Obwohl es derzeit keinen einheitlichen Konsens darüber gibt, ob die Wirtschaft in eine Rezession abrutscht, empfehlen viele Zentralbanken und politische Entscheidungsträger, dass Regierungen und Organisationen auf der ganzen Welt proaktive Schritte zur Vorbereitung auf eine Rezession unternehmen, wie z. B. die Vorwegnahme lohnbedingter Arbeitseinschränkungen und die Erweiterung ihrer Zuliefererbasis.
Wirtschaftliche Instabilität ist jedoch kein neues Phänomen. In den letzten zwei Jahren wurde die Weltwirtschaft von einem Boom zu einem kurzfristigen COVID-Schock, und sie bleibt durch ständige Unterbrechungen bei den Zulieferern und den engsten Arbeitsmarkt seit Jahrzehnten verunsichert. Diese Turbulenzen unterstreichen die Notwendigkeit für Unternehmen, sich auf die Widerstandsfähigkeit des Unternehmens zu konzentrieren - und für den Fachmann für das Risikomanagement von Drittanbietern bedeutet dies, die Widerstandsfähigkeit der Lieferanten sicherzustellen.
Wie können Sicherheits-, Risikomanagement- und Beschaffungsteams angesichts der großen wirtschaftlichen Unsicherheit
Teams sicherstellen, dass ihre Organisationen sich weiterhin auf das Risiko Dritter und die Widerstandsfähigkeit konzentrieren? Hier sind drei Empfehlungen:
1. Auslagerung von Aufgaben des Risikomanagements an Dritte, um Personalprobleme und steigende Kosten zu bewältigen
Wenn Ihr Unternehmen mit Herausforderungen konfrontiert ist, die durch Lohndruck, Arbeitskräftemangel, Mitarbeiterfluktuation und Burnout verursacht werden, sollten Sie in Erwägung ziehen, einige untergeordnete TPRM-Aktivitäten an einen Fachmann auszulagern. Managed Services für das Risikomanagement von Drittanbietern können Aufgaben im Namen Ihrer Teams übernehmen, darunter:
- Vertragsmanagement: Hochladen von Verträgen, Extrahieren von Schlüsselattributen und Konfigurieren von automatischen Erinnerungen zur Nachverfolgung
- Verwaltung von Lieferanten: Erstellung von Lieferantenprofilen, Ein- und Ausgliederung von Lieferanten, Pflege von Kontakten und Unterstützung der ersten Anlaufstelle
- Verwaltung von Beurteilungen: Erstellung und Verwaltung von Beurteilungsplänen
- Verwaltung von Antworten: Verfolgen und Nachverfolgen von Antworten; Überprüfung von Antworten und Notizen auf rote Fahnen, Widersprüche, Anwendbarkeit und Aktualität der Nachweise
- Verwaltung vierter und n-ter Parteien: Identifizierung von vierten Parteien und Erstellung von Beziehungsdiagrammen auf der Grundlage von geschäftlichen Abhängigkeiten und Attributen
- Kontinuierliche Überwachung aufkommender Risiken: Identifizierung und Überprüfung von Cyber-, Geschäfts-, Reputations-, Finanz- und Datenschutzverletzungen - und Eskalation kritischer Ereignisse zur Triage
- Management von Vorfällen: Proaktiver Umgang mit Drittanbietern, die von bestimmten Cyber- oder physischen Störfällen betroffen sind
Durch die Auslagerung der täglichen Aufgaben im Zusammenhang mit der Verwaltung der Beziehungen zu Drittanbietern kann sich Ihr Team auf hochwertige Aufgaben konzentrieren, z. B. auf das Risikomanagement, anstatt die Kontaktlisten der Lieferanten zu aktualisieren. Dies wiederum macht Ihr Unternehmen widerstandsfähiger gegen Störungen bei Lieferanten und Zulieferern.
Studien zeigen, dass die Verlagerung der täglichen Arbeit des Lieferantenmanagements an einen Anbieter von Managed Services zu Zeiteinsparungen, Effizienzsteigerungen und einer schnelleren Entdeckung und Minderung von Risiken führt. Mit ausgelagerten Managed Services können sich die TPRM-Teams stattdessen auf Folgendes konzentrieren:
- Management der Leistung und des Risikos von Lieferanten im Hinblick auf vereinbarte Leistungsniveaus, KPIs und KRIs
- Behebung von Risiken und Compliance-Problemen auf einem akzeptablen Niveau
- Vorhersage von Lieferantenproblemen durch Einblick in das gesamte Spektrum der Risiken von Drittanbietern (z. B. Cyber-, Geschäfts-, Finanzrisiken usw.) und Verständnis dafür, wie sie zum Unternehmensrisiko beitragen
Das Fazit ist, dass ein robuster, automatisierter Prozess zur Risikobewertung durch Dritte die Kosten, die Auswirkungen und die Wahrscheinlichkeit eines Verstoßes verringern kann.
Hinweis: Dieses Modell gilt nur für Cyberverletzungen. Die Automatisierung von Bewertungen durch Dritte kann auch Kosten durch Betriebsunterbrechungen vermeiden, aber diese Zahlen können je nach Szenario stark variieren.
Nächste Schritte
In Anbetracht der ständig steigenden Zahl von Datenschutzverletzungen durch Dritte und von Unterbrechungen bei Zulieferern kann es sich Ihr Unternehmen nicht leisten, sich von der wirtschaftlichen Lage ablenken zu lassen und die Widerstandsfähigkeit seiner Zulieferer zu gewährleisten. Laden Sie den Rechner für die Risikobewertung von Drittanbietern herunter, bewerten Sie Ihre Lieferanten anhand der Anforderungen an die Unternehmensresilienz, oder kontaktieren Sie uns noch heute für eine Demo, um zu erfahren, wie wir Ihnen helfen können, die Kosten für die Risikobewertung durch Konsolidierung und Managed Services zu senken.
2. Konsolidierung sich überschneidender Toolsets zur Kostensenkung, Effizienzsteigerung und Schließung von Risikolücken
Fachleute für das Risikomanagement von Lieferanten wissen, dass einmalige Bewertungen durch Dritte nicht ausreichen, um alle Lieferantenrisiken zeitnah zu erfassen. Obwohl punktuelle Bewertungen für die Erfassung interner Kontrolldaten unerlässlich sind, ist ein kontinuierlicher Ansatz zur Überwachung von Änderungen der Cyberlage, der Geschäftsereignisse, der Finanzlage und des Rufs eines Lieferanten erforderlich, um zusätzlichen Kontext zu schaffen und Lücken zwischen diesen punktuellen Bewertungen zu schließen.
Dennoch gehen Unternehmen dieses Problem oft mit einem teuren, unzusammenhängenden Mischmasch von Tools an, die nicht integriert werden können oder keinen Kontext für die Bewertungsergebnisse liefern. Wenn Ihr Unternehmen im Jahr 2023 mit stagnierenden oder gekürzten Budgets antritt, sollten Sie eine Strategie zur kontinuierlichen Risikoüberwachung durch Dritte in Betracht ziehen, die:
- Konsolidiert externe Informationen zu Cybersicherheit, Datenschutzverletzungen, Geschäftsaktualisierungen, Reputations- und Finanzrisiken zu einem einzigen Bild der Risikolage eines Lieferanten
- Ermöglicht koordinierte Maßnahmen, je nachdem, ob die Erkenntnisse die Bewertungsergebnisse bestätigen
- Umfasst erstklassige Datenfeeds für jede Risikodimension
- Bietet die Möglichkeit, vorhandene Datenquellen in eine zentrale Plattform zu integrieren, um eine einheitliche Sicht auf das Risiko zu erhalten
Ein konsolidierter Überwachungsansatz ermöglicht wesentlich bessere Skaleneffekte, verbessert die Effizienz und verringert Erfassungslücken.
3. Kommunizieren Sie die finanziellen Auswirkungen einer Risikobewertung durch Dritte, um die organisatorische Priorität aufrechtzuerhalten
Risikobewertungen durch Dritte können anstrengend und teuer sein, wenn Sie manuelle Methoden wie Tabellenkalkulationen verwenden. Automatisierung kann helfen, aber wie können Sie quantifizieren, wie viel Risiko durch die Automatisierung des Bewertungsprozesses reduziert werden kann? Berechnen Sie den Wert des Risikos, das durch die Automatisierung von Risikobewertungen aus dem Unternehmen entfernt werden kann. Hier ein Beispiel:
- Beginnen Sie mit der Anzahl der Drittanbieter und Lieferanten mit höherem Risiko, mit denen Ihr Unternehmen zusammenarbeitet. Nehmen wir zur Veranschaulichung an, dass diese Zahl 500 beträgt.
- Berücksichtigen Sie die durchschnittlichen Kosten einer Datenschutzverletzung durch Dritte, die sich laut einer aktuellen Studie des Ponemon Institute und IBM auf etwa 4,59 Millionen Dollar belaufen. Ein entscheidender Ansatz zur Senkung der Kosten für Datenschutzverletzungen ist die Automatisierung von Technologien, wie z. B. die Automatisierung von Risikobewertungen. Durch Automatisierung sinken die durchschnittlichen Kosten einer Datenschutzverletzung um ein Drittel auf etwa 3 Millionen Dollar. In beiden Fällen sind die tatsächlichen Kosten je nach Unternehmensgröße unterschiedlich.
- Bedenken Sie die inhärente Wahrscheinlichkeit einer Datenschutzverletzung in den nächsten zwei Jahren. Nach Angaben von Ponemon liegt die Wahrscheinlichkeit, dass ein Unternehmen in den nächsten zwei Jahren eine Datenschutzverletzung erleidet, bei fast 30 %. Mit Automatisierung halbiert sich diese Zahl auf 15 %.
- Berechnen Sie das Gesamtrisiko, indem Sie die durchschnittlichen Kosten einer Verletzung durch Dritte mit der Wahrscheinlichkeit einer Verletzung multiplizieren. Ohne Automatisierung belaufen sich diese Kosten auf etwa 1,4 Millionen Dollar. Mit Automatisierung sinkt dieser Wert auf 450.000 $.
- Berechnen Sie die Risikobelastung pro Lieferant, indem Sie die Risikobelastung durch die Anzahl der Lieferanten mit höherem Risiko teilen. In diesem Beispiel beläuft sich das Risiko auf 2.754 USD pro Lieferant ohne Automatisierung und 900 USD pro Lieferant mit Automatisierung.
- Um den Wert jeder durchgeführten automatischen Risikobewertung zu berechnen, vergleichen Sie einfach die in Schritt 5 berechneten Zahlen. In diesem Fall beläuft sich der Wert auf eine Risikominderung von 1.854 USD pro Bewertung.
In diesem Beispiel konnten wir für jeden bewerteten Dritten Kosten in Höhe von 1.854 US-Dollar für potenzielle Datenschutzverletzungen vermeiden. Multiplizieren Sie dies mit 500 kritischen Anbietern, und Sie können Ihr potenzielles Risiko um fast 1 Million Dollar reduzieren!
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
