Die Ergebnisse der endgültigen Studie zum Risikomanagement bei Drittanbietern für 2022 liegen vor – und es gibt viel zu analysieren, wenn wir uns ansehen, wie Unternehmen auf die Rekordzahl von Datenverstößen bei Drittanbietern, Unterbrechungen der Lieferkette aufgrund anhaltender Pandemie-Lockdowns und sogar den Krieg in der Ukraine reagieren.
Die diesjährige Studie zeigt, dass das Third-Party-Risikomanagement (TPRM) an einem Scheideweg steht und dass Unternehmen die Wahl zwischen zwei Wegen haben – dem bestehenden Weg und dem besseren Weg. Zur Veranschaulichung betrachten Sie die Schlussfolgerungen der Studie:
| Der aktuelle Pfad | Der bessere Weg |
|---|---|
| Unternehmen widmen Sicherheitsrisiken außerhalb des IT-Bereichs zunehmend mehr Aufmerksamkeit … | … sollte aber in risikoreicheren Bereichen mehr tun. |
| Das Risikomanagement von Drittanbietern könnte (endlich!) strategischer werden … | … aber Unternehmen sollten daran arbeiten, hartnäckige manuelle Methoden zur Bewertung von Dritten zu beseitigen, die Audits komplexer und zeitaufwändiger machen. |
| Unternehmen sind zu Recht besorgt über zunehmend schädliche Sicherheitsvorfälle durch Dritte … | … sollten jedoch ihre unterschiedlichen Tools vereinheitlichen, um die Zeit für die Erkennung und Reaktion auf Vorfälle bei Drittanbietern zu verkürzen. In diesem Beitrag gehen wir auf die guten (und schlechten) Nachrichten ein und empfehlen drei Schritte, mit denen Unternehmen ihre TPRM-Prozesse verbessern und den Weg zum Erfolg einschlagen können. |
| Unternehmen leisten gute Arbeit bei der Bewertung von Lieferantenrisiken in den offensichtlichsten Phasen des Lebenszyklus von Drittanbietern … | … sollte jedoch weitere Phasen in Betracht ziehen, um zu verhindern, dass die TPRM-Disziplin im Laufe der Geschäftsbeziehung mit dem Lieferanten nachlässt. |
40 % der Unternehmen widmen Nicht-IT-Sicherheitsrisiken mehr Aufmerksamkeit … aber das reicht noch nicht aus.
TPRM-Programme konzentrieren sich nach wie vor in erster Linie auf die Bewältigung der Risiken, die bei der Zusammenarbeit mit IT-Anbietern bestehen (45 %), aber überraschende 40 % der Befragten der diesjährigen Studie geben an, dass sie sichsowohlauf das Management von IT- als auch von Nicht-IT-Anbieterrisiken konzentrieren.
Wie Sie der folgenden Grafik entnehmen können, beschäftigen sich immer mehr Teams mit TPRM-Risiken, die über die IT-Sicherheit hinausgehen.
Die am wenigsten gewichteten Nicht-IT-Risiken waren jedochmoderne Sklaverei, Geldwäsche sowieBestechungs- und Korruptionsrisiken. Ähnlich wie in derUmfrage „Prevalent 2021 Third-Party Risk Management” übersehen Unternehmen weiterhin weniger quantifizierbare Risiken, die dennoch zu Compliance-Verstößen, Geldstrafen oder negativen Auswirkungen auf den Ruf führen können. Angesichts derrussischen Invasion in der Ukraine müssen Unternehmen mit Drittanbietern in Russland nun beispielsweise prüfen, ob sie aufgrund der Sanktionen dem Risiko von Bestechung und Geldwäsche ausgesetzt sind.
Das Risikomanagement von Drittanbietern wird (endlich!) strategischer – aber diese lästigen Tabellen müssen weg
Zwei Drittel der Befragten geben an, dass ihre TPRM-Programme im Vergleich zum Vorjahr bei Führungskräften und im Vorstand mehr Beachtung finden. Das sind großartige Neuigkeiten! TPRM wird allmählich als strategisch wichtig angesehen. Allerdings bedurfte es dazu einer massiven Zunahme von Cybersicherheitsproblemen im Zusammenhang mit Drittanbietern und Lieferanten, wie beispielsweiseLog4j, demZusammenbruch der Lieferkette von Toyota und demRansomware-Angriff auf Kaseya.
Leider behindern manuelle Prozesse nach wie vor viele Unternehmen. Im Vergleich zu 2021 geben sogar noch mehr Unternehmen (45 %) an, dass sie zur Bewertung ihrer Drittanbieter Tabellenkalkulationen verwenden.
Diese manuellen Prozesse machen die Risikoprüfungen von Drittanbietern unnötig kompliziert und zeitaufwendig. 32 % der Befragten gaben an, dass es mehr als einen Monat (und in einigen Fällen sogar mehr als 90 Tage) dauert, um die für die Einhaltung der gesetzlichen Vorschriften erforderlichen Berichte und Nachweise zu erstellen.
Mit den bestehenden Ansätzen muss etwas nicht stimmen, da ein hoher Prozentsatz der Befragten angibt, dass ihre derzeitigen Methoden zur Bewertung von Anbietern nicht in der Lage sind, Berichte zur Nachweisführung der Compliance zu liefern (57 %), proaktiver auf Vorfälle bei Drittanbietern zu reagieren (50 %) oder Risiken in jeder Phase des Lebenszyklus des Anbieters zu bewerten (48 %).
45 % der Unternehmen hatten im letzten Jahr einen Sicherheitsvorfall durch Dritte... verwenden jedoch unterschiedliche Tools, die die Reaktionszeiten bei Vorfällen verlängern.
Die größte Sorge von Unternehmen im Zusammenhang mit der Nutzung von Drittanbietern ist eine Datenpanne (69 %), und 45 % der Befragten gaben an, dass sie im letzten Jahr einen Sicherheitsvorfall erlebt haben – ein Anstieg gegenüber 21 % im Jahr 2021!
Zu den wichtigsten Tools für die Reaktion auf Vorfälle, über die die Befragten angaben zu verfügen, gehörten die Überwachung von Datenverstößen (51 %), die Überwachung der Cybersicherheit/des Dark Web (45 %), Lieferantenbewertungen (manuell/auf Basis von Tabellenkalkulationen) (43 %) und proaktive Selbstauskünfte von Lieferanten (43 %). Allerdings gaben nur 38 % an, Zugang zu automatisierten Lieferantenbewertungen zu haben.
Die entmutigendste Statistik von allen: 8 % der Unternehmen verfügen überhaupt nicht über ein Programm zur Reaktion auf Vorfälle bei Dritten, während 23 % einen passiven Ansatz bei der Reaktion auf Vorfälle bei Dritten verfolgen. Viel Glück, wenn der nächste SolarWinds-Angriff kommt.
Das Ergebnis: Zwischen der Entdeckung eines Vorfalls und dessen Behebung vergehen etwa 2,5 Wochen – eine Ewigkeit, in der ein Unternehmen für potenzielle Angriffe anfällig ist.
Weniger als die Hälfte der Unternehmen verfolgt Risiken in späteren Phasen des Lieferantenlebenszyklus.
Vertragliche Risiken und Risiken in der Phase des Ausstiegs und der Beendigung der Geschäftsbeziehung rangieren unter den Risiken, die Unternehmen derzeit verfolgen, nicht sehr hoch – mit 45 % bzw. 43 %. Tatsächlich sinkt der Prozentsatz der Kunden, die Risiken verfolgen, mit zunehmender Dauer der Geschäftsbeziehung, was darauf hindeutet, dass sich Unternehmen in der Anfangsphase stärker auf Risiken konzentrieren als im weiteren Verlauf der Geschäftsbeziehung. Angesichts der Risiken, die mit der Nichteinhaltung vertraglicher Erwartungen verbunden sind, ist dies überraschend.
3 Empfehlungen für bewährte Verfahren zur Verbesserung Ihrer TPRM-Roadmap
Die Ergebnisse dieser Studie zeigen, dass TPRM-Teams Fortschritte in Richtung eines strategischeren Ansatzes für TPRM machen, aber drei Bereiche erfordern zusätzliche Verbesserungen.
1. Erweiterte Bewertungen über die IT-Sicherheit hinaus, um Teams unter einer einzigen Lösung zu vereinen und Audits zu vereinfachen
Wenn Sie Risiken durch Dritte ausschließlich aus IT-Sicht betrachten, übersehen Sie wichtige Risiken. Investieren Sie daher in eine Lösung, die integrierte Fragebogenvorlagen und ergänzende Informationen enthält, um Bereiche wie geschäftliche/betriebliche,reputationsbezogene und finanzielleRisiken bis hin zuESG-undCompliance-Risikenabzudecken.
Durch die Zusammenführung von Nicht-IT-Risikoinformationen mit den Ergebnissen traditioneller Cybersicherheits- undDatenschutzbewertungenkönnen Sie:
- Verbessern Sie die Transparenz hinsichtlich Lieferantenrisiken und erfüllen Sie gleichzeitig die Anforderungen mehrerer Abteilungen.
- Steigern Sie den strategischen Wert Ihres Risikomanagementprogramms für Dritte.
- Verbessern Sie die Berichterstattung und vermeiden Sie die fortwährende Verwendung von Tabellenkalkulationen zur Erfassung und Analyse von Risikodaten Dritter.
Da fast ein Drittel der Unternehmen angibt, dass es mehr als 30 Tage (und in einigen Fällen sogar mehr als 90 Tage) dauert, um die für behördliche Audits erforderlichen Nachweise zu erstellen, wird die Sammlung dieser Informationen auf einer einzigen Plattform die Audit-Prüfungen beschleunigen und es den Teams ermöglichen, sich wieder ihren täglichen Aufgaben zu widmen.
2. Automatisierung der Reaktion auf Vorfälle zur Reduzierung von Kosten und Zeitaufwand
Da 45 % der Unternehmen im letzten Jahr einen Sicherheitsvorfall gemeldet haben – und 69 % der Unternehmen angeben, dass dies ihre Priorität ist –, muss mehr getan werden, um die Reaktion auf Vorfälle zu automatisieren und die Folgen zu mildern. Investieren Sie in ausgereifte Tools und Prozesse, die:
- Verwalten Sie alle Lieferanten zentral auf einer einzigen Plattform – der erste und wichtigste Schritt ist es, Transparenz in Ihr Ökosystem von Drittanbietern zu bringen.
- Erfahren Sie, welche Drittparteien (undN-Parteien) durch eine Verletzung gefährdet sind, indem Sie Lieferantenbeziehungen auf der Grundlage der Technologienutzung abbilden.
- Stellen Sie den richtigen Anbietern die richtigen Fragen mit kontextbezogenen Fragebögen zur Ereignisbewertung.
- Erhalten Sie frühzeitige Warnungen zu Vorfällen, indem Sie Anbietern die Möglichkeit geben, proaktiv Ereignisbewertungen einzureichen.
- Aufdeckung potenzieller Auswirkungen durch kontinuierliche Verfolgung, Bewertung und Verwaltung vonCyber-, Geschäfts-, Reputations- und Finanzrisikenauf einer einzigen Plattform
- Mildern Sie Risiken für Ihr Unternehmen schnell durch den Zugriff auf präskriptive Abhilfemaßnahmen.
- Erfüllen Sie die Anforderungen von Aufsichtsbehörden, Vorstandsmitgliedern und anderen Interessengruppen mit proaktiven Berichten über den Fortschrittder Reaktion auf Vorfälleund die getroffenen Abhilfemaßnahmen.
3. Schließen Sie den Kreislauf des Lebenszyklus von Drittanbietern
Die Daten aus der diesjährigen Studie zeigen, dass die Risikobewertung im Laufe des Lieferantenlebenszyklus an Bedeutung verliert. Hier sind einige Tipps für den Umgang mit Risiken in späteren Phasen der Geschäftsbeziehung.
- VertraglicheundSLA-Leistung: Bei der Identifizierung und Bewältigung von Risiken durch Dritte ist es wichtig, alle Aktivitäten jedes einzelnen Anbieters und Lieferanten im Blick zu behalten. Suchen Sie daher nach einer TPRM-Plattform mit leistungsstarken Funktionen für das Vertragslebenszyklusmanagement. Dies ist nicht nur für die interne Berichterstattung von entscheidender Bedeutung, sondern kann auch ein wertvolles Instrument zur Messung der Einhaltung vereinbarter Bedingungen, SLAs, KPI-Ziele und Compliance-Anforderungen sein. Die Ergebnisse können in laufende Verhandlungen mit Ihren Geschäftspartnern einfließen und für stärkere, langfristige Geschäftsbeziehungen sorgen.
- Offboarding und Kündigung: Offboarding wird beim Risikomanagement von Drittanbietern oft übersehen, doch in den letzten Tagen einer Lieferantenbeziehung kann viel passieren. Eine abschließende Risikobewertung kann bestätigen, dass Ihre Systeme und Daten sicher außer Betrieb genommen wurden, und liefert gleichzeitig Nachweise für die Einhaltung der Datenschutzbestimmungen.
Machen Sie die nächsten Schritte in Richtung des richtigen TPRM-Kurses
Laden Sie das vollständige E-Book und die Infografik herunter, um zusätzliche Statistiken, Hintergründe und Empfehlungen zum Vergleich Ihrer bestehenden TPRM-Praktiken zu erhalten. Fordern Sie anschließend eine Demo für eine Strategiesitzung mit einem TPRM-Experten an.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich auf Prevalent.net veröffentlicht. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
