Was passiert mit Ihnen, wenn die Leute, die Sie im Geschäft halten, untergehen?
Dies ist die wichtigste Frage, die Risikomanagement-Verantwortliche angesichts der COVID-19-Pandemiekrise in Bezug auf ihre Drittanbieter und Lieferkettenpartner beantworten müssen. Und dennoch haben nur 10 % der Führungskräfte und Entscheidungsträger großes Vertrauen in ihre Risikomanagementprogramme für Dritte, und nur 50 % sind mit ihren derzeitigen Lösungen zufrieden. Worauf läuft das hinaus? Unzureichende Programme und ein Mangel an Bereitschaft, mit dem Unbekannten umzugehen.
In Zusammenarbeit mit Shared Assessments führte Prevalent im Februar 2020 eine Umfrage unter leitenden Risiko-Entscheidern durch, um die aktuellen Trends, Herausforderungen und Initiativen zu untersuchen, die sich heute auf Unternehmen auswirken. Ziel der Studie war es, einen Überblick über den aktuellen Stand des Drittparteirisikos mit umsetzbaren Empfehlungen zu geben, mit denen Unternehmen ihre Programme erweitern und ausbauen können. Dieser Beitrag fasst zusammen, was wir aus der Studie gelernt haben und was Sie tun können, um Ihr Programm für das Risikomanagement von Drittanbietern besser auszurüsten und widerstandsfähiger zu machen.
- Lesen Sie den vollständigen Bericht mit 17 Seiten Erhebungsstatistiken, Analysen und Empfehlungen.
- Sehen Sie sich unsere Infografik mit den wichtigsten Ergebnissen des Berichts an.
Die wichtigsten Ergebnisse der Studie zum Risikomanagement für Dritte 2020
Die Ergebnisse der Studie deuten darauf hin:
Fehlende Prozesse schaden der Effektivität von Drittanbieterprogrammen
Die Einhaltung von Vorschriften (insbesondere die Erfüllung von Datenschutzanforderungen wie GDPR) ist der wichtigste Faktor bei Projekten. Dennoch fehlt es den Unternehmen an Ressourcen (Budget) und Prozessen, um selbst ihre Top-Anbieter zu bewerten, wobei die meisten Bewertungen mehr als einen Monat in Anspruch nehmen. Können Sie sich angesichts des Zustands Ihrer Lieferkette eine solche Verzögerung leisten?
Risikomanagement für Dritte ist ein Teamsport
Compliance- und Cybersicherheitsteams sind nicht die einzigen, die zu einem ausgereiften Programm beitragen müssen. Sie brauchen auch Mitarbeiter, die Geschäfts- und Finanzrisiken einschätzen und interpretieren können - insbesondere im heutigen Klima. Da die Ressourcenausstattung eine Herausforderung darstellt und das Vertrauen in die Programme nach wie vor gering ist, wird es schwierig sein, in einem Silo zu arbeiten.
Erhebliche Konsequenzen für Unternehmen, die die Rechte Dritter nicht wahrnehmen
76 % der Befragten gaben an, dass sie in den letzten zwei Jahren ein oder mehrere Probleme hatten, die sich auf die Leistung des Anbieters auswirkten, 74 % nannten operative Probleme und 55 % einen Verstoß gegen die Vorschriften. Wenn man bedenkt, wie ressourcenintensiv das durchschnittliche TPRM-Programm ist, wie könnten Sie sich dann erholen?
Nur wenige Unternehmen sind mit ihren bestehenden Instrumenten zufrieden
Auf die Frage, ob sie planen, in den nächsten 12 Monaten eine neue Risikomanagementlösung eines Drittanbieters zu implementieren oder eine bestehende Lösung zu erweitern oder zu ersetzen, antwortete fast die Hälfte der Befragten mit "Ja". Wenn die Hälfte der Marktteilnehmer ihre Lösung wechseln möchte, bedeutet dies, dass die Bedürfnisse nicht erfüllt werden. Und das ist kein Wunder, wenn man bedenkt, dass die Zufriedenheit mit den vorhandenen Tools im Bereich von 50 % liegt und der gewichtete Durchschnitt der Zufriedenheit mit den GRC-Tools bei 3,4/5,0 liegt. Anbieter von standardisierten Beurteilungsinhalten stemmen sich gegen diesen Trend - es ist klar, dass sich Unternehmen auf standardisierte Beurteilungsinhalte verlassen, um den Weg zu ebnen.
IRM - ein Ausweg?
42 % der Befragten geben an, dass sie im nächsten Jahr in IRM investieren werden. Sie sind jedoch besorgt über begrenzte Ressourcen/Personal/Fachwissen, kein Echtzeit-Bewusstsein für Änderungen und keine Integration mit anderen Tools, die für das Lieferantenmanagement oder das Risikomanagement verwendet werden. Da die digitale Transformation auch ein Treiber ist, ist es für Unternehmen wichtig, festzustellen, ob ein Allzweck-IRM im Vergleich zu einer speziell entwickelten TPRM-Bewertungsplattform die nötige Flexibilität bietet, um die Anforderungen zu erfüllen.
Der Markt für das Risikomanagement von Drittanbietern ist an einem Wendepunkt angelangt. Die Anwender bewerten nicht genug von ihren Top-Anbietern. Es fehlt ihnen an Ressourcen und Budgets, um dies richtig zu finanzieren. Das Risiko von Drittanbietern ist unterbrochen, und die Lieferketten sind gefährdet.
Was ist der Weg nach vorn? Lesen Sie die folgenden Empfehlungen.
Empfehlungen für das Risikomanagement von Drittparteien
Der Aufbau und die Entwicklung eines anpassungsfähigen und flexiblen Risikomanagementprogramms für Drittanbieter muss kein komplexer und zeitaufwändiger Prozess sein. Hier sind fünf (5) Empfehlungen, um Ihre Aktivitäten im Bereich der Lieferantenrisiken in Gang zu bringen:
#Nr. 1 - Entwicklung eines programmatischen Prozesses
Ein programmatischer Prozess sollte Ihr Team schrittweise unterstützen:
- Definieren Sie, wer Ihre Lieferanten sind und welche Risiken sie für Ihr Unternehmen darstellen
- Bewertung der richtigen Strategie zur Sammlung der richtigen Erkenntnisse von den richtigen Dritten
- Analysieren Sie die Ergebnisse von Bewertungen und bewerten Sie die Risikostufen auf der Grundlage eines breiten Spektrums von Inputs
- Behebung von Risiken, die sich aus der Analyse der abgeschlossenen Bewertungen ergeben
- Berichterstattung gemäß den Anforderungen der Branche und der Aufsichtsbehörden sowie für den Vorstand
- Optimierung des Programms zur Anpassung an sich ständig ändernde Anforderungen und Ressourcen
Welche Ergebnisse bringt eine solche standardisierte und wiederholbare Methode? Laden Sie den vollständigen Bericht herunter, um es herauszufinden.
#Nr. 2 - Aufbau eines funktionsübergreifenden Teams
In Anbetracht der Komplexität kann eine einzelne Person wahrscheinlich nicht alles herausfinden, daher ist die interne und externe Zusammenarbeit der Schlüssel, um Risiken nicht nur zu erkennen, sondern auch zu mindern.
#Nr. 3 - Umfassend sein, ohne komplex zu sein
Es gibt Lösungen auf dem Markt, die eine Bibliothek mit vordefinierten Fragen anbieten, die sich auf eine beliebige Anzahl von gesetzlichen oder branchenspezifischen Rahmenwerken beziehen. Auf diese Weise lassen sich Doppelarbeit und ein Flickenteppich von Anforderungen vermeiden, die entstehen würden, wenn Sie versuchen würden, jeden Rahmen einzeln zu bewerten. Es ist auch viel einfacher, die Einhaltung der Vorschriften nachzuweisen, wenn eine einzige Frage viele Anforderungen auf einmal abdeckt.
#Nr. 4 - Agil bleiben mit Optionen für Bewertung und Analyse
Legen Sie sich nicht auf eine einzige starre Option für die Erfassung und Analyse von Umfragen bei Ihren Drittanbietern fest. Es gibt mehrere Möglichkeiten, alle Ihre Top-Anbieter zu bewerten (und damit eine der größten Herausforderungen zu überwinden, die in dieser Umfrage genannt wurden).
- Selbstbedienung: Sammeln Sie nur die grundlegenden Daten für Ihre Profiling- und Tiering-Logik. Zentralisieren Sie zumindest die Verwaltung all Ihrer Anbieter an einer einzigen Stelle, damit Sie den Überblick behalten.
- Verwaltete Dienstleistung: Lagern Sie die Bewertung Ihrer Top-Tier-Drittparteien an einen Spezialisten für Risikoidentifizierung und -analyse aus und geben Sie Ihrem Team den Rücken frei, um sich auf das langfristige Restrisikomanagement zu konzentrieren.
- Geteilte Dienstleistung: Nutzen Sie ein Netzwerk von ausgefüllten Lieferantenfragebögen und Nachweisen für Ihre weniger wichtigen Lieferanten, damit Sie die Bemühungen Ihres Teams (und die richtige Menge an Ressourcen) auf die wichtigeren Lieferanten konzentrieren können.
#Nr. 5 - Ergänzen Sie Ihre Entscheidungsfindung mit risikobasierter Intelligenz
Wenn Sie Entscheidungen in Silos mit einem begrenzten Datensatz treffen, wird Ihr Team nicht in der Lage sein, das Lieferantenrisiko effektiv zu managen. Suchen Sie stattdessen nach Lösungen, die auf einer offenen Plattform mit Integrationen zu verschiedenen Geschäfts- und Risikolösungen aufgebaut sind. Eine solide Lösung bietet:
- Ein umfassendes Risikoprofil, das die Einstufung der Bewertung, die Häufigkeit der Bewertung und die SLA-Messung bestimmt
- Ein quantifiziertes und kontextualisiertes Risikomodell einschließlich Cyberrisiken und Geschäftsrisiken sowie ISO- und FAIR-Berechnungen
- Reaktionsmanagement mit aktiviertem Workflow und Automatisierung, um sicherzustellen, dass die Informationen des Lieferanten an die richtigen Personen in Ihrem Team weitergeleitet werden
- Risikoberichterstattung und -priorisierung, einschließlich Kontext und Anleitung zur Prioritätensetzung
- Automatisierte Verbreitung von Berichten zur Gewährleistung der Transparenz gegenüber Dritten und innerhalb Ihrer Organisation
Wie schneiden Sie ab?
Bestehende Tools und IRM-Lösungen reichen nicht aus, um die Herausforderungen des Risikomanagements für Dritte zu bewältigen. Nur ein umfassendes Modell, das einen programmatischen Prozess bis zur Reife mit Optionen für das Kostenmanagement und die Berichterstattung für die Einhaltung der Vorschriften bietet, stellt eine solide Grundlage für Risikomanagement-Teams dar, die sich im Laufe der Zeit anpassen können.
Wie schneidet Ihr Risikomanagementprogramm für Dritte im Vergleich zu den Teilnehmern an unserer Umfrage ab? Laden Sie die vollständigen Ergebnisse herunter und sehen Sie sich die Infografik an, um Ihre eigenen TPRM-Verfahren zu vergleichen.
Wenn Sie mehr darüber erfahren möchten, wie Prevalent Sie bei der Bewältigung der Herausforderungen im Risikomanagement für Dritte unterstützen kann, fordern Sie noch heute eine Demo unserer Plattform an.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
