Ich habe den größten Teil der letzten 15 Jahre damit verbracht, als Praktiker im Risikomanagement für Dritte zu arbeiten und Hunderte von Kunden aus allen Branchen beim Aufbau ihrer TPRM-Programme zu beraten. Was ich dabei gelernt habe, ist, dass es fünf Bausteine gibt, die die Grundlage eines erfolgreichen TPRM-Programms bilden. Jeder Baustein ist aufeinander aufbauend, d. h. Sie können sich von unten nach oben vorarbeiten, um Ihr Endziel eines transparenten, effizienten und skalierbaren Programms zu erreichen.
Hier ein Überblick über die TPRM-Bausteine und warum sie wichtig sind.
1. Verstehen Sie
Was Sie über Ihr bestehendes Risikomanagementprogramm für Drittanbieter wissen, gibt Ihnen Aufschluss darüber, wie Sie wichtige Entscheidungen treffen und wo Sie mit dem Programm beginnen sollten. Beginnen Sie damit, Ihr Lieferantenuniversum zu verstehen, um die Risikolandschaft Ihres Lieferantenportfolios zu bestimmen. Welche Anbieter haben Sie?
2. Klassifizieren Sie
Als Nächstes sollten Sie die Daten in Kategorien einteilen, um eine angemessene Risikoeinstufung vorzunehmen. Ich habe festgestellt, dass viele Unternehmen nicht über ein formalisiertes Klassifizierungsmodell verfügen - manchmal fehlt dieses sogar bei größeren und reiferen Unternehmen. Ohne ein Klassifizierungsmodell sind Sie nicht in der Lage, Ihre Lieferanten in Kategorien einzuteilen oder zu bestimmen, welche Art von Due Diligence anzuwenden ist. Um Ihre Lieferanten ordnungsgemäß zu klassifizieren, sollten Sie zunächst die kritischsten Daten ermitteln, die die meiste Sorgfalt erfordern, und sich dann von dort aus weiter vorarbeiten. Und denken Sie daran, dass die Größe des Anbieters nicht immer den Umfang der Sorgfaltspflicht bestimmt. Kleine mittelständische Unternehmen können je nach Art der Daten, die sie verarbeiten, ein größeres Risiko darstellen.
3. Stratifizieren
Sobald Sie Ihre Anbieter auf der Grundlage der von ihnen verarbeiteten Daten klassifiziert haben, sollten Sie weitere wichtige Risikofaktoren wie den Umfang des Auftrags, den Standort des Dienstes, das Datenvolumen, die Art des Dienstes usw. für eine angemessene Risikoprüfung ermitteln. Befragen Sie interne Teams, um herauszufinden, welche Art von Auftrag der Anbieter durchführt, welche Art von Hosting vorhanden ist und welche Art von Inhalten offengelegt wird.
4. Vereinheitlichen Sie
Hier beginnen Sie schließlich, die Antworten der Anbieter an den Kontrollstandards zu messen. Sobald das Risiko anhand von Bedrohungsdaten oder Fragebogenantworten festgestellt wurde, bestimmen Sie die Risikotoleranz auf der Grundlage der Schlüsselkontrollen Ihres Unternehmens (z. B. "Must-haves"), um fundierte, risikobasierte Entscheidungen zu treffen. In diesem Stadium konfigurieren Sie die Art und Weise, wie Sie eine angemessene Due Diligence durchführen. Und denken Sie daran, dass Sie nicht für alle Risiken Abhilfemaßnahmen ergreifen müssen. Wenn das Unternehmen der Meinung ist, dass die Risiken innerhalb der akzeptablen Risikotoleranz liegen, können Sie sich stattdessen auf die Ausreißer konzentrieren.
5. Handeln
Bis zu diesem Punkt haben Sie Entscheidungen darüber getroffen, wer Ihre Anbieter sind, über die Klassifizierung und Stratifizierung auf der Grundlage der von ihnen verarbeiteten Daten und anderer Attribute sowie über die Risikotoleranz, die Sie zu akzeptieren bereit sind. Bei diesem letzten Baustein geht es um die Risikodisposition. Legen Sie fest, ob Ihr Unternehmen vom Lieferanten verlangt, dass er kompensierende Kontrollen einrichtet, oder ob Sie ein Risikominderungsprogramm durchsetzen, um die Risiken auf ein akzeptables Niveau zu reduzieren.
Werden diese Bausteine 100 % Ihrer Anforderungen an das Risikomanagement für Dritte abdecken? Wahrscheinlich nicht. Sie sind jedoch ein solider Ausgangspunkt, um die kritischen Bereiche anzugehen, die Unternehmen in ihrer Eile beim Aufbau von TPRM-Programmen oft übersehen.
Prevalent kann helfen
Prevalent bietet die branchenweit einzige zweckbestimmte, einheitliche Plattform für das Risikomanagement von Drittanbietern. Die Prevalent-Plattform wird in der Einfachheit der Cloud bereitgestellt und kombiniert automatisierte Anbieterbewertungen, kontinuierliche Überwachung von Bedrohungen und ein Netzwerk gemeinsamer Standardbewertungen für Unternehmen, um einen 360-Grad-Blick auf Anbieter zu erhalten und so die Einhaltung von Vorschriften zu vereinfachen, Risiken zu reduzieren und die Effizienz zu verbessern. Darüber hinaus bietet Prevalent seinen Kunden fachkundige Beratungsdienste zur Optimierung und Skalierung ihrer Risikomanagementprogramme.
Warum nicht mit einer Reifegradbewertung beginnen? Prevalent kann Ihnen dabei helfen, den Stand der Entwicklung Ihres Programms zu ermitteln und einen Fahrplan für einen höheren Reifegrad zu erstellen. Kontaktieren Sie uns noch heute.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
