6 Schritte zur Reife eines Risikomanagementprogramms für Dritte

Unser neuer Leitfaden zu bewährten Verfahren im Bereich TPRM zeigt Ihnen, wo Sie mit Ihrem Programm beginnen sollten, wie Sie sicherstellen können, dass es skalierbar und an geschäftliche Veränderungen anpassbar ist, und welche Geschäftsergebnisse Sie auf Ihrem Weg erwarten können.

Mitratech-Mitarbeiter
Mitratech-Mitarbeiter November 6, 2019 6 min gelesen

Anmerkung der Redaktion, 23. Juli 2020: Wir haben gerade eine umfassend aktualisierte Version dieses Leitfadens veröffentlicht und ihn in„5 Schritte zum proaktiven Risikomanagement bei Drittanbietern“ umbenannt. Alle Links zu diesem Leitfaden in diesem Beitrag leiten automatisch zur aktualisierten Version weiter. Seien Sie gespannt auf einen brandneuen Blogbeitrag, in dem wir die neue Version vorstellen!

Kunden, die gerade dabei sind, ihr Risikomanagementprogramm für Dritte auszubauen, fragen uns oft: „Wie geht es weiter?“ Ob es darum geht, ein neues Programm auf die Beine zu stellen, Ihr bestehendes Programm zu erweitern oder ein veraltetes Konkurrenzprodukt zu ersetzen – ein Plan ist unerlässlich. Wenn die alte Maxime „Wer nicht plant, plant sein Scheitern“ zutrifft, dann müssen Sie jedes Risikomanagementprogramm für Dritte mit einem Endziel vor Augen beginnen. Dazu könnte Folgendes gehören:

  • Größere Transparenz, die bessere risikobasierte Entscheidungen ermöglicht, um Compliance zu gewährleisten, Ressourcen zu priorisieren und Risiken zu beheben.
  • SchnellereWertschöpfung durch geringere Komplexität und höhere Automatisierung, beschleunigte Einbindung und Rezertifizierung von Lieferanten sowie Minimierung des Zeitaufwands für die Verwaltung von Betriebsprozessen
  • Ein skalierbares Programm , das den End-to-End-Prozess des Risikomanagements für Dritte vereinfacht und vereinheitlicht, um mehr Konsistenz, Vorhersehbarkeit und Agilität zu erreichen.

In unseren 15 Jahren der Zusammenarbeit mit Tausenden von Kunden und Lieferanten haben wir die folgende 6-Stufen-Strategie entwickelt, um ein umfassendes Risikomanagement für Dritte zu erreichen. Laden Sie sich unbedingt den vollständigen Leitfaden mit Best Practices herunter, in dem die 6 Schritte detailliert beschrieben werden, erläutert wird, wie Sie Ihren Reifegrad messen können, und eine Checkliste mit empfohlenen Best-Practice-Funktionen für eine Lösung bereitgestellt wird. Nachfolgend finden Sie eine Zusammenfassung der 6 Schritte.

Schritt 1: Grundlegende Programmentsscheidungen treffen

Vor dem Start eines Risikomanagementprogramms für Dritte müssen mehrere Entscheidungen getroffen werden. Zu den wichtigsten Entscheidungen, die in diesem Schritt zu treffen sind, gehören:

  • Welche Faktoren werden Sie bei der Entscheidung über die Einstufung von Lieferanten berücksichtigen?
  • Welcher Fragebogen wird verwendet, um Informationen über die Kontrollen Ihres Lieferanten zu sammeln?
    • Werden Sie branchenübliche oder proprietäre Umfragen verwenden?
  • Welche Erhebungsmethode(n) wird/werden verwendet?
    • Wirst du die Sammlung selbst verwalten?
    • Werden Sie die Vorteile von Repositorien mit vorab ausgefüllten Fragebögen nutzen?
    • Werden Sie das Inkasso an einen Partner auslagern?
    • Eine Kombination aus beiden Methoden?

Wenn Sie mit TPRM-Anbietern zusammenarbeiten, sollten Sie darauf achten, dass diese flexibel genug sind, um beide Arten von Fragebögen anzubieten, damit Sie nicht an einen einzigen, starren Fragebogen gebunden sind, und dass sie mehrere Erhebungsmethoden anbieten, die zu Ihrem Unternehmen passen. Lesen Sie den Leitfaden zu bewährten Verfahren, um sich einen vollständigen Überblick über diese Eigenschaften zu verschaffen.

Schritt 2: Überwachung der Cyber- und Geschäftsrisiken von Lieferanten

Nachdem Sie sich für eine Einstufung Ihrer Lieferanten entschieden und den Inhalt des Fragebogens ausgewählt haben, besteht der nächste Schritt zu einem umfassenden Risikomanagement für Dritte darin, mit der Überwachung der Cyber- und Geschäftsrisiken dieser Lieferanten zu beginnen. Obwohl regelmäßige Bewertungen unerlässlich sind, um zu verstehen, wie Lieferanten ihre Programme für Informationssicherheit und Datenschutz zu einem bestimmten Zeitpunkt verwalten, ist es ein langwieriger Prozess, die Umfragen an die Lieferanten zu versenden – und für die Lieferanten, die ausgefüllten Inhalte und Nachweise einzureichen. Außerdem bewerten Sie Ihre Lieferanten wahrscheinlich nur einmal im Jahr, und in einem Jahr zwischen den Bewertungen kann bei einem Lieferanten viel passieren! Diese Überwachung hilft Ihnen dabei, fundierte Entscheidungen zur Einstufung zu treffen und sofortige Einblicke zu erhalten, damit Sie bessere Entscheidungen treffen können, sobald Ihre internen Kontrollbewertungen vorliegen. Der Leitfaden zu Best Practices gibt einen Überblick darüber, was überwacht werden sollte.

Schritt 3: Beweise sammeln und Sorgfaltspflicht walten lassen

Der nächste Schritt zur Reife des Risikomanagementprogramms für Dritte ist die Sammlung von Nachweisen und die sorgfältige Prüfung der eingereichten Antworten. Wie in Schritt 1 erwähnt, kann die Sammlung und sorgfältige Prüfung viele Formen annehmen:

  • •Erledigen Sie dies selbst über eine Plattform, die einen integrierten Workflow für die Kommunikation mit Lieferanten, eine zentralisierte Dokumenten- und Nachweisverwaltung sowie ein Lieferantenportal umfasst.
  • •Nutzen Sie vorab ausgefüllte standardisierte Bewertungen von Anbietern in einem Netzwerk, um Ihre Bemühungen zur Risikoidentifizierung zu beschleunigen.
  • •Lagern Sie die Sammlung von Fragebögen und Belegen an einen Anbieter oder Partner aus.

Jeder Ansatz hat seine Vor- und Nachteile, die wir im Leitfaden für bewährte Verfahren erläutern.

Schritt 4: Ergebnisse analysieren und bewerten

Sie haben nun alle Fragebögen ausgefüllt (und möglicherweise validiert) und alle Nachweise zusammengestellt – nun müssen Sie alle Nachweise analysieren und bewerten, damit Sie die Risikomigrationsaktivitäten priorisieren können (siehe nächster Schritt). Die Analyse ist in der Regel eine ressourcenintensive Aufgabe, bei der beispielsweise Warnsignale in der Dokumentation und kontextbezogene Kommentare überprüft und Unterschiede zwischen Dienstleistungen und Risiken berücksichtigt werden müssen. Der beste Ansatz für die Analyse und Bewertung besteht darin, die Ergebnisse zunächst in einem Risiko- und Compliance-Register zu zentralisieren. Seien Sie dann flexibel bei der Gewichtung dieser Risiken – beispielsweise anhand einer 5×5-Matrix für Wahrscheinlichkeit und Auswirkungen –, da nicht alle Risiken gleich sind. Weitere Informationen finden Sie im Leitfaden zu bewährten Verfahren.

Schritt 5: Behebung der Mängel

Erinnern Sie sich an die in Schritt 1 besprochene Einstufung der Lieferanten (sowie die Ergebnisse der Überprüfung in Schritt 2) und das in Schritt 4 behandelte Risikoregister? Diese Attribute sind in diesem Schritt von entscheidender Bedeutung und helfen Ihnen dabei, Lieferanten anhand ihres Risikograds und ihrer Bedeutung für das Unternehmen dynamisch zu kategorisieren. Außerdem ermöglichen sie einen bidirektionalen Workflow zur Risikobeseitigung und die Dokumentenverwaltung im Risikoregister. Der Schlüssel hierbei ist, nach Funktionen zu suchen, die zeigen, wie sich das Risikoniveau im Laufe der Zeit ändern kann, sobald die empfohlenen Abhilfemaßnahmen umgesetzt wurden. Das wird für die Prüfer sehr wichtig sein.

Schritt 6: Berichterstattung an interne und externe Stakeholder

Es ist erst vorbei, wenn der Prüfer es sagt! Eine Möglichkeit, die Compliance-Berichterstattung zu beschleunigen, besteht darin, sich einen Überblick über den Compliance-Grad jedes Anbieters zu verschaffen. Beginnen Sie damit, einen Schwellenwert für die Compliance-Quote für eine Risikokategorie festzulegen (z. B. X % Compliance gegenüber einem bestimmten Rahmenwerk oder einer bestimmten Richtlinie). Alle Berichte werden mit dieser prozentualen Konformitätsbewertung verknüpft, und Ihr Team kann sich auf Teilbereiche konzentrieren, in denen die Konformitätsquoten niedrig sind. Und da es nicht *nur* um die Compliance-Berichterstattung geht, sollten Sie bei der von Ihnen gewählten Lösung auch auf Funktionen für die Cybersicherheitsberichterstattung achten – Bereiche wie Risikotrends im Zeitverlauf, Risiken pro Geschäftsbereich, höchste Risiken nach Lieferanten usw. Der Leitfaden zu Best Practices enthält hierzu detaillierte Informationen.

Nächster Schritt: Laden Sie den Leitfaden für bewährte Praktiken herunter

Prevalent erklärte, wie eine TPRM-Implementierung in Unternehmen aussieht, und beschrieb die wichtigsten Funktionen, auf die bei der Bewertung der Lösung zu achten ist. Prevalent ist der Inbegriff einer vollständigen Lösung für das Risikomanagement von Drittanbietern und bietet ein ganzheitliches, automatisiertes TPRM-Programm, das durch eine einzige, benutzerfreundliche Plattform vereint wird. Wenn Sie mehr darüber erfahren möchten, wie Sie eine vollständige Strategie für das Risikomanagement von Drittanbietern aufbauen können, lesen Sie unseren Leitfaden zu bewährten Verfahren.

Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.