Risiken durch Dritte: Von allen Seiten auf Sie zukommend
Ihr Unternehmen erledigt heute wahrscheinlich mehr Aufgaben mit weniger internen Mitarbeitern als jemals zuvor. Dies ist zum großen Teil der Unterstützung durch externe Anbieter, Lieferanten, Dienstleister und andere Dritte zu verdanken. Natürlich bringt Outsourcing klare Vorteile mit sich, kann aber auch ein immenses Risiko für Ihr Unternehmen darstellen.
Ein ausgetretener Pfad für Verstöße … und Vorschriften
Es ist kein Geheimnis, dass jeder Drittanbieter, mit dem Sie zusammenarbeiten, Ihr Risiko für Daten- und Datenschutzverletzungen erhöht. Jeden Tag müssen Unternehmen aus allen Branchen dies auf schmerzhafte Weise erfahren, darunter GE, Marriott, Target, Sprint und LabCorp
,
um nur einige zu nennen. Das Ergebnis? Kundenverluste, Geldstrafen, Strafen, Gebühren für die Kreditüberwachung – was auch immer. Und je mehr Verstöße durch Dritte von ihren Opfern bekannt gegeben werden, desto mehr Vorschriften werden von der Industrie und den Aufsichtsbehörden eingeführt. CCPA, DSGVO, CMMC und mehrere andere Vorschriften verlangen ausdrücklich eine Risikobewertung und/oder Überwachung durch Dritte.
Die Pandemie wirft neue Fragen auf
Als ob Daten-, Datenschutz- und Compliance-Herausforderungen nicht schon genug wären, um Ihnen schlaflose Nächte zu bereiten, hat die Coronavirus-Pandemie die Anfälligkeit der Lieferkette gegenüber Naturkatastrophen und anderen (manchmal unvorhergesehenen) Störungen in beispielloser Weise offenbart. Sie zwingt alle Unternehmen dazu, sich auf die neue Realität von Remote-Mitarbeitern, Notfallmaßnahmen, Gesundheitsrisiken, Lieferausfällen und anderen Hindernissen einzustellen. Wie gehen Ihre externen Partner damit um und welche Auswirkungen hat dies auf Ihr Unternehmen? Mit welchen möglichen Folgen ist zu rechnen? Über welche Richtlinien und Verfahren verfügen sie, um die nächste Herausforderung zu bewältigen?
Wie können Sie angesichts der zunehmenden Auslagerung und Virtualisierung von Unternehmen sowie der wachsenden Unsicherheit im globalen Umfeld Risiken durch Dritte mit einem gewissen Maß an Sicherheit vorhersehen und bewältigen?
Das Risikomanagement für Dritte (TPRM) kann schwierig sein
Den schwierigen Weg gehen
In der Vergangenheit haben die meisten Unternehmen das Risikomanagement für Dritte manuell durchgeführt. Das war chaotisch, mühsam und ein echter Kampf. Nur mit Tabellenkalkulationen bewaffnet, mussten die Prüfer Anbieter und Lieferanten mit Fragebögen bombardieren und dann deren Antworten einholen. Das war zwar für die Prüfer unangenehm, aber noch schlimmer war es für die Anbieter, die diese Anfragen bearbeiten und immer wieder dieselben Fragen von verschiedenen Kunden beantworten mussten. Kein Wunder, dass 34 % der Unternehmen angeben, dass die Bewertung eines Top-Lieferanten über einen Monat dauert.
Leider hat eine aktuelle Studie ergeben, dass 50 % der Unternehmen in der Vergangenheit verhaftet sind und sich bei der Verwaltung ihrer Audits und Kontrollen nach wie vor ausschließlich auf Tabellenkalkulationen verlassen. Da die meisten Unternehmen mit Hunderten von Lieferanten zusammenarbeiten, wäre eine ganze Armee von Prüfern erforderlich, die manuelle Methoden anwenden, um vollständige, aktuelle und in irgendeiner Weise nützliche Daten zu Risiken durch Dritte zu sammeln.
Es war ein schwieriger Weg, aber es gibt noch viel zu tun
Und das ist nur das Problem der Datenerfassung. Angenommen, Sie erhalten Antworten von Ihren wichtigsten Lieferanten. Was machen Sie dann mit den Daten? Wie bewerten, priorisieren und beheben Sie die Risiken? Woher wissen Sie, ob die Antworten überhaupt korrekt sind? Stimmen sie mit historischen Daten überein? Korrelieren sie miteinander? Korrelieren sie mit den bereits bekannten Risiken von Lieferanten (z. B. bekannte Datenverstöße, Kundendaten im Dark Web, rechtliche Schritte, Geldstrafen usw.)? Sind Sie bereit, diese Fragen zu beantworten, wenn der Vorstand, die Aufsichtsbehörden und all die anderen Leute, die Ihnen keine Ruhe lassen, an Ihre Tür klopfen? Allein schon das Schreiben dieses Artikels stresst uns!
Vielleicht ist es Ihnen gelungen, Risikodaten von Ihren Lieferanten zu sammeln, diese an alle wichtigen Personen weiterzuleiten und tatsächlich etwas dagegen zu unternehmen. Aber damit ist es noch nicht getan. Alles verändert sich ständig. Lieferanten kommen und gehen. Die Art und Weise, wie sie mit Ihren Daten umgehen, ändert sich. Jeden Tag tauchen neue Cyberangriffe und neue Sicherheitslücken auf. Ihre Informationen sind bereits veraltet. Sie müssen dies regelmäßig tun.
Was ist mit Bob?
Andererseits denken Sie vielleicht: „Ich muss mir darüber keine Gedanken machen. Das ist das Problem von [Bob] in der [IT-Abteilung].“ Schicken Sie das gerne an Bob weiter, aber Risiken durch Dritte sind in den meisten Unternehmen eine Herausforderung für mehrere Abteilungen. Und die Zuständigkeit kann variieren, je nachdem, wen Sie fragen. 37 % der Unternehmen geben an, dass die Informationssicherheit dafür zuständig ist, 22 % sagen, es sei die IT, 14 % sagen, es sei das Risikomanagement, 9 % sagen, es sei das Lieferantenmanagement, und 6 % sagen, es sei die Rechts-/Compliance-Abteilung. Bei so vielen beteiligten Abteilungen stellt sich die Frage: Wer ist wirklich für das Problem zuständig? Wie können Sie alle Beteiligten auf eine Linie bringen, um substanzielle Fortschritte bei der Identifizierung und Reduzierung von Lieferantenrisiken zu erzielen?
Wir verstehen es: TPRM macht keinen Spaß
In einer perfekten Welt müssten wir uns keine Gedanken über die „Last“ von Risiken durch Dritte machen. Informationssysteme wären absolut sicher und nahtlos. Die Mitarbeiter von Anbietern wären wie Roboter und absolut loyal. Kriminelle und feindliche Staaten gäbe es nicht. Alle wären Freunde.
Die Welt ist nicht perfekt. Sie brauchen natürlich Ihre Lieferanten, um Ihre Geschäfte abzuwickeln, aber Sie müssen gleichzeitig klug vorgehen und sich der Risiken bewusst sein. Die Realität sieht so aus, dass Lieferanten-Ökosysteme organisch und unvorhersehbar sind, genau wie das globale Umfeld. Das macht das Risikomanagement bei Drittanbietern besonders schwierig. Manchmal ist es chaotisch, manchmal ist es einfach nur mühsam.
Deshalb gibt es Prevalent. Wir sind hier, um das Risikomanagement von Drittanbietern wesentlich einfacher und produktiver zu gestalten.
Der vorherrschende Ansatz für TPRM
Prevalent ist hier, um die Art und Weise zu revolutionieren, wie Sie mit den Risiken einer zunehmend vernetzten, voneinander abhängigen und unvorhersehbaren Welt umgehen. Jeden Tag verändern wir die Art und Weise, wie unsere Kunden ihre Beziehungen zu Dritten betrachten, verwalten und steuern. Wir tun dies, indem wir Community-Netzwerke, Dienstleistungen und Produkte bereitstellen, die es Unternehmen ermöglichen, Risiken durch Dritte besser aufzudecken, zu interpretieren und zu reduzieren.
Netzwerke: Sofortiger Zugriff auf Informationen zu Lieferantenrisiken
Unsere Kunden haben Zugriff auf eine riesige Sammlung von On-Demand-Risikoinformationen zu über 10.000 Anbietern. Diese Bibliotheken nutzen die Leistungsfähigkeit der Prevalent-Community, um historische und Echtzeit-Einblicke in Cyber- und Geschäftsrisiken aus über 567.000 Quellen zu liefern. Mit Prevalent Vendor Risk Networks können unsere Kunden ihre TPRM-Programme schnell skalieren, da sie sofortigen Zugriff auf Risikobewertungen von Anbietern und unterstützende Berichte haben. Für Anbieter, die noch nicht in den Netzwerken vertreten sind, führt Prevalent auf Kundenwunsch neue Bewertungen durch. Außerdem bauen wir neue Self-Service-Funktionen in unsere Plattformen ein, mit denen Anbieter Selbstbewertungen durchführen und einreichen können, die sie dann ganz einfach an ihre eigenen Kunden weitergeben können.
Dienstleistungen: Wir übernehmen für Sie die mühsame Arbeit des TPRM
Bei Prevalent helfen wir unseren Kunden seit über 15 Jahren dabei, Risiken durch Dritte zu identifizieren, zu verstehen und zu reduzieren. Wir haben als Team von Beratern begonnen, die bereit waren, Anbietern im Namen unserer Kunden kritische Fragen zu stellen. Heute ist dieses Team zu einer Full-Service-Abteilung mit Forschern, Auditoren und Kundenerfolgsexperten herangewachsen, die sich dafür einsetzen, unseren Kunden die lästigen Aspekte des Risikomanagements von Drittanbietern abzunehmen. Wir kümmern uns um alles, von der Einbindung von Anbietern über die Durchführung von Bewertungen bis hin zur Identifizierung von Risiken und der Nachverfolgung von Abhilfemaßnahmen. Sie sparen sich die mühsame Arbeit und erhalten die Informationen und Berichte, die Sie benötigen, um sich auf Ihre Anbieterstrategie und die allgemeine Risikominderung zu konzentrieren.
Produkte: Vereinheitlichung von Lieferantenmanagement, Bewertung und Überwachung
Unsere Kunden verfügen über die derzeit automatisierteste und intelligenteste Plattform für das Risikomanagement von Drittanbietern. Die Prevalent Third-Party Risk Management Platform vereint Lieferantenmanagement, Risikobewertung und Bedrohungsüberwachung und bietet so einen 360-Grad-Überblick über Risiken. Die Plattform erleichtert die Einbindung von Lieferanten, bewertet diese anhand standardisierter und individueller Fragebögen, korreliert die Bewertungen mit externen Bedrohungsdaten, deckt Risiken auf, priorisiert und berichtet darüber und erleichtert den Behebungsprozess. Kunden können die Plattform entweder für ihre eigenen, selbst verwalteten TPRM-Initiativen oder in Zusammenarbeit mit unserem Serviceteam nutzen.
Auf dem Weg zur TPRM-Reife
Unabhängig davon, wo Sie heute stehen, kann Prevalent Ihnen dabei helfen, ein Programm zum Management von Risiken durch Dritte mit unübertroffener Transparenz, Effizienz und Skalierbarkeit aufzubauen. Wir arbeiten mit Ihnen zusammen, um eine Kombination aus Managed Services, Netzwerkmitgliedschaft und/oder Zugang zur TPRM-Plattform zu finden, die für Ihr Unternehmen am besten geeignet ist. Sie profitieren von einer schnellen Amortisation, sind in der Lage, fundierte Entscheidungen zu treffen, und können die mit Lieferanten verbundenen Risiken messbar reduzieren – und das alles mit weniger Aufwand für Sie und Ihr Team.
Hier sind nur einige Beispiele dafür, was unsere Kunden erreicht haben:
- Eines der weltweit größten Pharmaunternehmen hat seine Bewertungen um 550 Stunden verkürzt, Zehntausende Dollar an Outsourcing-Kosten eingespart und Mitarbeiter und Mittel für strategischere Risikomanagementprojekte umgeschichtet.
- Eines der zehn weltweit führenden Versicherungsunternehmen reduzierte den Zeitaufwand für die Einarbeitung von Lieferanten und die Durchführung von Bewertungen um 50 %.
- Ein US-amerikanisches Top-20-Versicherungsunternehmen erhöhte die jährlichen Lieferantenbewertungen um 233 %, ohne zusätzliches Personal einzustellen.
Insgesamt berichten Prevalent-Kunden von einer durchschnittlichen Reduzierung der Onboarding-Zeit für Lieferanten um 80 %, einer 5-fachen Skalierbarkeit bei der Bewertung von Lieferanten über unsere Plattform und einer 8-fachen Skalierbarkeit bei der Bewertung von Lieferanten über Managed Services.
Das Risikomanagement von Drittanbietern muss kein endloser, zermürbender Marsch ins Nirgendwo sein. Entdecken Sie, was Prevalent für Sie tun kann. Fordern Sie noch heute eine Demo an.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
