deren Eigenschaften unterschiedliche Ausprägungen haben. Eine Ethereum-Blockchain weist bspw. eine hohe Flexibilität bzgl. der Festlegung von Bedingungen für die Ausführung von Smart Contracts auf, die Komplexität dieser Technologie ist jedoch deutlich höher als bei anderen Technologien. Die Beziehung zwischen diesen Eigenschaften ist zudem konkurrierend. Eine Optimierung der Flexibilität ist nicht gleichzeitig mit der Verbesserung der Performance möglich. Letztlich definieren die Eigenheiten des individuellen Anwendungsfalls die geeignete Technologie. Der sog. Tangle aus der Kategorie der Distributed Acyclic Graphs (DAG) eignet sich im Umfeld der Produktion, in welchem große Datenmengen anfallen, besonders aufgrund seiner sehr guten Skalierbarkeit und der hohen Transaktionsgeschwindigkeit im Vergleich zu klassischen Bitcoin-Blockchain.
Stakeholder
Produzierende Unternehmen, Audit- und Zertifizierungsanbieter sowie sonstige Vertragspartner des produzierenden Unternehmens entlang der gesamten Wertschöpfungskette (Lieferanten, Kunden, Produzenten) zählen zu potenziellen Stakeholdern für diesen Anwendungsfall. Eine blockchainbasierte Auditierung, ob produkt-, prozess- oder lieferantenbezogen, schafft Vertrauen bei den Kunden in das jeweilige Produkt und das Unternehmen. Die angestrebte Lösung eignet sich besonders für Wertschöpfungsnetzwerke ohne starre Hierarchien wie z. B. in klassischen Automobil-Zulieferketten. Die Abhängigkeit von den Kunden erhöht innerhalb hierarchischer Lieferketten den Druck so stark, sodass ein gewisses Qualitätsniveau sichergestellt werden muss. In nicht hierarchischen Netzwerken fehlt dieser beschriebene Machtfaktor. Eine Zertifizierungsvariante, wie in diesem Anwendungsfall beschrieben, und die damit verbundene Verifikation durch die Netzwerkteilnehmer kann insbesondere bei klein- und mittelständischen Unternehmen an dieser Stelle Abhilfe leisten.
Unternehmen aus Nordrhein-Westfahlen bietet bereits Bausteine zur Lösung für das beschriebene Konzept an. Die Kombination der vorhandenen Expertise in der cloudbasierten Auditierung, in der Bereitstellung von Plattformen für einen freien und missbrauchsgeschützten Datenhandel sowie in produktionstechnischen Fragstellungen ermöglicht das Potenzial einer kurzfristigen Umsetzung und Implementierung dieses Anwendungsfalls. Jedem Lieferanten oder Produzenten wäre es so möglich, den aufwendigen, kostenintensiven Auditprozess vor Ort durch einen manipulationsfreien, datengetriebenen, automatisierten Verifikationsprozess zu ersetzen und gleichzeitig durch das, beim Kunden geschaffene Vertrauen in die Produkte und Prozesse, die Absatzmenge zu erhöhen.
Vorarbeiten
In NRW (Aachen) existiert mit dem Startup nextAudit UG ein ähnlicher Prototyp. Unter dem Projektnamen AuditCloud stellt die nextAudit UG eine Cloud-Plattform zur ganzheitlichen Abbildung von Auditprozessen zur Verfügung. Für jeden Prüfprozess bietet nextAudit die Auditplanung, unterschiedliche Auditvorlagen, die Auditdurchführung und -nachbereitung sowie die Maßnahmensteuerung an. Eine Verknüpfung mit bspw. dem Tangle würde die vorliegenden Vorteile des Startups nextAudit UG („einfache, schnelle Audits“, „Transparenz“ und „Reduzierung des Dokumentations-aufwands“) auf ein neues Level anheben. Eine automatische Auditierung, Zertifizierung, Bezahlung und manipulationssichere Speicherung von Daten und Zertifikaten können die AuditCloud vervollkommnen. Ein möglicher Kooperationspartner wäre die Senseering GmbH (Sitz in Aachen), welche eine DLT-Datenplattform anbietet, die einen freien Datentausch ermöglicht. Daten werden getauscht, ohne die Datenhoheit der Besitzer zu verletzen oder die Informationen zu missbrauchen. Die Datenplattform MyDataEconomy macht dies durch die Schlüsseltechnologien 5G, DLT und Cloud-/Edge-AI möglich. Eine Kooperation der beiden Startups mit dem Werkzeugmaschinenlabor (WZL) der RWTH Aachen University könnte die regionale Nähe nutzen und die vorhandene individuelle Expertise der Parteien in den Fachbereichen Auditierung, Datenhandel sowie Produktion bündeln, sodass dieser Anwendungsfall kurzfristig umsetzbar wäre.
Next Steps: Lieferantenaudits
Die Automobilindustrie legt großen Stellenwert auf ein geregeltes Qualitäts- und Prozessmanagement. OEMs sowie Zulieferer unterliegen strengen Auflagen, um eine hohe Qualität hinsichtlich der Produkte, Prozesse und Infrastrukturen innerhalb der gesamten Lieferkette sicherzustellen. Eine Zertifizierung soll das Vertrauen des (potenziellen) Kunden in die System- und Prozessqualität schaffen. Ein Lieferant wird nur befähigt, einen Automobilhersteller zu beliefern, wenn er ein gültiges Zertifikat aufweisen kann.
Variante A: Kauf eines fremd durchgeführten Audits als Nachweis erfolgreicher Auditierung
Ein Lieferant beliefert unterschiedliche OEMs und wurde in der Vergangenheit mehrfach erfolgreich auditiert und zertifiziert. Ein neuer potenzieller OEM möchte aufgrund der Reputation ebenfalls denselben Lieferanten beauftragen, verlangt jedoch vorher eine Auditierung. Das Audit durchführende Unternehmen kann jedoch bspw. aufgrund zeitlicher Engpässe keinen Audit durchführen.
Lösung: Der letzte Audit wurde von einem renommierten Unternehmen durchgeführt und für gut befunden. Das Audit durchführende Unternehmen, welches aufgrund der zeitlichen Engpässe keinen eigenen Audit durchführen kann, kann über eine DLT-Plattform den Lieferantenaudit kaufen und nachweisen, dass der Lieferant die gestellten Anforderungen erfüllt.
Variante B: Überwindung von Machtgefällen
Variante B grenzt sich zu Variante A durch die Machtsymmetrie zwischen zwei Parteien einer Lieferkette ab. Annahme: Innerhalb einer Lieferkette der Automobilindustrie sind sämtliche Zulieferer zu auditieren. Diese Zulieferer können Big Player wie Bosch sein oder kleine mittelständische Unternehmen. Die Macht Boschs ermöglicht das Durchsetzen von Audits bei den kleinen Mittelständlern. Umgekehrt jedoch ist es möglich bzw. sehr wahrscheinlich, dass Bosch nicht die Produktion stoppt, damit der Mittelständler ein Audit durchführen (lassen) kann. Der direkte Automobilproduzent hingegen besitzt genügend Macht/Einfluss, um Bosch zu einer Auditierung zu bewegen.
Lösung: Ähnlich zu Variante A ermöglicht eine Art Marktplatz oder Börse auf Basis eines Distributed Ledgers den Erwerb einer Auditbestätigung von großen Playern entlang der Lieferkette für kleine Unternehmen. Diese können so auf Basis eines fremd veranlassten und durchgeführten Audits nachweisen, dass ihre gesamte Lieferkette auditiert wurde.
Variante C: Netzwerkeffekte durch Teilen der Ergebnisse unterschiedlicher Audits
Ein Lieferant wird von zwei unterschiedlichen Auftragsgeber auditiert. Das Problem ist, dass beide Audits zu unterschiedlichen Ergebnissen gekommen sind und die OEMs dem Lieferanten möglicherweise misstrauen.
Lösung: Die OEMs bzw. die Audit durchführenden Unternehmen können auf der Blockchain Plattform den Auditbericht des jeweils anderen Unternehmens „erwerben“ und durch Analyse der Unterschiede ihre eigene Wertschöpfung optimieren.
Quellen
[1] DIN EN ISO 9001
[2] DIN 18200
[3] DIN EN 9104
[4] DIN EN ISO 19011
[5] https://www2.deloitte.com/de/de/pages/audit/articles/blockchain-abschlusspruefung.html
[6] Kannengießer, N., Lins, S., Dehling, T., Sunyaev, A.: Mind the Gap: Trade-Offs Between Distributed Ledger Technology Characteristics; 2019
senseering GmbH
Die senseering GmbH ist ein mit dem RWTH Aachen University Spin-Off-Award ausgezeichnetes und im September 2018 gegründetes Unternehmen. Kernkompetenz der senseering GmbH ist die Entwicklung und Implementierung von Systemen zur Digitalisierung und Vernetzung von Industrie- und Produktionsanlagen. Gleichermaßen berät die senseering GmbH bei strategischen Unternehmensfragestellungen, insbesondere bei der digitalen Transformation, bei Distributed-Leger-Technologies, bei Edge vs. Cloud-Computing-Architekturen zur KI-basierten Echtzeitregelung industrieller Prozesse, bei der Digital Business Model Innovation und bei der Einführung digitaler Geschäftsprozesse wie Home Office, Azure oder Microsoft365. Senseering gehört zu den Gewinnern des ersten und größten KI-Innovationswettbewerbs des BMWi mit dem Projekt www.spaicer.de.
Daniel Trauth (CEO) | www.senseering.de | E-Mail: mail@senseering.de
