Wenn Sie so vorgehen wie die meisten Unternehmen, lagern Sie Aufgaben an Dritte aus, um Ihre Kunden besser zu betreuen, den Umsatz zu steigern und Ihre Kosten zu senken. Dritte ins Boot zu holen, kann aber auch eine Menge Risiken mit sich bringen, die Unternehmen erheblich schaden können.

Was ist Lieferantenrisikomanagement (VRM)?

VRM bezieht sich auf den Prozess, auf den sich Unternehmen stützen, um sicherzustellen, dass Produkte und Dienstleistungen von Dritten keine negativen finanziellen, reputationsbezogenen, regulatorischen, operativen und strategischen Folgen haben.

Beim VRM geht es vor allem darum, Partner, Lieferanten und Anbieter zu überprüfen, um sicherzustellen, dass sie bestimmte Kriterien erfüllen. Diese Bedingungen, zusammen mit den Erwartungen an jede der beteiligten Parteien, sind im Vertrag mit dem Lieferanten aufgeführt. Zu den Bedingungen zählen Aspekte wie Informationssicherheit und Anforderungen an die Compliance. So können Sie zum Beispiel festlegen, wie oft ein Lieferanten-Audit stattfinden muss, oder auch die Anforderungen an die Komplexität des Passworts für jeden, der auf Ihre Daten zugreift, vorgeben.

Was ist Third Party Risikomanagement?

TPRM geht sogar noch einen Schritt weiter und schließt jede Drittpartei ein, also Partner, Regierungsbehörden, Ihre Franchisepartner oder gemeinnützige Einrichtungen, denen Sie Geld spenden oder Zeit widmen, sowie alle Ihre Lieferanten. In diesem Fall sind diese Organisationen möglicherweise auf den Zugriff auf sensible Unternehmensdaten angewiesen (z. B. um die Einhaltung gesetzlicher Vorschriften nachzuweisen). Sie haben jedoch oft nicht die Möglichkeit festzulegen, wer darauf zugreifen darf oder wie diese Daten verwendet werden. Und die Chancen stehen gut, dass Sie dies nicht überprüfen können.

TPRM beginnt oft mit VRM, denn im Grunde bildet VRM das Fundament, auf dem TPRM aufgebaut wird. Unternehmen starten mit einem VRM-Programm. Wenn sie wachsen und reifen, stellen sie dann fest, dass sie sich mit den spezifischen und häufig unterschiedlichen Risiken befassen müssen, die eine immer länger werdende Liste von Drittparteien darstellt.

In unserem E-Book, Wichtige Aspekte beim Third Party Risikomanagement , befassen wir uns ausführlicher mit dem TPRM.

Die Risiken, die Lieferanten für Ihr Unternehmen darstellen

Sie überlassen Ihren Lieferanten ein großes Maß an Kontrolle. Deshalb ist eine kontinuierliche und automatisierte Lösung für das Third Party Risikomanagement eine gute Idee. Betrachten wir jetzt anhand von Beispielen die drei Risiken, die Lieferanten für Ihr Unternehmen darstellen können.

1. Regulatorisches Risiko

Wenn ein Dritter oder ein Lieferant (unbeabsichtigt oder wissentlich) gegen eine Vorschrift, ein Gesetz, einen Verhaltenskodex oder eine interne Unternehmensrichtlinie verstößt, könnten Sie den Preis dafür zahlen.

• Beispiel: Ein Unternehmen im Gesundheitswesen beauftragt einen Entwickler mit dem Entwurf einer App, die gemäß der Definition des Health Insurance Portability and Accountability Act (HIPAA) geschützte Gesundheitsdaten enthält. Der Entwickler hat nicht dafür gesorgt, dass die APP die Vorschriften des HIPAA einhält, und das Unternehmen wird zu einer Geldstrafe verurteilt.

2. Operatives Risiko

Das gilt auch für alle Third Party Risks, die zu einer Unterbrechung Ihres Betriebs führen können, wie beispielsweise Datenpannen. Die durchschnittlichen Kosten einer Datenpanne belaufen sich auf 3,92 Mio. US-Dollar.

• Beispiel: Eine Kaufhauskette arbeitet mit einem Kundendienst-Anbieter zusammen, um Online die Funktion "Chat Support" anbieten zu können. Der Kundendienst-Anbieter wird über Malware gehackt, wodurch Kreditkartendaten und andere personenbezogene Daten abgegriffen werden.

Warren Buffet hat einmal festgestellt: “Es dauert 20 Jahre, bis man sich einen Ruf aufgebaut hat und nur fünf Minuten, um ihn zu ruinieren.” So schnell kann die beschädigte Reputation auch in den Nachrichten und in den sozialen Medien erscheinen.

• Beispiel: Ein Elektronikunternehmen lagert die Produktion in eine Fabrik aus, die gegen Kinderarbeitsgesetze verstößt. Die Folge sind Geldstrafen und negative Publicity.

Langfristiges VRM & TPRM

Auch wenn ein Dritter heute regelkonform und vorsichtig ist, heißt das nicht, dass das auch in Zukunft immer der Fall sein wird. Eine Studie von Gartner zeigt außerdem, dass 71 % der Unternehmen angeben, dass sich die Anzahl Dritter in ihrem Netzwerk von Drittparteien in den letzten drei Jahren erhöht hat. Der gleiche Prozentsatz von Unternehmen verweist darauf, dass sich dieses Netzwerk in den nächsten drei Jahren weiter vergrößern wird.

Unabhängig davon, ob Sie einen VRM- oder einen TPRM-Fokus wählen, ist die kontinuierliche Überwachung Ihres Programms von entscheidender Bedeutung. Nur dadurch können Sie eine wachsende Anzahl von Risiken bewältigen und Ihre Kunden und Ihr Unternehmen schützen.

Erfahren Sie mehr über unsere Funktionen für das Third Party Risikomanagement.