Angesichts der zunehmenden Zahl schädlicher Datenverstöße versuchen Unternehmen, strategische, operative und IT-Risikomanagementdaten und -prozesse zu vereinfachen, zu automatisieren und zu integrieren, um eine bessere und ganzheitlichere Entscheidungsfindung zu ermöglichen. Dieser risikozentrierte Ansatz erweitert traditionelle, auf Compliance ausgerichtete Methoden von Governance-, Risiko- und Compliance-Programmen (GRC), um den unvermeidlichen und sich ständig ändernden Sicherheits- und Datenschutzanforderungen gerecht zu werden, die sich aus diesen Sicherheitsvorfällen ergeben. Dies wird gemeinhin als integriertes Risikomanagement (IRM) bezeichnet. Diese Disziplin ist nicht neu, sondern eher eine Weiterentwicklung von GRC, um den Trend von Unternehmen zu unterstützen, die nach Lösungen suchen, die umsetzbare Erkenntnisse liefern, die sich an Geschäftsstrategien und nicht in erster Linie an regulatorischen Vorgaben orientieren.
Ein wichtiger Faktor, den Unternehmen bei der Entwicklung ihrer IRM-Strategie berücksichtigen sollten, ist jedoch der Einfluss, den externe Partner, Lieferanten und Anbieter auf das Geschäftsrisiko haben. In diesem Blogbeitrag soll erläutert werden, wie das Risikomanagement für externe Partner (TPRM) zur Entwicklung einer ganzheitlichen IRM-Strategie beitragen kann. IRM stimmt Prozesse, Technologien und Mitarbeiter in einem Unternehmen auf ein wiederholbares Framework für risikobasierte Entscheidungen ab, und TPRM spielt dabei eine wesentliche Rolle.
Erweiterung von IRM-Lösungen
IRM-Lösungen sind unerlässlich, um organisatorische Risiken auf ein akzeptables Maß zu begrenzen, aber einige sind möglicherweise nicht darauf ausgerichtet, Transparenz über Lieferantenrisiken zu gewinnen – z. B. im erweiterten Unternehmen. Um sicherzustellen, dass IRM-Programme die Compliance-Anforderungen in Bezug auf Dritte angemessen erfüllen, und um eine stärker risikoorientierte Strategie zu fördern, empfehlen wir die Einhaltung bestimmter Best-Practice-Fähigkeiten.
Um zu veranschaulichen, wie wichtige TPRM-Funktionen in ein gemeinsames Modell passen, haben wir sie in der folgenden Tabelle den kritischen Funktionen für integriertes Risikomanagement von Gartner zugeordnet. Verwenden Sie diese Tabelle als Checkliste, um zu beurteilen, ob Ihre vorhandenen IRM-Tools Ihren Anforderungen im Bereich Third-Party-Risiken gerecht werden. Lesen Sie unbedingt den gesamten IRM-Bericht von Gartner, um alle Best-Practice-Leitlinien und Hintergründe zu erfahren, da diese Tabelle nur eine Zusammenfassung darstellt.
Wichtige Funktionen für das Risikomanagement von Drittanbietern, abgestimmt auf das IRM-Modell von Gartner
| Gartner Critical Capabilities für IRM | Best-Practice-TPRM-Funktionen zur Erweiterung des IRM |
|---|---|
| Risiko- und Kontrolldokument/Bewertung – Dokumentieren Sie Risiken und damit verbundene Kontrollen, um interne/externe Audit-Anforderungen zu erfüllen. | |
|
Risikobezogene Inhalte, einschließlich eines Risikorahmens, einer Taxonomie/Bibliothek, eines Katalogs mit Schlüsselrisikoindikatoren (KRI) sowie rechtlicher, regulatorischer und organisatorischer Compliance-Anforderungen |
Bibliothek mit vorgefertigten Inhalten/Fragebögen nach Industriestandard, einschließlich spezifischer Compliance-Vorschriften und Inhalten zur Lieferantenleistung, mit der Möglichkeit, eigene, auf die Bedürfnisse Ihres Unternehmens zugeschnittene Bewertungen zu erstellen. |
|
Methodik zur Risikobewertung und Berechnungsmöglichkeiten (z. B. Bowtie-Risikobewertung) |
Risikomatrix, die Risikowerte auf der Grundlage der Eintrittswahrscheinlichkeit und der Auswirkungen auf das Unternehmen berechnet; ergänzt durch eine FAIR-Methodik |
|
Dokumentation von Richtlinien und Kontrollabbildung |
Ein einheitliches Risikomodell, das die aus kontrollbasierten Bewertungen gewonnenen Informationen automatisch auf regulatorische Rahmenbedingungen abbildet, um eine klare und umsetzbare Berichterstattung zu ermöglichen. |
|
Dokumentations-Workflow, einschließlich Erstellung, Versionierung und Freigabe |
Bidirektionales Dokumentenmanagement mit Aufgaben, Freigabe und obligatorischen Upload-Funktionen |
|
Analyse der Auswirkungen auf das Geschäft |
Quantifizieren Sie, wie sich Risiken im Laufe der Zeit verändern – mit und ohne Anwendung der erforderlichen Abhilfemaßnahmen. |
|
Prüfungsunterlagen und Testmanagement |
Vollständiger Prüfpfad aller internen sowie externen Kommunikationen durch Dokumentations-Workflow-Funktionen |
|
Validierung der Kontrolle durch Dritte |
Bibliothek mit branchenüblichen kontrollbasierten Bewertungen, die sich auf jedes beliebige Kontrollrahmenwerk (z. B. CoBiT, ISO, NIST usw.) abbilden lassen. |
| Vorfallmanagement – Bereitstellung einer Aufzeichnung von Vorfällen, um den Risikobewertungsprozess zu unterstützen und die Identifizierung der Ursachen von Ereignissen zu erleichtern. | |
|
Erfassung von Vorfalldaten |
Kontinuierliche Überwachung von Cyber- und geschäftsbezogenen Ereignissen Dritter, um sofortige Erkenntnisse und zusätzliche Bewertungen zu liefern |
|
Workflow und Berichterstattung für das Vorfallmanagement |
Weisen Sie Aufgaben an eine beliebige interne Partei zu, um weitere Untersuchungen zu erleichtern. |
|
Ursachenanalyse |
Fügen Sie eine Reihe externer Datenfeeds hinzu, um die Datenerfassung zu ergänzen und einen umfassenderen Überblick über die Risiken zu erhalten. |
|
Krisenmanagement |
Identifizieren Sie Arbeitsabläufe, um Risiken, die sich auf das Geschäft auswirken könnten, in Echtzeit zu beheben. |
|
Ermittlungsfallmanagement |
Führen Sie Aufzeichnungen über alle Kommunikationen und Unterlagen im Zusammenhang mit einem identifizierten Risiko, um Abhilfemaßnahmen zu ergreifen. |
| Risikominderungsmaßnahmenplanung – Entwicklung von Plänen, um sicherzustellen, dass geeignete Maßnahmen zur Risikominderung ergriffen werden, um die Risikobereitschaft der Organisation zu erfüllen. | |
|
Projektmanagement-Funktionalität zur Verfolgung des Fortschritts bei risikobezogenen Initiativen, Audits oder Untersuchungen |
Bidirektionaler Sanierungs-Workflow, um Diskussionen über Risikoregister und die Festlegung von Fertigstellungsterminen/Kosten zu ermöglichen |
|
Risikokontrollprüfungsfunktionen, wie z. B. kontinuierliche Kontrollüberwachung |
Führen Sie wiederkehrende Bewertungen durch und integrieren Sie die Ergebnisse externer Netzwerk-Cyber-Scans. |
|
Zuordnung zu Risiken, Geschäftsprozessen und Technologie-Assets |
Bibliothek mit branchenüblichen kontrollbasierten Bewertungen, die sich auf jedes beliebige Kontrollrahmenwerk (z. B. CoBiT, ISO, NIST usw.) abbilden lassen. |
|
Kontrollzuordnung zu gesetzlichen Anforderungen und Compliance-Vorgaben |
Ein einheitliches Risikomodell, das die aus kontrollbasierten Bewertungen gewonnenen Informationen automatisch auf regulatorische Rahmenbedingungen abbildet. |
| KRI-Überwachung/Berichterstattung – Aggregieren und berichten Sie über Risikostufen und wichtige Risikoindikatoren. | |
|
Funktionen für Risikobewertungskarten/Dashboards |
Das Risikoregister wird automatisch aus Umfragen mit vollständigem Prüfpfad und Verantwortlichkeiten für Abhilfemaßnahmen gefüllt. |
|
Integration externer Daten (z. B. Daten zur Bewertung der Informationssicherheit) |
Momentaufnahme und kontinuierliche Überwachung der Cyber- und Geschäftsrisiken von Lieferanten, einschließlich Feeds aus externen Quellen, mit intelligenter Priorisierung und Risikoregistrierung |
|
Die Möglichkeit, KRIs mit Leistungskennzahlen zu verknüpfen |
Alle Lieferanten visualisieren und nach Stufe, Risikobewertung, Kategorie und Bedeutung für das Unternehmen sortieren, um eine bessere Übersicht zu erhalten. |
| Risikoquantifizierung und -analyse – Erreichen Sie eine regulatorisch vorgegebene Quantifizierung und Analyse. | |
|
Maschinelles Lernen oder andere KI-gestützte Analysen |
|
|
Fähigkeiten zur Analyse von „Was-wäre-wenn“-Risikoszenarien |
|
|
Statistische Modellierungsfunktionen (z. B. Monte-Carlo-Simulation, Value at Risk und Bayessche statistische Inferenz) |
|
|
Prädiktive Analytik |
|
|
Kapitalallokation/Berechnung |
|
|
Fähigkeiten zur Betrugserkennung |
|
Wenn Ihre IRM-Strategie diese TPRM-Best Practices nicht berücksichtigt, sollten Sie jetzt handeln. Laden Sie den Best-Practice-Leitfaden „Navigating the Vendor Risk Lifecycle: Keys to Success at Every Stage“ herunter, um einen vollständigen Überblick über die erforderlichen Funktionen zur Berücksichtigung von Risiken durch Dritte in Ihrem IRM-Programm zu erhalten.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
