Worauf Sie in einem Bericht zur Risikobewertung von Anbietern achten sollten

Berichte zur Risikobewertung von Lieferanten sind für Ihr Risikomanagementprogramm für Dritte unerlässlich. Gute Berichte tragen dazu bei, die Beziehungen zu den Anbietern zu stärken, eine angemessene Sorgfaltspflicht zu demonstrieren und die besten Sicherheitskontrollen aufzuzeigen.

Mitratech-Mitarbeiter April 13, 2021

Berichte zur Risikobewertung von Lieferanten sind für Ihr Risikomanagementprogramm für Dritte unerlässlich. Gute Berichte zeigen nicht nur Schwachstellen im Programm oder Lücken in den Sicherheitskontrollen auf, sondern tragen auch dazu bei, die Beziehungen zu den Lieferanten zu stärken, den Aufsichtsbehörden gegenüber eine ordnungsgemäße Sorgfaltspflicht und ein angemessenes Risikomanagement zu demonstrieren und bewährte Sicherheitskontrollen zu beleuchten.

Was macht also einen guten Bericht zur Risikobewertung von Lieferanten aus? Im Großen und Ganzen gibt es drei Kernelemente, die zu berücksichtigen sind: kontinuierliche Risikobewertung von Lieferanten, Einhaltung von Vorschriften und Cybersicherheitsberichte für die Due-Diligence-Prüfung von Lieferanten. In diesem Artikel gehen wir auf diese Kernelemente und andere wichtige Überlegungen zu Ihren Lieferantenbewertungsberichten ein.

Kontinuierliche Berichterstattung zur Risikobewertung von Anbietern

Vorbei sind die Zeiten, in denen die Bewertung von Anbietern mit einem einmaligen Ansatz durchgeführt wurde. Um mit den sich entwickelnden Bedrohungen Schritt zu halten, ist es wichtig, die Risikobewertung der Anbieter regelmäßig durchzuführen. Dies geschieht in der Regel anhand von zwei Berichtstypen: zusammenfassende Berichte zum Anfangsrisiko und zusammenfassende Berichte zum Endrisiko.

Erste zusammenfassende Risikoberichte

Der Initial Risk Summary Report liefert internen Teams und Drittanbietern Details zu den Risiken in ihren Umgebungen, die eine Abschwächung oder kompensierende Kontrollen erfordern. Man kann ihn als einen "Vortest" betrachten, der aufzeigt, wo der Drittanbieter gut arbeitet und wo er sich verbessern muss. Der Bericht sollte so flexibel sein, dass er Risikobewertungen und andere wichtige Details anzeigt und es den Beteiligten gleichzeitig ermöglicht, die kritischsten Schwachstellen aufzuschlüsseln. Ausgereifte Risikoprogramme für Drittanbieter nutzen diese Art von Berichten, um in Gesprächen mit den Anbietern mehr Einfluss zu nehmen und Verpflichtungen zur Abhilfe auszuhandeln.

Zusammenfassender Abschlussbericht über Risiken

Der abschließende Risikozusammenfassungsbericht baut auf dem anfänglichen Risikozusammenfassungsbericht auf, indem er alle gerechtfertigten Risikoanpassungen, Verpflichtungen aus dem Sanierungsplan und/oder kompensierende Kontrollen detailliert aufführt. Er dokumentiert im Wesentlichen, was Sie gegen das Risiko unternehmen werden. Es sollte sich um einen fortlaufenden Bericht handeln, der immer dann aktualisiert wird, wenn ein Risiko identifiziert, verifiziert oder gemindert wird - oder wenn bestimmte Vorfälle oder Warnungen eine Aktualisierung erforderlich machen. Dieser Bericht dient dazu, die Verpflichtungen des Anbieters zu dokumentieren, implementierte Sicherheitsmaßnahmen aufzuzeichnen und alle damit zusammenhängenden Schwachstellen zu verfolgen, die nach der ersten Bewertung der Kontrollen aufgedeckt wurden.

Die Aufsichtsbehörden verlangen häufig sowohl einen anfänglichen als auch einen abschließenden Risikozusammenfassungsbericht als Nachweis für einen geschlossenen Prozess, bei dem Sie die Anbieter über alle bei den Bewertungen aufgedeckten Schwachstellen informieren, die Abhilfemaßnahmen verfolgen und validieren und kontinuierlich über erfüllte und verpasste Verpflichtungen informieren.

Berichte zur Risikobewertung von Anbietern für Compliance

Die Aufsichtsbehörden müssen feststellen, ob Ihr Risikomanagement für Dritte den Best Practices für die Risikobewertung von Anbietern entspricht, und die Berichterstattung kann Ihre Compliance-Initiativen zum Erfolg führen oder zunichte machen.

Compliance-Berichte dienen als TPRM-Tischvorlagen. Sie können jedoch auch interne Einblicke in diese Best Practices bieten, sodass Abteilungsleiter fundierte Entscheidungen treffen können, die auch mit den Compliance-Zielen übereinstimmen. So benötigen Datenschutzabteilungen beispielsweise Risikoberichte, die den Kontext von CCPA, GDPR und anderen Compliance-Vorschriften enthalten.

Betrachten Sie jede Compliance-Vorschrift oder jeden Rahmen als eine andere Sprache. Die Risikobewertungsdaten Ihres Anbieters müssen in jede Sprache übersetzt werden, um eine effektive Compliance-Berichterstattung zu ermöglichen. Deshalb sollte Ihre Drittanbieter-Risikomanagementlösung Funktionen wie die Zuordnung von Risiken zur Einhaltung von Vorschriften, konformitätsspezifische Dashboards und Berichte über die "prozentuale Einhaltung" einzelner Vorschriften enthalten.

Um die Erstellung von Berichten über die Einhaltung der Vorschriften zu beschleunigen und einen Überblick über den Grad der Einhaltung der Vorschriften bei den einzelnen Anbietern zu erhalten, sollten Sie zunächst für jede Risikokategorie einen Schwellenwert für die Einhaltung der Vorschriften festlegen. Ihre Berichte sollten mit den prozentualen Konformitätsbewertungen verknüpft werden, damit sich Ihr Bewertungsteam auf Bereiche konzentrieren kann, in denen die Konformitätsrate niedrig ist.

Beschränken Sie sich auch nicht auf die Ebene des Anbieters. Führen Sie die Compliance auf Makroebene für alle Anbieter durch. Dies ist für die Geschäftsleitung wichtig, um festzustellen, inwieweit das Anbieterportfolio den sich ständig ändernden und neuen Vorschriften entspricht.

Prevalent hat ein detailliertes Whitepaper zum Thema Third-Party-Risikomanagement und Compliance herausgegeben, in dem die spezifischen Anforderungen verschiedener Vorschriften und Branchenregelwerke herausgearbeitet werden; es wird erklärt, was diese Anforderungen bedeuten, und dann werden die wichtigsten Lösungsfunktionen den Anforderungen zugeordnet, um zu zeigen, wie eine vollständige TPRM-Plattform dazu beitragen kann, die Last der Compliance zu erleichtern.

Cyber-Risiko-Berichterstattung von Anbietern

Jahrzehntelang hat die Informationssicherheit nach einer Kristallkugel gesucht, um Informationen darüber zu erhalten, wie sicher die Cybersicherheitslage eines Anbieters wirklich ist. Zu diesen Methoden gehörten die Beantwortung von Fragebögen zur Inhaltserfassung durch den Anbieter, die Erstellung von Berichten über Bedrohungsdaten und die Durchführung von Besuchen vor Ort. Besuche vor Ort sind heutzutage von Nachteil. Der grundlegende Ansatz "Vertrauen, Verifizieren, Validieren" ist nach wie vor gültig, und ein vollständiger Bericht über die Bewertung des Anbieters kann Informationen liefern wie:

- Durchschnittliches Risiko nach Punktzahl und Status

- Risiken nach Eintrittswahrscheinlichkeit

- Höchste Risiken nach Anbieter

- Risiken nach Auswirkungen

- Gemeinsam ermittelte Risiken

- Risiken pro Bereich der geschäftlichen Auswirkungen

- Entwicklung des Risikos im Zeitverlauf nach Punktzahl/Auswirkung/Wahrscheinlichkeit

- Projektion des Risikowertes/der Auswirkung/Wahrscheinlichkeit im Zeitverlauf

Führungskräfte verlangen einen Gesamtüberblick über das Risikoprofil von Drittanbietern, um dem Vorstand vertrauensvoll Bericht erstatten zu können. Daher ist es für die Prüfer sehr schwierig, die Informationen aus verschiedenen Quellen manuell zu konsolidieren. Während der Due-Diligence-Prüfung des Anbieters muss der Analyst schnell auf Ausnahmen im allgemeinen Verhalten hinweisen - zum Beispiel auf Ausreißer bei Bewertungen, Aufgaben, Risiken usw. - die eine weitere Untersuchung rechtfertigen könnten. Bei ausgereifteren Programmen, die ihr Risikomanagementprogramm für Drittanbieter zu einem Governance-Programm ausgebaut haben, kann der Analyst die Vorteile der maschinellen Lernanalyse nutzen, um komplexe Datensätze zu korrelieren und potenzielle versteckte Trends zu erkennen.

Die 10 wichtigsten Funktionen für Risikoberichterstattung und Abhilfemaßnahmen bei Anbietern

Wenn diese 10 wichtigsten Punkte nicht zu den Fähigkeiten einer zu prüfenden Plattform gehören, sollten Sie zweimal nachdenken, bevor Sie investieren. Wenn Sie eine dieser Fähigkeiten vermissen, wird Sie das in der Zeit zurückwerfen und die Fähigkeit, sich auf das Management Ihrer Risiken zu konzentrieren, beeinträchtigen. Die Top-10-Fähigkeiten sind:

Integrierte Anleitungen für Abhilfemaßnahmen und Risikoempfehlungen
Ein einheitlicher Berichtsrahmen mit Frage-Antwort-Zuordnung zu allen regulatorischen oder branchenüblichen Rahmen, Richtlinien oder Methoden
Einhaltung von Vorschriften, Rahmenwerken und richtlinienspezifischen Berichten, z. B. für CMMC, ISO 27001, NIST, GDPR, CCPA, CoBiT5, SSAE18 und NYDFS
Anzeige der prozentualen Konformitäts- und Pass-Schwellenwerte
Umfassende Berichterstattung durch den Anbieter und über alle Anbieter hinweg
Projektion der Risikobewertung im Laufe der Zeit, nachdem die Abhilfemaßnahmen durchgeführt und die Risiken gemindert wurden
Automatisierte Arbeitsabläufe und Ticketing-Kommunikation
Integrierte Berichtsvorlagen und Statusmeldungen für mehrere Sicherheits-, Compliance- und Datenschutzvorschriften
Leitende und operative Dashboards
Risikoassoziationen und -beziehungen zur Harmonisierung und Normalisierung von Risiken in verschiedenen Quellen zur Erfassung von Inhalten

Wie Sie also sehen, gibt es Berichte zur Risikobewertung von Anbietern in allen möglichen Varianten. Das Sprichwort "Man kann nicht managen, was man nicht misst" hat nach wie vor seine Gültigkeit. Vielleicht werden wir in der Zukunft zurückblicken und feststellen, dass uns das vergangene Jahr die Erkenntnis gebracht hat, unsere Berichterstattungsfähigkeiten aufzufrischen, um die Widerstandsfähigkeit zu sichern. Wenn ich diesen Blog mit einem einzigen Satz zusammenfassen sollte, dann wäre es dieser: Konzentrieren Sie sich auf die Daten, die Sie sammeln, schneiden Sie die Daten in Ansichten, die für den Empfänger geeignet sind, und tun Sie dies mit dem Ziel, Risiken auf jeder Ebene der Komplexität zu verwalten.

Nächste Schritte

Prevalent bietet Lösungen zur Bewertung von Lieferantenrisiken, die Ihre Risikomanagement-Initiativen automatisieren und beschleunigen. Wenn Sie es vorziehen, die Last des Bewertungsprozesses zu verlagern, dann bieten wir auch eine Reihe von Dienstleistungen zur Bewertung von Lieferantenrisiken an, bei denen unsere Experten die harte Arbeit für Sie erledigen können. Sie wissen nicht, wo Sie anfangen sollen? Melden Sie sich für eine kostenlose TPRM-Programmreifeprüfung an, bei der wir Ihr aktuelles Programm mit den besten Verfahren vergleichen und eine Reihe von Empfehlungen zur Erreichung Ihrer Ziele bei der Anbieterbewertung abgeben.

Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.

Mitratech-Mitarbeiter

Mitratech hat es sich zur Aufgabe gemacht, eine Gemeinschaft des Lernens und des Wissensaustauschs im Bereich der Rechts-, Risiko- und HR-Technologie zu fördern. Folgen Sie uns, um von erfahrenen Technologieexperten zu hören , die sich auf Compliance-Management-Lösungen spezialisiert haben. Mit einem tiefen Verständnis für die Feinheiten von KI, Automatisierung und Unternehmenssoftware treiben ihre Leidenschaft für Technologie und ihr Engagement für Spitzenleistungen sie dazu an, kontinuierlich innovative Lösungen zu erforschen, die es Unternehmen ermöglichen, ihre Compliance-Angelegenheiten effektiver zu verwalten.

Verbinden Sie sich mit Mitratech auf LinkedIn, um über die neuesten Trends und Erkenntnisse auf dem Laufenden zu bleiben.

Lösungen für die Industrie