Studie zeigt, dass manuelle Prozesse immer noch die Risikomanagement-Programme für Dritte dominieren

Prevalent, Inc., das Unternehmen, das das Risikomanagement für Dritte (TPRM) vereinfacht, hat heute einen neuen Bericht mit dem Titel „The 2023 Third Party Risk Management Study: How Are Organizations Avoiding TPRM Turbulence?” (Studie zum Risikomanagement für Dritte 2023: Wie vermeiden Unternehmen Turbulenzen im TPRM?) veröffentlicht, der tiefe Einblicke in aktuelle Trends, Herausforderungen und Initiativen gibt, die sich auf Fachleute für das Risikomanagement für Dritte weltweit auswirken.

Mitratech-Mitarbeiter Mai 10, 2023

PHOENIX, 10. Mai 2023 – Prevalent , Inc., das Unternehmen, das das Risikomanagement für Dritte (TPRM) vereinfacht, hat heute einen neuen Bericht mit dem Titel „The 2023 Third Party Risk Management Study: How Are Organizations Avoiding TPRM Turbulence?”(Studie zum Risikomanagement für Dritte 2023: Wie vermeiden Unternehmen Turbulenzen im TPRM?) veröffentlicht, der tiefe Einblicke in aktuelle Trends, Herausforderungen und Initiativen bietet, die sich auf Fachleute für das Risikomanagement für Dritte weltweit auswirken.

Die Ergebnisse zeigen deutlich, dass 2022 ein turbulentes Jahr für das Risikomanagement von Drittanbietern (TPRM) war. Im vergangenen Jahr hatten Unternehmen mit den Folgen der russischen Invasion in der Ukraine und den daraus resultierenden Unterbrechungen der Lieferkette, schädlichen und weitreichenden Sicherheitsverletzungen und Sicherheitsvorfällen bei Drittanbietern (darunter LastPass, OpenSSL, Okta, Toyota und mehrere im Gesundheitswesen) sowie neuen regulatorischen Auflagen in Bereichen außerhalb der IT-Sicherheit wie ESG zu kämpfen. Obwohl Unternehmen ihre TPRM-Programme seit der letztjährigen Studie weiterentwickelt haben, gibt es noch viel zu tun.

Zu den wichtigsten Ergebnissen der Studie zum Risikomanagement durch Dritte aus dem Jahr 2023 gehören:

41 % der Unternehmen waren in den letzten 12 Monaten von einer schwerwiegenden Sicherheitsverletzung durch Dritte betroffen, verlassen sich jedoch auf sich überschneidende Tools und manuelle Prozesse, was die Reaktion auf Vorfälle verlangsamt.

Eine überwältigende Mehrheit der Unternehmen (71 %) gibt an, dass die größte Sorge im Zusammenhang mit der Nutzung von Drittanbietern Datenverstöße oder andere Sicherheitsvorfälle aufgrund mangelhafter Sicherheitspraktiken der Anbieter sind. Dennoch werden nach wie vor manuelle Methoden verwendet, wobei ein enttäuschend hoher Prozentsatz der Unternehmen Spreadsheets und ein steigender Prozentsatz Newsfeeds nutzt, um sich über Verstöße zu informieren. Die gute Nachricht ist, dass der Anteil der Unternehmen, die keine Überwachung auf Verstöße durch Drittanbieter durchführen, von 12 % auf 4 % gesunken ist.

Datenverstöße und Sicherheitsvorfälle durch Dritte führen zu einer verstärkten Einbindung der Informationssicherheit in das TPRM.

70 % der Befragten geben an, dass die Informationssicherheit (InfoSec) stärker denn je in das Risikomanagement für Dritte eingebunden ist, und 71 % geben an, dass InfoSec vollständig für das TPRM-Programm verantwortlich ist. 62 % der Befragten der diesjährigen Studie gaben an, dass Datenverstöße und Sicherheitsvorfälle bei Dritten die Hauptgründe für die verstärkte Einbindung in das Risikomanagement für Dritte waren.

Fast die Hälfte der Unternehmen verwendet weiterhin Tabellenkalkulationen.

Der enttäuschende Trend setzt sich auch 2023 fort, da immer mehr Unternehmen (48 %) Spreadsheets zur Bewertung von Drittanbietern verwenden. Dieser Prozentsatz ist gegenüber 2022 und 2021 gestiegen, als 45 % bzw. 42 % der Unternehmen angaben, Spreadsheets zu verwenden. Die gute Nachricht ist, dass nur 4 % der Befragten angaben, derzeit überhaupt keine Bewertung von Dritten vorzunehmen, womit sich der Abwärtstrend aus den Jahren 2021 (10 %) und 2022 (8 %) fortsetzte.

Es besteht eine große Lücke zwischen der Verfolgung und Behebung von Risiken über den gesamten Lebenszyklus hinweg – und durchschnittlich 20 % der Unternehmen unternehmen nichts.

Es überrascht nicht, dass in der Phase „Offboarding und Beendigung“ des Lebenszyklus einer Beziehung zu Dritten der geringste Prozentsatz von Unternehmen Risiken verfolgt (47 %) und behebt (38 %) und der höchste Prozentsatz von Unternehmen überhaupt nichts unternimmt (39 %). Die erhebliche Diskrepanz zwischen der Verfolgung und Behebung von Risiken in den Phasen der ersten Bewertung und der Beschaffung sowie der Due Diligence vor Vertragsabschluss ist besonders überraschend, da dies die wichtigsten Phasen sind, um Risiken zu erkennen und zu beheben, bevor sie sich auf das Unternehmen auswirken.

„Jahr für Jahr beobachten wir einen deutlichen Anstieg von Störungen in der Lieferkette und weit verbreiteten Sicherheitsvorfällen bei Drittanbietern“, erklärte Brad Hibbert, Chief Strategy Officer bei Prevalent. „Und obwohl diese Umfrage zeigt, dass Unternehmen Programme zum Risikomanagement bei Drittanbietern zu einer Priorität machen, indem sie mehr Mitarbeiter im gesamten Unternehmen einbeziehen und nur 4 % angeben, dass sie ihre Drittanbieter nicht überwachen, gibt es noch viel zu tun. Unternehmen müssen manuelle Prozesse endgültig abschaffen und mit einer automatisierten TPRM-Lösung zusammenarbeiten, um Risiken über den gesamten Lebenszyklus von Drittanbieterrisiken hinweg zu verwalten.“

Die Ergebnisse dieser Studie zeigen, dass TPRM-Teams Fortschritte in Richtung eines strategischeren Ansatzes für TPRM machen, aber vier Bereiche erfordern zusätzliche Verbesserungen, um Unternehmen auf Kurs zu halten:

Automatisieren Sie die Reaktion auf Vorfälle, um Kosten und Risiken zu reduzieren: Durch die Verkürzung der Zeitspanne zwischen der Entdeckung und der Behebung von Vorfällen können Sie mit automatisierten Reaktionsprozessen Kosten senken und die Risiken für Ihr Unternehmen begrenzen. Verzichten Sie auf Tabellenkalkulationen oder sich überschneidende Tools, die nur einen Teil der Entstehungsgeschichte des Vorfalls wiedergeben.

Schaffen Sie eine einzige Informationsquelle, um Silos zu beseitigen und die Risikosichtbarkeit im gesamten Unternehmen zu verbessern: Die Ergebnisse dieser Studie zeigen, dass zwar Informationssicherheitsrisiken als am wichtigsten angesehen werden, jedoch mehrere Unternehmensteams am Risikomanagement für Dritte beteiligt sind – jedes mit seinen eigenen Zielen, Arbeitsabläufen, Bewertungsprozessen und zu prüfenden Risiken. Vereinheitlichen Sie alle internen Teams mit einem einzigen Satz von Arbeitsabläufen, Risikoprofilen für Dritte, Bewertungen und Berichten.

Verzichten Sie auf Tabellenkalkulationen und automatisieren Sie Bewertungs- und Überwachungsprozesse über den gesamten Lebenszyklus hinweg: Investieren Sie in eine Lösung, die das Vertragslebenszyklusmanagement zentralisiert, um sicherzustellen, dass wichtige Vertragsbestimmungen während des gesamten Lebenszyklus nachverfolgt werden. Diese Lösung bietet Leitlinien für Abhilfemaßnahmen, um sicherzustellen, dass ausgeschiedene Lieferanten die Compliance- und Sicherheitsanforderungen des Unternehmens auf einem akzeptablen Risikoniveau erfüllen, und liefert einen vorgeschriebenen Prozess zur Erledigung der letzten Aufgaben und zur Berichterstattung gemäß den Compliance-Anforderungen.

Behebung: Die Daten aus dieser Studie zeigen eine erhebliche Diskrepanz zwischen der Risikoüberwachung und der Behebung. Um Risiken auf ein für das Unternehmen akzeptables Maß zu reduzieren (oder anstelle spezifischer Abhilfemaßnahmen einen Nachweis über kompensierende Kontrollen zu verlangen), sollten Sie eine Risikomanagementplattform eines Drittanbieters mit integrierten Empfehlungen zur Behebung nutzen.

Lesen Sie den Blogbeitrag und laden Sie das vollständige E-Book und die Infografik herunter, um weitere Statistiken, Hintergründe und Empfehlungen zum Vergleich bestehender TPRM-Praktiken zu erhalten. Fordern Sie eine Demo für eine Strategiesitzung mit einem TPRM-Experten an.

Über Prevalent

Prevalent erleichtert das Risikomanagement für Dritte (TPRM). Unternehmen nutzen unsere Software und Dienstleistungen, um Sicherheits- und Compliance-Risiken zu beseitigen, die durch die Zusammenarbeit mit Anbietern und Lieferanten während des gesamten Risikomanagementzyklus für Dritte entstehen. Unsere Kunden profitieren von einem flexiblen, hybriden Ansatz für TPRM, bei dem sie nicht nur auf ihre Bedürfnisse zugeschnittene Lösungen erhalten, sondern auch eine schnelle Kapitalrendite erzielen. Unabhängig davon, wo sie beginnen, helfen wir unseren Kunden, Probleme zu beseitigen, fundierte Entscheidungen zu treffen und ihre TPRM-Programme im Laufe der Zeit anzupassen und weiterzuentwickeln.

Medienkontakt

Angelique Faul, Silver Jacket Communications, 513-633-0897, [email protected]

Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich auf Prevalent.net veröffentlicht. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.

Studie zum Risikomanagement von Drittanbietern 2023: Warnung! Turbulenzen vorprogrammiert

Bitte bringen Sie Ihre Rückenlehnen und Klapptische wieder in die aufrechte Position und befolgen Sie diese vier bewährten Vorgehensweisen, um ein sicheres und reibungsloses TPRM-Programm zu gewährleisten.

Mitratech-Mitarbeiter Mai 9, 2023

Lösungen für die Industrie

41 % der Unternehmen waren in den letzten 12 Monaten von einer schwerwiegenden Sicherheitsverletzung durch Dritte betroffen, verlassen sich jedoch auf sich überschneidende Tools und manuelle Prozesse, was die Reaktion auf Vorfälle verlangsamt.

Datenverstöße und Sicherheitsvorfälle durch Dritte führen zu einer verstärkten Einbindung der Informationssicherheit in das TPRM.

Fast die Hälfte der Unternehmen verwendet weiterhin Tabellenkalkulationen.

Es besteht eine große Lücke zwischen der Verfolgung und Behebung von Risiken über den gesamten Lebenszyklus hinweg – und durchschnittlich 20 % der Unternehmen unternehmen nichts.

Über Prevalent

Medienkontakt