Dieser Beitrag wurde gemeinsam mit Alastair Parr, SVP of Products & Services, verfasst.
Das Risikomanagement für Dritte (Third-Party Risk Management, TPRM) hat in den letzten Jahren einen langen Weg zurückgelegt: von einem ad hoc durchgeführten, auf Tabellenkalkulationen basierenden Fragebogenverfahren, das sich lediglich auf die Überprüfung von IT-Anbietern konzentrierte, hin zu einer automatisierten und kontinuierlichen Bewertung und Überwachung verschiedener Anbieter und Lieferanten, die von mehreren Teams verwaltet werden.
Mit Blick auf das Jahr 2024 prägen mehrere wichtige Trends die Herangehensweise von Unternehmen an diesen zunehmend entscheidenden Aspekt ihrer Risikomanagementprogramme. In diesem Beitrag befassen wir uns mit den zehn wichtigsten Prognosen für das Risikomanagement von Drittanbietern im Jahr 2024 und damit, wie diese die Praxis des TPRM in Zukunft verändern werden.
Vorhersage 1: TPRM reift vom Experiment zur Erwartung
2023 war ein Rekordjahr für Sicherheitsvorfälle bei Drittanbietern, wobei Verstöße wie MOVEit die Schlagzeilen dominierten. Der daraus resultierende regulatorische Druck zur Verbesserung der Governance bei Outsourcing-Vereinbarungen mit Drittanbietern, beispielsweise durch die Securities and Exchange Commission (SEC) und mehrere europäische Behörden, treibt die Entwicklung von TPRM von einem Projekt zur Risikosteuerung zu einem Programm voran, das Risiken über den gesamten Lebenszyklus von Drittanbietern hinweg behandelt.
Mit anderen Worten: TPRM ist kein Experiment mehr, sondern eine Erwartung. Diese Reifung hat die Position von TPRM als wesentliches Element in der Entscheidungsfindung des organisatorischen Risikomanagements gefestigt. Daher werden die Investitionen in TPRM trotz wirtschaftlicher Unsicherheit, Inflation und Arbeitskräftemangel bis 2024 konstant bleiben. Das Engagement auf Vorstands- und Führungsebene für TPRM wird aufgrund anhaltender Sicherheitsvorfälle durch Dritte und regulatorischen Drucks bestehen bleiben.
Auch wenn es weiterhin schwierig sein dürfte, qualifizierte TPRM-Fachkräfte zu finden, werden sich die Effizienz und Effektivität von TPRM-Programmen dank generativer KI, maschinellem Lernen, Datenanalyse, verbesserter Automatisierung und Programm-Outsourcing verbessern.
Prognose 2: Das Engagement mehrerer interner Teams verwandelt das Risikomanagement für Dritte in ein Lebenszyklusmanagement für Dritte.
Das Risikomanagement allein reicht nicht aus. Sie müssen den gesamten Lebenszyklus einer Lieferantenbeziehung verwalten, um den Kontext der Risiken zu verstehen, denen Ihr Unternehmen ausgesetzt ist. Andernfalls verkommt das TPRM zu einer reinen Abhakübung. Dies erfordert, dass die Verantwortlichen für das TPRM-Programm den Umfang ihrer Bemühungen auf alle Parteien ausweiten, die mit Drittanbietern und Lieferanten interagieren.
Warum ein lebenszyklusbasierter Ansatz? Der Lebenszyklus von Drittanbietern umfasst alle Aktivitäten im Zusammenhang mit einem Anbieter von Anfang bis Ende – einschließlich Onboarding, kontinuierlicher Überwachung, Compliance, Risikomanagement und Offboarding – und jede Phase dieses Lebenszyklus birgt ihre eigenen Risiken. Verschiedene Personen und Abteilungen treiben diese Entwicklung voran, wobei jede ihre eigenen spezifischen Bedürfnisse und Interessen hat.
Im Jahr 2024 wird die Beschaffung voraussichtlich eine wichtigere Rolle bei der Steuerung des Lebenszyklusmanagements von Drittanbietern spielen. Rechtsabteilungen werden die Erkennung von Klauseln und die vergleichende Analyse von Vertragsbedingungen zu Servicelevels automatisieren. Das Risikomanagement wird weiterhin eine zentrale Rolle spielen, während der operative Bereich Datensätze aus verschiedenen Quellen nutzen wird, um die operative Widerstandsfähigkeit zu verbessern und die Qualität sicherzustellen.
Audits werden weiterhin durchgeführt werden, da Compliance- und regulatorische Anforderungen immer komplexer werden. Der Trend zum Lebenszyklusmanagement durch Dritte, das verschiedene Geschäftsbereiche umfasst, wird sich fortsetzen.
Prognose 3: Die Zusammenführung von Silos mit Risikodaten von Drittanbietern schafft eine einzige zuverlässige Informationsquelle für das Unternehmen.
Da immer mehr Teams an der Verwaltung des Lebenszyklus von Drittanbietern beteiligt sind, werden Unternehmen versuchen, eine Reihe von IT- und Nicht-IT-Risiken in zentralisierten Lieferantenprofilen zu vereinen. Dadurch werden isolierte Daten zu Risiken von Drittanbietern, die über das gesamte Unternehmen verstreut sind, effektiv beseitigt und in ein umfassendes Risikomodell umgewandelt, das ständig mit internen und externen Erkenntnissen aktualisiert wird. Verschiedene Teams werden dann auf diese maßgebliche Quelle zurückgreifen, um die operative Entscheidungsfindung in der gesamten Lieferantenbeziehung zu verbessern.
Für das Jahr 2024 erwarten wir vielfältige Bewertungsinhalte – darunter Bereiche wie Cyber-Sicherheit, Business Intelligence, Finanzunterlagen, geopolitische Ereignisse, Zertifizierungen und Informationen von Drittanbietern –, um die Entscheidungsfindung zu verbessern. Dieser erweiterte Umfang spiegelt die vielfältigen Interessen verschiedener Abteilungen wider, insbesondere der Beschaffungs- und Rechtsabteilung. Von den Anbietern wird erwartet, dass sie fortlaufend umfassendere Zertifizierungsinformationen bereitstellen.
Die Entstehung geopolitischer und ökologischer Erkenntnisse auf der Grundlage der Geografie wird ein wichtiger Schwerpunkt für die operative Widerstandsfähigkeit sein. Auch wenn es schwierig sein mag, alle lokalen Standorte zu verfolgen, werden Überwachungslösungen eine entscheidende Rolle dabei spielen, Unternehmen dabei zu helfen, potenzielle Risiken im Zusammenhang mit den Standorten ihrer Lieferanten zu verstehen.
Prognose 4: Fortschrittliche und prädiktive Analysen verbessern die Qualität von TPRM-Programmen
Aufbauend auf der vorherigen Prognose können Unternehmen durch die Nutzung eines einheitlichen, kontinuierlich aktualisierten Risikomodells fortschrittlichere und prädiktive Analysen durchführen, um Ressourcen besser zuzuweisen und Programme effektiv zu skalieren.
Darüber hinaus wird die erweiterte prädiktive Analyse im TPRM stärker auf bestimmte Personen ausgerichtet sein. Die Berichterstattung wird auf die Bedürfnisse wichtiger Personen wie dem CISO, Führungskräften und dem Vorstand zugeschnitten sein. Diese Berichte werden sich auf Risiken, externe Bedrohungen, Compliance und Abdeckung konzentrieren. Die Weiterentwicklung der TPRM-Programme wird zu einer Erhöhung der Reifegradbewertungen führen, wobei die verfügbaren Tools und Funktionen es Unternehmen ermöglichen, effektiver mit Anbietern zusammenzuarbeiten.
Eine bemerkenswerte Entwicklung wird die Einbeziehung von Verhaltensdaten in die Berichterstattung sein. Diese Daten liefern wertvolle Informationen über die Interaktionen mit Anbietern und deren Reaktionszeiten. Fortschrittliche Analysemodelle helfen dabei, das Nutzerverhalten vorherzusagen und zu interpretieren, wodurch die Gesamtqualität von TPRM-Programmen verbessert wird.
Vorhersage 5: NLP verbessert die Effizienz von TPRM
Da immer mehr Organisationen Formen der Sorgfaltspflicht akzeptieren, die keine Bewertung erfordern, wie beispielsweise SOC 2-Berichte, wird der Bedarf an automatisierten Analysen dieser Dokumentation zu mehr Schulungen und einer verstärkten Nutzung gezielter Modelle zur Verarbeitung natürlicher Sprache (Natural Language Processing, NLP) führen.
Daher wird NLP, eine Technologie, die seit mehreren Jahren entwickelt wird, das TPRM im Jahr 2024 grundlegend verändern. Bislang wurde sie für einfache Stichwortsuchen und Stimmungsanalysen eingesetzt. Der Bereich reift jedoch zunehmend, und NLP entwickelt sich zu einem leistungsstarken Werkzeug für die Extraktion, Übersetzung und Strukturierung von Daten aus Lieferantendokumenten. Praktiker werden diese Daten nutzen können, um Bewertungen zu erstellen und Maßnahmen zu automatisieren, wodurch das TPRM effizienter und effektiver wird.
NLP wird eine entscheidende Rolle bei der Extraktion wertvoller Daten aus verschiedenen Arten von Dokumenten spielen, darunter Verträge, Berichte und Richtlinien. Es wird Kontrollfehler identifizieren, Dokumente in verschiedene Sprachen übersetzen und sogar die Stimmung von Informationssicherheitsrichtlinien bewerten, was zu fundierteren Entscheidungen führt.
Einer der Hauptvorteile von NLP im TPRM ist seine Fähigkeit, unstrukturierte Dokumente zu strukturieren. Die aus diesen Dokumenten extrahierten Daten können normalisiert und in umsetzbare Erkenntnisse und Automatisierungen umgewandelt werden, wodurch sie nützlicher und praktischer werden.
Vorhersage 6: Kleine Schritte in Richtung generative KI im TPRM
Generative KI wird zu einem integralen Bestandteil von TPRM werden, aber es ist wichtig, diese Technologie mit Bedacht einzusetzen. Wenn Unternehmen sich mit generativer KI vertraut gemacht haben, werden sie sie in ihre TPRM-Programme integrieren.
Mit der Verbesserung der Qualität und Konsistenz der Datenverwaltung in generativen KI-Modellen werden Unternehmen ihre Zurückhaltung gegenüber dem Einsatz dieser Technologie für bestimmte kontrollierte Anwendungsfälle überwinden. So wird generative KI beispielsweise bei der Automatisierung von Prozessen, der Bereitstellung von Trendprognosen und der Unterstützung bei der Dokumentenzuordnung und -bewertung helfen. Diese Fähigkeiten werden Unternehmen dabei helfen, den anhaltenden Fachkräftemangel und die steigenden Kosten zu bewältigen.
Prognose 7: Intelligentes Management von Vorschriften reduziert den Arbeitsaufwand für TPRM
Die Vorschriften entwickeln sich ständig weiter, und für 2024 ist mit intelligenteren und proaktiveren Ansätzen für deren Umsetzung zu rechnen. TPRM-Fachleute werden eine Vereinfachung bei der Anwendung neuer Vorschriften und automatisierte rückwirkende Überprüfungen bestehender Daten fordern, um die Einhaltung der Vorschriften sicherzustellen.
Um die Einhaltung von Vorschriften zum Risikomanagement durch Dritte im Jahr 2024 zu vereinfachen, werden Unternehmen versuchen, die Datenerfassung zu automatisieren, indem sie eine einzige gezielte Bewertung mit integrierten Compliance-Zuordnungen zu gängigen regulatorischen Anforderungen verwenden.
Prognose 8: Integration und Synchronität fördern umfassendere Risikomanagementbemühungen
Angesichts der zunehmenden Komplexität von TPRM-Programmen werden die Integration und Synchronität zwischen verschiedenen Systemen von entscheidender Bedeutung sein. Dies wird Arbeitsabläufe rationalisieren und sicherstellen, dass Daten zwischen verschiedenen Bereichen des Unternehmens effektiv ausgetauscht werden. Für 2024 ist mit einer steigenden Nachfrage nach Integrationen zwischen benachbarten Systemen zu rechnen, beispielsweise zwischen GRC-Plattformen, Beschaffungssystemen und Reporting-Tools. Der Schwerpunkt liegt dabei insbesondere auf der Identifizierung zentralisierter Aufzeichnungen der „Wahrheit” über Lieferanten, die sich über den gesamten Lebenszyklus hinweg fortsetzen und die Entscheidungsfindung zwischen Teams bereichern (siehe Prognose Nr. 3).
Prognose 9: Der Bedarf an Echtzeit-Einblicken zur Bekämpfung sich entwickelnder Bedrohungen (und zur Zufriedenstellung des Vorstands) treibt die kontinuierliche Überwachung durch Dritte voran.
Die kontinuierliche Überwachung von Risiken durch Dritte wird 2024 im Mittelpunkt stehen, da Echtzeit-Einblicke in Verstöße und Probleme von Lieferanten erforderlich sind. Die tägliche Erfassung von Daten aus verschiedenen Quellen wird eine Fülle von Informationen liefern, was zu einer fortgeschritteneren Analyse der TPRM-Daten und zu besseren, qualitativ hochwertigeren Entscheidungen führen wird. Die Forderung von Vorständen und Führungskräften nach proaktiveren Reaktionen auf lokale Ereignisse und Zero-Day-Schwachstellen wird diese Bemühungen maßgeblich vorantreiben.
Prognose 10: Fortgeschrittene Profilerstellung und Tiering fördern ein pragmatisches Lieferantenmanagement
Die Zeiten, in denen jeder einzelne Anbieter in einem riesigen Ökosystem bewertet wurde, sind vorbei. TPRM wird pragmatischer werden und sich auf kritische Anbieter und wichtige Konzentrationsrisiken konzentrieren. Die Bewertungen von Viertanbietern werden zielgerichtet und effizient sein und sich auf Datenschutzrichtlinien und Risikomanagement konzentrieren. Dieser Trend wird durch die Erkenntnis vorangetrieben, dass nicht alle Drittanbieter – und nicht alle Risiken von Drittanbietern – gleich sind. Und die Teams sind zu sehr ausgelastet, um alles gleichermaßen zu verwalten. Es ist mit einer verstärkten Profilerstellung und Einstufung von Anbietern zu rechnen, um ein pragmatischeres Lieferantenmanagement zu erreichen.
BONUS! Vorhersage 11: Der Kontext ist (endlich) entscheidend
Das Verständnis des Kontexts von Lieferantenbeziehungen ist von entscheidender Bedeutung. Die Datenerfassung während des Beschaffungszyklus wird entscheidend dazu beitragen, den Kontext für TPRM bereitzustellen. Dies wird zu fundierteren Entscheidungen, einer angemessenen Größe der Lieferantenpopulation und personenbezogenen Dashboards und Berichten führen. Außerdem müssen Teams bei der Risikoprüfung und -analyse zusammenarbeiten. Im Jahr 2024 wird die Automatisierung innerhalb des Lebenszyklus von Drittanbietern die Erfassung und Strukturierung von Lieferantenprofilen unterstützen, da auf der Grundlage des dadurch bereitgestellten Kontexts definitive Workflows eingerichtet werden.
Nächste Schritte
Mit Blick auf das Jahr 2024 wird das Risikomanagement für Dritte eine bedeutende Entwicklung durchlaufen. Die Integration von NLP und generativer KI sowie ein intelligenteres Regulierungsmanagement, kontinuierliche Fähigkeiten und eine Fokussierung auf den Kontext werden die Effektivität und Effizienz von TPRM-Programmen verbessern. Durch die Nutzung dieser Innovationen und Trends können Unternehmen bei der effektiven Steuerung von Risiken durch Dritte die Nase vorn behalten und sich an die sich wandelnden Rahmenbedingungen für Geschäftspartnerschaften und regulatorische Anforderungen anpassen.
Wenn Sie mehr darüber erfahren möchten, wie Prevalent Ihnen bei der Weiterentwicklung Ihres TPRM-Programms helfen kann, fordern Sie noch heute eine Demo an.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
