Die Bewertung von Anbietern ist kein Zahlenspiel

Ich bin immer wieder fasziniert von den Leuten, die behaupten, dass man nur 200, 250, 300 {Fragen nach Belieben} braucht, um einen Anbieter zu bewerten. Ich beschäftige mich nun schon seit mehreren Jahrzehnten mit diesem Thema und habe noch keine magische Zahl gefunden, die der erforderlichen Risikobewertung/-analyse gerecht wird. Bevor Sie sich jetzt darüber auslassen, wie kompliziert und zeitaufwändig die Risikobewertung von Anbietern geworden ist, lassen Sie uns einen Moment innehalten.

• Haben wir in der Vergangenheit zu viele Fragen gestellt? Ja.
• Haben wir es versäumt, die Bewertungsfragebögen richtig auf die Art der erbrachten Dienstleistung abzustimmen? Auf jeden Fall.
• Sind wir auf der Suche nach einer schnellen Lösung, um zu vermeiden, dass wir die Grundlagenarbeit leisten, die für die Festlegung der Anforderungen an die Lieferantenbewertung erforderlich ist? Immer.

Aber wir sollten nicht zulassen, dass die Fehler der Vergangenheit das Pendel so weit in die andere Richtung ausschlagen lassen, dass wir die Risiken der Anbieter nicht mehr richtig einschätzen können. Schon gar nicht in einer Zeit, in der der Umfang des Outsourcings zusammen mit dem damit verbundenen Risiko weiter zunimmt.

So viele Fragen, so wenig Zeit

Meine Standardantwort auf die Bemerkung "das sind viel, viel zu viele Fragen" ist die Frage, welche Risikobereiche auf der Grundlage dessen, was dieser Anbieter für Sie tut, nicht unbedingt bewertet werden müssen. Interessieren Sie sich für die Anwendungssicherheit, die Ausfallsicherheit des Unternehmens, die Zugangskontrolle oder eine Vielzahl anderer Risikokontrollbereiche? Dies sind die Kontrollbereiche, die bewertet werden müssen, um festzustellen, welche Fragen notwendig sind, und nicht irgendeine beliebige Zahl.

Ich war schon immer ein entschiedener Befürworter von Bewertungen mit einem angemessenen Umfang. Wenn der Umfang einer Bewertung nicht ordnungsgemäß festgelegt wird, bedeutet dies für alle Beteiligten eine unnötige Belastung. Die Anbieter müssen einen Fragebogen ausfüllen, der wenig Ähnlichkeit mit ihren Dienstleistungen hat, was oft die Zeit bis zur Beantwortung verlängert und die Wahrscheinlichkeit verringert, dass der Fragebogen zum richtigen Zeitpunkt ausgefüllt wird (ganz zu schweigen davon, wie sich das auf die Beziehung zu dem Anbieter auswirkt).

Außerdem erhöht sich dadurch der Arbeitsaufwand für die Überprüfung der Bewertung. Jede gestellte und beantwortete Frage muss überprüft werden. Nehmen wir an, Ihre Bewertungen enthalten 30 unnötige Fragen. Dann müssen Ihre Analysten jetzt 30 zusätzliche Fragen auswerten. Das hört sich vielleicht nicht viel an, aber multipliziert man das mit der Anzahl der jährlich durchgeführten Beurteilungen, geht die Zahl schnell in die Hunderte, wenn nicht Tausende. Dadurch wird die Anzahl der Bewertungen, die ein einzelner Prüfer durchführen kann, effektiv reduziert.

Richtig angelegte Bewertungen sind von großer Bedeutung

Vermeiden Sie also das Zahlenspiel und nehmen Sie sich die Zeit, um die Bewertungen auf der Grundlage von Datentyp, Systemzugriff und geschäftlicher Belastbarkeit (oder was auch immer Ihrer Risikobereitschaft entspricht) richtig einzuschätzen. Sie werden feststellen, dass Sie ein gutes Gleichgewicht zwischen dem Management des Anbieterrisikos und dem Aufwand für alle Beteiligten bei der Durchführung der Bewertungen finden können.

Erfahren Sie mehr über den umfassenden Ansatz von Prevalent im Bereich Risikomanagement für Dritte.

Brad Keller entwickelt und leitet seit mehr als 25 Jahren Risikomanagementprogramme. Derzeit ist Brad Keller Senior Director of 3rd Party Strategy bei Prevalent, Inc., wo er sich auf die Bereitstellung von Prevalents Lösungen für das Risikomanagement und die Risikobewertung von Dritten konzentriert.