10 Schritte zur Optimierung der Governance und Aufsicht im TPRM

10 Schritte zum Aufbau eines gut geführten TPRM-Programms

1. Festlegung und Abstimmung der TPRM-Strategie, -Ziele, -Richtlinien und -Prozesse

Das erste Element der Governance-Funktion, GV.SC-01, bildet die Grundlage für das Third-Party Risk Management (TPRM)-Programm Ihres Unternehmens. Es konzentriert sich auf die Definition von Kernzielen, Richtlinien und Prozessen, die mit Ihren Strategien für Informationssicherheit, Risikomanagement und Compliance im Einklang stehen.

Erfolg beginnt mit der Abstimmung aller Beteiligten – damit sichergestellt ist, dass jeder die Ziele und Verfahren des Programms versteht und unterstützt. Ein starkes TPRM-Programm sollte auch den gesamten Lebenszyklus von Risiken durch Dritte optimieren – von der Beschaffung und Due Diligence bis hin zur Kündigung und zum Offboarding – entsprechend der Risikobereitschaft Ihres Unternehmens.

2. Rollen und Verantwortlichkeiten definieren und kommunizieren

Der zweite Aspekt der Governance-Funktion, GV.SC-02, konzentriert sich auf die Definition und Kommunikation klarer Rollen innerhalb Ihres TPRM-Programms. Eine RACI-Matrix kann dabei helfen, zu ermitteln, wer auf jeder Ebene verantwortlich, rechenschaftspflichtig, konsultiert und informiert ist. Der wohl wichtigere Aspekt hierbei ist die Festlegung klarer Erwartungen für Anbieter, Lieferanten, Partner und Kunden.

Jeder externe Stakeholder sollte seine spezifischen Verantwortlichkeiten verstehen – wie beispielsweise die rechtzeitige Lieferung von Bewertungen, die Einreichung von Nachweisen, die Meldung von Vorfällen und die Aufrechterhaltung strenger Sicherheitskontrollen. Eine effektive Kommunikation und Verantwortlichkeit tragen zu einer reibungsloseren Zusammenarbeit und einer stärkeren allgemeinen Risikosteuerung bei.

3. Integration von Cybersicherheitsrisiken in der Lieferkette in das Unternehmensrisikomanagement

Unter GV.SC-03 betont das NIST, dass TPRM in Ihr umfassenderes Unternehmensrisikomanagement (ERM) und Ihre Informationssicherheitsprogramme eingebettet werden sollte. Die Behandlung von TPRM als isolierte Funktion kann zu langfristigen Lücken in der Aufsicht führen.

Integrieren Sie Risikodaten von Drittanbietern – darunter Bewertungen zu Cyber-, Betriebs-, Finanz- und Reputationsrisiken – in die umfassenderen Cybersicherheitsüberwachungsprozesse Ihres Unternehmens. Richten Sie wichtige Leistungsindikatoren (KPIs) und wichtige Risikoindikatoren (KRIs) an den Unternehmenszielen aus, um eine einheitliche Transparenz und eine proaktivere Risikominderung zu gewährleisten.

4. Kenntnis und Priorisierung der Lieferanten nach Kritikalität

GV.SC-04 im NIST CSF betont, wie wichtig es ist, Lieferanten nach ihrer Bedeutung für den Geschäftsbetrieb zu einstufen. Um dies effektiv zu tun, musst du die inhärenten Risiken aller Drittanbieter anhand von Faktoren wie den folgenden quantifizieren:

• Kritische Bedeutung für die Unternehmensleistung und den Betrieb
• Art des für die Validierung der Kontrollen erforderlichen Inhalts
• Standort(e) und damit verbundene rechtliche oder regulatorische Erwägungen
• Grad der Abhängigkeit von vierten Parteien
• Erfahrung mit operativen oder kundenorientierten Prozessen
• Interaktion mit geschützten Daten
• Finanzieller Status und Gesundheit
• Reputation

Sobald die Risiken quantifiziert sind, kategorisieren Sie die Lieferanten in Stufen. Lieferanten höherer Stufen erfordern gründlichere Bewertungen, kontinuierliche Überwachung und strengere Kontrollen, um Ihre Betriebsabläufe und Daten zu schützen.

5. Stärkung der Cybersicherheitsklauseln in Lieferantenverträgen und -vereinbarungen

Um die Anforderung GV.SC-05 im NIST CSF-Rahmenwerk zu erfüllen, müssen Sie das Lieferantenvertragsmanagement zentralisieren und automatisieren. Von der Erstellung und Überprüfung bis hin zur Verlängerung und Aufbewahrung sollte jede Phase des Vertragslebenszyklus standardisiert und überprüfbar sein.

Die wichtigsten Fähigkeiten, um diese Anforderung zu erfüllen, umfassen:

• Zentrale Nachverfolgung aller Verträge und Attribute wie Typ, wichtige Termine, Wert, Erinnerungen und Status – mit benutzerdefinierten, rollenbasierten Ansichten
• Workflow-Funktionen (je nach Benutzer oder Vertragsart) zur Automatisierung der Vertragsverwaltung
• Automatische Mahnungen und Überfälligkeitsanzeigen zur Rationalisierung von Überprüfungen
• Zentralisierte Vertragsdiskussion und Verfolgung von Kommentaren
• Vertrags- und Dokumentenspeicherung mit rollenbasierten Berechtigungen und Prüfprotokollen für alle Zugriffe
• Versionskontrolle, die die Offline-Bearbeitung von Verträgen und Dokumenten unterstützt
• Rollenbasierte Berechtigungen, die die Zuweisung von Aufgaben, den Zugriff auf Verträge und den Lese-/Schreib-/Modifizierungszugriff ermöglichen

Wenn Sie diese Funktionen in Ihr TPRM-Programm aufnehmen, können Sie Klauseln über das Recht auf Prüfung formulieren und klare Verantwortlichkeiten in Lieferantenverträgen festlegen. Anschließend können Sie Service Level Agreements (SLAs) nachverfolgen und verwalten, um Ihre Governance und Aufsicht über das Risikomanagement von Drittanbietern zu rationalisieren.

6. Führen Sie vor der Beauftragung von Lieferanten eine umfassende Sorgfaltsprüfung durch.

Bevor eine formelle Beziehung zu einem Lieferanten oder Dritten eingegangen wird, müssen Unternehmen eine gründliche Due-Diligence-Prüfung durchführen. Die Kontrolle GV.SC-06 verlangt von Unternehmen, die Prozesse für Ausschreibungen (RFPs) und Informationsanfragen (RFIs) zu zentralisieren und zu automatisieren, um Anbieter konsistent und effizient bewerten zu können.

Eine leistungsstarke, zentralisierte automatisierte Lösung sollte es Ihnen ermöglichen, RFIs und RFPs anhand wichtiger Merkmale zu vergleichen – wie beispielsweise verwendete Technologien, ESG-Bewertungen, finanzielle Stabilität, Verstöße in der Vergangenheit und Reputation –, um detaillierte Risikoprofile der Anbieter zu erstellen. Dies ermöglicht fundierte Auswahlentscheidungen und reduziert das verbleibende Risiko, bevor die formelle Zusammenarbeit beginnt.

7. Identifizieren, Erfassen, Priorisieren, Bewerten, Reagieren und Überwachen von Risiken, die von einem Lieferanten während der gesamten Beziehung ausgehen

Gemäß GV.SC-07 fordert das NIST CSF die kontinuierliche Identifizierung, Bewertung und Überwachung von Lieferantenrisiken. Ein starkes TPRM-Programm erreicht dies durch die Kombination von Automatisierung, Transparenz und Intelligenz.

Risikobewertungen automatisieren

Verwenden Sie eine zentralisierte TPRM-Plattform mit einer Bibliothek vorgefertigter Vorlagen für die Risikobewertung. Führen Sie Bewertungen in wichtigen Phasen durch:

• Einführung neuer Lieferanten
• Vertragsverlängerungen
• Regelmäßige Intervalle (vierteljährlich, jährlich oder nach Bedarf)
• Passen Sie die Häufigkeit entsprechend den Materialänderungen oder neu auftretenden Risikofällen an.

Sichtbarkeit und Verantwortlichkeit erhöhen

Ein zentrales Managementsystem automatisiert Arbeitsabläufe, Aufgabenverteilungen und die Überprüfung von Beweismitteln. Dadurch wird sichergestellt, dass Ihr Team:

• Verfügt über Echtzeit-Transparenz hinsichtlich Lieferantenrisiken
• Erhält automatisierte Anweisungen zur Fehlerbehebung
• Sammelt verifizierte Nachweise für Wirtschaftsprüfer

Externe Bedrohungen verfolgen

Die Überwachung sollte nicht bei internen Bewertungen enden. Stärken Sie die Aufsicht durch Nachverfolgung:

• Cyber-Bedrohungen und Schwachstellen im Internet und im Dark Web
• Daten zu Reputations-, Sanktions- und Finanzrisiken aus öffentlichen und privaten Quellen

Daten korrelieren und zentralisieren

Kombinieren Sie alle Erkenntnisse in einem einheitlichen Risikoregister, um die Berichterstattung, Abhilfe und Reaktion zu optimieren. Integrieren Sie operative und finanzielle Daten für Kontext- und Trendanalysen im Zeitverlauf.

Durch die Vereinheitlichung Ihrer Daten und die Automatisierung von Bewertungen schaffen Sie einen kontinuierlichen Feedback-Kreislauf, der die Transparenz verbessert, die Reaktionszeiten verkürzt und das Gesamtrisiko durch Dritte verringert.

8. Einbeziehung Dritter in die Reaktion auf Vorfälle und die Wiederherstellung

Im Rahmen Ihrer umfassenden Strategie zum Vorfallsmanagement sollten Sie in der Lage sein, Sicherheitsvorfälle bei Lieferanten schnell zu erkennen, darauf zu reagieren, sie zu melden und ihre Auswirkungen zu mindern. Diese Fähigkeit ist für die Kontrolle GV.SC-08 von zentraler Bedeutung.

Zwar kann ein internes Team diesen Prozess verwalten, doch vielen Unternehmen fehlt das erforderliche Fachwissen und die Kapazitäten für eine effektive Reaktion auf Vorfälle durch Dritte. In diesen Fällen kann die Zusammenarbeit mit einem Managed Service Provider sehr effektiv sein.

Ein Managed Service bietet Ihnen engagierte Experten, die Ihnen dabei helfen können:

• Zentrale Verwaltung der Kommunikation und Koordination mit Lieferanten
• Führen Sie proaktive Risikobewertungen für Veranstaltungen durch.
• Risiken bewerten und korrelieren mit kontinuierlicher Cyber-Überwachungsintelligenz
• Gezielte Sanierungsempfehlungen geben

Diese Dienste verkürzen die Zeit für die Identifizierung und Eindämmung von Vorfällen im Zusammenhang mit Lieferanten erheblich und gewährleisten eine zeitnahe Behebung in Ihrer gesamten Lieferkette. Ein effektiver Dienst für die Reaktion auf Vorfälle bei Drittanbietern sollte Folgendes umfassen:

• Kontinuierlich aktualisierte, anpassbare Fragebögen zu Ereignissen und Vorfällen
• Echtzeit-Fortschrittsverfolgung für die Fertigstellung von Antworten
• Klar definierte Risikoverantwortliche mit automatisierten Erinnerungen
• Proaktive Lieferantenberichte und Warnmeldungen
• Konsolidierte Dashboards mit Risikobewertungen, Punktzahlen und markierten Antworten
• Automatisierte Workflow-Playbooks, die durch die Schwere des Vorfalls ausgelöst werden
• Integrierte Berichtsvorlagen für interne und externe Beteiligte
• Integrierte Sanierungsempfehlungen zur Risikominderung
• Daten- und Beziehungskartierung zur Visualisierung von Verbindungen zwischen Dritten, Vierten und N-ten Parteien

Verbessern Sie Ihre Einblicke mit historischen Informationen zu Sicherheitsverletzungen

Verbessern Sie Ihre Transparenz, indem Sie Datenbanken nutzen, die historische Daten zu Sicherheitsverletzungen in Tausenden von Unternehmen erfassen und detaillierte Informationen zu den Arten gestohlener Daten, Compliance-Problemen und Echtzeit-Benachrichtigungen zu Sicherheitsverletzungen enthalten. Diese Informationen liefern wertvolle Einblicke in die Anfälligkeit der einzelnen Anbieter für Vorfälle.

Mit diesen Erkenntnissen kann Ihr Team den Umfang und die Auswirkungen jedes Vorfalls genauer einschätzen – indem es versteht, welche Daten betroffen waren, wie die Abläufe des Anbieters beeinträchtigt wurden, und indem es überprüft, ob alle Abhilfemaßnahmen abgeschlossen sind.

9. Überwachen Sie die Leistung und Compliance Ihrer Lieferanten kontinuierlich während der gesamten Dauer der Geschäftsbeziehung.

Die Bewältigung des Aspekts GV.SC-09 der Governance-Funktion erfordert einen starken Fokus auf das Leistungsmanagement. Bewerten Sie durch kontinuierliche Überwachung und Bewertung, ob Anbieter die Service Level Agreements (SLAs) einhalten, empfohlene Abhilfemaßnahmen anwenden und die erforderlichen Compliance-Vorgaben einhalten.

Definieren und überwachen Sie KRIs und KPIs, um die Leistung Ihrer Lieferanten anhand festgelegter Benchmarks zu messen. Die Verwendung einer zentralisierten TPRM-Plattform erleichtert die Visualisierung von Trends, die Identifizierung von Lücken und die Darstellung von Verbesserungen – und unterstützt so sowohl operative Exzellenz als auch die Einhaltung gesetzlicher Vorschriften.

10. Offboarding und Risiken nach Vertragsende verwalten

Das letzte Element, GV.SC-10, empfiehlt Unternehmen, das Offboarding von Lieferanten und die Risiken nach Vertragsende effektiv zu verwalten.

Automatisierung von Offboarding-Verfahren

Implementieren Sie Workflows, um:

• Verträge überprüfen und sicherstellen, dass alle Verpflichtungen erfüllt sind
• Datenvernichtung und Entfernung des Systemzugriffs überprüfen
• Verfolgen Sie die Einhaltung von Vorschriften, Zahlungen und Zertifizierungen.

Dokumentation und Kontinuität aufrechterhalten

Speichern Sie alle NDAs, SLAs und Verträge in einem sicheren, zentralisierten System mit KI-gestützter Dokumentenanalyse, um die Einhaltung von Vorschriften und Kriterien zu überprüfen.

Unterstützung der Geschäftskontinuität

Ein wichtiger Bestandteil dieses Schrittes ist es, die Geschäftskontinuität während der Übergangsphase zwischen der Beendigung des Vertrags und der Einbindung eines neuen Lieferanten sicherzustellen.