Die Berichterstattung über Kennzahlen zum Third-Party Risk Management (TPRM) ist eine wichtige Aufgabe, die es operativen Teams, Führungskräften und Vorstandsmitgliedern ermöglicht, Risiken im Zusammenhang mit Anbietern und Lieferanten effektiv zu kommunizieren und zu mindern. Dieser Blogbeitrag befasst sich mit den Herausforderungen im Zusammenhang mit der TPRM-Berichterstattung, nennt Beispiele für wichtige Kennzahlen zum Third-Party Risk Management und enthält Leitlinien zur Entwicklung der richtigen Kennzahlen für Ihr Unternehmen.
Was sind Risikokennzahlen von Drittanbietern?
Risikokennzahlen für Dritte sind quantifizierbare Messgrößen, die zur Bewertung und zum Verständnis der Risiken verwendet werden, die mit der Beauftragung von Drittanbietern und Lieferanten verbunden sind. Diese Kennzahlen bieten Unternehmen eine systematische Methode zur Bewertung potenzieller Gefahren für ihren Betrieb, ihren Ruf, ihre Datensicherheit und ihren Compliance-Status, die sich aus ihren Beziehungen zu externen Unternehmen ergeben. Durch den Einsatz der richtigen Kennzahlen zum Management von Risiken durch Dritte kann Ihr Unternehmen seine Vermögenswerte wirksam schützen und das Vertrauen seiner Kunden und Stakeholder aufrechterhalten.
Warum sind Risikokennzahlen von Drittanbietern wichtig?
Der Zugriff von Anbietern und Lieferanten auf Daten, Systeme und Einrichtungen ist für die heutige Geschäftswelt unverzichtbar. Allerdings kann der Zugriff durch Dritte Unternehmen auch Risiken wie Datenverstößen und Angriffen auf die Lieferkette aussetzen. Als Reaktion darauf streben Vorstände und Führungskräfte nach mehr Transparenz in Bezug auf die Ökosysteme ihrer Unternehmen, die von Dritten genutzt werden.
TPRM-Kennzahlen können die Unternehmensleitung, den Vorstand und die Wirtschaftsprüfer davon überzeugen, dass die mit ihnen zusammenarbeitenden Dritten ein akzeptables Risikoniveau aufweisen. Wenn Dritte mit inakzeptablen Risiken verbunden sind, können die richtigen Kennzahlen gleichzeitig die Abhilfemaßnahmen und Risikominderungsprozesse vereinfachen und beschleunigen.
Was sind einige Herausforderungen der TPRM-Berichterstattung?
Die TPRM-Berichterstattung kann sowohl für neue als auch für erfahrene Teams eine Herausforderung darstellen. Allein schon die Festlegung eines Ausgangspunkts kann schwierig sein, sodass viele Teams Probleme haben, Risiken durch Dritte effektiv zu kommunizieren. Veraltete, zu technische und komplexe Methoden und Dashboards tragen zusätzlich zur Verwirrung zwischen Vorständen, Führungskräften und Funktionsteams bei. Diese Komplexität unterstreicht, wie wichtig es ist, einen programmatischen Ansatz zur Identifizierung, Formulierung und Implementierung der für Ihr Unternehmen geeigneten TPRM-Kennzahlen zu verfolgen.
Kategorien von TPRM-Kennzahlen
Bevor Sie spezifische Kennzahlen für das TPRM-Programm Ihres Unternehmens auswählen, ist es wichtig, die Kategorien von Kennzahlen zu verstehen, die berücksichtigt werden sollten. TPRM-Kennzahlen lassen sich in vier Hauptbereiche unterteilen, die jeweils aus mehreren KPIs und KRIs bestehen, die wertvolle Einblicke in die Beziehungen zu Dritten liefern:
- Risikokennzahlen: Bewerten Sie die mit bestimmten Lieferanten verbundenen Risiken und gewinnen Sie Einblicke in potenzielle Gefahren, entsprechende Strategien zur Risikominderung und die Einhaltung von Kontrollen durch den Lieferanten.
- Bedrohungsmetriken: Bestehen aus öffentlich zugänglichen Daten zu Cyber-, Betriebs-, Finanz- und Reputationsaspekten und befassen sich damit, wie Daten zu Lieferantenrisiken mit extern beobachtbaren Bedrohungen korrelieren.
- Compliance-Kennzahlen: Zeigen Sie auf, inwieweit die Praktiken Ihrer Lieferanten den internen Kontrollumgebungen und regulatorischen Anforderungen entsprechen, die für die Einhaltung gesetzlicher und branchenüblicher Standards entscheidend sind.
- Abdeckungsmetriken: Stellen Sie ein umfassendes Verständnis der globalen Lieferantenpräsenz sicher und identifizieren Sie Dritte, Vierte und N-te Parteien in der Lieferkette.
Durch die Messung von KPIs und KRIs in jeder dieser Kategorien können Sie einen umfassenderen und ausgewogeneren Ansatz für das Risikomanagement von Drittanbietern verfolgen. Empfehlungen zu den spezifischen Kennzahlen, die Sie für Ihr TPRM-Programm berücksichtigen sollten, finden Sie im E-Book „Die 25 wichtigsten KPIs und KRIs für das Risikomanagement von Drittanbietern“.
Wie man effektive TPRM-Kennzahlen entwickelt
Der Prozess der Entwicklung effektiver TPRM-Kennzahlen umfasst mehrere wichtige Schritte, die im Folgenden erläutert werden.
Zunächst sollten Sie eine Führungsgruppe ernennen, die in der Regel vom Chief Risk Officer (CRO) über einen Enterprise Risk Council (ERC) koordiniert wird, eine Arbeitsgruppe, die sich aus Mitgliedern verschiedener Geschäftsbereiche zusammensetzt. In kleineren Unternehmen ohne CRO kann der ERC aus dem Chief Information Security Officer (CISO), dem Leiter der IT-Abteilung, dem Leiter der Beschaffungsabteilung und dem Chief Financial Officer (CFO) bestehen. Nach der Einrichtung der Führungsgremien umfasst der Prozess sechs wichtige Phasen zur Definition und Umsetzung der TPRM-Kennzahlen.
1. Unternehmensziele festlegen
Der Enterprise Risk Council legt die Unternehmensziele für TPRM fest, indem er strategische Fragen behandelt. Diese Phase gewährleistet die Übereinstimmung mit Vorschriften, Geschäftszielen und einer erfolgreichen Umsetzung von TPRM in großem Maßstab.
Wichtige Überlegungen: Zu den Zielen können der Schutz sensibler Daten, die Gewährleistung der Einhaltung gesetzlicher Vorschriften, die Verringerung von Cybersicherheitsrisiken, die Minderung operativer und finanzieller Risiken, der Schutz des Rufs des Unternehmens, die Steigerung der betrieblichen Effizienz und die Unterstützung fundierter Entscheidungsprozesse gehören.
2. Abteilungsziele festlegen
In dieser Phase trifft sich der CEO mit den Abteilungsleitern oder den zuständigen Führungskräften, um die Abteilungsziele für TPRM festzulegen. Diese Ziele, die sich aus den Empfehlungen des ERC ableiten, berücksichtigen Interaktionen mit Dritten, den Zugriff auf sensible Daten und relevante Vorschriften.
Abteilungszuständigkeiten: Unter der Leitung der Abteilungsleiter werden Teams gebildet, um Ziele zu definieren und diese mit den übergeordneten TPRM-Zielen in Einklang zu bringen.
Wichtige Fragen: Die Teams berücksichtigen Interaktionen mit Dritten, Daten- und Systemzugriff sowie relevante Vorschriften für ihre Abteilungen.
3. Dritte identifizieren
Die Teams der einzelnen Abteilungen beginnen damit, Dritte wie Anbieter, Lieferanten, Auftragnehmer, Logistikpartner und Cloud-Dienstleister zu identifizieren. Durch die Zusammenarbeit mit internen Teams wie der Beschaffungs- und der Kreditorenbuchhaltung werden die Daten von Dritten zentralisiert, um eine bessere Governance zu erreichen.
Grundlage für Governance: Die Zusammenarbeit mit internen Teams zur Zentralisierung von Daten von Drittanbietern schafft die Grundlage für ein gut verwaltetes TPRM.
4. Zu messende Risiken identifizieren
Nach der Identifizierung von Dritten ermitteln die Teams potenzielle Risiken im Zusammenhang mit jeder Partei, darunter Datenverstöße, Reputationsrisiken, Bußgelder, finanzielle Solvenz und Unterbrechungen der Lieferkette.
5. Leistungsindikatoren identifizieren
Nach der Identifizierung von Dritten und potenziellen Risiken erstellen und etablieren die Teams Leistungsindikatoren für die regelmäßige Überwachung. Mehrere Schlüsselfaktoren tragen zu effektiven TPRM-Kennzahlen bei, darunter:
- Verfügbarkeit/Qualität der Daten: Dadurch wird sichergestellt, dass Daten für die Berichterstattung verfügbar sind und dass Teams auf ein zentrales Repository mit ganzheitlichen Risikoprofilen von Lieferanten zugreifen können.
- Standardisierung/Konsistenz: Die Harmonisierung von Prozessen und Ansichten über Geschäftseinheiten hinweg in Bezug auf potenzielle Lieferantenrisiken kann die Abläufe rationalisieren.
- Datenintegration: Durch die Zusammenführung und Integration verschiedener Plattformen entsteht ein einheitliches Bild der Lieferantenrisiken im gesamten Unternehmen.
- Einfache Analyse: Die Automatisierung programmatischer Prozesse hilft bei der Verwaltung und Analyse großer Datenmengen.
- Interpretation und Kontextualisierung: Das Verständnis des Publikums und des Kontexts ermöglicht klare, prägnante und aussagekräftige Informationen.
- Berichtsformatierung und Kommunikation: Die Aufbereitung, Kommunikation und Präsentation von Daten in einem benutzerfreundlichen Format ist von entscheidender Bedeutung.
- Aktualität und Häufigkeit: Die kontinuierliche Überwachung von Lieferanten in Echtzeit ist für ein wirksames TPRM-Programm von größter Bedeutung.
In dieser Phase können Teams Unterstützung und Empfehlungen von TPRM-Anbietern einholen und deren Fachwissen und Ressourcen nutzen, um Risiken zu identifizieren, Leistungsindikatoren zu verfolgen, Berichtsstrategien zu entwickeln und andere Probleme anzugehen.
6. Harmonisierung der Kennzahlen über den gesamten TPRM-Lebenszyklus hinweg
In dieser letzten Phase arbeitet der ERC mit den Abteilungsleitern zusammen, um Gruppen zu bilden, die sicherstellen, dass alle identifizierten Risiken und Leistungsindikatoren aufeinander abgestimmt sind. Die Gruppen arbeiten daran, die Metriken in jeder Phase des Risikomanagement-Lebenszyklus für Drittanbieter zu standardisieren und zu synchronisieren.
Nächste Schritte
Sind Sie bereit, Ihren TPRM-Ansatz mit datengestützten Kennzahlen zu transformieren und ein sicheres und widerstandsfähiges Ökosystem für Drittanbieter in Ihrem Unternehmen zu schaffen? Laden Sie unser Whitepaper „Measuring What Matters: How to Build Effective Third-Party Risk Metrics” herunter, um detaillierte Anleitungen zu den einzelnen oben genannten Schritten, zu den in jeder Phase des TPRM-Lebenszyklus zu berücksichtigenden Kennzahlen und zu Tipps zur Vermeidung häufiger Fallstricke bei der Festlegung Ihrer TPRM-Kennzahlen zu erhalten.
Ganz gleich, ob Sie ein neues TPRM-Programm starten oder Ihre bestehenden TPRM-Metrikinitiativen optimieren möchten – mit der Prevalent Third-Party Risk Management Platform kann Ihr gesamtes Unternehmen gemeinsam daran arbeiten, Lieferantenrisiken zu identifizieren, zu verstehen und zu reduzieren. Vereinbaren Sie eine Demo, um zu erfahren, wie Prevalent Ihnen dabei helfen kann, Ihr TPRM-Metrikprogramm zu automatisieren und zu beschleunigen.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
