Der Lebenszyklus des Risikomanagements von Drittanbietern: Der endgültige Leitfaden

Ihr Unternehmen ist in jeder Phase der Lieferantenbeziehung mit unterschiedlichen Risiken konfrontiert, weshalb es wichtig ist, ein TPRM-Programm zu entwickeln, das den gesamten Lebenszyklus von Drittanbietern abdeckt.

Mitratech-Mitarbeiter
Mitratech-Mitarbeiter März 7, 2024 16 min gelesen
Decorative image

Das Verständnis des Lebenszyklus des Risikomanagements für Dritte in Ihrem Unternehmen ist entscheidend für die Identifizierung und Beseitigung von Risiken bei Lieferanten und Zulieferern. Es ist jedoch ein weit verbreiteter Fehler, das Risikomanagement für Dritte (TPRM) als eine einmalige Initiative zur Risikobewertung und -beseitigung zu betrachten.

Tatsache ist, dass Ihr Unternehmen in jeder Phase der Lieferantenbeziehung unterschiedlichen Risiken ausgesetzt ist. Daher ist es wichtig, ein TPRM-Programm zu entwickeln, das den gesamten Lebenszyklus von Drittanbietern abdeckt. Ein programmatischer Prozess ist der schnellste Weg, um den Schmerz des Risikomanagements für Drittanbieter zu beenden, fundierte risikobasierte Entscheidungen zu treffen und Ihr Programm im Laufe der Zeit anzupassen und zu erweitern. In diesem Beitrag werden die wichtigsten Phasen des Lebenszyklus von Drittanbietern behandelt und bewährte Verfahren zur Risikominderung in jeder Phase vorgestellt.

1. Beschaffung und Auswahl von Anbietern

Das Risikomanagement von Anbietern beginnt mit der Auswahl des Anbieters, an der oft mehrere Teams mit unterschiedlichen Prioritäten beteiligt sind. So legt beispielsweise die Technik Priorität auf die technischen Fähigkeiten eines Anbieters, die Beschaffung konzentriert sich auf die geschäftliche Stabilität, die Sicherheit bewertet die Datenschutzkontrollen und die Compliance prüft die Berichterstattung und die Rechnungsprüfung.

Darüber hinaus geben die Anbieter in den Fragebögen zur Risikobewertung oft widersprüchliche und/oder widersprüchliche Antworten. Dies kann es extrem schwierig machen, das Risiko, das sie für Ihr Unternehmen darstellen, genau einzuschätzen. Diese Probleme können besonders akut werden, wenn Unternehmen keine zentrale Quelle für Anbieterinformationen haben.

Bewährte Praktiken bei der Beschaffung und Auswahl von Anbietern

Verwenden Sie eine Datenbank für das Risikomanagement von Anbietern

Viele Unternehmen verwenden immer noch Tabellenkalkulationen, um die Antworten auf Fragebögen zur Risikobewertung von Anbietern
mit Sicherheitskontrollen, Compliance und anderen Anforderungen zu vergleichen. Erwägen Sie den Einsatz einer Datenbank für das Risikomanagement von Anbietern oder einer Risikomanagement-Plattform eines Drittanbieters, um die Auswahl zu beschleunigen, die Identifizierung von Anbieterrisiken zu verbessern und eine einzige Quelle für Anbieterdaten zu erhalten.

Standardisierte Fragebögen auf Basis von Risikoprofilen

Jeder Anbieter hat ein unterschiedliches Risikoprofil (d. h. ein Risiko, das mit der Dienstleistung zusammenhängt, die er für Ihr Unternehmen erbringt). Ein Anbieter, der mit personenbezogenen Daten (PII) oder geschützten Gesundheitsdaten (PHI) zu tun hat, weist ein wesentlich höheres Risikoprofil auf als eine Klempnerfirma. Erstellen Sie standardisierte Fragebögen für verschiedene Anbieterkategorien auf der Grundlage von Risikoprofilen. Für Unternehmen mit geringem Risikoprofil kann ein einfacher Fragebogen ausreichen, während Unternehmen, die mit Ihrer IT-Umgebung oder sensiblen Daten interagieren, möglicherweise einen umfangreicheren Fragebogen benötigen.

Integrieren Sie ESG in Ihren Lieferantenauswahlprozess

Umwelt-, Sozial- und Governance-Risiken (ESG) werden für Unternehmen auf der ganzen Welt immer wichtiger. Sowohl Investoren als auch Verbraucher beginnen zu erwarten, dass Unternehmen die ökologischen, ethischen und sozialen Kosten, die mit ihren Drittanbietern verbunden sind, sorgfältig berücksichtigen. Die Einbeziehung von ESG-Risiken von Anfang an in den Lebenszyklus des Lieferantenrisikomanagements zusammen mit der Bewertung von Sicherheits- und Datenschutzkontrollen kann Ihnen helfen, Unternehmen mit einer fragwürdigen Erfolgsbilanz in Bezug auf Umweltzerstörung, moderne Sklaverei und andere ethisch problematische Geschäftspraktiken zu vermeiden.

2. Aufnahme und Onboarding

Der Prozess für die Aufnahme von Lieferanten umfasst in der Regel einen manuellen oder massenhaften Upload von Profilinformationen. Die Verbindung einer vorkonfigurierten Tabelle oder einer API mit einer vorhandenen Lösung für das Lieferantenmanagement oder die Beschaffung ist ein effizienterer Weg, um ein zentrales Repository für Lieferanten zu erstellen. Nutzen Sie den rollenbasierten Zugriff, um verschiedenen Teams die Möglichkeit zu geben, Lieferantendaten zu erfassen und andere Mitarbeiter zur Mitarbeit einzuladen.

Bewährte Praktiken für die Aufnahme und das Onboarding von Anbietern

Schaffen Sie einen formellen Genehmigungsprozess

Es sollte einen dokumentierten, formalen Genehmigungsprozess für die Einbindung neuer Lieferanten geben. Erwägen Sie die Aufnahme von Standardvorlagen für Zahlungsbedingungen, Rechnungsstellung und Informationssicherheitsstandards als Teil des Lieferanteneinführungsprozesses.

Setzen und kommunizieren Sie realistische Zeitrahmen für das Onboarding

Das Onboarding kann ein langer Prozess sein. Sie müssen die Lieferanten mit Zugangsdaten für Einrichtungen oder Systeme ausstatten, sicherstellen, dass sie in der Lage sind, ihre Aufgaben zu erfüllen, und die Zahlungsbedingungen und andere Prozesse klären. Stellen Sie sicher, dass Sie einen realistischen Zeitrahmen für das Onboarding festlegen und diesen sowohl Ihren Lieferanten als auch Ihren internen Abteilungen mitteilen.

Compliance im Blick behalten

Viele Unternehmen verlassen sich auf ihre anfängliche Bewertung der Compliance von Drittanbietern, um die Compliance während des gesamten Lebenszyklus des Anbieters aufrechtzuerhalten. Es ist jedoch von entscheidender Bedeutung, die Compliance-Anforderungen bei der Weiterentwicklung des Vertrags kontinuierlich zu berücksichtigen. Oft schleicht sich der Geltungsbereich ein, was dazu führt, dass Anbieter Zugang zu sensiblen Daten und Systemen erhalten, die in der Beschaffungs- und Auswahlphase nicht berücksichtigt wurden. Vergewissern Sie sich in der Einführungsphase, dass Sie den Standort Ihrer Daten und den Umfang des Zugriffs Ihrer Anbieter genau kennen. Überprüfen Sie regelmäßig den Zugang der Anbieter und die erforderlichen Sicherheitskontrollen und passen Sie diese bei Bedarf an.

Automatisieren wo möglich

Die Einbindung neuer Anbieter kann zeitaufwändig sein. Der Zeitdruck kann besonders groß werden, wenn mehrere Anbieter gleichzeitig aufgenommen werden. Deshalb ist Automatisierung der Schlüssel zu einem skalierbaren Risikomanagementprogramm für Drittanbieter. So können Sie beispielsweise die Verteilung von Fragebögen automatisieren und den Teammitgliedern die gemeinsame Nutzung von Aufnahmeformularen erleichtern.

3. Bewertung des inhärenten Risikos

Die Bewertung des inhärenten Risikos ist ein wichtiger Bestandteil des Lebenszyklus des Risikomanagements für Dritte. Nicht jeder Lieferant muss gleich genau geprüft werden. Ein Lieferant von Büroartikeln stellt beispielsweise ein geringeres organisatorisches Risiko dar als ein Lieferant von wichtigen Teilen oder juristischen Dienstleistungen. Ein Unternehmen, das sich an einem politisch instabilen Ort befindet, bei dem es in der Vergangenheit zu Sicherheitsverletzungen gekommen ist oder das eine schlechte Bonität aufweist, stellt ein höheres Risiko dar und erfordert eine erhöhte Sorgfaltspflicht.

Um das von einem Anbieter ausgehende Risiko richtig einschätzen zu können, müssen Sie das inhärente Risiko berechnen können. Dabei handelt es sich um das Risikoniveau des Anbieters vor der Berücksichtigung der von Ihrem Unternehmen geforderten spezifischen Kontrollen. Ein umfassender Überblick über die inhärenten Risiken bildet die Grundlage für Ihre Entscheidungen über die erforderliche Due-Diligence-Prüfung. Nach der Festlegung dieser Basislinie für das inhärente Risiko wird die Berechnung des Restrisikos - das nach der Anwendung von Kontrollen verbleibende Risiko - wesentlich einfacher.

Das inhärente Risiko spielt auch eine entscheidende Rolle bei Entscheidungen über die Erstellung von Anbieterprofilen, die Einstufung und die Kategorisierung von Anbietern. Dieser Ansatz beschleunigt Risikobewertungen, indem er die Bewertungen von Anbietern an den Risiken und Standards ausrichtet, die für ein Unternehmen, seine Kunden und die Aufsichtsbehörden am wichtigsten sind.

Bewährte Praktiken der Risikobewertung

Zuordnung der Risikobewertung Ihres Anbieters zu den Compliance-Anforderungen

Die Fragebögen sollten alle Compliance-Anforderungen widerspiegeln, denen Ihr Unternehmen unterliegt. Wenn Ihr Lieferant Zugang zu sensiblen Daten wie PII, PHI oder Finanzdaten hat, müssen Sie sicherstellen, dass Sie die Compliance-Anforderungen Ihres Unternehmens in den Fragebögen zum Lieferantenrisiko berücksichtigen. Im Folgenden finden Sie einige Fragen, die bei der Risikobewertung auftauchen sollten:

  • Ist die Organisation nach Standards oder Rahmenwerken für Informationssicherheit von Dritten zertifiziert? (z. B. SOC2, NIST 800-53, NIST CSF, CMMC)
  • Fällt die Organisation unter die Anforderungen der Cybersicherheit oder der Informationssicherheit? Wenn ja, welche?
  • Welche Richtlinien und Verfahren gibt es für die Weitergabe von Kundendaten an Dritte und Vierte?

Keine Alleingänge

Die Verwendung einer TPRM-Plattform kann die Bewertung von Lieferantenrisiken erheblich beschleunigen und ermöglicht es Ihnen, die Antworten auf die Fragebögen schnell den Compliance-Anforderungen zuzuordnen. Darüber hinaus bieten spezielle Drittanbieter-Risikomanagementlösungen wie Prevalent integrierte, anpassbare Fragebögen für inhärente Risiken, die eine nahtlose Identifizierung von Lieferantenrisiken erleichtern.

Nutzen Sie Scoring, um Ergebnisse zu normalisieren und umsetzbare Einblicke zu erhalten

Es ist wichtig, dass Sie die möglichen Auswirkungen eines Lieferanten auf die Lieferung von Produkten oder Dienstleistungen für Ihr Unternehmen kennen. Dementsprechend sollten Sie ein Punktesystem verwenden, um die Stufe eines jeden Lieferanten zu bestimmen. Dieses könnte die folgenden Kriterien umfassen:

  • Operative oder kundenorientierte Prozesse
  • Interaktion mit geschützten Daten
  • Finanzieller Status und Auswirkungen
  • Rechtliche und regulatorische Verpflichtungen
  • Reputation
  • Geografie (z. B. Konzentrationsrisiko)

Sobald Sie die Lieferantenebenen definiert haben, sollte es einfach sein zu verstehen, welche Lieferanten am wichtigsten sind. So sollten Sie beispielsweise einen Bericht über alle Lieferanten erstellen können, die in den USA ansässig sind, personenbezogene Daten verarbeiten und zu den Top-Lieferanten gehören.

Wenn Sie über geprüfte Informationen zu einem früheren Zeitpunkt im Prozess und an einem leicht zugänglichen Ort verfügen, können Sie Ihre Due-Diligence-Initiativen richtig dimensionieren, sich auf die Anbieter mit dem höchsten Risiko konzentrieren und den gesamten Prozess beschleunigen.

4. Bewertung von Anbietern und Beseitigung von Risiken

Der Grad des Risikos, das von den verschiedenen Dritten ausgeht, variiert je nach ihrer Bedeutung für Ihr Unternehmen und anderen Faktoren. Auch die Kriterien für die einzelnen Kategorien von Drittanbietern werden unterschiedlich sein. So werden beispielsweise die Kriterien für einen Teilehändler andere sein als für die Bewertung von Cloud-Hosting-Diensten.

Unternehmen mit unausgereiften TPRM-Programmen erstellen für jedes neue Projekt individuelle, auf Tabellenkalkulationen basierende Umfragen und erfinden das Rad immer wieder neu. Die Antworten auf diese Umfragen können sich in Bezug auf Detailgenauigkeit und Vollständigkeit unterscheiden, was eine Bewertung des Gesamtrisikos und der erforderlichen Kontrollen erschwert. Die Nachverfolgung offener Punkte, die einer Abhilfe bedürfen, und die Sicherstellung, dass die Abhilfekontrollen konsistent und angemessen sind, kann sich als schwierig erweisen und die knappen Sicherheits-, Risiko- und Compliance-Ressourcen unnötig in Anspruch nehmen.

Bewährte Praktiken zur Bewertung und Behebung von Mängeln bei Anbietern

Eine gemeinsam genutzte Bibliothek nutzen

Risikomanagementprozesse mit Drittanbietern können für Teams, die über zu wenig Ressourcen verfügen, sehr anstrengend sein. Der größte Teil der Zeit, die für die Risikominderung und die Sicherstellung der Bewertung benötigt wird, entfällt auf die Datenerfassung und die Hin- und Her-Kommunikation mit den Anbietern. Erschwerend kommt hinzu, dass sich die rechtlichen Rahmenbedingungen ständig ändern und die Auslegung der Berichtspflichten Fachwissen erfordert. Die Einhaltung der Vorschriften und die Erfüllung der Anforderungen an das Risikomanagement von Anbietern bei gleichzeitiger Maximierung der Fähigkeiten Ihres Teams ist mit Sicherheit ein Balanceakt.

Um Ressourcenbeschränkungen auszugleichen, entscheiden sich viele Unternehmen - vor allem solche mit einem soliden Plan zur Einstufung von Anbietern - dafür, fertige Inhalte zu nutzen, die bereits im Rahmen eines Branchenaustauschs eingereicht und freigegeben wurden. Diese Anbieterbörsen sind eine sich selbst erfüllende Prophezeiung - je mehr Anbieter teilnehmen, desto größer ist die Überschneidung mit anderen Unternehmen. Dies beschleunigt den Prozess der Risikoidentifizierung und -minderung und minimiert den Zeitaufwand für die Datenerfassung.

Flexibilität des Fragebogens sicherstellen

Fragebögen zu Lieferantenrisiken sind keine "Einheitsgröße für alle". Die Verwendung einer Risikomanagement-Plattform eines Drittanbieters, die mehrere Optionen für Fragebögen sowie die Möglichkeit bietet, benutzerdefinierte Fragebögen zu erstellen, kann die Bewertung von Lieferanten wesentlich vereinfachen. Die Verwendung einer speziellen Plattform kann den manuellen Arbeitsaufwand für die Verwaltung von Lieferantenbefragungen und -antworten um 50 % reduzieren und sicherstellen, dass die Bewertungsfragebögen angemessen auf das Risikoprofil des jeweiligen Lieferanten abgestimmt sind.

Sparen Sie Zeit mit integrierter Anleitung zur Behebung von Problemen

Manchmal bringen Bewertungen von Anbietern beunruhigende Fakten ans Licht. Es kann sein, dass der betreffende Anbieter eine Datenschutzverletzung erlitten hat, die Datenschutzbestimmungen nicht einhält oder über kein formelles Cybersicherheitsprogramm verfügt. Plattformen, die einen integrierten Leitfaden für Abhilfemaßnahmen bereitstellen, können unkomplizierte Vorlagen für Abhilfemaßnahmen sowie Workflow- und Aufgabenverwaltungsfunktionen bieten, um den gesamten Prozess zu vereinfachen und zu optimieren.

Fragen der Compliance-Berichterstattung

In vielen Fällen müssen Sie bei der Zusammenarbeit mit Anbietern die Einhaltung von Informationssicherheit und Datenschutz berücksichtigen. Wenn Sie Ihre Strategie für das Risikomanagement von Drittanbietern festlegen, sollten Sie prüfen, wie die verschiedenen Plattformen die Berichterstattung über die Einhaltung der Vorschriften handhaben. Die Verwendung einer TPRM-Plattform mit automatischer Compliance-Berichterstattung für eine Reihe von nationalen und internationalen Compliance-Anforderungen kann Audits erheblich vereinfachen und das Risiko der Nichteinhaltung reduzieren.

Skalierung der Berichterstattung mit KI-Funktionen

Berücksichtigen Sie unbedingt den Wert, den KI für die Risikoanalyse und -berichterstattung hat. Obwohl künstliche Intelligenz kein neues Konzept ist, ermöglicht die jüngste Einführung von generativen KI-Technologien Unternehmen die Lösung von Geschäftsproblemen in einem noch nie dagewesenen Umfang. Konversations-KI, die auf der Grundlage von Milliarden von Ereignissen und jahrelanger Erfahrung trainiert wurde, kann fachkundige Erkenntnisse zum Risikomanagement im Kontext von Branchenrichtlinien wie NIST, ISO, SOC 2 und anderen liefern.

5. Kontinuierliche Überwachung

Obwohl regelmäßige Bewertungen wichtig sind, um zu verstehen, wie Anbieter ihre Programme für Informationssicherheit und Datenschutz handhaben, kann eine typische Risikobewertung nur eine Momentaufnahme des Risikoprofils Ihres Unternehmens zu einem bestimmten Zeitpunkt liefern. Dieses Profil kann sich schnell ändern, wenn sich die Bedrohungen weiterentwickeln, neue Verstöße auftreten und neue geschäftliche Herausforderungen entstehen.

Die ständige Überwachung der Cybersicherheitspraktiken eines Dritten ist wichtig. Ebenso wichtig ist es, Einblicke in andere Arten von geschäftlichen Veränderungen zu erhalten, z. B. in Bezug auf Finanzen, Reputation, Compliance und Lieferkette, die ein Geschäftsrisiko darstellen können.

Leider haben Unternehmen nur selten Zugriff auf diese Daten, so dass Sicherheits- und Risikoteams schnell benachrichtigt werden können, und sie werden oft nicht in ein zentrales Register zur Entscheidungsfindung aufgenommen. Stattdessen verlassen sich viele Unternehmen auf manuelle Prozesse, unterschiedliche Tools, Herstellerbenachrichtigungen und Nachrichtenberichte.

Bewährte Praktiken bei der Überwachung von Drittanbietern

Vierte und n-te Party nicht vergessen

Es kann verlockend sein, Ihre Drittparteien sorgfältig zu überwachen und dabei deren Drittparteien und N-te Parteien zu vergessen. Wenn Ihr Anbieter bei der Erfüllung von Verträgen und der Abwicklung seiner Geschäfte auf andere Unternehmen angewiesen ist, können sich Sicherheitsrisiken oder betriebliche Probleme dieser anderen Parteien letztendlich auf Ihr Unternehmen auswirken.

Daher sollten Sie während des Risikobewertungsprozesses alle vierten Parteien identifizieren, die für den Erfolg Ihrer Drittpartei entscheidend sind. Auf der Grundlage des Risikos, das sie für Ihre Drittpartei darstellen, sollten Sie die Einführung eines reduzierten Cyber- und Finanzüberwachungsprozesses für diese vierten Parteien in Betracht ziehen.

Berücksichtigen Sie mehrere Arten von Cyber-Risiken

Die Identifizierung von Schwachstellen in den öffentlichen IT-Systemen eines Anbieters ist nur ein Teil der Gleichung für die kontinuierliche Überwachung. Es ist wichtig, über das Scannen von Schwachstellen hinauszugehen, um andere Indikatoren für Cyber-Risiken aufzudecken, darunter:

  • Sicherheitsverletzungen - Eine große Anzahl von Sicherheitsverletzungen deutet auf Schwachstellen im Sicherheitsprogramm eines Anbieters hin und könnte zu regulatorischem Druck führen.
  • Chatter im Dark Web - Jüngste, häufige Erwähnungen eines Unternehmens im Dark Web korrelieren oft mit verstärkten Bedrohungsaktivitäten gegen das Unternehmen, was die Wahrscheinlichkeit eines Angriffs erhöht. Die Aufmerksamkeit auf Dark-Web-Märkten kann auf den illegalen Verkauf von Unternehmensvermögen oder Konten oder auf Betrugsversuche hinweisen.
  • Domänenmissbrauch/Typosquatting - Neue Domänenregistrierungen mit typosquattingartiger Ähnlichkeit zu bestehenden Unternehmensdomänen sind potenzielle Hinweise auf Domänenmissbrauch (z. B. Phishing), defensive Registrierung zur Verhinderung oder Eindämmung von Domänenmissbrauch oder beides.
  • E-Mail-Sicherheit - Konfigurationen von SPF-Richtlinien (Sender Policy Framework), DKIM (Domain Keys Identified Mail) und DMARC (Domain-based Message Authentication, Reporting, and Conformance).
  • Durchgesickerte Anmeldedaten - Offengelegte Anmeldedaten und E-Mails deuten auf eine mögliche Wiederverwendung von Passwörtern oder Firmen-E-Mail-Adressen durch Unternehmensmitarbeiter hin, was das Risiko von Angriffen zum Ausfüllen von Anmeldedaten und von Angriffen durch Bedrohungsakteure erhöht.
  • Vorfälle - Meldungen über Sicherheitsverletzungen und validierte Berichte über Cyberangriffe signalisieren, dass ein Unternehmen wahrscheinlich vor kurzem einen Cyberangriff, eine Sicherheitsverletzung oder ein Ereignis erlebt hat, das die Informationswerte des Unternehmens gefährdet hat.
  • Gefährdung der Infrastruktur - Dazu gehören Verstöße gegen IT-Richtlinien, Missbrauch der Unternehmensinfrastruktur, Infektionen der Unternehmensinfrastruktur, Malware, Fehlkonfigurationen, Schwachstellen, infizierte Hosts und nicht unterstützte Software.
  • Sicherheit von Webanwendungen - SSL/TLS-Zertifikate und Konfigurationen.

Nicht bei Cyber-Risiken aufhören

Viele Unternehmen konzentrieren sich auf Cyber-Risiken, da diese in der Regel leicht quantifizierbar und einfach zu behandeln sind. Die Überwachung von Cyberrisiken sollte jedoch durch die Überwachung von Betriebs-, Finanz- und Reputationsrisiken ergänzt werden. Achten Sie beim Aufbau Ihres Überwachungsprogramms für Dritte darauf, diese anderen Risikoarten zu berücksichtigen. Einige zu berücksichtigende Fragen:

  • Ist dieser Anbieter finanziell gesund? Besteht die Möglichkeit, dass er in absehbarer Zeit in Konkurs geht oder andere finanzielle Schwierigkeiten hat?
  • Verfolgt dieser Anbieter ethische Geschäftspraktiken?
  • Hält sich der Anbieter an die geltenden Gesetze und Vorschriften?

6. Verwaltung laufender Leistungen und SLAs

Das Risikomanagement ist ein kontinuierlicher Prozess. Selbst bei zuverlässigen Partnern kann es zu Störungen kommen, und die Anreize zur Umsetzung zugesagter Kontrollen können nach Unterzeichnung einer Vereinbarung schwinden. Dieses sich verändernde Risikoumfeld erfordert nicht nur eine kontinuierliche externe Risikoüberwachung, sondern auch einen ständigen Einblick in die Leistungsverpflichtungen der Anbieter.

Bei einigen Anbietern ist eine genaue Prüfung erforderlich, um sicherzustellen, dass die Verpflichtungen zur Behebung von Mängeln eingehalten werden, und alle sollten an ihren Service Level Agreements (SLAs) gemessen werden. Der Versuch, dies mit Tabellenkalkulationen oder anderen manuellen Methoden zu verwalten, kann die Wahrscheinlichkeit von verpassten SLAs und damit verbundenen Geschäftsunterbrechungen erhöhen.

Bewährte Praktiken im Lieferantenmanagement

Regelmäßige Bewertung der Leistung des Anbieters

Es kann verlockend sein, bei der Bewertung von Anbietern einen einmaligen Ansatz zu wählen. Dies kann jedoch zu schlechten Arbeitsergebnissen und gescheiterten Geschäftsbeziehungen führen. Regelmäßige Bewertungen, die sicherstellen, dass die Anbieter ihre SLAs und andere vertragliche Verpflichtungen einhalten, können helfen, Probleme frühzeitig zu erkennen.

Definieren Sie die richtigen KPIs und KRIs

Die Festlegung der richtigen Leistungs- und Risikoindikatoren ist entscheidend für eine effektive Bewertung der Leistung des Anbieters. Mit Hilfe von KPIs kann sichergestellt werden, dass die vertraglichen Verpflichtungen erfüllt und die Geschäftsziele während des gesamten Vertragslebenszyklus erreicht werden. KRIs können Ihnen Aufschluss über die Risiken geben, die von Anbietern ausgehen, von der Aufnahme bis zur Beendigung der Zusammenarbeit.

7. Beendigung und Ausgliederung

Risiken können auch nach Beendigung der Lieferantenbeziehungen bestehen bleiben. Ein ausgegliederter Anbieter, der über sensible Daten verfügt, muss diese zurückgeben und/oder sicher vernichten; der Zugriff auf interne Systeme muss beendet werden; und die Supportverpflichtungen können den Kaufvertrag überdauern. Eine Untersuchung von Prevalent ergab jedoch, dass 39 Prozent der Unternehmen die Risiken von Drittanbietern während des Offboarding weder verfolgen noch beheben. Dies birgt laufende Geschäfts-, Sicherheits- und IP-Risiken.

Bewährte Praktiken für das Offboarding von Anbietern

Gehen Sie nicht davon aus, dass die Daten gelöscht wurden

Häufig wird davon ausgegangen, dass Dritte sensible Kundendaten und andere Informationen bei Beendigung ihrer Verträge löschen. Das ist jedoch nicht immer der Fall. Nehmen Sie sich die Zeit, sich mit Ihren Dritten in Verbindung zu setzen und sicherzustellen, dass alle sensiblen Daten gelöscht wurden. Es lohnt sich, dies schriftlich festzuhalten, damit im Falle künftiger Vorfälle ein Prüfpfad vorhanden ist.

Bestätigen Sie, dass der Zugang zur physischen und IT-Infrastruktur widerrufen wurde

Sobald Sie einen Anbieter entlassen haben, müssen Sie sicherstellen, dass Ihre IT- und Einrichtungsteams die Mitarbeiter des Auftragnehmers korrekt entlassen haben. Vergewissern Sie sich, dass sie alle Gebäudezugänge gesperrt und alle Berechtigungen aus Cloud- und IT-Umgebungen entfernt haben. Wenn ein Zulieferer versehentlich weiterhin Zugriff hat, könnte Ihr Unternehmen in Zukunft einem Verstoß ausgesetzt sein. Die Implementierung von Workflow-basierten Checklisten in einer zentralen TPRM-Plattform kann helfen, einen sicheren Offboarding-Prozess zu gewährleisten.

Führen Sie eine gründliche Vertragsprüfung durch

Sobald ein Anbieter seine Arbeit für Ihr Unternehmen abgeschlossen hat, sollten Sie den Vertrag gründlich überprüfen, um sicherzustellen, dass er alle Leistungen erbracht hat. Gehen Sie nicht davon aus, dass sie alle Meilensteine und KPIs erreicht haben.

Einen abschließenden Konformitätsbericht erstellen

Es ist kein Geheimnis, dass sich die Zuständigkeiten und Zugriffsrechte von Anbietern im Laufe des Lebenszyklus eines Anbieters ändern können. Nehmen Sie sich die Zeit, um gründlich zu überprüfen, auf welche Systeme und Daten Ihr Lieferant Zugriff hat. Berücksichtigen Sie dabei die folgenden Fragen:

  • Waren die Cybersecurity-Kontrollen des Anbieters angemessen, um Ihre Compliance-Anforderungen während des gesamten Anbieterlebenszyklus zu erfüllen?
  • Wurden dem Verkäufer jemals erweiterte Berechtigungen oder Zugriffsrechte gewährt, die für die Erfüllung seiner Aufgaben während der Vertragslaufzeit nicht erforderlich waren?
  • War der Anbieter während der Vertragslaufzeit für irgendwelche Sicherheitsvorfälle verantwortlich?
  • Hat der Anbieter Sie dem Risiko ausgesetzt, dass eine oder mehrere Vorschriften während der Vertragslaufzeit nicht eingehalten werden?

Wenn Sie sich diese Fragen stellen, können Sie sicherstellen, dass Sie die geltenden Anforderungen einhalten. Sie können auch wertvolle Hinweise darauf geben, wie Sie die Einhaltung der Vorschriften durch Ihre Lieferanten effektiver handhaben können.

Nächste Schritte für die Navigation im Lebenszyklus des Anbieters

Das Risikomanagement für Dritte kann schwierig sein. Es gibt Dutzende von beweglichen Teilen in mehreren Abteilungen, und es kann eine Herausforderung sein, Risikobewertungen für Dritte zu koordinieren, die Einhaltung von Compliance-Anforderungen sicherzustellen und verschiedene isolierte Abteilungen zufrieden zu stellen. Die Mitratech-Plattform für das Risikomanagement für Dritte erleichtert die Steuerung des Lieferantenlebenszyklus erheblich. Erfahren Sie mehr über unseren Ansatz, indem Sie unseren Leitfaden mit Best Practices lesen: „Navigating the Vendor Risk Lifecycle: Keys to Success at Every Stage“ (Steuerung des Lieferantenrisikolebenszyklus: Schlüssel zum Erfolg in jeder Phase), oder fordern Sie noch heute eine Demo an.

Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich auf Prevalent.net veröffentlicht. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.