We don’t really know what all the fuss is about. After all, the process of assessing your third parties isn’t that difficult, is it? Determine vendors to assess. Design questionnaire to assess vendor. Send questionnaire to vendor. Receive questionnaire back from vendor. Ask vendor for more information. And more information. Wait. Wait some more. Get answers back from vendor. Populate spreadsheet. Upload to SharePoint. Tell vendor where they’re short on controls and need remediations. Perform some validation stuff. Report on said controls. Repeat for the next <insert number here> vendors. Then do it all again next year. For all of them. Easy, peasy, lemon squeezy, right?
Falsch. Sehr, sehr falsch. Falscher könnte es eigentlich gar nicht mehr sein.
In den letzten Jahren hat sich die sonst so mühsame Praxis des Risikomanagements von Drittanbietern erheblich verändert. Wachsende Standards zur Unterstützung der Berichterstattung, eine stärkere Automatisierung zur Verringerung des Aufwands für die Bewertung Ihres Lieferanten-Ökosystems und eine steigende Zahl professioneller Dienstleistungspraktiken - all dies deutet darauf hin, dass für überlastete Risikomanagement-Teams eine Erleichterung in Sicht ist.
Mit Blick auf den aktuellen Stand des Risikomanagements für Dritte werfen wir einen Blick auf das kommende Jahr aus der Sicht unseres Expertenteams: Brad Hibbert, COO & CSO; Alastair Parr, Sr. VP of Global Products & Delivery, und Brenda Ferraro, VP of Third-Party Risk.
1. Risikomanagement für Dritte erhält endlich die nötige finanzielle Unterstützung
Obwohl es klar ist, dass das Lieferantenrisiko eine Schlüsseldisziplin ist, die angenommen werden muss, kämpfen Risikomanager weiterhin darum, die Sichtbarkeit, die Unterstützung und die erforderlichen Investitionen für die Implementierung eines strategischen, unternehmensweiten Programms zu erreichen. Infolgedessen mangelt es nach wie vor an Konsistenz und Dringlichkeit bei der Verwaltung und Überwachung von Anbietern im gesamten Unternehmen. Dies hat zur Folge, dass das Risikomanagement und die Wirksamkeit des Programms stark eingeschränkt sind.
Selbst in den Fällen, in denen das Lieferantenrisiko durch einen klaren Geschäfts- oder Compliance-Anlass angemessen sichtbar ist, stellen die üblichen Aufgaben - von der Beschaffung einer genauen Quelle von Lieferantenprofilen und Kontaktinformationen über die Einholung von Bewertungen bis hin zum Nachweis des Programmwerts gegenüber den Führungskräften - weiterhin eine Herausforderung für den Programmerfolg dar. Da die Unternehmen weiterhin den Stachel des Versagens von Lieferanten spüren, sehen wir, dass sie strategischer über ihre Lieferantenmanagementprogramme nachdenken.
2. Die Rolle des Vendor Managers wandelt sich zu Vendor Risk Intelligence, aber die Tools müssen mithalten
Die Informationen über Lieferanten sind in der Regel verstreut und versteckt in den Silos der verschiedenen Beschaffungs-, Lieferanten-, Vertrags-, Betriebs-, Risiko- und Sicherheitstools. Da sich Unternehmen immer stärker auf Produkte und Dienstleistungen von Drittanbietern verlassen, sehen wir, dass die Rolle von Vendor Managern und Vendor Management Offices über die traditionelle technische und Compliance-Sichtweise hinausgeht und eine umfassendere Sichtweise einschließt, die strategische, finanzielle, rechtliche, Nachhaltigkeits- und Betriebsrisiken umfasst. Vendor Manager und Risikomanager sind zwar nicht für die Beseitigung identifizierter Risiken verantwortlich, aber sie sind für die Erfassung, Quantifizierung, Priorisierung und Kommunikation dieser Risiken an die zuständigen internen Stellen zuständig.
Zur Unterstützung dieser strategischeren Sichtweise des Anbieterrisikos sehen wir eine Entwicklung der Anbieter-Risikomanagementprodukte, die reifen, um breitere Programme mit Fortschritten im Funktionsumfang und in der engeren Integration mit internen Systemen und Abteilungen zu unterstützen. Wir haben bereits festgestellt, dass Kunden immer häufiger die Integration in ITSM- und GRC-Lösungen fordern. Wir gehen davon aus, dass sich diese Integrationsanfragen fortsetzen und auf andere interne Geschäfts- und Risikomanagementsysteme ausweiten werden.
3. Risikomanagement für Dritte geht über die Einhaltung von Vorschriften hinaus (bis zu einem gewissen Grad)
Wir sehen, dass sich die Denkweise über die gefürchtete Compliance-Anforderung, die oft umgangen wird, hinaus zu einem strategischen und befähigenden Programm entwickelt, das die Unterstützung und Sichtbarkeit auf Geschäftsführungs- und Vorstandsebene genießt. Während diese Entwicklung spannend ist und den Wert des Programms auf die verschiedenen Abteilungen ausweitet, die sich auf die Lieferantenbeziehung verlassen und diese unterstützen (z. B. Rechtsabteilung, Beschaffung, IT), glauben wir, dass der primäre Anwendungsfall und die geschäftliche Rechtfertigung im Jahr 2020 weiterhin darin bestehen werden, sich proaktiv mit Compliance-Kontrollen zu befassen, einen oder mehrere Prüfungsfeststellungen anzugehen oder auf einen Sicherheitsvorfall oder eine Datenverletzung zu reagieren.
4. Auf Wiedersehen, punktuelle Bewertungen. Hallo, kontinuierliche, proaktive Beurteilungen!
Eine der wichtigsten - und manchmal entmutigenden - Anforderungen an ein Lieferantenmanagementprogramm ist die Bewertung des Lieferanten anhand eines kontrollbasierten Fragebogens. In der Regel wird dieser Befragungsprozess bei der Aufnahme von Lieferanten eingeleitet und dann in einem vordefinierten Intervall auf der Grundlage der Kritikalität und/oder Gefährdung des Lieferanten durchgeführt, wobei die meisten Befragungen auf jährlicher Basis geplant sind. In den dynamischen und vernetzten Geschäftsumgebungen von heute sind jedoch Risikoinformationen, die 12 Monate alt sind, mehr als veraltet.
Aufgrund dieser eingeschränkten und veralteten Anbieterinformationen stellen viele Unternehmen die Relevanz der Risikoanalyse von Anbietern und ihren Wert für die Entscheidungsfindung in Frage. Wenn ein Anbieter zum Beispiel neue Prozesse oder Technologien eingeführt hat, um bestimmte Kontrollbereiche zu verbessern, sollte ein Unternehmen nicht bis zur nächsten jährlichen Neubewertung warten müssen, um Einblick in diese Investitionen zu erhalten. Die Unternehmen wollen weg von punktuellen Bewertungen und hin zu einer kontinuierlichen Bewertungsmethode. Unternehmen arbeiten in dynamischen Umgebungen, in denen sich Wettbewerber, Sicherheit, Compliance und andere Faktoren schnell ändern können. Um effektiv zu bleiben, müssen TPRM-Programme in der Lage sein, sich anzupassen.
5. Das Aufkommen fortgeschrittener prädiktiver Analysen zur Identifizierung von Ausreißern
Während Unternehmen versuchen, ihre Anbieterprogramme zu skalieren, die Häufigkeit der Aktualisierungen zu erhöhen und den Umfang der Risikotransparenz zu erweitern, um den Wert des Programms zu steigern, haben sie auch mit der Analyse, Priorisierung und Reaktion auf die zunehmende Informationsmenge zu kämpfen. Auf welche Anbieter sollte ich mich konzentrieren? Auf welche Risikoelemente sollte ich achten? Welche Abhilfemaßnahmen haben den größten Einfluss auf die Verbesserung der Sicherheit und der Einhaltung von Vorschriften? Um die Programmkapazität und -effektivität zu erhöhen, müssen Unternehmen damit beginnen, fortschrittliche Analysen zu nutzen, um zusätzliche Erkenntnisse zu gewinnen und Prozesse zu automatisieren, z. B. die Identifizierung von Ausreißern, die Erstellung automatisierter Feststellungen, die Empfehlung von Abhilfemaßnahmen und die Auslösung von Automatisierungen und Workflows.
6. Wertpapier-Ratings und Scoring-Tools werden zur Handelsware
Sicherheitsbewertungsdienste sind ein wichtiger Beitrag, um einen Einblick in die öffentlich zugänglichen Risiken eines Unternehmens zu erhalten, aber die Kunden sind zu der Erkenntnis gelangt, dass externe Scans nur die Hälfte des Risikos für Dritte wiedergeben. Diese Entwicklung hat dazu geführt, dass alle Anbieter von SRS-Tools gezwungen sind, ihre Geschwindigkeiten und Feeds zu vergleichen - wer hat das beste Dark-Web-Scanning, wer enthält die meisten Inputs usw. - Dies zeigt uns, dass sich der aktuelle SRS-Markt weiter verflüchtigen wird. In den nächsten 12 Monaten wird der Schwerpunkt weniger auf den Bedrohungs-Feeds liegen (sie werden alle ziemlich gut) und mehr auf der Integration der bereitgestellten Informationen in einen umfassenderen Risikomanagementprozess, der zusätzliche Funktionen für Kontext, Quantifizierung, Priorisierung und Abhilfemaßnahmen umfasst.
Was denken Sie über das kommende Jahr im Bereich der Drittrisiken? Wir würden uns über Ihr Feedback freuen! Bleiben Sie dran für den zweiten Teil unseres Ausblicks auf das kommende Jahr im Bereich TPRM in der nächsten Woche.
In der Zwischenzeit können Sie sich noch heute mit uns in Verbindung setzen, um weitere Informationen darüber zu erhalten, wie Prevalent Ihnen helfen kann, Ihr Risikomanagementprogramm für Dritte auszubauen und zu optimieren.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
