Laut der Studie „2024 Third Party Risk Management Study“ arbeiten Unternehmen heute durchschnittlich mit mehr als 3.000 Drittanbietern, Lieferanten und Partnern zusammen. Leider bedeutet die Vorherrschaft manueller Ansätze bei der Risikobewertung von Drittanbietern, dass die meisten Unternehmen nur ein Drittel ihrer Lieferanten verwalten können. Angesichts wachsender Lieferanten-Ökosysteme, allgegenwärtiger Bedrohungen durch Datenverstöße bei Drittanbietern und zunehmend aggressiverer behördlicher Aufsicht ist das Management von Risiken durch Drittanbieter mittlerweile eine wichtige Aufgabe für Unternehmen aller Branchen.
Die Komplexität und das Volumen von Beziehungen zu Dritten erfordern robuste Lösungen, um potenzielle Risiken zu mindern. Bei der Vielzahl der verfügbaren Optionen für das Risikomanagement von Dritten stellt sich jedoch die Frage, wie Sie herausfinden können, welche für Ihr Unternehmen am besten geeignet ist.
Dieser Beitrag untersucht und vergleicht die Ansätze zum Risikomanagement von Drittanbietern für vier Arten von Lösungen, von den einfachsten bis zu den umfassendsten: Tabellenkalkulationen, Tools zur Bewertung von Cybersicherheitsrisiken, Source-to-Pay-Suiten und spezielle Plattformen für das Risikomanagement von Drittanbietern. Dazu untersuchen wir die Vor- und Nachteile und empfehlen für jeden Ansatz die ideale Lösung.
Tabellenkalkulationen
Tabellenkalkulationen sind zweifellos beliebt für das Risikomanagement von Drittanbietern. Die Hälfte aller Unternehmen – insbesondere kleine und mittelständische Unternehmen – nutzt sie regelmäßig. Dieser Ansatz hat jedoch seine Vor- und Nachteile. Tabellenkalkulationen bieten eine kostengünstige, flexible und vertraute Lösung für die Verwaltung von fragebogenbasierten Risikobewertungen von Drittanbietern. Sie weisen jedoch auch erhebliche Einschränkungen in Bezug auf Skalierbarkeit, Datenintegrität, Zusammenarbeit, Sicherheit und erweiterte Funktionen auf, die ihre Wirksamkeit beim Risikomanagement beeinträchtigen.
| Vorteile der Verwendung von Tabellenkalkulationen für das Risikomanagement von Drittanbietern | Nachteile der Verwendung von Tabellenkalkulationen für das Risikomanagement von Drittanbietern |
|---|---|
| Kostengünstiges Tabellenkalkulationsprogramme sind in der Regel Teil von Office-Softwarepaketen, die viele Unternehmen bereits besitzen und aus ihrem IT-Budget bezahlen. Damit sind sie eine kostengünstige Option für TPRM-Teams – oder zumindest eine Option mit geringen Anschaffungskosten, die den Kauf und die Implementierung spezieller Risikomanagement-Tools überflüssig macht. |
Skalierbarkeit Tabellenkalkulationen können schnell unübersichtlich und schwierig zu verwalten sein, insbesondere bei einer großen Anzahl von Lieferanten. Große Datensätze können die Leistung von Tabellenkalkulationen beeinträchtigen und zu Ineffizienzen führen. |
| Flexibilität und Anpassungsfähigkeit Tabellenkalkulationen lassen sich leicht an spezifische Risikomanagementprozesse und Vorlagen anpassen. Fast jeder kann sie anpassen und modifizieren, um sie an veränderte Anforderungen und neue Datenpunkte anzupassen. |
Datenintegrität und Genauigkeit Tabellenkalkulationen sind anfällig für menschliche Fehler wie falsche Dateneingaben, Formelfehler und unbeabsichtigte Änderungen. Außerdem verfügen Tabellenkalkulationen nicht über robuste Datenvalidierungsmechanismen, was das Risiko ungenauer oder unvollständiger Daten erhöht. |
| Benutzerfreundlichkeit Die meisten Benutzer wissen, wie man Tabellenkalkulationssoftware verwendet, sodass keine Einarbeitungszeit erforderlich ist. Auch der Informationsaustausch ist einfacher, da die Beteiligten mit dem Tool vertraut sind. Grundlegende Datenvisualisierungstools wie Diagramme und Grafiken helfen dabei, Risikodaten zu veranschaulichen. |
Fehlende erweiterte Funktionen Tabellenkalkulationen bieten nur minimale Automatisierungsmöglichkeiten, was zu zeitaufwändigen manuellen Prozessen führt. Sie bieten keine Echtzeitüberwachung oder Warnmeldungen bei Änderungen des Risikostatus von Drittanbietern (/blog/third-party-monitoring/), wodurch ihre Verwendung auf fragebogenbasierte Bewertungen beschränkt ist. |
| Einfacher Zugriff Tabellen können problemlos über verschiedene Geräte und Plattformen hinweg geteilt und aufgerufen werden, sodass alle relevanten Beteiligten die Daten einsehen und bearbeiten können. |
Herausforderungen bei der Zusammenarbeit (z. B. Versionskontrolle) Die Verwaltung mehrerer Versionen einer Tabellenkalkulation kann zu Verwirrung, Unstimmigkeiten und Problemen bei der Versionskontrolle führen. Die eingeschränkte Unterstützung für die Zusammenarbeit mehrerer Benutzer in Echtzeit (insbesondere mit Personen außerhalb des Unternehmens) kann die Effizienz und Koordination des Programms beeinträchtigen. |
| Sicherheitsbedenken Spreadsheets verfügen oft nicht über erweiterte Sicherheitsfunktionen, wodurch sensible Risikodaten anfällig für unbefugten Zugriff und Verstöße sind, insbesondere wenn sie an Dritte weitergegeben werden. Die Implementierung und Verwaltung von Zugriffskontrollen kann eine Herausforderung darstellen, insbesondere in größeren Unternehmen. |
|
| Statische Berichterstellung Die Erstellung umfassender Berichte zu Risiken durch Dritte anhand von Tabellenkalkulationen kann sehr arbeitsintensiv und zeitaufwendig sein. Die Berichte sind oft statisch und bieten keine dynamischen Echtzeit-Einblicke in Risiken durch Dritte. Wenn Unternehmen wachsen und die Risikolandschaft durch Dritte komplexer wird, kann es sinnvoll sein, robustere und spezialisiertere Lösungen für das Risikomanagement durch Dritte einzusetzen, die erweiterte Funktionen, Automatisierung und Echtzeitüberwachung bieten, um Risiken effektiv zu mindern. Im weiteren Verlauf dieses Blogs werden einige Optionen untersucht. |
Tools zur Bewertung von Cybersicherheitsrisiken
Bewertungstools, von denen die gängigsten Dienste zur Bewertung von Cybersicherheitsrisiken sind, konzentrieren sich auf die Quantifizierung der Cybersicherheitslage von Dritten anhand extern identifizierbarer Daten wie Schwachstellen, Exploits, Webanwendungskontrollen und anderen öffentlich zugänglichen Informationen. Diese Tools liefern Einblicke in potenzielle Cyberrisiken, die von Drittanbietern und Partnern ausgehen, und präsentieren die Ergebnisse in Form einer numerischen Risikobewertung oder einer Buchstabenbenotung.
Obwohl sie ein beliebtes Mittel zur Bewertung von Risiken durch Dritte sind, können Cybersicherheits-Risikobewertungsdienste keine detaillierten internen Kontrollen durchführen. Bewertungsinstrumente sind zudem nach Risikotypen unterteilt – Cyber, ESG, Finanzen, Betrieb, Compliance, Reputation usw. –, sodass Unternehmen verschiedene Datenfeeds erwerben und integrieren müssen, um ein umfassendes Bild der Risiken durch Dritte zu erhalten.
Tools zur Bewertung von Cybersicherheitsrisiken sind nur für Unternehmen gedacht, die sich ausschließlich mit der Überwachung von Cyberrisiken befassen – oder über die Ressourcen verfügen, um mehrere Überwachungsfeeds zusammenzuführen, um andere Arten von Risiken zu adressieren. Diese Tools sind auch für Unternehmen unzureichend, die gesetzliche Anforderungen einhalten müssen, um die Wirksamkeit der internen IT-Sicherheitskontrollen von Drittanbietern zu verstehen. Aus diesem Grund ergänzen Tools zur Bewertung von Cybersicherheitsrisiken häufig umfassendere Lösungen zur Bewertung von Risiken durch Drittanbieter.
| Vorteile des Einsatzes von Scoring-Tools für das Risikomanagement von Drittanbietern | Nachteile der Verwendung von Scoring-Tools für das Risikomanagement von Drittanbietern |
|---|---|
| Cyber-Risiko-Spezialisten Diese Tools nutzen verschiedene Datenquellen (einige davon sind im Besitz des Anbieters, andere lizenziert) und Methoden, um die Cybersicherheit von Dritten zu bewerten und ihnen auf Grundlage der Ergebnisse eine Punktzahl zuzuweisen. |
Nur Cyber- Tools zur Bewertung von Cybersicherheitsrisiken beschränken sich ausschließlich auf Cybersicherheitsrisiken und bieten keine umfassendere Risikoüberwachung für geschäftliche und finanzielle Probleme, ESG-Befunde, Verstöße gegen Compliance- und Sanktionsvorschriften sowie Betriebsstörungen. |
| Kontinuierliche Überwachung und Alarmierung Tools zur Bewertung von Cybersicherheitsrisiken ermöglichen die kontinuierliche Überwachung der Cybersicherheitspraktiken von Drittanbietern und warnen Unternehmen bei Änderungen des Risikoniveaus. |
Begrenzte fragebogengestützte Bewertung Die meisten Tools zur Bewertung von Cybersicherheitsrisiken sind entweder nicht in der Lage, fragebogengestützte Bewertungen der internen Kontrollen durchzuführen, oder behandeln Bewertungen als nachträgliche Überwachung, wodurch Risiken unbehoben bleiben. Dies ist ein nicht standardmäßiger Ansatz, da die meisten Unternehmen es vorziehen, zunächst Bewertungen der internen Kontrollen durchzuführen und dann externe Überwachungslösungen zu verwenden, um die vom Anbieter gemeldeten Daten zu validieren. |
| Datengestützte Erkenntnisse Cyber-Scoring-Tools nutzen Big Data und maschinelles Lernen, um umsetzbare Erkenntnisse und prädiktive Analysen zu liefern. |
Falsch-positive Ergebnisse Tools zur Bewertung von Cybersicherheitsrisiken sind dafür bekannt, dass sie häufig falsche positive Ergebnisse liefern. Dies kann es für Risikoteams von Drittanbietern schwierig machen, die tatsächlichen Risiken, denen sie ausgesetzt sind, richtig einzuschätzen, und erfordert einen erheblichen Zeitaufwand für Untersuchungen, wodurch wichtige Maßnahmen zur Risikominderung vernachlässigt werden. |
Source-to-Pay-Suiten
Source-to-Pay-Suiten (S2P) umfassen den gesamten Beschaffungsprozess, von der Beschaffung direkter und indirekter Produkte und Dienstleistungen bis hin zur Zahlung. Sie enthalten häufig Module für das Risikomanagement von Drittanbietern als Teil ihrer umfassenderen Beschaffungsfunktionen, neben Funktionen für das RFx-Management, das Vertragslebenszyklusmanagement usw.
| Vorteile der Verwendung von Source-to-Pay-Suites für das Risikomanagement von Drittanbietern | Nachteile der Verwendung von Source-to-Pay-Suites für das Risikomanagement von Drittanbietern |
|---|---|
| Integrierte Beschaffungs- und Risikomanagement- S2P-Suiten integrieren das Risikomanagement in den Beschaffungszyklus und stellen sicher, dass Risikofaktoren bei Beschaffungsentscheidungen berücksichtigt werden. |
Mangelnde Fokussierung auf Drittanbieter-Risikomanagement ( ) Viele S2P-Suiten bieten ein Zusatzmodul für Drittanbieter-Risiken (in der Regel erworben und integriert) und verfügen daher in der Regel nicht über Spezialisierung und fundiertes Fachwissen im Bereich TPRM – insbesondere aus Sicht der Cybersicherheitsrisiken. |
| Lieferantenbewertung und Onboarding- S2P-Suiten bieten Tools zur Bewertung und Einbindung von Lieferanten, einschließlich Risikobewertungen und Compliance-Prüfungen. |
Fokus auf frühe Phasen Da S2P-Suiten von Beschaffungsfachleuten genutzt werden, werden häufig umfassendere Risikoaspekte übersehen, da der Fokus auf der Beschaffung, der ersten Bewertung und der Einbindung von Lieferanten liegt. Andere wichtige Phasen des Risikolebenszyklus von Drittanbietern oder die besonderen Anliegen von IT-Sicherheitsteams werden weniger berücksichtigt. |
| Vertrags- und Leistungsmanagement Source-to-Pay-Suiten helfen bei der Verwaltung von Lieferantenverträgen und -leistungen und integrieren Risikokennzahlen und Überwachungsfunktionen. |
zur begrenzten Risikobewertung S2P-Suites liefern Risikoeinblicke durch Partnerschaften mit Daten- und Risikoinformationsanbietern, um das Lieferantenrisiko zu bewerten und eine bessere Entscheidungsfindung zu ermöglichen. Das Niveau der Risikoanalyse, das in den meisten S2P-Suites enthalten ist, reicht jedoch für ein kontinuierliches Risikomanagement in der Regel nicht aus. |
S2P-Suiten sind für größere Unternehmen mit hohen Beschaffungsbudgets und einem beschaffungsorientierten Fokus gedacht, die Beziehungen zu mehreren Anbietern und Lieferanten verwalten müssen, sich jedoch weniger auf Risiken konzentrieren.
Spezielle Plattformen für das Risikomanagement von Drittanbietern
Spezielle Risikomanagementplattformen für Dritte sind auf das Management von Lieferanten- und Zuliefererrisiken spezialisiert. Diese Anbieter konzentrieren sich auf die Bereitstellung umfassender Lösungen zur Identifizierung, Bewertung, Minderung und Überwachung von Risiken im Zusammenhang mit Beziehungen zu Dritten. TPRM-Plattformen sind häufig auch Teil größerer Governance-, Risikomanagement- und Compliance-Suiten (GRC) oder Unternehmensrisikomanagementlösungen, die sich mit einem umfassenden Spektrum von Risiken innerhalb und außerhalb des Unternehmens befassen.
| Vorteile der Verwendung von TPRM-Plattformen für das Risikomanagement von Drittanbietern | Nachteile der Verwendung von TPRM-Plattformen für das Risikomanagement von Drittanbietern |
|---|---|
| Spezialisierung Der zielgerichtete Ansatz einer TPRM-Plattform ermöglicht fundiertes Fachwissen und fortschrittliche Funktionen, die speziell auf das Risikomanagement von Drittanbietern zugeschnitten sind. |
Integration v Spezielle TPRM-Plattformen wurden speziell für das Management von Risiken durch Dritte entwickelt und müssen möglicherweise mit anderen Risikomanagement-Tools wie S2P-Suites, Berichtsplattformen usw. integriert werden. Tipp: Suchen Sie nach TPRM-Lösungen, die über eineBibliothek mit vorgefertigten Integrationen und eine offene API verfügen oder Teil einer umfassenderen GRC- oder ERM-Lösung sind, die ein umfassendes Spektrum an Risiken abdeckt. |
| Umfassende Risikobewertungs- TPRM-Plattformen bieten umfangreiche Risikobewertungsfunktionen, darunter Bewertungen von Cybersicherheits-, Finanz-, Betriebs-, Regulierungs- und Reputationsrisiken. |
Proprietäre oder nicht standardisierte Bewertungen Seien Sie vorsichtig bei einer übermäßigen Anpassung von Risikobewertungen, da dies den Vergleich und die Bewertung von Anbietern weniger konsistent machen kann. Tipp: Suchen Sie nach TPRM-Lösungen, die eine umfangreiche Bibliothek mit standardisierten Bewertungsvorlagen bieten. |
| Kontinuierliche Überwachung TPRM-Anbieter bieten in der Regel Echtzeit-Überwachungs- und Warnmechanismen an, um den Risikostatus von Dritten und Änderungen zwischen den regelmäßigen Bewertungen zu verfolgen. |
Siloed Monitoring Tools Einige dedizierte TPRM-Plattformen bieten keine umfassende kontinuierliche Überwachung mehrerer Risikotypen, die über Cybersicherheitsbedrohungen hinausgehen. Tipp: Informieren Sie sich über vollständig integrierte Plattformen, die eine nahtlose Integration zwischen Bewertungsergebnissen und kontinuierlichen Überwachungsergebnissen bieten. |
| Lebenszyklusabdeckung TPRM-Plattformen sind in der Regel auf die Bewertung und Minderung von Risiken über den gesamten Lebenszyklus der Beziehung zu Dritten spezialisiert – von der Beschaffung und Auswahl bis hin zum Ausscheiden und zur Beendigung der Zusammenarbeit. |
Flexibilität bei den Ressourcen Um der wachsenden Zahl von Dritten, die Bewertungen durchführen, gerecht zu werden, müssen Unternehmen möglicherweise entsprechende Ressourcen bereitstellen. Tipp: Prüfen Sie Managed-Services-Optionen oder Netzwerke mit abgeschlossenen Risikobewertungen, um Ressourcenengpässe zu verringern. |
TPRM-Plattformen sind ideal für Unternehmen, in denen mehrere Teams an der Verwaltung von Risiken durch Dritte beteiligt sind. Sie profitieren von einheitlichen Risikoinformationen, lebenszyklusbasierten Risikokorrekturen und umfassender Unterstützung für verschiedene Risikoarten.
Nächste Schritte: Auswahl des richtigen Ansatzes für das Management von Risiken durch Dritte
Die Auswahl des richtigen Ansatzes für das Risikomanagement von Drittanbietern hängt von den spezifischen Anforderungen, der Risikolandschaft und der Verfügbarkeit von Ressourcen eines Unternehmens ab.
- Tabellenkalkulationen sind im Allgemeinen einfach zu verwenden, lassen sich jedoch nicht skalieren und bieten nicht die erforderlichen Analysefunktionen, um Risiken von Drittanbietern zu bewerten, zu benoten oder zu beheben.
- Tools zur Bewertung von Cybersicherheitsrisiken werden verwendet, um Cybersicherheitsrisiken gegenüber anderen Risikokategorien zu priorisieren.
- Source-to-Pay-Suiten bieten eine Lösung für alle, die Risikomanagement in ihre Beschaffungsprozesse integrieren möchten.
- Spezialisierte Anbieter von Risikomanagementlösungen für Dritte bieten maßgeschneiderte, fortschrittliche Lösungen, die sich ideal für Unternehmen mit erheblichen Risiken durch Dritte eignen und häufig Teil umfassender Risikomanagementlösungen für Unternehmen sind.
Durch das Verständnis der Stärken und Grenzen jedes Ansatzes kann Ihr Unternehmen fundierte Entscheidungen treffen, um seine Risiken durch Dritte effektiv zu verwalten und den Geschäftsbetrieb zu schützen.
Weitere Informationen darüber, wie Prevalent Ihrem Unternehmen dabei helfen kann, Spreadsheets ein für alle Mal abzuschaffen und ein agiles und umfassendes TPRM-Programm zu implementieren, finden Sie in unserem Start-up-Leitfaden „10 Schritte zum Aufbau eines erfolgreichen Risikomanagementprogramms für Dritte“ oder fordern Sie noch heute eine Vorführung an.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich auf Prevalent.net veröffentlicht. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
