Der richtige Umgang mit Risiken und Herausforderungen bei Third Party Risks

Galvanize

Traditionell konzentriert sich das Third Party Risikomanagement (TPRM) auf die Beschaffung, die Abwicklung von Verträgen, die Verwaltung von Geschäftsbeziehungen und die Durchführung vierteljährlicher Geschäftsprüfungen. Da sich Unternehmen heute jedoch auf Drittanbieter verlassen, um ihre Kerngeschäftsziele zu erreichen und Wettbewerbsvorteile zu erzielen, reichen diese Maßnahmen nicht mehr aus.

Berichte über Sicherheitsverletzungen, von den Aufsichtsbehörden verhängte Geldbußen und wirtschaftliche Verluste aufgrund von Vorfällen mit einem Dritten häufen sich. Selbst wenn das Verschulden aus technischer Sicht bei den externen Anbietern liegt, sind letztlich die Unternehmen verantwortlich. Da man Haftung nicht outsourcen kann, müssen TPRM-Programme dieses erhöhte Risiko managen.

Im Folgenden geben wir Ihnen einige praktische Ratschläge, wie Sie erweiterte TPRM-Prozesse in Ihre aktuellen Beschaffungs- und Einkaufsfunktionen integrieren können, damit Sie den gesamten Lieferantenlebenszyklus überwachen und Ihr Programm skalieren können, um diesen neuen Herausforderungen gerecht zu werden.

Das Third Party Risk verstehen

Ihr Unternehmen hat wahrscheinlich Verträge mit Tausenden von Drittparteien abgeschlossen, mit Lieferanten, Herstellern, Dienstleistern, Geschäftspartnern, Tochtergesellschaften, Maklern, Händlern, Wiederverkäufern und Vertretern. Sie verfügen vermutlich über ein Verfahren für das Onboarding von Anbietern und die Überprüfung der Einhaltung von Vorschriften. Es sind jedoch so viele Variablen mit im Spiel, dass man potenzielle Risiken leicht übersehen kann, die im Laufe der Zeit zu echten Problemen werden könnten.

Man kann von Dritten ausgehende Risiken mehreren Kategorien zuordnen:

  • Compliance—Halten Ihre Anbieter alle gesetzlichen und regulatorischen Bestimmungen, wie z.B. in Bezug auf die Datenspeicherung, ein?
  • Cybersicherheit—Wie strikt sind die Cybersicherheitsprotokolle Ihrer Anbieter? Könnten sie Ihr Unternehmen für eine Sicherheitsverletzung anfällig machen?
  • Reputation—Verletzen Ihre Anbieter Gesetze oder Vorschriften, verlieren Kundendaten aufgrund von Fahrlässigkeit oder machen widersprüchliche Aussagen?
  • Finanziell—Besteht die Wahrscheinlichkeit, dass ein Lieferant zahlungsunfähig wird oder in die Insolenz geht?

Nehmen wir zum Beispiel das Thema Cybersicherheit, um aufzuzeigen, wo sich unbekannte Risiken verstecken können. IT-Anbieter bilden nur einen Bruchteil Ihres Ökosystems aus fremden und externen Parteien. Allein in diesem Sektor hat ein durchschnittliches Unternehmen pro Woche Verbindungen mit 182 Anbietern und 58 % von ihnen glauben, dass ihr Unternehmen aufgrund eines Drittanbieters Sicherheitsverletzungen verzeichnete. Oft mangelt es Unternehmen an Transparenz bei ihren IT-Risiken: 57 % wissen nicht, ob ihre Sicherheitsmaßnahmen ausreichen, um eine Datenpanne zu verhindern, und lediglich 34 % verfügen über ein umfassendes Verzeichnis aller Drittparteien, die mit ihren Daten in Berührung kommen.

Es liegt auf der Hand, dass Ihr Unternehmen zur Vermeidung unnötiger Risiken einen systematischen Ansatz für die Verwaltung von Kontrollen und die Bewertung des Risikoniveaus in Echtzeit entwickeln muss.

Optimierung Ihres Third Party Risikomanagements

Beachten Sie die folgenden bewährten Verfahren für die Überwachung und Verwaltung Ihrer Third-Party-Risks:

  • Erstellen Sie eine Bestandsaufnahme aller relevanten Third-Party-Risks, und berücksichtigen Sie dabei Faktoren wie Geografie, Technologie und Kreditrisiko. Bei der Auflistung und Bewertung Ihrer Third-Party-Risikofaktoren sollten Sie die einzelnen Risiken unter Berücksichtigung ihrer Eintrittswahrscheinlichkeit sowie der Auswirkungen auf Ihr Geschäft priorisieren. Sie können Anbieter auch nach Risikostufe klassifizieren, z. B. nach der Art des Zugriffs, den sie auf Ihre Daten benötigen, und Ihre Risikoüberwachung entsprechend kalibrieren.
  • Erstellen Sie Pläne zur Schadensbegrenzung. Sobald Sie Ihre Risiken kartiert haben, sollten Sie wichtige Risikoindikatoren (KRIs) entwickeln, die als Richtwerte dafür dienen, wann Maßnahmen zur Risikominderung ergriffen werden sollten. Identifizieren Sie die Stakeholder in Ihrem Unternehmen, die für die Ausarbeitung von Plänen zur Schadensbegrenzung und deren Umsetzung im Bedarfsfall verantwortlich sind.
  • Standardisieren und automatisieren Sie Ihre Onboarding- und Kündigungsprozesse. Legen Sie beim Onboarding eines neuen Anbieters oder bei Beendigung des Vertragsverhältnisses eine Reihe von strikten Kontrollen fest, die bei jedem Prozessschritt befolgt werden müssen. Entsprechende Bestandteile könnten die Überprüfung der Verträge mit Drittanbietern, der Cybersicherheitsprotokolle, des Vorfallreaktionsplans, der Business-Continuity-Planung sowie des Kreditprofils des Anbieters sein. Diese Kontrollen sollten so weit wie möglich automatisiert werden, damit Sie bei Problemen sofort benachrichtigt werden können.
  • Stellen Sie sicher, dass alle Mitglieder des Risikomanagementteams Zugang zu denselben Daten haben. Nutzen Sie eine integrierte, zentralisierte Risikomanagement-Plattform mit Zugriff auf alle Daten Dritter, die Ihnen die Möglichkeit bietet, Risikoanalysen für das gesamte Unternehmen in Echtzeit anzuzeigen. Mit dem Aufbau einer kollaborativen Plattform können Sie sicherstellen, dass jedes Teammitglied einen vollständigen Überblick hat und Risiken auf der Grundlage der gleichen Metriken bewertet.
  • Nutzen Sie vordefinierte Inhalte, um Ihre Workflows zu automatisieren. Ihre Lösung sollte vorkonfigurierte Inhalte für gängige Anwendungsfälle in Ihrer Branche enthalten, die Sie zur Automatisierung von Arbeitsabläufen zur Einrichtung und Verwaltung Ihrer Kontrollen verwenden können.
  • Nutzen Sie Analysen, um Szenarien zu testen und das Risikoniveau in Echtzeit zu bewerten. Ihre Lösung sollte verschiedene Dashboards zur Durchführung von Risikoanalysen enthalten, die Sie bei der Bewertung verschiedener Szenarien unterstützen und Echtzeit-Datenfeeds für eine aktuelle Risikobewertung integrieren. Es sollte auch die Erstellung von intuitiven Berichte unterstützen, die Sie mit Ihrem Führungsteam teilen können, um eine bessere und schnellere Entscheidungsfindung zu erleichtern.

Der Aufbau und die Implementierung strikter Protokolle für das Third Party Risikomanagement im Rahmen einer erstklassigen integrierten Risikomanagementlösung erleichtern die Klassifizierung und Identifizierung von Anbietern, die besonders sorgfältig überwacht werden müssen. Darüber hinaus erhalten Sie Zugang zu Echtzeitdaten, mit denen Sie Probleme sofort erkennen können. Und Sie haben Zugriff auf optimierte Workflows, mit denen Sie den Großteil Ihrer Compliance-Initiativen automatisieren können.

Ihre Drittanbieter erweisen sich oft als das schwächste Glied in Ihrem Unternehmen. Durch eine sorgfältige Analyse aller Risiken und mehr Transparenz, um Probleme und Trends schneller zu erkennen, können Sie die Kontrollen verschärfen und die Sicherheit Ihres Unternehmens durchgängig verbessern.

E-Book:

Wichtige Aspekte beim Third Party Risikomanagement

In diesem E-Book untersuchen wir:

  • Die Grundlagen des Third Party Risikomanagements
  • Den Unterschied zwischen dem Third Party Risk-Management und dem Management des Lieferantenrisikos
  • Das Verfahren zur Auswahl des Rahmens für ein Risikomanagement, der bestmöglich zu Ihrem Unternehmen passt.

E-Book herunterladen

Verwandte Beiträge

lang="de-DE"
X

Galvanize ist jetzt Teil von Diligent.

Um über die neuesten Produktangebote, Forschungen und GRC-Ressourcen auf dem Laufenden zu bleiben, oder sich bei Ihren Galvanize-Produkten anzumelden, besuchen Sie bitte www.diligent.com

Diligent besuchen Anmeldung