Neugestaltung des Risikomanagements für Drittparteien im Jahr 2021: Teil II

Das Lieferantenrisiko steht auch zum Ende des Jahres 2020 weiterhin im Fokus. Hier ist die zweite Hälfte unserer Prognosen für 2021.

Mitratech-Mitarbeiter
Mitratech-Mitarbeiter Dezember 17, 2020 5 min gelesen
Decorative image

Als wir letzte Woche unsere ersten Prognosen für das Third-Party-Risikomanagement im Jahr 2021 veröffentlichten, haben wir die Auswirkungen von Covid-19 auf die globalen Lieferketten anerkannt. Leider hat uns das Jahr 2020 noch nicht alles über die Bedeutung von TPRM gelehrt, da die Folgen des SolarWinds-Hackerangriffs weiterhin ans Licht kommen.

Wenn eines für das kommende Jahr klar ist, dann ist es, dass sich Ihr Unternehmen wahrscheinlich mehr denn je darauf konzentrieren wird, den Risiken durch Lieferanten zuvorzukommen. Hier sind unsere letzten vier Prognosen, die Ihnen helfen sollen, sich dieser Herausforderung zu stellen.

#5. Die Bewertung von Lieferantenrisiken wird schneller erfolgen

Die Unterbrechungen in der Lieferkette im Jahr 2020 haben nicht nur die Notwendigkeit einer agilen Beschaffung neuer Lieferanten deutlich gemacht, sondern auch die Bedeutung der Risikobewertung als Teil des Beschaffungsprozesses. Leider sehen viele Unternehmen diese beiden Aspekte traditionell als Widerspruch an. Es ist daher nicht verwunderlich, dass laut der EY Global TPRM Survey 2019–20 die Hälfte der Befragten über keinen beschleunigten Prozess für die Risikobewertung vor Vertragsabschluss verfügt.

Der Bedarf an Geschwindigkeit wird auch 2021 weiterhin groß sein, sodass sich der TPRM-Markt in Richtung des Netzwerk-Marktplatzmodells beschleunigen wird. Im Rahmen des Netzwerkmodells können Mitglieder schnell Bibliotheken potenzieller Anbieter durchsuchen, Risikobewertungen einsehen und abgeschlossene Risikobewertungen anzeigen. Weitere Aspekte des Netzwerkmodells sind:

  • Ein standardbasierter Ansatz, bei dem alle Anbieter anhand derselben Kriterien verglichen werden.
  • Echtzeit-Einblicke in die Cyber-, Geschäfts- und Finanzüberwachung, die die Ergebnisse regelmäßiger Lieferantenbewertungen ergänzen
  • Flexibilität bei der Beantragung von Bewertungen für spezielle Risikofragen
  • Übersichtliche Berichte und Analysen zur Messung von Risiken und Compliance
  • Workflow-Management, um alles miteinander zu verbinden

Die besten Netzwerke werden von erfahrenen Managed-Services-Teams unterstützt, die für ihre Kunden die Einbindung von Anbietern, die Bewertung, das Management und die Berichterstattung übernehmen.

#6. TPRM-Programme werden über Dritte hinausgehen

Stellen Sie sich folgendes Szenario vor: Ihr Unternehmen lagert die Fertigung an einen Lieferanten aus, dessen Zulieferer sich an einem Standort befindet, für den eine Ausgangssperre gilt, und dessen Produkte nicht als „systemrelevant“ gelten. Ihr Lieferant muss schnell eine Alternative finden, sonst können Sie Ihre Kunden nicht beliefern.

Nahezu alle Lieferketten bestehen aus mehr als einem „Glied“. Wenn Ihre Risikobewertungen nur den unmittelbaren Kreis der Lieferanten Ihres Unternehmens berücksichtigen, ist Ihr Einblick in die Gefahren für die Lieferkette bestenfalls vage.

Und Sie sind auch nicht allein. Unsere Studie aus dem Jahr 2020, „The Third Rail of Security & Compliance“, ergab, dass 79 % der Befragten das Risikodurch vierte Parteien nicht berücksichtigten. Darüber hinaus zeigte die oben erwähnte EY-Studie, dass 31 % der Befragten sich allein auf Vertragsbedingungen verlassen, um Probleme mit N-ten Parteien durchzusetzen. Wenn ein Dominostein fällt, fallen alle anderen auch.

Hier geht es um Transparenz. Durch Nth-Party-Mapping lassen sich potenzielle Schwachstellen tief in der Drittanbieterlandschaft aufdecken. Dies wird 2021 noch an Bedeutung gewinnen, da Unternehmen Maßnahmen zur operativen Resilienz nutzen, um potenzielle Störungen vorherzusagen, bevor sie Realität werden.

#7. Die Risikoreaktion wird zunehmend automatisiert werden

Viele Unternehmen haben Schwierigkeiten mit Excel-basierten Lieferantenbewertungsprozessen, bei denen Dutzende manueller Schritte erforderlich sind, um die Ergebnisse zu verstehen und entsprechend zu handeln. Dieser Ansatz ist in einer Zeit, in der Geschwindigkeit und Belastbarkeit so wertvoll sind, einfach nicht skalierbar.

Im Jahr 2021 werden Unternehmen ihre TPRM-Programme weiterentwickeln, indem sie Regeln einsetzen, um Ströme von Lieferanteninformationen zu durchkämmen und Maßnahmen zur Risikoreaktion auszulösen. Diese Regeln werden Aufgaben wie die Aktualisierung von Lieferantenprofilen und Risikoattributen, das Versenden von Benachrichtigungen und/oder die Aktivierung von Workflows automatisieren, vereinfachen und beschleunigen.

Die Automatisierung im Playbook-Stil reduziert den Zeitaufwand für alle Aufgaben, von der Einbindung von Lieferanten über die Erstellung von Bewertungen bis hin zur Korrelation der Ergebnisse und Aktivierung von Workflows zur Behebung von Mängeln. Kurz gesagt: Sie können TPRM-Prozesse automatisieren, um Probleme schneller zu finden und zu beheben.

#8. Die Vereinigten Staaten werden ein Bundesdatenschutzgesetz erlassen.

Es mangelt nicht an regulatorischen Anforderungen für die Nutzung von Drittanbietern, aber die Vereinigten Staaten verfügen nach wie vor nicht über ein einheitliches Datenschutzgesetz, das mit der DSGVO vergleichbar wäre. Stattdessen stützt sich die USA derzeit auf ein Flickwerk aus Datenschutzgesetzen und Datenschutzanforderungen auf Bundesstaatenebene (z. B. CCPA und CPRA in Kalifornien).

Im nächsten Jahr wird es eine neue Regierung im Weißen Haus und knappe Mehrheiten im Kongress geben – was möglicherweise zu einer Entspannung der legislativen Pattsituation führen wird. Diese Veränderungen könnten in Verbindung mit den zunehmenden Bedenken hinsichtlich der Cybersicherheit auf nationaler Ebene dazu führen, dass die USA im Jahr 2021 endlich ein einheitliches Gesetz zur Regelung der Verwendung personenbezogener Daten verabschieden.

Die Auswirkungen eines solchen Gesetzes sind erheblich, wenn Ihr Unternehmen mit Dritten zusammenarbeitet, die Zugriff auf Ihre Kundendaten haben. Da die USA auf ein einheitliches Datenschutzgesetz zusteuern, sollten Sie darauf vorbereitet sein, drei grundlegende Fragen zu beantworten – und den Prüfern den Nachweis dafür zu erbringen:

  1. Wo werden sensible Daten gespeichert, wer hat Zugriff darauf und wie werden sie weitergegeben?
  2. Welche Kontrollen gibt es zum Schutz sensibler Daten, die intern oder bei Dritten gespeichert sind?
  3. In welcher Beziehung steht Ihr Datenschutzprogramm zu Ihrem Risikomanagementprogramm für Dritte?

Natürlich geht die Gewährleistung des Datenschutzes über das Risikomanagement von Drittanbietern hinaus. Wenn Sie jedoch diese grundlegenden Fragen nicht beantworten können, wird Ihr Unternehmen wahrscheinlich neue Vorschriften nicht erfüllen können.

Nächste Schritte für die TPRM-Planung 2021

Wenn Sie weitergeblättert haben, sollten Sie sich unbedingt unsere ersten vier Prognosen für 2021 ansehen. Wenn Sie bereits auf dem neuesten Stand sind, lesen Sie unseren Leitfaden mit Best Practices „Navigating the Vendor Risk Lifecycle: Keys to Success at Every Stage“ (Den Lebenszyklus von Lieferantenrisiken meistern: Schlüssel zum Erfolg in jeder Phase) oder bewerten Sie Ihr TPRM-Programm mit unserem Online-Risikobewertungsrechner.

Möchten Sie wissen, wie Prevalent Ihnen bei der Bewältigung Ihrer spezifischen TPRM-Herausforderungen helfen kann? Fordern Sie eine personalisierte Demo an.

Wir wünschen Ihnen ein glückliches, sicheres und geschütztes Jahr 2021!

Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.