Das Lieferantenrisiko, auf Englisch Vendor Risk Management (VRM), ist ein wichtiger Bestandteil der gesamten Risikomanagementlandschaft in Unternehmen. Die meisten Unternehmen arbeiten mit Tausenden von Lieferanten zusammen: Walmart dokumentiert beispielsweise mehr als 100.000 Lieferanten. Diese Lieferanten sind für eine Vielzahl von Aufgabenbereichen verantwortlich, von der Software über die Produktlieferkette bis zur Bereitstellung lebensnotwendiger Infrastrukturen.

Die Sicherheit und die Reputation Ihres Unternehmens sind nur so gut, wie das schwächste Glied in der Kette. Daher müssen Sie unbedingt sicherstellen, dass alle Lieferanten hohe Standards einhalten und regelmäßig auf die Einhaltung der Vorschriften überprüft werden.

Kategorien des Third Party Risk

Man kann die Risiken in Verbindung mit Lieferanten verschiedenen Kategorien zuordnen:

• Cybersicherheit: Wie robust ist die Abwehrbereitschaft Ihrer Lieferanten im Bereich der Cybersicherheit? Eine Datenpanne kann Ihre Unternehmens- oder Kundendaten gefährden. Es ist also unabdingbar, dass jeder Lieferant über strenge Cybersicherheits-Protokolle verfügt, um die Wahrscheinlichkeit und die Folgen einer Datenpanne zu minimieren. Sie sollten jeden Lieferanten mindestens dazu verpflichten, die Standards einzuhalten, die Sie für Ihr eigenes Unternehmen festgelegt haben. Entsprechende Erwartungen sollten vertraglich in Form eines Zusatzes zum Thema Informationssicherheit explizit festgeschrieben werden.
• Compliance: Sie sollten ferner unbedingt sicherstellen, dass alle regulatorischen Anforderungen, an die sich Ihr Unternehmen halten muss und die auch den Lieferanten betreffen, wie beispielsweise Richtlinien zur Datenspeicherung und Richtlinien in Bezug auf Teile Ihres Unternehmens oder Geschäfts, von Ihrem Lieferanten auch eingehalten werden.
• Reputationsrisiko: Jeder öffentliche Zwischenfall bei einem Lieferanten kann sich auch auf den Ruf Ihres Unternehmens auswirken. Dies gilt für eine große Bandbreite von Vorfällen, unter anderem Verstöße gegen Gesetze oder Vorschriften, der Verlust von Kundendaten aufgrund von Fahrlässigkeit oder durch Datenpannen, aber auch kontroverse Äußerungen des CEO.
• Finanzrisiko: Besteht die Wahrscheinlichkeit, dass ein Lieferant zahlungsunfähig wird oder pleite geht? Das kann Ihrem Unternehmen erheblichen Schaden zufügen, weil dies unerwartete Ausfälle von Serviceleistungen oder eine Unterbrechung Ihrer Lieferkette bewirken kann. Dies könnte bedeuten, dass Ihr Unternehmen seine vertraglichen Verpflichtungen gegenüber seinen Kunden nicht mehr erfüllen kann, was wiederum zu Umsatzeinbußen und zu einem Reputationsschaden führen kann.
• Operatives Risiko: Wie wahrscheinlich ist es, dass der Lieferant nicht in der Lage ist, seine Verpflichtungen gegenüber Ihrem Unternehmen zu erfüllen? Sollte dieser Fall eintreten, wie würde sich das auf Ihren täglichen Geschäftsbetrieb auswirken? Sorgen Sie dafür, dass Sie die Pläne Ihres Lieferanten zur Geschäftskontinuität kennen und dass Ihr Unternehmen über einen eigenen Plan zur Fortführung des Geschäftsbetriebs verfügt. (Erfahren Sie mehr darüber, wie sich COVID-19 auf das Third Party Risk auswirkt.)
• Strategisches Risiko: Passen die Entscheidungen des Lieferanten zu den strategischen Zielen Ihres eigenen Unternehmens? Wir denken hier an Entscheidungen über den Einsatz von Technologien, aber auch an ethische Fragen. Achten Sie darauf, dass Ihr Unternehmen die Werte und langfristigen Pläne Ihrer Lieferanten sehr gut kennt. So können Sie sicherstellen, dass sie zu ihren eigenen Werten und Plänen passen.

Eine Checkliste für das Lieferantenrisiko

Die folgenden Punkte könnten auf einer VRM-Checkliste stehen:

• Prüfen Sie, auf welche Arten von Mitarbeiter- und Kundendaten jeder Lieferant zugreifen muss und stellen Sie sicher, dass der Zugriff auf diesen Bereich beschränkt ist.
• Überprüfen Sie die Verträge und Richtlinien jedes Lieferanten auf Übereinstimmung mit Ihren eigenen Standardrichtlinien und den Branchenvorschriften und verlangen Sie bei Abweichungen gegebenenfalls Anpassungen
• Überprüfen Sie die Cybersicherheitsprotokolle jedes Lieferanten und ermitteln Sie, ob sie den Branchenvorschriften und den Richtlinien Ihres eigenen Unternehmens entsprechen
• Schätzen Sie ab, welches Ausmaß ein potenzieller Schaden für Ihr Unternehmen oder für Ihre Kunden im Falle einer Sicherheitsverletzung durch einen Lieferanten haben könnte, und entscheiden Sie, ob Strategien zur Schadensbegrenzung erforderlich sind
• Überprüfen Sie den Vorfallreaktionsplan jedes Lieferanten
• Beurteilen Sie den Geschäftskontinuitätsplan jedes Lieferanten
• Überwachen Sie jeden Lieferanten auf Kreditrisiken und Insolvenzanmeldungen

Das Lieferantenrisiko manuell managen

In vielen Unternehmen führen Compliance-Manager wahrscheinlich eine lückenlose und detaillierte Bestandsaufnahme der Compliance-Anforderungen durch, die Lieferanten erfüllen müssen. Außerdem führen sie Interviews mit den einzelnen Lieferanten, um zu ermitteln, ob deren Richtlinien mit den Richtlinien des Unternehmens übereinstimmen. Desgleichen organisieren sie Audits vor Ort, um sich einen Eindruck von der Arbeitsumgebung zu verschaffen. Dieser Prozess ist zeitaufwändig und fehleranfällig und führt oft zu Doppelarbeit, da Mitarbeiter aus verschiedenen Abteilungen möglicherweise ähnliche Audits durchführen, ohne Informationen auszutauschen.

Hinzu kommt, dass die Antworten nicht immer vertrauenswürdig sind: RiskRecon zeigte, dass nur 14 % der Risikoverantwortlichen darauf vertrauen, dass die Sicherheitsvorkehrungen von Dritten mit den selbst gemachten Angaben in den Fragebögen übereinstimmen. 31 % der Befragten gaben an, dass sie mit Lieferanten zusammenarbeiten, die sie im Falle eines Verstoßes als wesentliches Risiko betrachten.

Bei einem manuellen Prozess erfolgt das Management des Lieferantenrisikos (VRM) meist nur in der Onboarding-Phase und danach in zeitlich festgelegten Intervallen, also möglicherweise nur vierteljährlich oder einmal im Jahr. Abgesehen von diesen Gelegenheiten hat Ihr Unternehmen möglicherweise keinerlei konkrete Anhaltspunkte darüber, dass es bei Ihrem Lieferanten zu Änderungen der Technologie, der Finanzergebnisse oder der Geschäftsstrategie kam. Bei manuellen Prozessen fehlt der Überblick über den laufenden Status der Compliance Ihrer Lieferanten und über andere Risikofaktoren, die Ihr eigenes Unternehmen angreifbar machen können.

Umstellung auf einen automatisierten VRM-Prozess

Viele zukunftsorientierte Unternehmen stellen auf einen von künstlicher Intelligenz und Automatisierung gesteuerten VRM-Prozess um. Ein automatisierter VRM-Prozess reduziert den manuellen Arbeitsaufwand Ihres Teams erheblich und bietet Ihnen die Möglichkeit einer kontinuierlichen Überwachung. Dadurch können Sie Risikotrigger frühzeitig erkennen. Auf diese Weise können Sie ihnen entgegenwirken, bevor sie Schaden in Ihrem Unternehmen verursachen können.

Merkmale einer automatisierten VRM-Lösung:

• Vorqualifizierung von Lieferanten
  Eine qualitativ hochwertige Lösung sollte Daten integrieren, die die Leistungen potenzieller Lieferanten auf dem Gebiet der Sicherheit analysieren, bevor Sie sich zur Zusammenarbeit mit ihnen verpflichten. Sie schließen also von vornherein Lieferanten aus, bei denen Sicherheitsvorbehalte bestehen.
• Klassifizierung von Lieferanten nach Risikoniveau
  Selbst wenn nur bestimmte Lieferanten auf unternehmenseigene Daten zugreifen müssen oder mit Ihrer Infrastruktur in Berührung kommen, muss diese Untergruppe sorgfältig überwacht werden. Ihre Lösung sollte diese Lieferanten für Sie identifizieren.
• Automatisierung der Compliance und der Risikobewertung mithilfe von Tools zur Selbstauskunft
  Ihre Lösung sollte eine Reihe von Onboarding-Formularen und -Fragebögen enthalten. So stellen Sie sicher, dass jeder Lieferanten in Bezug auf die Compliance-Anforderungen auf dem jeweils neuesten Stand ist. Sie sollte auch automatische Follow-ups ermöglichen und Warnmeldungen versenden, wenn bei der Antwort eines Lieferanten Bedenken in Bezug auf die Compliance auftauchen.
• Kontinuierliche Risikoüberwachung
  Ihre Lösung sollte Service Level Agreements mithilfe einer Echtzeit-Leistungsüberwachung kontrollieren, Finanzinformationen und andere Datenfeeds in Echtzeit bereitstellen, Auditergebnisse von Vor-Ort-Besuchen verfügbar machen und Sicherheitsratings einbeziehen, um Lieferanten zu kategorisieren und Audit-Zeitpläne zu automatisieren.
• Berichterstattung über das Third Pary Risk
  Ihre Lösung sollte ein übersichtliches Analyse-Dashboard beinhalten, das Ihnen die Lieferantenrisikolandschaft auf einen Blick zeigt - mit Risiko-Scorecards für Lieferanten, die auf potenzielle Sicherheitslücken hinweisen.

Durch die Umstellung auf eine automatisierte VRM-Lösung können Sie manuelle und repetitive Arbeiten zur Überwachung der Compliance reduzieren. Außerdem erhalten Sie Zugriff auf Echtzeitdaten, mit denen Sie feststellen können, wann sich bei einem Lieferanten das Risikoniveau erhöht. Die Umstellung auf ein automatisiertes System hilft Ihnen dabei, über die reine Kontrolle der Compliance hinaus zu einer kontinuierlichen Risikoüberwachung zu gelangen. Sie geben Ihrem Unternehmen die Datengrundlage, die es benötigt, um neue Risiken frühzeitig zu erkennen und sie umgehend zu mindern. Mit einer intelligenten, automatisierten VRM-Lösung kann Ihr Unternehmen den gesamten Risikomanagementprozess optimieren und verbessern.