Die Studie „Third-Party Risk Management Study 2023 ” zeigt zwei sehr interessante Trends auf. Erstens sind mehr Abteilungen als je zuvor am Risikomanagement für Dritte (TPRM) beteiligt, wobei der größte Anstieg gegenüber dem Vorjahr bei den Teams für Informationssicherheit, Risikomanagement und Compliance/Audit zu verzeichnen ist. Und zweitens: Obwohl in 71 % der Unternehmen die Teams für Informationssicherheit für das TPRM-Programm verantwortlich sind, ist es in der Regel das Beschaffungsteam, das für die Beziehungen zu Dritten zuständig ist.
Ein Team ist für das TPRM-Programm zuständig, ein anderes hingegen für die Beziehungen zu Lieferanten und Anbietern. Viele Teams sind am TPRM beteiligt, und jedes dieser Teams hat seine eigenen Anforderungen hinsichtlich der Risiken durch Dritte. Dieser abteilungsübergreifende Ansatz für TPRM kann unweigerlich zu unbeabsichtigten Silos, Missverständnissen oder einem völligen Mangel an Austausch wichtiger Informationen führen.
Wie können Unternehmen ihre Abteilungen unter einer gemeinsamen Sprache für das Risikomanagement von Drittanbietern zusammenbringen? Der erste Schritt besteht darin, eine einzige zuverlässige Informationsquelle für Daten zu Drittanbietern und Lieferanten aufzubauen.
Dieser Beitrag untersucht die Herausforderungen und Folgen eines uneinheitlichen Ansatzes beim Management von Drittanbietern und empfiehlt zehn Best Practices, um Teams unter einer einzigen Informationsquelle zu vereinen.
Herausforderungen eines abteilungsübergreifenden Ansatzes für das Risikomanagement von Drittanbietern
Ein abteilungsübergreifender Ansatz für das Management von Risiken durch Drittanbieter und Lieferanten ist nicht grundsätzlich falsch; es erfordert lediglich das Engagement der Organisation, die Funktionen zu koordinieren. Wenn dies jedoch nicht konsequent umgesetzt wird, kann es negative Folgen haben, wenn verschiedene Abteilungen bei der Bewertung und Analyse von Risiken durch Dritte unterschiedliche Wege einschlagen.
- Fragmentierte Abteilungsanforderungen können die Wirksamkeit der Due Diligence von Anbietern/Lieferanten einschränken.
- Unterschiedliche Tools können zu inkonsistenten Berichten über Kennzahlen führen, die nicht mit den allgemeinen Unternehmenszielen übereinstimmen.
- Die Risikobewertung erfolgt verstreut – es gibt keine Person oder kein Team, das sich mit dem Gesamtbild der Risiken durch Dritte befasst.
Der Aufbau einer einzigen zuverlässigen Quelle für das Risikomanagement von Drittanbietern und Lieferanten ist für Unternehmen, die ihre Risikobewertungsprozesse optimieren und die Genauigkeit und Konsistenz ihrer Daten sicherstellen möchten, von entscheidender Bedeutung.
Wie man eine einzige Quelle der Wahrheit für Risiken durch Dritte aufbaut
Eine einzige Informationsquelle dient als zentraler Speicherort für konsistente und zuverlässige Informationen, auf die verschiedene Interessengruppen innerhalb des Unternehmens zugreifen und sich verlassen können. Hier sind zehn Schritte, die Ihnen dabei helfen, eine einzige Informationsquelle für Risiken im Zusammenhang mit Anbietern und Lieferanten einzurichten:
1. Definieren Sie organisatorische Ziele und wichtige Kennzahlen.
Beginnen Sie damit, zu verstehen, welche spezifischen Risiken das Unternehmen bewerten und managen muss und welche Informationen für die Entscheidungsfindung entscheidend sind. Was sind beispielsweise die wichtigsten Risikoindikatoren (KRIs), die auf potenzielle Probleme bei Ihren Drittanbietern und Lieferanten hinweisen? Führen Sie im Rahmen dieses Prozesses eine umfassende Überprüfung der Unternehmensrisikokennzahlen durch – einschließlich derjenigen, die mehrere Abteilungen mit unterschiedlichen Interessengruppen betreffen.
2. Identifizieren Sie wichtige Stakeholder des Unternehmens
Legen Sie auf Grundlage der in Schritt 1 definierten Unternehmensrisikokennzahlen fest, wer die zentrale Informationsquelle nutzen wird. Dazu können Beschaffungs
teams,
Risikomanagement, Compliance-Beauftragte, Rechtsabteilungen und andere relevante Abteilungen außerhalb der IT-Sicherheit gehören. Wenn Sie die wichtigsten Stakeholder identifiziert haben, überprüfen Sie, ob die in Schritt 1 ausgewählten KRIs korrekt sind, und passen Sie sie gegebenenfalls an.
3. Führen Sie eine Prüfung durch, um die aktuellen Datenquellen zu verstehen.
Sobald Sie verstanden haben, was das Unternehmen überwachen sollte und wer daran beteiligt sein sollte, besteht der nächste logische Schritt darin, herauszufinden, woher die vorhandenen Daten zu Risiken durch Dritte stammen. Gängige Quellen für Daten zu Risiken durch Dritte liefern in der Regel:
- Status der internen Kontrollen für wichtige Geschäftsprozesse
- Firmografische Daten und Einblicke in Unternehmen
- Cyber-Signale von Sicherheitsüberwachungs-Tools
- Geschäftliche/operative Neuigkeiten
- Informationen zum Ruf
- Finanzielle oder Kreditwürdigkeit für finanzielle Gesundheit
- Status in Bezug auf Umwelt, Soziales und Unternehmensführung (ESG)
- Einblicke in Compliance oder Sanktionen
Nachdem Sie die Datenquellen geprüft haben, können Sie mögliche Datenüberschneidungen feststellen oder Informationslücken identifizieren, die geschlossen werden müssen.
4. Zentralisieren Sie Risikodaten von Drittanbietern auf einer einzigen Technologieplattform
Ihre Organisation erzielt den größtmöglichen Nutzen im Risikomanagement, wenn alle erforderlichen Risikodaten von Dritten zentralisiert und für alle relevanten Stakeholder sichtbar sind. Wählen Sie daher eine einzige Technologieplattform oder Softwarelösung, die als Rückgrat für Ihre einzige Quelle der Wahrheit dienen kann. Ziehen Sie Optionen in Betracht, die Integrationsfunktionen, Datenanalyse-Tools und stakeholder-spezifische Berichterstellung bieten. Die Zentralisierung von Daten hat den zusätzlichen Vorteil, dass sie die Zusammenarbeit zwischen den Stakeholdern fördert.
5. Daten normalisieren und validieren
Normalisieren Sie Daten, um Konsistenz und Genauigkeit zu gewährleisten. Dazu gehören die Vereinheitlichung von Namenskonventionen, die Kategorisierung von Risiken und die Validierung von Daten anhand vertrauenswürdiger Quellen. Richten Sie Datenqualitätsprüfungen und Validierungsroutinen ein. Integrieren Sie Datenquellen, um die Datenerfassung und -aktualisierung nach Möglichkeit zu automatisieren.
6. Wählen Sie einen Rahmen für die Risikobewertung
Entwickeln Sie ein umfassendes Rahmenwerk zur Bewertung von Risiken durch Dritte, das verschiedene Risikofaktoren wie finanzielle Stabilität, Einhaltung von Vorschriften, Cybersicherheit, Reputation und mehr berücksichtigt. Passen Sie dieses Rahmenwerk an die spezifischen Anforderungen Ihres Unternehmens und die Branchenstandards an. So können alle Mitarbeiter Ihres Unternehmens in Bezug auf Risiken durch Dritte eine einheitliche Sprache sprechen.
7. Ein standardisiertes Bewertungsmodell anwenden
Erstellen Sie ein Bewertungssystem, um die mit jedem Anbieter oder Lieferanten verbundenen Risiken zu quantifizieren und zu bewerten. Dies kann dabei helfen, Maßnahmen und Ressourcen für das Management von Unternehmen mit höherem Risiko zu priorisieren. Eine 5×5-Matrix, die ähnlich einer Heatmap die Wahrscheinlichkeit des Eintretens und die Auswirkungen misst, ist ein guter Ausgangspunkt und sollte für verschiedene Interessengruppen leicht verständlich sein. Richten Sie automatische Workflow-Regeln ein, um Risiken an die richtigen Interessengruppen weiterzuleiten.
8. Standardisierung von Berichten und Dashboards
Erstellen Sie maßgeschneiderte Berichte und Dashboards, um Stakeholdern Echtzeit-Einblicke in die Risiken von Anbietern und Lieferanten zu geben. Diese Berichte sollten auf die Bedürfnisse der verschiedenen Abteilungen und Funktionen zugeschnitten sein. Dieser Schritt ist wirklich der Schlüssel zum Erfolg beim Aufbau einer einzigen Quelle der Wahrheit. Denn ohne ein einziges Dashboard – einen einzigen Ort –, über den auf wichtige Informationen zugegriffen werden kann, wäre die ganze Mühe umsonst.
9. Dritte kontinuierlich überwachen
Der Aufbau einer einzigen zuverlässigen Quelle für Risikodaten von Drittanbietern ist mit der Fertigstellung des Dashboards noch nicht abgeschlossen. Vielmehr müssen Drittanbieter überwacht werden, um einen kontinuierlichen Informationsfluss zu gewährleisten und so die Entscheidungsfindung zu verbessern. Dies kann automatisierte Warnmeldungen für die in Schritt 1 identifizierten Schlüsselrisikoindikatoren umfassen.
10. Aktualisierung der Stakeholder und Prozesse
Überprüfen und aktualisieren Sie regelmäßig Ihre zentrale Datenquelle, um Änderungen bei Risikofaktoren, Vorschriften und Geschäftsanforderungen Rechnung zu tragen. Stellen Sie sicher, dass die Daten korrekt und relevant bleiben. Schulen Sie im Rahmen dieses Prozesses die Benutzer darin, wie sie auf die zentrale Datenquelle zugreifen und diese effektiv nutzen können. Ermutigen Sie Benutzer und Stakeholder, Feedback zu geben, um die zentrale Datenquelle und ihre Effektivität beim Management von Lieferantenrisiken kontinuierlich zu verbessern.
Nächste Schritte beim Aufbau einer einzigen Quelle der Wahrheit für Risiken durch Dritte
Der Aufbau einer einzigen zuverlässigen Informationsquelle für Risiken im Zusammenhang mit Drittanbietern und Lieferanten ist ein fortlaufender Prozess, der das Engagement und die Sorgfalt des gesamten Unternehmens erfordert. Durch die Zentralisierung von Daten, die Automatisierung von Arbeitsabläufen und die Schaffung eines standardisierten Rahmens für die Risikobewertung kann Ihr Unternehmen seine Fähigkeit verbessern, fundierte Entscheidungen zu treffen und Risiken effektiv zu mindern, während alle Beteiligten dieselbe Sprache sprechen.
Wenn Sie mehr darüber erfahren möchten, wie Prevalent Ihnen dabei helfen kann, Informationen zu Drittanbietern und Lieferanten zu zentralisieren und ein TPRM-Programm für Ihr Unternehmen von Grund auf aufzubauen, vereinbaren Sie noch heute einen Termin für eine individuelle Vorführung.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
