Die allgegenwärtige Bedrohung durch Cyberangriffe von Drittanbietern erfordert bei der Bewertung neuer und bestehender Anbieter, Lieferanten, Partner und Auftragnehmer eine besondere Sorgfalt. Sicherheits- und Risikomanagementexperten dürfen jedoch nicht die erheblichen Risiken außerhalb der IT übersehen, wie z. B. die Risiken im Zusammenhang mit Reputations-, Finanz-, Rechts-, Compliance- und ESG-Störungen.
Bei vielen dieser Risiken handelt es sich um "weichere" Risiken, bei denen es keine klaren Richtlinien für die Bewertung von Anbietern gibt, die aber dem Ruf, der Marke, dem Wert und der Fähigkeit eines Unternehmens, seinen vertraglichen Verpflichtungen nachzukommen, gleichermaßen schaden können. In diesem Beitrag werden fünf der wichtigsten Nicht-IT-Risikokategorien untersucht
5 Zu überwachende Nicht-IT-Risiken
Die folgenden fünf Hauptkategorien von Nicht-IT-Risiken können die Fähigkeit Ihres Unternehmens beeinträchtigen, seinen Verpflichtungen nachzukommen.
1. Operationelles Risiko: Unterbrechung der Lieferkette
Die COVID-19-Pandemie und die daraus resultierenden Unterbrechungen der Lieferkette waren ein klarer Beweis dafür, dass Unternehmen auch durch nicht-IT-Ereignisse beeinträchtigt werden können. Armstrong Flooring und der Kosmetikriese Revlon beispielsweise führten bei ihren Konkursanträgen Unterbrechungen der Lieferkette an.
Die operationellen Risiken werden auch in der Welt nach der COVID weiterhin bestehen. In einem instabilen politischen Umfeld ist das Risiko sehr groß. Die russische Invasion in der Ukraine hat nicht nur die Versorgung mit Getreide, Düngemitteln und Erdgas beeinträchtigt, sondern auch die Produktion von zwei ukrainischen Unternehmen zum Erliegen gebracht, die für 45 % bis 54 % der weltweiten Versorgung mit Neon in Halbleiterqualität verantwortlich sind, das für die Herstellung von Chips verwendet wird. Anhaltende Angriffe auf die Schifffahrt im Roten Meer durch Houthi-Rebellen
drohen die weltweite Schifffahrt zu beeinträchtigen. Darüber hinaus können unerwartete Katastrophen den Betrieb der Lieferkette erheblich beeinträchtigen, wie z. B. der
Einsturzder Francis-Scott-Key-Brücke, durch den Seefracht und Lkw-Verkehr im Wert von 80 Millionen Dollar aus einem der größten Häfen Amerikas umgeleitet wurden
Für Risikomanagement-Experten ist es von entscheidender Bedeutung, die Widerstandsfähigkeit ihrer Lieferkette zu verstehen. Dazu gehört auch die Bewertung von Plänen zur Reaktion auf Vorfälle, zur Geschäftskontinuität und zur Wiederherstellung im Katastrophenfall. Mit einem ganzheitlichen Verständnis der Fähigkeiten Ihrer Lieferanten kann sich Ihr Unternehmen besser darauf vorbereiten, das Betriebsrisiko durch Pandemien, Umweltkatastrophen und andere potenzielle Krisen zu verringern.
2. Compliance-Risiko mit der Folge von Geldbußen und Klagen
Die rechtlichen Rahmenbedingungen werden von Jahr zu Jahr komplexer. Die meisten, einschließlich HIPAA, PCI-DSS, GDPR, PDPAdie Gesetz über den privaten Sektor in Québec, und CCPA/CPRAsind auf den Schutz der persönlichen Daten von Kunden und Mitarbeitern ausgerichtet. Allen gemeinsam ist, dass sie von den Unternehmen verlangen, die bestehenden Risiken zu erkennen (in der Regel durch eine Risikobewertung), einen Plan zur Risikominderung aufzustellen und den Aufsichtsbehörden Bericht zu erstatten. Dies gilt auch für Risiken, die von Anbietern, Geschäftspartnern, Auftragnehmern und Partnern ausgehen.
Perry Johnson & Associates (PJ&A), ein Anbieter von medizinischen Transkriptionsdiensten, erlitt im März 2023 eine Datenschutzverletzung und gab die persönlichen Daten von mehr als 9.000.000 Personen preis, was die Aufmerksamkeit des U.S. Department of Health and Human Services (HHS) auf sich zog und zu Sammelklagen gegen mehrere seiner medizinischen Kunden und verlorenen Kunden führte. Obwohl zwischen PJ&A und seinen Kunden mit ziemlicher Sicherheit eine Vereinbarung über die Zusammenarbeit mit Geschäftspartnern bestand, schützte diese Vereinbarung das Unternehmen nicht davor, selbst einen Imageschaden zu erleiden und rechtliche Probleme zu bekommen.
Im Zuge der digitalen Transformation von Unternehmen werden die Compliance-Anforderungen auf neue Dienste und Anbieter ausgeweitet, darunter Webhosting, Zahlungsabwicklung und Cloud-Service-Anbieter. Um dieses Risiko zu minimieren, müssen Sie wissen, welche regulatorischen Standards
für Ihr Unternehmen und seine Anbieter gelten, aber auch die Abläufe und Kontrollen Ihrer Anbieter vollständig bewerten. Schließlich können Strafen und Gerichtsverfahren teuer sein, den Betrieb stören und den Ruf schädigen.
3. Risiken der sozialen Verantwortung von Unternehmen durch schlechtes ESG-Verhalten
Das Konzept des "guten Unternehmensbürgers" gibt es schon seit einiger Zeit, aber es entwickelt sich mit zunehmendem Bewusstsein weiter. Früher konnten Unternehmen die Definition der sozialen Verantwortung von Unternehmen (CSR) erfüllen, indem sie der Gemeinschaft durch Zeit- und Geldspenden etwas zurückgaben. CSR wird jedoch zunehmend mit ökologischen, sozialen und Governance-Praktiken (ESG) in Verbindung gebracht. Dazu gehören die Ansätze Ihres Unternehmens in Bezug auf ökologische Nachhaltigkeit, die Beziehungen zu Kunden, Mitarbeitern und Gemeinden sowie der Umgang mit der Vergütung von Führungskräften, internen Kontrollen und Aktionärsrechten.
Ein wachsendes Problem in verschiedenen Branchen ist der Einsatz von Sklaven und Kinderarbeit. So rückten beispielsweise Nachrichten über Kinderarbeit beim Abbau von Kobalt, das in Batterien verwendet wird, die Praktiken in der Lieferkette von Apple, Microsoft, Tesla, Samsung und anderen in den Mittelpunkt. Neben der Schädigung des Rufs wurden mehrere Unternehmen wegen ihrer Praktiken verklagt.
Auch in den Bereichen Klima, Governance und Korruptionsbekämpfung wächst der regulatorische Druck. Das Parlament der Europäischen Union (EU) hat das Gesetz über die Sorgfaltspflicht von Unternehmen und die Richtlinie über die Nachhaltigkeit von Unternehmen verabschiedet, die vorschreibt, dass Unternehmen in der EU "nachteilige Auswirkungen ihrer Tätigkeit auf die Menschenrechte, wie Kinderarbeit und Ausbeutung von Arbeitnehmern, und auf die Umwelt, wie z. B. Umweltverschmutzung und Verlust der biologischen Vielfalt, ermitteln und erforderlichenfalls verhindern, beenden oder abmildern". Das deutsche Gesetz zur Sorgfaltspflicht in der Lieferkette verlangt ähnliche Zusicherungen.
Der Umgang mit ESG-Anforderungen kann eine Herausforderung für Risikoverantwortliche sein, die es gewohnt sind, sich nur auf IT-bezogene Themen zu konzentrieren. Ein Verständnis der regulatorischen und branchenspezifischen ESG-Richtlinien kann dabei helfen, potenzielle Lieferanten, Anbieter oder andere Dritte im Hinblick auf die Richtlinien Ihres Unternehmens und die Erwartungen Ihrer Kunden zu bewerten.
4. Finanzielles Risiko aufgrund von Bedenken hinsichtlich der Lebensfähigkeit des Lieferanten
Die finanzielle Gesundheit von Anbietern und strategischen Partnern ist bei der Bewertung des Risikos für Dritte von entscheidender Bedeutung. Schließlich kann ein Anbieter seine Kunden nur dann unterstützen, wenn er finanziell gesund ist - und es kann zu spät sein, Anpassungen vorzunehmen, nachdem ein Konkursantrag angekündigt wurde. Ein finanzielles Risiko kann auch entstehen, wenn einer der Konkurrenten Ihres Unternehmens einen wichtigen Wiederverkäufer oder Vertriebshändler erwirbt und damit möglicherweise einen geografischen oder vertikalen Markt abschottet, während alternative Kanäle aufgebaut werden.
Um das finanzielle Risiko eines Anbieters zu verstehen, reicht es nicht aus, die Bilanz des letzten Jahres zu prüfen. So könnten beispielsweise der Verlust von Kunden oder Vertriebspartnern oder entgangene Gewinne zu einer Umstrukturierung oder Einstellung bestimmter Angebote führen. Auch der Verlust von wichtigen Führungskräften könnte auf einen Umsatzrückgang oder einen bevorstehenden Rechtsstreit hindeuten.
Während viele Unternehmen das finanzielle Risiko vor der Aufnahme eines neuen Anbieters prüfen, müssen Risikoverantwortliche ihre Anbieter und Partner kontinuierlich überwachen, um das Risiko während der gesamten Geschäftsbeziehung zu minimieren und zu steuern.
5. Reputationsrisiko bei Geschäften mit unethischen Unternehmen
Ob fair oder nicht, Organisationen werden nach der Gesellschaft beurteilt, die sie führen. Es ist daher sinnvoll, dass Sie auf die Praktiken Ihrer Partner achten. Die Zusammenarbeit mit unethischen Verkäufern oder Lieferanten kann Ihrem Ruf schaden. Plötzliche Enthüllungen über unethische Handlungen können die Lieferketten unterbrechen, da die Lieferanten ihren Betrieb verlagern oder neu aufbauen und rechtliche Schritte einleiten müssen.
Risikomanager müssen öffentliche und private Quellen für Reputationsinformationen, Gerichtsverfahren und drohende Sanktionen wie das Office of Foreign Assets Control (OFAC) des US-Finanzministeriums, die britische Sanktionsliste und die konsolidierte Sanktionsliste der EU während des gesamten Geschäftslebenszyklus überwachen.
Nächste Schritte: Lernen Sie, Risiken von Dritten ganzheitlich zu managen
Die Prozesse für das Risikomanagement von Drittanbietern müssen weiterentwickelt werden, damit Unternehmen sowohl IT- als auch Nicht-IT-Bedrohungen wirksam begegnen können. In unserem Whitepaper How to Manage IT and Non-IT Third-Party Risks erfahren Sie, wie Sie sich einen ganzheitlichen Überblick über Anbieter, Lieferanten und Partner über den gesamten Lebenszyklus von Drittanbietern verschaffen können. Dieses Papier enthält wichtige Anleitungen zu folgenden Themen:
- Zuordnung von Risikotypen Dritter zu IT- und Nicht-IT-Bereichen
- Ausrichtung der internen Teams auf die für sie wichtigsten Risiken Dritter
- Zuordnung von Risikotypen und Teams von Drittanbietern zu jeder Phase des Lebenszyklus eines Anbieters
Mit diesem umfassenden Leitfaden kann Ihr Unternehmen die Kontrolle über IT- und Nicht-IT-Risiken Dritter übernehmen. Sind Sie daran interessiert, wie Prevalent Ihnen helfen kann? Fordern Sie eine Demo und ein Strategiegespräch an, um Ihr Projekt mit einem unserer Experten zu besprechen.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
