Überlegungen zum Risikomanagement von Drittanbietern für Ihre GRC-Strategie

Es ist an der Zeit, Ihr GRC-Programm auf diese wichtigen TPRM-Funktionen zu überprüfen.

Mitratech-Mitarbeiter
Mitratech-Mitarbeiter Januar 17, 2020 12 min gelesen
Dekoratives Bild

GRC – kurz für Governance, Risk und Compliance – ist die Abstimmung von Prozessen, Technologien und Mitarbeitern in einem Unternehmen mit einem wiederholbaren Rahmen für risikobasierte Entscheidungen. Aber was beinhaltet GRC und berücksichtigt es die Risiken, die von Dritten ausgehen? Angesichts der Tatsache, dass mehr als 60 % aller Datenverstöße in irgendeiner Form Dritte betreffen, stellt sich die Frage, wie Unternehmen eine vereinfachte, ganzheitliche Risikomanagementstrategie entwickeln können, die nicht nur interne Risikofaktoren, sondern auch diejenigen berücksichtigt, die durch externe Geschäftspartner verursacht werden. In diesem Blogbeitrag werden diese Fragen behandelt und eine Zusammenfassung der Funktionen bereitgestellt, auf die Sie bei der Entwicklung Ihrer GRC-Strategie unter Verwendung eines gängigen branchenüblichen Rahmens achten sollten: dem OCEG.

Was umfasst GRC?

GRC beginnt mit der Definition von Geschäftszielen und der Organisation von Geschäftsprozessen und der organisatorischen Aufsicht, um sicherzustellen, dass das Unternehmen diese Ziele erreicht. Dies ist der „G“-Teil – Governance. Dann folgt der „R“-Teil – die Anwendung der Prinzipien des Risikomanagements zum Schutz dieser Ziele, beispielsweise durch die Einrichtung von IT-Risikomanagementprozessen, die einen Rahmen bieten, um potenzielle Cyberrisiken, die sich auf das Unternehmen auswirken könnten, sichtbar zu machen und Maßnahmen zu ergreifen. Schließlich geht es darum, die Einhaltung von Vorschriften und Branchenrahmenbedingungen sicherzustellen – das „C“ –, damit die „G“- und „R“-Faktoren Ihres Unternehmens mit bewährten und anerkannten Praktiken in Einklang stehen.

Inwiefern hängt das Risiko durch Dritte mit GRC zusammen?

Obwohl es sich dabei im Wesentlichen um eine interne Maßnahme handelt, können grundlegende GRC-Praktiken auch auf organisatorische Beziehungen zu Dritten/externen Unternehmen ausgeweitet werden. Unter Verwendung vieler derselben Prinzipien ist das Risikomanagement für Dritte ( Third Party Risk Management, TPRM ) ein nach außen gerichteter Teilbereich von GRC, da TPRM die Möglichkeit bietet, IT-Risiken in der Lieferkette (z. B. bei Anbietern, Lieferanten, Partnern usw.) – also Ihrem erweiterten Unternehmen – zu identifizieren und zu verwalten, um ein akzeptables Partnerrisiko sicherzustellen und die Einhaltung von Compliance-Vorgaben durch Anbieter zu messen. Das erweiterte Unternehmen ist ein wichtiger Punkt in der modernen, ausgelagerten, flexiblen Umgebung – eine einfache Erweiterung des Geschäfts, die umsatzgenerierende Aktivitäten unterstützt.

Insbesondere automatisiert TPRM die Erfassung und Analyse von Fragebogen-basierten Lieferantenbelegen, identifiziert und priorisiert Lieferantenrisiken, skizziert Empfehlungen zur Risikobeseitigung mit konkreten umsetzbaren Leitlinien, überwacht kontinuierlich Cyber- und Geschäftsrisiken durch externe Scans, Business Intelligence und Penetrationstests und erstellt Berichte nach Compliance-Regelwerk oder Branchenrahmenwerk.

Konzeptionell sind GRC und TPRM in ihren Ansätzen und Ergebnissen ähnlich, wobei TPRM von GRC insofern profitiert, als eine ganzheitliche GRC-Strategie dazu beiträgt, TPRM proaktiver und weniger reaktiv zu gestalten. Außerdem berücksichtigt TPRM auch zweite und vierte Parteien im erweiterten Unternehmen.

Sie möchten ein GRC-Programm aufbauen? Berücksichtigen Sie dieses Rahmenwerk, um sicherzustellen, dass TPRM von Anfang an berücksichtigt wird.

Wenn Sie Ihr GRC-Programm strukturieren oder ein formelleres Programm einführen möchten und sicherstellen wollen, dass Ihre Bedenken hinsichtlich Risiken durch Dritte von Anfang an berücksichtigt werden, empfehlen wir Ihnen das OCEG Red Book der Open Compliance and Ethics Group – ein anerkanntes gemeinsames Branchenframework für GRC. In der folgenden Tabelle haben wir die Best Practices für TPRM-Funktionen in dieses Modell integriert.

OCEG GRC-Fähigkeitsmodell

Praktiken

Best-Practice-Fähigkeiten im Bereich TPRM
L – Lernen: Untersuchen und analysieren Sie den Kontext, die Kultur und die Stakeholder, um zu erfahren, was die Organisation wissen muss, um Ziele und Strategien festzulegen und zu unterstützen.

Externer Kontext: Verstehen Sie den externen Geschäftskontext, in dem das Unternehmen tätig ist.
  • Analysieren Sie den externen Kontext
  • Analyse der Bedürfnisse externer Stakeholder und Influencer
  • Beobachten Sie den externen Kontext
  • Beratungsdienstleistungen zum Aufbau eines flexiblen, anpassungsfähigen TPRM-Programms
  • Mehrere Fragebogenoptionen zum Sammeln von Nachweisen von Anbietern
  • Kontinuierliche Überwachung der Cyber- und Geschäftsrisiken von Lieferanten
  • Integration mit mehreren verschiedenen Anbietern von Cyber-Risikodaten für eine umfassende Abdeckung

Interner Kontext: Verstehen Sie den internen geschäftlichen Kontext, in dem die Organisation tätig ist.
  • Analysieren Sie den internen Kontext
  • Beobachten Sie den internen Kontext
  • Flexible Gewichtungen, um den richtigen Kontext für Lieferantenrisiken zu schaffen
  • Geschäftsprozesse auf Schlüsselkontrollen abbilden, um diese zu verwalten

Kultur: Verstehen Sie die bestehende Kultur, einschließlich der Art und Weise, wie Führung die Kultur prägt, des Organisationsklimas und der individuellen Denkweisen in Bezug auf Governance, Sicherheit und das Management von Leistung, Risiko und Compliance.
  • Analyse der Governance-Kultur
  • Analyse der Führungskultur
  • Risikokultur analysieren
  • Ethische Kultur analysieren
  • Analyse des Mitarbeiterengagements
  • Die Kultur beobachten

Flexible, benutzerfreundliche Oberfläche, damit alle Ebenen des Unternehmens von der Lösung profitieren können

Interessengruppen: Interagieren Sie mit Interessengruppen, um Erwartungen, Anforderungen und Perspektiven zu verstehen, die sich auf die Organisation auswirken.
  • Stakeholder verstehen
  • Analyse der Bedürfnisse externer Stakeholder und Influencer
  • Entwickeln Sie Pläne für die Beziehungen zu Stakeholdern
  • Stakeholder-spezifische Berichterstattung, um sicherzustellen, dass die Bedürfnisse im gesamten Unternehmen erfüllt werden
  • Definierter Prozess für die Risikoverteilung
A – Ausrichten: Richten Sie Leistungs-, Risiko- und Compliance-Ziele, Strategien, Entscheidungskriterien, Maßnahmen und Kontrollen auf den Kontext, die Kultur und die Anforderungen der Stakeholder aus.

Richtung: Geben Sie die Richtung vor, indem Sie klare Leitbilder, Visionen und Werte sowie übergeordnete Ziele festlegen und Vorgaben für die Entscheidungsfindung machen.
  • Mission, Vision und Werte definieren
  • Chancen, Risiken und Anforderungen analysieren
  • Hochrangige Ziele definieren
  • Managementgrenzen definieren
  • Entscheidungskriterien definieren
  • Zentralisierte Lieferantenbestände
  • Kategorisieren oder einstufen Sie Anbieter anhand ihrer Bedeutung für das Unternehmen.
  • Überwachen Sie Cyber- und Geschäftsbedrohungen durch Dritte.
  • Flexible Risikogewichtungen, um zu verdeutlichen, was für das Unternehmen wichtig ist

Ziele: Definieren Sie eine ausgewogene Reihe messbarer Ziele, die mit den Entscheidungskriterien übereinstimmen und für den festgelegten Bezugsrahmen geeignet sind.
  • Entscheidungskriterien anwenden
  • Entwickeln Sie zusätzliche Entscheidungskriterien
  • Berücksichtigen Sie kumulative oder konkurrierende Auswirkungen von Zielen
  • Dokumentziele
  • Identifizieren Sie, welche Risiken für das Unternehmen bestehen, gewichten Sie diese, bewerten Sie sie und definieren Sie Abhilfemaßnahmen, um die Risiken auf ein akzeptables Maß zu reduzieren.
  • Service Level Target Workflow zur Förderung des Workflow-Managements und der Pünktlichkeit der Bewertungssicherung

Identifizierung: Identifizieren Sie Kräfte, die wünschenswerte (Chancen) oder unerwünschte (Risiken) Auswirkungen auf die Erreichung der Ziele haben können, sowie solche, die die Organisation dazu zwingen können, sich auf eine bestimmte Weise zu verhalten (Anforderungen).
  • Überprüfungsfähigkeit
  • Kräfte identifizieren
  • Chancen, Risiken und Anforderungen identifizieren
  • Zusammenhänge und Trends erkennen
  • Beratungsdienstleistungen zum Aufbau erreichbarer Meilensteine und Programmziele
  • Überwachen Sie das Konzentrationsrisiko und/oder die Risikolandschaftsreduzierung mithilfe von Daten, um ein besseres Verständnis für Anbieter vom Typ „Single Point of Failure“ im Vergleich zu sich überschneidenden Bereichen ähnlicher Anbieter auf verschiedenen Ebenen der physischen und sicherheitstechnischen Reife zu erlangen.

Bewertung: Analyse des aktuellen und geplanten Ansatzes zur Bewältigung von Chancen, Risiken und Anforderungen unter Verwendung von Entscheidungsfindungskriterien mit quantitativen und qualitativen Methoden.
  • Risiko/Ertrag analysieren
  • Compliance analysieren
  • Priorisieren Sie das Management von Bedrohungen, Chancen und Anforderungen
  • Messen Sie das Restrisiko, nachdem Kontrollen angewendet und Abhilfemaßnahmen ergriffen wurden – mit vorausschauenden Berichten, die eine Verringerung der Risiken aufzeigen.
  • Regulierungs- und rahmenspezifische Berichterstattung, die den Fortschritt zur vollständigen Compliance aufzeigt, mit prädiktiver Bewertung auf der Grundlage der Umsetzung empfohlener Abhilfemaßnahmen
  • Flexible Risikogewichtungen gewährleisten die Konzentration auf die für das Unternehmen wichtigsten Risiken.
  • Kombination aus Cyber-Geschäftsüberwachung und qualitativer Geschäftsrisikoanalyse
  • Stakeholder-spezifische Berichterstattung, um die richtigen Daten in die richtigen Hände zu bringen und risikobasierte Entscheidungen zu treffen

Design: Entwickeln Sie strategische und taktische Pläne, um die Ziele zu erreichen, während Sie Unsicherheiten angehen und integer handeln, im Einklang mit den Entscheidungskriterien.
  • Optionen zur Erfüllung der Anforderungen erkunden
  • Optionen zur Bewältigung von Risiken und Chancen erkunden
  • Design-Transfer und Risikofinanzierungsstrategien
  • Bestimmung des geplanten Restrisikos/Restertrags und der Compliance
  • Inhärent hohes Risiko
  • Entwickeln Sie Schlüsselindikatoren
  • Entwickeln Sie die Informationsmanagementstruktur
  • Technologiearchitektur etablieren
  • Integrierten Plan entwickeln
  • Ausführung aktivieren
  • Regulierungs- und rahmenspezifische Berichterstattung misst den Grad der Einhaltung und kann aufzeigen, wie sich dieser durch die Anwendung empfohlener Abhilfemaßnahmen verändert.
  • Identifizieren Sie vorhandene Ausgleichskontrollen, um die Reife der Domänenkontrolle zu messen.
  • Zusätzliche Fragebögen zur Klärung der Restrisikoindikatoren anwenden
  • Mehrere Fragebogenoptionen und Import von Cyber-Monitoring-Ergebnissen für einen vollständigen Überblick über Risiken
  • Multivariate Risikobewertung basierend auf Wahrscheinlichkeit und Auswirkung
  • Integration mit bestehenden IRM/GRC-Tools zur Aufrechterhaltung des Workflows und zur Verbesserung der Akzeptanz
P – Perform (Ausführen): Gehen Sie auf Bedrohungen, Chancen und Anforderungen ein, indem Sie durch proaktive, detektive und reaktive Maßnahmen und Kontrollen gewünschtes Verhalten und Ereignisse fördern und unerwünschte verhindern.

Kontrollen: Etablieren Sie eine Kombination aus Management-, Prozess-, Personal-, Technologie-, Informations- und physischen Maßnahmen und Kontrollen, die den Anforderungen in Bezug auf Governance, Management und Sicherheit gerecht werden.
  • Proaktive Maßnahmen und Kontrollen einrichten
  • Detektivmaßnahmen und Kontrollen einrichten
  • Reaktionsmaßnahmen und Kontrollen festlegen
  • Risikoprofilierung, um zu verstehen, wo inhärente Risiken bestehen
  • Überprüfung zum Vergleich der Antworten der Anbieter mit den beobachteten Kontrollen
  • Überprüfen Sie die Ausgleichskontrollen, um die Akzeptanz zu messen.
  • Zentralisierte Berichterstattung – anpassbar durch interne Stakeholder oder externe Parteien – mit Darstellung bestehender Risiken und Bewertungen, Verbesserungsmöglichkeiten und Fortschritten bei der Risikominderung im Zeitverlauf
  • Konfigurierbare Risikoempfehlungen, um eine einheitliche Vorgehensweise zur Minderung von Schwachstellen auf der Grundlage bekannter oder identifizierter Risiken zu gewährleisten
  • Bidirektionaler Remediation-Workflow mit vollständigem Audit-Trail, um sicherzustellen, dass alle Beteiligten transparent über die Maßnahmen zur Risikominderung informiert sind.

Richtlinien: Implementieren Sie Richtlinien und zugehörige Verfahren, um Chancen, Risiken und Anforderungen zu berücksichtigen und klare Erwartungen an das Verhalten der Verwaltungsbehörde, der Geschäftsleitung, der Belegschaft und des gesamten Unternehmens festzulegen.
  • Verhaltenskodizes entwickeln
  • Richtlinienstruktur festlegen
  • Richtlinien identifizieren und entwickeln
  • Richtlinien implementieren und verwalten
  • Champion-Richtlinien
  • Entwicklung und Umsetzung von Richtlinien für ethische Entscheidungsfindung

Beratungs- und Gesundheitschecks helfen dabei, TPRM-Richtlinien zu definieren und zu verfeinern.

Kommunikation: Bereitstellung und Empfang relevanter, zuverlässiger und zeitnaher Informationen für die richtigen Zielgruppen, wie es die Vorgaben erfordern oder wie es zur Erfüllung von Aufgaben und zur wirksamen Beeinflussung von Einstellungen notwendig ist.
  • Berichtsplan entwickeln
  • Prozessarchitektur
  • Kommunikationsplan entwickeln

Stakeholder-spezifische Berichterstattung – intern und extern – zur Darstellung der inhärenten, verbleibenden und tatsächlichen Risiken während des gesamten Lieferantenmanagement-Lebenszyklus, um Maßnahmen auf der Grundlage identifizierter oder behobener Risiken zu ergreifen.

Ausbildung: Informieren Sie die Führungskräfte, das Management, die Belegschaft und das gesamte Unternehmen über das erwartete Verhalten und verbessern Sie die Fähigkeiten und die Motivation, die erforderlich sind, damit das Unternehmen Chancen, Risiken und Anforderungen bewältigen kann.
  • Einen Plan zur Sensibilisierung und Aufklärung festlegen
  • Einen Lehrplan festlegen
  • Inhalte entwickeln oder erwerben
  • Bildung umsetzen
  • Hilfetelefon bereitstellen
  • Integrierte Unterstützung bereitstellen

Nutzen Sie Beratungsdienste, adaptive Enablement-Maßnahmen und wichtige Leistungs- und Risikoindikatoren, um Verbesserungen in den Bereichen Talent, Tools und Techniken voranzutreiben.

Anreize: Führen Sie Anreize ein, die gewünschtes Verhalten fördern, und würdigen Sie diejenigen, die zu positiven Ergebnissen beitragen, um gewünschtes Verhalten zu verstärken.
  • Gewünschtes Verhalten definieren
  • Einstellung und Beförderung auf der Grundlage von Verhaltensanforderungen
  • Entwicklung und Umsetzung von Vergütungs-, Belohnungs- und Anerkennungsprogrammen

Beratungsleistungen zur Definition des Programms, zur Schulung interner Stakeholder und zur Förderung der Akzeptanz

Benachrichtigung: Stellen Sie mehrere Wege bereit , um Fortschritte bei der Zielerreichung sowie das tatsächliche oder potenzielle Auftreten unerwünschter und erwünschter Verhaltensweisen, Umstände und Ereignisse zu melden.
  • Benachrichtigungen erfassen
  • Benachrichtigungen filtern und weiterleiten
  • Datenschutzbestimmungen einhalten
  • Ordnen Sie die Ergebnisse von Bewertungen mehreren Branchenrahmenwerken oder Compliance-Regelungen zu.
  • Flexible Priorisierung von Risiken basierend auf ihrer Bedeutung für das Unternehmen
  • Integrierter Workflow, um bestimmte Ergebnisse oder identifizierte Risiken zur Analyse, weiteren Untersuchung oder Behebung an die zuständigen Stakeholder weiterzuleiten.
  • Vollständig geprüfte Nachverfolgung der Kommunikation zwischen internen und externen Parteien

Anfrage: Analysieren Sie regelmäßig Daten und holen Sie Rückmeldungen zum Fortschritt bei der Zielerreichung sowie zum Vorliegen unerwünschter Verhaltensweisen, Umstände und Ereignisse ein.
  • Mehrere Wege zur Informationsbeschaffung einrichten
  • Einführung eines organisationsweiten integrierten Ansatzes für Umfragen
  • Einen integrierten Ansatz für die Selbstbewertung etablieren
  • Sammeln Sie Informationen durch Beobachtungen und Gespräche
  • Berichtsinformationen und Ergebnisse
  • Automatisierung der Erfassung und Analyse von Fragebogen-basierten Lieferantenbelegen
  • Vermeiden Sie Umfrageermüdung, indem Sie ein Modell verwenden, bei dem Inhalte einmal ausgefüllt und mehrfach geteilt werden können.
  • Fördern Sie die Selbstbewertung von Anbietern, indem Sie einen Standardfragebogen ausfüllen und ihn einem Netzwerk zur Verwendung durch mehrere Organisationen zur Verfügung stellen.
  • Echtzeit-Anbieteraktualisierungen mit in Echtzeit angepassten Risiken
  • Mehrere Eingaben für die Risikobewertung importieren
  • Stakeholder-spezifische Berichterstattung – intern und extern – zur Darstellung der Fortschritte bei der Einhaltung von Vorschriften, bestehender Risiken und geplanter Abhilfemaßnahmen nach Durchführung von Korrekturmaßnahmen

Reaktion: Entwerfen und, falls erforderlich, umsetzen Sie Maßnahmen als Reaktion auf festgestellte oder vermutete unerwünschte Verhaltensweisen, Zustände, Ereignisse oder Schwächen in den Fähigkeiten.
  • Untersuchungsprozesse einrichten
  • Bereiten Sie sich auf Krisensituationen vor
  • Entscheidungsprozesse verfolgen
  • Fähigkeiten verbessern
  • Disziplin und Umschulung
  • Offenlegungen festlegen
  • Echtzeit-Warnmeldungen zu potenziellen Geschäftsunterbrechungen aufgrund von Cyber-Sicherheitslücken und Business Intelligence
  • Visualisieren Sie Datenflüsse zwischen Lieferantenbeziehungen, erkennen Sie sofort, wo die Auswirkungen zu spüren sein werden und an wen Sie sich zur Lösung des Problems wenden müssen.
  • Leitlinien zur Sanierung, um Risiken auf ein angemessenes Maß zu reduzieren
R – Überprüfung: Durchführung von Maßnahmen zur Überwachung und Verbesserung der Wirksamkeit der Gestaltung und Umsetzung aller Maßnahmen und Kontrollen, einschließlich ihrer fortlaufenden Ausrichtung auf Ziele und Strategien.

Überwachung: Überwachen und bewerten Sie regelmäßig die Leistungsfähigkeit, um sicherzustellen, dass sie so konzipiert und betrieben wird, dass sie effektiv, effizient und anpassungsfähig ist.
  • Überwachung und Bewertung der Leistungsfähigkeit
  • Überwachungsinformationen identifizieren
  • Überwachungsaktivitäten durchführen
  • Analyse und Berichterstattung der Überwachungsergebnisse
  • Kontinuierliche Überwachung der Cyber- und Geschäftsrisiken von Partnern/Lieferanten/Dritten
  • Umstellung auf ein Modell der kontinuierlichen Bewertung
  • Zentralisierte Berichterstattung – anpassbar durch interne Stakeholder oder externe Parteien – mit Darstellung bestehender Risiken und Bewertungen, Verbesserungsmöglichkeiten und Fortschritten bei der Risikominderung im Zeitverlauf
  • Bidirektionaler Remediation-Workflow mit vollständigem Audit-Trail, um sicherzustellen, dass alle Beteiligten transparent über die Maßnahmen zur Risikominderung informiert sind.

Sicherheit: Geben Sie dem Management, den Aufsichtsbehörden und anderen Interessengruppen die Gewissheit, dass die Kapazitäten zuverlässig, effektiv, effizient und reaktionsfähig sind.
  • Plan-Sicherheitsbewertung
  • Sicherheitsbewertung durchführen
  • Verwenden Sie branchenübliche Fragebogeninhalte, um die Sicherheits- und Datenschutzkontrollen von Anbietern zu bewerten, Schwachstellen in den Kontrollen zu ermitteln und zu behebende Risiken festzustellen.
  • Führen Sie szenariobasierte Tests zur Reaktion auf Vorfälle durch, um Verbesserungen der für Bewertungen gesammelten Inhalte und Informationsverbindungen in Krisenzeiten zu identifizieren.
  • Flexible Bewertungspläne zur Anpassung an geschäftliche Anforderungen

Verbesserung: Überprüfen Sie Informationen aus regelmäßigen Bewertungen, Ermittlungs- und Reaktionsmaßnahmen und Kontrollen, Überwachungen und Sicherungsmaßnahmen, um Möglichkeiten für Leistungsverbesserungen zu identifizieren.
  • Entwickeln Sie einen Verbesserungsplan
  • Verbesserungsinitiativen umsetzen
  • Identifizieren Sie Konzentrationen und Top-Risiken im gesamten Portfolio und/oder Netzwerk, um Risiken proaktiv zu reduzieren.
  • Risikoqualifizierung und -quantifizierung zur Bekämpfung der identifizierten Risiken mit hohem Volumen

Wenn Ihre GRC-Strategie diese TPRM-Best Practices nicht berücksichtigt, sollten Sie jetzt handeln. Laden Sie unseren Best-Practice-Leitfaden „Navigating the Vendor Risk Lifecycle: Keys to Success at Every Stage“ herunter, um einen vollständigen Überblick über die erforderlichen Funktionen zur Berücksichtigung von Risiken durch Dritte in Ihrem GRC-Programm zu erhalten.

Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.