Das Argument für ein dezentralisiertes Risikomanagement für Drittparteien

Jay Fitzhugh |

Da wir nun in das dritte Quartal unserer Unzufriedenheit mit der weltweiten Coronavirus-Pandemie eintreten, ist eines ganz klar: Das zentralisierte Risikomanagement für Anbieter implodiert.

Diese Schlussfolgerung basiert auf den Aussagen derjenigen, die sich öffentlich zu diesem Thema geäußert haben, z. B. auf der Mitratech Interact-Konferenz, die im September stattfand: Die pandemische Herausforderung für das Risikomanagement von Anbietern besteht darin, das Engagement von Unternehmenseigentümern sicherzustellen, um ihre kritischen Anbieter von Produkten und Dienstleistungen im Auge zu behalten.

Bis zu diesem Zeitpunkt bestand für viele Unternehmer die Verantwortung für das Lieferantenmanagement darin, dass sie eine Fülle von Formularen, Genehmigungen und/oder Verzichtserklärungen ausfüllen mussten, um die Erlaubnis zu erhalten, das Produkt oder die Dienstleistung von dem Unternehmen zu erwerben, das sie bereits ausgewählt hatten; schließlich sind sie die Fachexperten. Wahrscheinlich bedeutete dies, dass jemand mit einer höheren Gehaltsstufe die Unterschrift unter den Vertrag setzte, und dass, sobald der Spießrutenlauf hinter ihnen lag, mindestens ein Jahr lang freie Fahrt herrschte.

Das Lieferantenmanagement erwies sich als ein sich wiederholendes Ärgernis in Form von erforderlichen regelmäßigen Aktualisierungen der Vorlagen und der Beschaffung der erforderlichen vom Lieferanten bereitgestellten Dokumente, um sicherzustellen, dass alle Kästchen angekreuzt werden oder bleiben konnten. Abgesehen von der Validierung der Leistung des Lieferanten, von der der Erfolg des Unternehmers abhängt, lag ein Großteil des Lieferantenmanagements außerhalb des Kompetenzbereichs des Unternehmers.

Das liegt daran, dass das Lieferantenmanagement eine kollektive Aufgabe ist. Es ist die Zusammenstellung von Meinungen auf einer horizontalen Ebene aus dem Dorf der Fachexperten, die in den meisten Organisationen in ihren eigenen vertikal ausgerichteten Lehnsgütern arbeiten. Der Geschäftsinhaber war nur eine von vielen Meinungen mit einer nicht so dominanten Rolle.

Infografik: Richtlinien für effektives Vendor Onboarding

Risikominimierung bei gleichzeitigem Aufbau starker Lieferantenbeziehungen.

Jetzt herunterladen

Die neue Ordnung der Dinge im Vendor Risk Management

Das Problem bei der zentralisierten Verwaltung von Lieferanten war schon immer die Personalausstattung. Durch die Konsolidierung der erforderlichen Überprüfungsschritte und -praktiken konnte eine Organisation das Programm kontrollieren und jedem Prüfer oder Regulierer die Disziplin und Autorität bei der Verwaltung der Lieferantenunterlagen vor Augen führen. Aber es erforderte viel Personal, wenn es in den Händen einiger weniger lag.

Jetzt, wo wir uns mitten in einem "schwarzen Schwan" befinden, ist die Verwaltung der Dokumentation trivial, verglichen mit dem Engagement und der Sichtverbindung zu den Anbietern, die Ihr Unternehmen wöchentlich, täglich und vielleicht sogar stündlich zum Laufen bringen. Wir brauchen jetzt viele, die sich engagieren und befähigt sind.

In den Risikomodellen werden eine erste und eine zweite Verteidigungslinie definiert. Das Management des Anbieters kann unmöglich beide Verteidigungsrollen gleichzeitig akzeptieren und übernehmen. Die definitive erste Verteidigungslinie, die Geschäftsinhaber, die das Geschäftsmodell tatsächlich kennen und dafür verantwortlich sind, müssen einbezogen werden. Wahrscheinlich ist jetzt klar, dass Ihr Geschäft davon abhängen könnte.

Ein neuer Schwerpunkt

Ein neuer Schwerpunkt hat sich herausgebildet. Steht meinem Anbieter ausreichend Personal für den Betrieb und die Erbringung von Dienstleistungen für unser Unternehmen zur Verfügung? Wie verändert sich das Risiko für die Informationssicherheit durch den veränderten Aufenthaltsort der Mitarbeiter und die Konnektivität der Aktivitäten des Anbieters? Wie müssen wir die wesentlichen Dienstleistungen neu definieren? Müssen Verträge überarbeitet werden? Verfügen wir über angemessene SLAs und Ausstiegsoptionen (wie im FFIEC Examination Handbook Appendix J vor über fünf Jahren für Finanzinstitute definiert)?

Wie müssen die Richtlinien und Verfahren mit dem Anbieter und innerhalb unserer Organisation geändert werden, um eine veränderte Risikotoleranz zu akzeptieren? Ist jemand besorgt über das Konzentrationsrisiko bei Anbietern, jetzt, wo es landesweite Abriegelungen und virale Hotspots gibt? Wie wird die Cybersicherheitsgefährdung und die Widerstandsfähigkeit der Anbieter überwacht und validiert?

Dies sind die Fragen, die beantwortet werden müssen, und nicht nur die Frage, ob Ihr Lieferant ein Überbrückungsschreiben für den SOC-Bericht des letzten Jahres hat. Die Unternehmenseigentümer haben jetzt mehr Verantwortung zu tragen. Und die Anbietermanagement-Organisationen müssen zugeben, dass sie die Verantwortung für diesen kritischen Geschäftsprozess an die Unternehmenseigentümer delegieren müssen und sich nicht mehr nur als zentraler Ansprechpartner für die Erfüllung gesetzlicher Anforderungen sehen. Das Risiko von Drittanbietern ist real - und nicht mehr nur ein Hobby.

Verteidigen Sie sich gegen Anbieter- und Unternehmensrisiken

Erfahren Sie mehr über unsere branchenführenden VRM/ERM-Lösungen.

Kontakt