7 Schritte zu einem effektiven Third Party Risikomanagement

Galvanize

Galvanize

Galvanize

Ein erfolgreiches TPRM-Programm (Third Party Risikomanagement) geht weit über den Onboarding-Prozess hinaus. Unternehmen müssen in den gesamten TPRM-Lebenszyklus investieren, - von Beginn bis zum Ende - um Risiken richtig steuern zu können.

Ein großer Teil der Zeit und der Arbeit fließt normalerweise in die Erstbewertung und das Onboarding eines Lieferanten. Steht ein Drittunternehmen einmal auf der Liste der zugelassenen Anbieter, wird das nächste Projekt in Angriff genommen und man macht sich möglicherweise erst dann wieder Gedanken über diesen Lieferanten, wenn es zu einer Datenpanne kommt oder die Compliance nicht eingehalten wird.

Einer Studie von Opus & Ponemon zufolge teilt ein Unternehmen vertrauliche und sensible Informationen im Durchschnitt mit 583 Dritten⁠—das sind eine Menge zusätzlicher Risiken. Und nur 34 % der befragten Unternehmen gaben an, ein umfassendes Verzeichnis dieser Drittparteien zu führen. Außerdem stuften lediglich 35 % ihr TPRM-Programm als sehr effektiv und leistungsfähig ein.

Wie können Unternehmen also ein hoch effektives und besser gemanagtes TPRM-Programm entwickeln? Wie können Sie das Risiko, das von Ihren Lieferanten ausgeht, reduzieren?

Sie können Ihr Lieferantenrisiko viel effektiver steuern, wenn Sie standardisierte Prozesse entwickeln und Technologie nutzen - auf jeder Stufe des TPRM-Lebenszyklus, vom Onboarding bis zur Beendigung der Lieferantenbeziehung. Wir sprechen im Folgenden sieben Bereiche an, in denen sich verbesserte Prozesse und spezielle Technologien als sehr hilfreich erwiesen haben.

“Es ist nicht ungewöhnlich, beim Onboarding von Lieferanten auf ein Problem zu stoßen (wenn Sie kein einziges Problem finden, ist das für sich betrachtet schon ein Risiko!).”

Prozess & Technologie im TPRM-Lebenszyklus

1. Entwickeln Sie einen standardisierten, automatisierten Onboarding-Prozess.

Von der ersten Kontaktaufnahme mit dem Lieferanten über die Vorabprüfung bis zum Sammeln der erforderlichen Unterlagen (z.B. Versicherungen, Zertifizierungen): Ein standardisierter Onboarding-Prozess sorgt dafür, dass Sie keine entscheidenden Anforderungen übersehen und sowohl Ihr Lieferant als auch Sie auf die geschäftliche Zusammenarbeit vorbereitet sind. Sie sollten zunächst diesen Prozess definieren und Ihre Software nutzen, um den Workflow zu standardisieren. Lesen Sie mehr zu diesem Thema in unserem Blog "Erste Schritte mit dem Third Party Risikomanagement".

Als Teil des Onboarding-Prozesses sollten Sie ein zentrales Repository der Lieferanten erstellen (idealerweise innerhalb einer Software-Plattform), damit Sie jederzeit sehen können, auf welcher Stufe des Onboarding-Prozesses sich ein Lieferant gerade befindet. Schließlich sollte Ihr Prozess es Ihren Geschäftseinheiten und/oder dem Einkauf unkompliziert ermöglichen, neue Lieferantenanfragen mit einem einfachen Online-Formular hinzuzufügen. Idealerweise verwenden Sie ein Tool, das Sie automatisch benachrichtigt und einen automatisierten Onboarding-Workflow startet, wenn eine neue Lieferantenanfrage hinzugefügt wird.

2. Legen Sie für jeden Anbieter ein Profil an.

Die Erstellung eines Risikoprofils für jeden Lieferanten hilft Ihnen, Ihre Beziehung zu präzisieren und einen genauen Überblick über die angebotenen Produkte/Dienstleistungen zu gewinnen—ebenso darüber, wie wichtig diese für Ihr Unternehmen sind. Das Risikoprofil entscheidet außerdem darüber, welche Art von physischem Zugang bzw. System- oder Datenzugriff dem Lieferanten gewährt werden soll.

Eine Kategorisierung anhand von Risikoprofilen macht die Überprüfung Ihrer Lieferanten konsistenter und vermittelt Ihnen ein besseres Grundverständnis für Ihren Lieferantenkreis. Vom Profil hängen auch die Art und die Komplexität der Fragebögen ab, die Sie benötigen, um das Risikoprofil des Lieferanten zu vervollständigen. Denn unterschiedliche Anbieter oder Lieferanten sollten unterschiedliche Fragen beantworten (Ihr Cloud-Anbieter hat möglicherweise Zugriff auf sensible Daten, während das bei Ihrem Büroreinigungsunternehmen wahrscheinlich nicht der Fall sein dürfte).

3. Führen Sie Risiko- und Kontrollbewertungen durch.

Sobald Sie das Risiko kennen, das ein Lieferant darstellt, müssen Sie überprüfen, ob geeignete Kontrollen vorhanden sind, um dieses Risiko zu managen, und ob die Kontrollen wirksam sind. Diese Kontrolle können Bestandteil eines größeren Gesamtrahmens sein.

Sie müssen das Rad nicht neu erfinden, sondern können sich im Hinblick auf die Rahmenbedingungen für Kontrollen an den Best Practices der Branche orientieren (z.B. NIST, ISO, CSA), um Ihren Bewertungsprozess zu gestalten.

4. Sorgen Sie dafür, dass ein Plan zum Management der Problembehebung vorhanden ist.

Es ist nicht ungewöhnlich, beim Onboarding von Lieferanten auf ein Problem zu stoßen (wenn Sie kein einziges Problem finden, ist das an sich schon ein Risiko!). Daher sollten Sie unbedingt einen Plan haben, um die Probleme schnell angehen und beheben zu können, damit der Onboarding-Prozess weiterläuft. ThirdPartyBond sieht für die Behebung von Problemen vier Schritte vor, egal ob es sich um eine Lücke bei den Kontrollen oder um eine Ausnahme innerhalb eines Projekts handelt:

  • Protokollieren Sie das Problem—oder besser noch, lassen Sie die Software es automatisch für Sie protokollieren.
  • Protokollieren Sie die einzelnen Maßnahmen, um Folllow up-Schritte zu ermitteln.
  • Rufen Sie den Personen, die reagieren müssen, wiederholt die Notwendigkeit zum Treffen von Maßnahmen in Erinnerung.
  • Beseitigen Sie das Problem und führen Sie eine erneute Überprüfung durch.

Maßnahmen zur Behebung von Problemen müssen nicht umständlich oder wahnsinnig zeitaufwändig sein. Sie können es sich leichter machen, wenn Sie den Prozess regelbasiert automatisieren. Damit stellen Sie sicher, dass Probleme erst dann als erledigt gelten, wenn alle Maßnahmen abgeschlossen wurden.

5. Überprüfen Sie die Verträge regelmäßig.

Nachdem Sie nun alle Probleme beseitigt haben, sollten Sie prüfen, wie gut Ihre Lieferanten ihre Verträge erfüllen. TPRM ist kein “Einschalten-und-Vergessen-System”: Sie müssen die Verträge regelmäßig überprüfen, um die Leistung Ihrer Lieferanten zu überwachen und im Hinblick auf die Verlängerung oder das Auslaufen von Verträgen auf dem Laufenden zu bleiben. Denn schlecht verwaltete Verträge sind, wie auch manuelle Methoden des Vertragsmanagements, eine Ursache für erhöhte Risiken (wie die bereits weiter oben genannten Datenpannen) und auch für Umsatzverluste.

Wenn Ihr TPRM-Programm einen Reifegrad erreicht hat, bei dem das Leistungsmanagement von Relevanz ist, sollten Sie die wichtigsten Leistungsindikatoren (KPIs) effektiv erfassen, messen und überwachen. Mit der richtigen Technologie können Sie das Risiko der Nichterfüllung überwachen und proaktiv bewerten. Erfahren Sie mehr über die Bewertung des Lieferantenrisikos mit Echtzeitdaten.

6. Veranlassen Sie eine laufende Überwachung der Lieferanten.

Nicht nur der Vertrag muss regelmäßig überprüft werden. Der Lieferant, den Sie vor einem Jahr überprüft (und seitdem nicht wieder überprüft) haben, könnte Sie heute in die gefährliche Situation bringen, gegen eine Compliance-Vorschrift zu verstoßen, oder Ihre Lieferkette aus dem Lot bringen. Kontinuierliche Überwachung ist auf verschiedene Weisen möglich. Nachstehend führen wir einige der gängigen Methoden an:

  • Automatisierung der Planung von Folgebeurteilungen anhand des Risikoniveaus eines Lieferanten. Ein Lieferant mit einem niedrigen Risiko wird vielleicht planmäßig alle drei Jahre neu bewertet, während ein kritischer Lieferant möglicherweise vierteljährlich überprüft werden muss.
  • Einsatz regelbasierter Automatisierung, um Bewertungen zu triggern, wenn Schwellenwerte überschritten oder verbundene Ereignisse aufgedeckt werden (z.B. ein signifikanter Vorfall mit einem Viertanbieter, zu dem Beziehungen bestehen).
  • Integration externer Informationsfeeds, die bei signifikanten Änderungen der Risikoeinstufungen eines Lieferanten kontinuierliche Warnmeldungen senden (z. B. Bonitätsprüfungen, Bewertung der IT-Sicherheitsrisiken), Negativberichterstattung durch die Medien oder Einträge in Beobachtungslisten von Behörden oder Beantragung zur Einsicht öffentlicher Akten).

7. Legen Sie einen Prozess zum Offboarding von Lieferanten fest.

Für die Beendigung einer Beziehung zu einem Lieferanten kann es durchaus verschiedene Gründe geben. Allerdings reicht es dafür nicht, einfach keine Bestellungen mehr aufzugeben. Sie benötigen eine Offboarding-Strategie, die unter anderem Abschlusszahlungen und die Deaktivierung des Datenzugriffs berücksichtigt. Genau wie Ihr Onboarding-Prozess kann auch der Offboarding-Prozess über Ihre Software und teilweise (wenn nicht sogar fast vollständig) automatisiert werden, um sicherzustellen, dass Sie nichts übersehen.

Erste Schritte mit dem Third Party Risikomanagement

Regulatorische Anforderungen, die Erwartungen der Stakeholder und die Ziele und Risiken des Unternehmens verändern sich im Laufe der Zeit. Wenn Sie sich am TPRM-Lebenszyklus orientieren und eine Softwarelösung implementieren, die sich schnell an Veränderungen anpassen kann, können Sie den gesamten TPRM-Prozess für alle Beteiligten einfacher machen.

E-Book:

Wichtige Aspekte beim Third Party Risikomanagement

In diesem E-Book untersuchen wir:

  • Die Grundlagen des Third Party Risikomanagements
  • Den Unterschied zwischen dem Third Party Risk-Management und dem Management des Lieferantenrisikos
  • Das Verfahren zur Auswahl des Rahmens für ein Risikomanagement, der bestmöglich zu Ihrem Unternehmen passt.

E-Book herunterladen

Verwandte Beiträge

lang="de-DE"
X

Galvanize ist jetzt Teil von Diligent.

Um über die neuesten Produktangebote, Forschungen und GRC-Ressourcen auf dem Laufenden zu bleiben, oder sich bei Ihren Galvanize-Produkten anzumelden, besuchen Sie bitte www.diligent.com

Diligent besuchen Anmeldung