Mit der zunehmenden Vernetzung von Unternehmen wird es nicht nur vorteilhaft, sondern auch notwendig, Dritten Zugang zu Daten und Systemen zu gewähren. Dies kann jedoch die Tür für Schwachstellen und Vorfälle wie Datenschutzverletzungen und Angriffe auf die Lieferkette öffnen, was schwerwiegende Folgen haben kann. Vorstände und Unternehmensleiter fordern daher mehr Einblick in die riesigen Ökosysteme ihrer Unternehmen, die von Dritten betrieben werden.
Um die Auswirkungen dieser Risiken zu mindern, ist es von entscheidender Bedeutung, dieses vielschichtige Ökosystem und seine beweglichen Teile zu verstehen: die beteiligten Personen, Prozesse und Technologien. Das Risikomanagement für Dritte (TPRM) kann Ihnen helfen, diese Herausforderungen zu bewältigen. Bei richtiger Umsetzung kann ein TPRM-Programm Sie in die Lage versetzen, Risiken zu erkennen und abzumildern, bevor sie sich negativ auf Ihr Unternehmen auswirken.
TPRM-Berichterstattung: Eine komplexe Aufgabe
Obwohl die TPRM-Berichterstattung für die Ermittlung und Priorisierung von Risiken von entscheidender Bedeutung ist, kann sie sowohl für angehende als auch für erfahrene Teams ein komplexes Unterfangen sein. Selbst die Ermittlung eines Ausgangspunkts kann eine komplizierte Aufgabe sein. Infolgedessen fällt es vielen Teams schwer, die Risiken Dritter effektiv zu kommunizieren - und einige verlassen sich immer noch auf veraltete, zu technische und komplexe Methoden und Dashboards. Es überrascht nicht, dass das Thema Drittparteirisiken oft für Verwirrung zwischen dem Vorstand, der Geschäftsleitung und den Funktionsteams sorgt.
Es ist daher von entscheidender Bedeutung, die für Ihr Unternehmen geeigneten TPRM-Kennzahlen zu ermitteln, zu formulieren und umzusetzen. Die Bewältigung der Herausforderungen, die mit der Identifizierung und Abschwächung von Risiken Dritter verbunden sind, erfordert außerdem eine gründliche Planung und ein umfassendes Verständnis des Zusammenhangs zwischen Kennzahlen und Unternehmenszielen.
Um diese Bedenken auszuräumen, wird dieser Beitrag:
- Erläutern Sie, was TPRM-Metriken sind und warum sie so wichtig sind
- Sie durch den Prozess der Entwicklung und Implementierung der richtigen TPRM-Metriken in den verschiedenen Phasen des Lebenszyklus des Risikomanagements von Drittanbietern führen
- Austausch bewährter Verfahren und kritischer Faktoren, die bei der Formulierung von TPRM-Metriken zu berücksichtigen sind
TPRM-Metriken und ihre Bedeutung
Bevor Sie entscheiden, welche Metriken Sie einrichten wollen, müssen wir uns damit befassen, was TPRM-Metriken sind, welche Bedeutung sie haben und welche Arten von Metrik-Kategorien Sie kennen sollten.
TPRM-Kennzahlen sind Indikatoren, die einer Organisation helfen, den Fortschritt ihrer TPRM-Strategie und ihres TPRM-Programms zu messen. Bei korrekter Ausführung geben diese Kennzahlen der Unternehmensleitung, dem Vorstand und den Prüfern die Gewissheit, dass die Dritten, mit denen sie zusammenarbeiten, ein akzeptables Risikoniveau aufweisen. Wenn diese Drittparteien mit inakzeptablen Risiken verbunden sind, vereinfachen die richtigen Messgrößen die Abhilfe- und Minderungsprozesse.
Daher ist es für ein Unternehmen wichtig, über aussagekräftige Metriken zu verfügen, die aus einem konsolidierten Satz von Schlüssel-Risiko-Indikatoren (KRIs) und Schlüssel-Leistungsindikatoren (KPIs) bestehen. Diese helfen dabei, die Analyse großer, komplexer Sicherheits-Dashboards zu reduzieren und ermöglichen es den Teams, die relevanten Daten herauszufiltern, die sie zur Identifizierung und Behebung von Risiken benötigen.
Die Identifizierung, Formulierung und Verfolgung der richtigen TPRM-Kennzahlen ist aus folgenden Gründen von entscheidender Bedeutung:
Risikoermittlung und -bewertung
Teams müssen in der Lage sein, verschiedene Risikostufen über den gesamten Lebenszyklus von Drittanbietern hinweg zu erkennen und zu bewerten. Einzigartige Metriken für Onboarding, Management und Offboarding zeigen relevante Risiken auf, die Teams in jeder Phase proaktiv angehen können.
Konformitäts- und Regulierungsanforderungen
Angesichts von ca. 160 verschiedenen globalen Gesetzen und Rahmenwerken wie ISO, CCPA, GDPR, PCI und NIST - jedes mit seinen eigenen Anforderungen für das Management von Drittanbieterrisiken - ist es für Unternehmen unerlässlich, Drittanbieter angemessen zu regeln und Compliance-Anforderungen zu erfüllen.
Leistungsmanagement für Lieferanten
Vielen Unternehmen fehlt eine einfache Methode zur Verwaltung von Service Level Agreements (SLAs) mit ihren Anbietern, was die Wahrscheinlichkeit erhöht, dass Risiken in das Ökosystem eingebracht werden. Durch die Implementierung von Tools, Metriken und Programmen, die eine kontinuierliche Überwachung der Vertragsbestimmungen ermöglichen, können Sie sicherstellen, dass die SLAs eingehalten werden.
Finanzielle Erwägungen
Die Einführung von TPRM-Kennzahlen ist auch für die Auswahl von Anbietern, die Vertragsverhandlungen und die Kündigung von Verträgen von entscheidender Bedeutung. Diese Kennzahlen ermöglichen es den Teams, alle erkannten Risiken zu planen, zu überwachen, zu ermitteln und zu mindern.
Berichterstattung für Vorstand und Stakeholder
Mit den richtigen Kennzahlen können die Teams den Vorstand, die Geschäftsführung und die Wirtschaftsprüfer des Unternehmens regelmäßig auf den neuesten Stand bringen, so dass sie fundierte Entscheidungen über mögliche Risiken treffen können.
Kontinuierliche TPRM-Programmverbesserung
Die Messung der richtigen TPRM-Kennzahlen ermöglicht es den Teams nicht nur, potenzielle Risiken zu erkennen und zu mindern, sondern unterstützt auch die verschiedenen Abteilungen bei der Koordinierung von Risikobewertungen Dritter sowie beim Onboarding, Management und Offboarding von Drittanbietern.
Entwicklung von TPRM-Metriken
Nachdem wir die Bedeutung von TPRM-Metriken untersucht haben, wollen wir uns nun mit dem Prozess der Entwicklung effektiver TPRM-Metriken für die Teams beschäftigen. Abbildung 1 unten veranschaulicht diesen Prozess:
Abbildung 1: Der Prozess der Entwicklung von TPRM-Metriken
Menschen: Ernennung von Führungskräften
Der CEO und der Vorstand des Unternehmens weisen den Chief Risk Officer (CRO) häufig an, den Prozess durch einen Enterprise Risk Council (ERC) zu orchestrieren und zu harmonisieren, eine Arbeitsgruppe, die sich aus Mitgliedern verschiedener Geschäftsbereiche zusammensetzt. Bei kleineren Unternehmen ohne CRO könnte der ERC aus dem Chief Information Security Officer (CISO) oder dem Leiter der IT-Abteilung, dem Leiter der Beschaffung und dem Chief Financial Officer (CFO) bestehen. Ziel ist es, die abteilungsübergreifende Zusammenarbeit zu erleichtern, unabhängig von der Größe des Unternehmens.
Prozess: Festlegen, wer und was gemessen werden soll
Schritt 1: Festlegung von Unternehmenszielen
Nach der Einrichtung des ERC werden dann die Unternehmensziele für TPRM festgelegt. Das ERC beginnt damit, strategische Fragen zu stellen, darunter:
- Was sind unsere Ziele? Was wollen wir erreichen?
- Haben wir irgendwelche Messgrößen im Sinn?
- Welche Vorschriften gelten für uns?
- Warum investiert das Unternehmen in dieses Programm?
- Wie können wir die erfolgreiche Umsetzung von TPRM in großem Maßstab nachweisen?
- Wie können wir den Erfolg des Programms bei der Risikominderung im Laufe der Zeit verfolgen?
Nach der Beantwortung dieser Fragen entwickelt das ERC die Unternehmensziele für TPRM, möglicherweise unter Verwendung einer von einem TPRM-Anbieter angebotenen Lösung. Diese können umfassen:
- Schutz der sensiblen Daten und des geistigen Eigentums des Unternehmens und der Kunden
- Sicherstellung der Einhaltung rechtlicher und behördlicher Vorschriften bei Verkäufern und Lieferanten
- Umsetzung von Maßnahmen zur Verringerung von Cybersicherheitsrisiken
- Durchführung von Maßnahmen zur Minderung der operationellen und finanziellen Risiken
- Wahrung des Rufs der Organisation
- Verbesserung der betrieblichen Effizienz der Organisation
- Sicherstellung der Widerstandsfähigkeit des Unternehmens mit einem klaren Aktionsplan und Gewährleistung, dass die Teammitglieder ihre Aufgaben und Zuständigkeiten verstehen
- Implementierung eines TPRM-Programms, das fundierte Entscheidungen unterstützt
TPRM-Metriken-Kategorien: Ein Überblick
Bevor man sich an die Festlegung spezifischer Abteilungsziele macht, ist es wichtig, ein klares Verständnis der verschiedenen Kategorien von TPRM-Kennzahlen zu haben
die in Betracht gezogen werden können.
An dieser Stelle ist es auch wichtig, den Unterschied zwischen KPIs und KRIs zu verstehen, da beide für TPRM-Kennzahlen gleichermaßen wichtig sind.
- Key Performance Indicators (KPIs) messen die Effektivität der organisatorischen Prozesse und Funktionen
- Wichtige Risikoindikatoren (KRIs)
messen das Risikoniveau, dem die Organisation ausgesetzt ist, und wie effektiv es gehandhabt wird
Im Rahmen einer soliden Strategie für das Risikomanagement von Drittanbietern sollte sich Ihr Unternehmen auf vier Hauptbereiche der Messung konzentrieren. Jeder Bereich besteht aus KPIs und KRIs, die unschätzbare Einblicke in Ihre Beziehung zu den Lieferanten bieten.
- Risiko-Metriken
Diese Metriken helfen bei der Bewertung der mit bestimmten Lieferanten verbundenen Risiken. Sie bieten Einblicke in potenzielle Bedrohungen, entsprechende Abhilfestrategien und die Einhaltung von Primär- und Vergütungskontrollen durch den Lieferanten.
- Metriken zur Bedrohung
Diese Metriken bestehen aus öffentlich zugänglichen Daten, die sich auf Cyber-, Betriebs-, Finanz- und Reputationsaspekte beziehen. Sie helfen dabei, die Korrelation zwischen den Risikodaten des Anbieters und den von außen beobachtbaren Bedrohungen zu ermitteln.
- Metriken zur Einhaltung der Vorschriften
Diese Kennzahlen geben Aufschluss darüber, wie gut die Praktiken der Lieferanten mit dem internen Kontrollumfeld Ihres Unternehmens übereinstimmen. Sie messen auch die Einhaltung gesetzlicher Vorschriften und Rahmenwerke, was für die Einhaltung von Rechts- und Industriestandards entscheidend ist.
- Metriken zum Erfassungsbereich
Diese Metriken sollen sicherstellen, dass Ihr Unternehmen einen vollständigen Überblick über seinen globalen Lieferanten-Fußabdruck hat. Sie helfen dabei, die dritte, vierte und n-te Partei in Ihrer Lieferkette zu identifizieren und zu überprüfen, ob sie in Ihrem Programm angemessen eingestuft wurden.
Die ersten beiden Kategorien, Risiko- und Bedrohungsmetriken, bestehen größtenteils aus KPI- und KRI-Metriken, die sich auf Risikofaktoren und externe Einflüsse beziehen. Die letzten beiden Kategorien, Metriken zur Einhaltung und Abdeckung, sind eher auf die interne Programmbewertung und -ausrichtung ausgerichtet. Diese vier Kategorien bieten zusammen einen umfassenden und ausgewogenen Ansatz für das Risikomanagement für Dritte.
Nachdem wir nun die verschiedenen Kategorien von TPRM-Kennzahlen kennen, können wir mit der Festlegung von Zielen auf Abteilungsebene fortfahren.
Schritt 2: Festlegung von Abteilungszielen
In dieser Phase könnte der CEO mit den Abteilungsleitern zusammentreffen und sie in den ERC einladen. In kleineren Unternehmen könnte der CEO mit dem CISO oder dem IT-Leiter, dem Leiter der Beschaffung und dem CFO zusammenkommen. Die Abteilungsleiter legen dann auf der Grundlage der ERC-Empfehlungen die abteilungsspezifischen Ziele für das TPRM fest.
Hier sind einige der Fragen, die sie berücksichtigen würden:
- Welche Interaktionen mit Dritten sind an der Tätigkeit unserer Abteilung beteiligt?
- Auf welche sensiblen Daten und Systeme in unserer Abteilung können Dritte zugreifen?
- Welche Vorschriften gelten für unsere Abteilung (z. B. GDPR)?
Sobald dies abgeschlossen ist, werden Abteilungs-Teams gebildet, die von den Abteilungsleitern geführt werden. Diese Teams werden verschiedene Aufgaben haben, die in den folgenden Schritten erläutert werden.
Schritt 3: Identifizierung von Drittparteien
Die Teams der Abteilungen beginnen mit der Identifizierung von Dritten wie Anbietern, Lieferanten, Auftragnehmern, Logistikpartnern, Cloud-Service-Anbietern oder anderen. In dieser Phase können die Teams mit der Beschaffung, der Kreditorenbuchhaltung oder anderen internen Teams zusammenarbeiten, die eine Arbeitsliste von Anbietern und Lieferanten führen, um diese Drittparteien für eine bessere Steuerung zu zentralisieren.
Schritt 4: Identifizierung der zu messenden Risiken
Nachdem die Drittparteien ermittelt wurden, bestimmen die Teams die potenziellen Risiken, die mit jeder Partei verbunden sind. Zu diesen Risiken können Datenschutzverletzungen, Reputationsprobleme, behördliche Geldbußen, Probleme mit der Zahlungsfähigkeit und Unterbrechungen der Lieferkette gehören.
[Callout-Box]:
|
Empfehlung: Ihr Unternehmen könnte mit verschiedenen Lieferantenrisiken konfrontiert sein, die Ihnen bisher nicht bewusst waren. In diesem Blog erfahren Sie, um welche Arten von Risiken es sich handelt und wie Sie diese abmildern können: Die wichtigsten Lieferantenrisiken und was man dagegen tun kann |
Schritt 5: Ermittlung von Leistungsindikatoren
Nach der Identifizierung von Dritten und potenziellen Risiken erstellen die Teams Leistungsindikatoren für die regelmäßige Überwachung und legen diese fest.
Der folgende Abschnitt bietet einige Einblicke in die Definition einer guten Metrik für TPRM.
- Datenverfügbarkeit/Qualität: Dadurch wird sichergestellt, dass die Daten für die Berichterstattung zur Verfügung stehen und die Teams auf ein zentrales Repository mit ganzheitlichen Risikoprofilen der Anbieter zugreifen können.
- Standardisierung/Konsistenz: Die Harmonisierung von Prozessen und Ansichten über Geschäftseinheiten hinweg in Bezug auf potenzielle Lieferantenrisiken kann die Abläufe rationalisieren.
- Datenintegration über mehrere Systeme hinweg: Dies bezieht sich auf die Konsolidierung und Integration von Plattformen, um eine einheitliche Sicht auf das Lieferantenrisiko im gesamten Unternehmen zu ermöglichen.
- Vereinfachung der Analyse:
Die Automatisierung programmatischer Prozesse kann dazu beitragen, die großen Datenmengen zu bewältigen, die analysiert werden müssen.
- Interpretation und Kontextualisierung: Es geht darum, die Zielgruppe und den Kontext zu verstehen, um klare, prägnante und aussagekräftige Informationen zu liefern.
- Berichtsformatierung und Kommunikation: Die Fähigkeit, Daten zu destillieren, zu kommunizieren und in einem benutzerfreundlichen Format zu präsentieren, ist entscheidend.
- Rechtzeitigkeit und Häufigkeit: Die Fähigkeit zur kontinuierlichen Überwachung von Anbietern und zum Verständnis von Risikoentwicklungen in Echtzeit ist für jedes wirksame TPRM-Programm von entscheidender Bedeutung.
In dieser Phase können Teams auch Unterstützung und Empfehlungen von ihrem TPRM-Anbieter einholen. Erfahrene Anbieter bieten in der Regel Bibliotheken mit relevanten Inhalten, Playbooks und anderen Informationen an, die bei der Identifizierung einschlägiger Risiken, der Verfolgung von Leistungsindikatoren, der Entwicklung von Berichtsstrategien und der Lösung anderer Probleme helfen.
[Callout-Box]:
|
Nutzen Sie diese Tipps, um häufige Fallstricke bei der Einrichtung von TPRM-Kennzahlen zu vermeiden:
|
Schritt 6: Harmonisierung der Metriken über den gesamten TPRM-Lebenszyklus
In diesem Schritt arbeitet das ERC mit den Abteilungsleitern zusammen und richtet Arbeitsgruppen ein, um alle ermittelten Risiken und Leistungsindikatoren aufeinander abzustimmen. Die Gruppen arbeiten dann an der Standardisierung und Synchronisierung der Messgrößen in jeder Phase des Lebenszyklus des Risikomanagements für Drittanbieter.
Das folgende Diagramm zeigt ausgewählte Kennzahlen, die in jeder Phase berücksichtigt werden sollten, sowie die typischerweise beteiligten Abteilungen:
|
Lebenszyklusstadium des Drittparteirisikos |
TPRM-Metriken auswählen |
Relevant für diese funktionsübergreifenden Teams |
|
1. Beschaffung und Auswahl |
|
|
|
2. Aufnahme & Onboarding |
|
|
|
3. Inhärentes Risiko bewerten |
|
|
|
4. Bewerten und Abhilfe schaffen |
|
|
|
5. Überwachen & Validieren |
|
|
|
6. Laufende Leistung verwalten |
|
|
|
7. Beenden & Aussteigen |
|
|
[Callout-Box]:
|
Empfehlung: Wenn Sie mehr darüber erfahren möchten, wie Sie die richtigen TPRM-Kennzahlen ermitteln, lesen Sie das eBook "Die 25 wichtigsten KPIs und KRIs für das Risikomanagement von Drittanbietern" und laden Sie die Scorecard herunter. |
Die weit verbreitete TPRM-Lösung
Ganz gleich, ob Sie ein neues TPRM-Programm starten oder Ihre bestehenden TPRM-Initiativen optimieren wollen, Prevalent bietet Ihnen die Lösungen, Dienstleistungen und Unterstützung, die Sie benötigen.
Die Prevalent-Plattform für das Risikomanagement von Drittanbietern ist eine SaaS-Lösung, die Ihr gesamtes Unternehmen in die Lage versetzt, bei der Identifizierung, dem Verständnis und der Reduzierung von Lieferantenrisiken zusammenzuarbeiten. Mit der Prevalent-Plattform können Sie:
- Aufbau einer zentralen Datenbank mit Risikoprofilen von Anbietern und Lieferanten, einschließlich der Abbildung von Beziehungen zwischen4. und N. Party
- Automatisieren Sie den Prozess der Risikobewertung durch Dritte mit einer Bibliothek von über 200 standardisierten Fragebögen
- kontinuierliche Überwachung neuer und aufkommender Cyber-, Finanz-, Betriebs- und Reputationsrisiken
- Verwalten und Verfolgen des Abhilfeprozesses mit automatisierten Workflows und Playbook-Funktionen
- Weitergabe kontextbezogener Berichte über die wichtigsten Kennzahlen an alle Beteiligten im Unternehmen
Unterstützt wird dies durch unser erfahrenes Professional Services (PS)-Team, das Ihnen helfen kann, den Prozess weiter zu optimieren:
- Unterstützung bei der Ermittlung einschlägiger KPI- und KRI-Kennzahlen über den gesamten Lebenszyklus des Lieferanten
- Festlegung von Schwellenwerterwartungen und rechtzeitige Einleitung von Warnmeldungen
- Unterstützung während des gesamten Abhilfeprozesses und Verfolgung der Lösungsprozesse
- Zugang zu einer umfassenden Bibliothek mit TPRM-Inhalten, insbesondere zu benutzerdefinierten Berichten, TPRM-Programmen und zugehörigen Leistungskriterien
- Zusammenarbeit mit Ihnen bei der Entwicklung maßgeschneiderter Berichte für verschiedene Interessengruppen
- Versorgung Ihrer Teams mit wichtiger Unterstützung und Dokumentation auf der Grundlage verschiedener Persona-basierter Status-Workflows
Um mit der Messung von Schlüsselmetriken zu beginnen, laden Sie das eBook und die Scorecard Die 25 wichtigsten KPIs und KRIs für das Risikomanagement von Drittanbietern herunter. Vereinbaren Sie dann einen Termin für eine Demo, um zu erfahren, wie Prevalent Ihnen helfen kann, Ihr TPRM-Kennzahlenprogramm zu automatisieren und zu beschleunigen.
Über Prevalent
Prevalent erleichtert das Risikomanagement für Dritte (TPRM). Unternehmen nutzen unsere Software und Dienstleistungen, um die Sicherheits- und Compliance-Risiken zu beseitigen, die sich aus der Zusammenarbeit mit Anbietern und Lieferanten während des gesamten Lebenszyklus von Drittanbietern ergeben. Unsere Kunden profitieren von einem flexiblen, hybriden Ansatz für TPRM, bei dem sie nicht nur auf ihre Bedürfnisse zugeschnittene Lösungen erhalten, sondern auch einen schnellen Return on Investment erzielen. Unabhängig davon, wo sie beginnen, helfen wir unseren Kunden, die Probleme zu beseitigen, fundierte Entscheidungen zu treffen und ihre TPRM-Programme im Laufe der Zeit anzupassen und auszubauen.
Weitere Informationen finden Sie unter www.prevalent.net.
[CB1]Wir haben oben eine ähnliche Formulierung verwendet, aber in einem anderen Zusammenhang. Ich habe ihn hier gestrichen, da er nicht wirklich notwendig ist.
[CB2]Diese Zeile könnte als Widerspruch zu der folgenden Zeile gesehen werden, daher habe ich sie gestrichen.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
