Das Risikomanagement für Drittanbieter ist ein sich schnell entwickelnder Bereich. Seit Beginn der COVID-19-Pandemie sind Unternehmen gezwungen, sich intensiv mit dem Management von Risiken durch Drittanbieter, der Abwehr einer steigenden Flut von Ransomware-Angriffen und der Bewältigung anhaltender Unterbrechungen der Lieferkette auseinanderzusetzen. Durch die Einrichtung eines effektiven Workflows für das Risikomanagement von Lieferanten können Sie den Zeitaufwand für die Einbindung neuer Lieferanten drastisch reduzieren und gleichzeitig das Unternehmensrisiko senken. Dieser Beitrag liefert Ihnen praktische Einblicke, wie Ihr Unternehmen einen effektiven Workflow für das Risikomanagement von Lieferanten entwickeln kann, der sich in andere wichtige Geschäftsprozesse Ihres Unternehmens integrieren lässt.
Warum sind Workflows für das Lieferantenrisikomanagement wichtig?
Die Risiken durch Dritte haben in den letzten Jahren dramatisch zugenommen, wobei die Sicherheitsrisiken von Anbietern und Lieferanten durch die jüngsten Krisen in den Bereichen Gesundheit, Umwelt und Geopolitik noch verschärft wurden. Daher erspart Ihnen die Einbeziehung eines Risikovergleichs in Ihren Lieferantenauswahlprozess später viel Kopfzerbrechen.
Durch die Einrichtung eines effizienten Workflows für das Risikomanagement von Drittanbietern kann Ihr Unternehmen Lieferanten anhand vordefinierter Risikokriterien schnell bewerten und Maßnahmen ergreifen, um das Risiko auf ein akzeptables Maß zu reduzieren. Wenn Ihr Unternehmen neue Lieferanten aufnimmt und bestehende Lieferanten bewertet, können Sie mit einem Workflow für das Risikomanagement von Drittanbietern Risiken während des gesamten Lieferantenlebenszyklus abwägen und reduzieren.
Häufige Arten von Lieferantenrisiken
Finanzielles Risiko
Anbieter mit instabiler Finanzlage können Ihre Lieferkette erheblich stören. Nehmen Sie sich Zeit, um die Finanzlage Ihrer Lieferanten anhand von Fragebögen, öffentlichen Unterlagen und anderen Quellen zu bewerten, um festzustellen, ob das Risiko besteht, dass das Unternehmen insolvent wird oder seinen vertraglichen Verpflichtungen nicht nachkommen kann.
Risiko der Informationssicherheit
Heute werden mehr Daten zwischen Unternehmen ausgetauscht als jemals zuvor. Gleichzeitig haben sich die Vorschriften zum Datenschutz und zur Informationssicherheit in den letzten Jahren drastisch verschärft. Die Informationssicherheit ist einer der wichtigsten Faktoren bei der Bewertung potenzieller Anbieter. Wenn ein Anbieter eine schlechte Bilanz in Sachen Cybersicherheit vorzuweisen hat oder keine zufriedenstellenden Sicherheitskontrollen nachweisen kann, sollten Sie sich vielleicht nach anderen Anbietern umsehen.
ESG-Risiko
ESG steht für Umwelt-, Sozial- und Governance-Risiken. Die Praktiken von Unternehmen werden zunehmend von Kunden, Aktionären und Aufsichtsbehörden hinterfragt. Werden also Themen wie Umwelt, Diversität, soziale Gerechtigkeit und Menschenrechte nicht berücksichtigt, kann dies zu Reputations- und finanziellen Schäden führen. Investoren und Kunden möchten zunehmend ausschließlich mit Unternehmen zusammenarbeiten, die über solide ESG-Richtlinien verfügen, da Probleme in der Lieferkette schwerwiegende Auswirkungen auf nachgelagerte Bereiche haben können.
Compliance-Risiko
Das Compliance-Risiko durch Dritte umfasst mehrere Kategorien, darunter Informationssicherheit, Datenschutz und ESG. Beispielsweise enthalten Sicherheits- und Datenschutzbestimmungen wie die DSGVO, der CCPA und der CMMC strenge Vorschriften in Bezug auf den Datenaustausch mit Dritten. Zu den ESG-bezogenen Gesetzen gehören das 2015 im Vereinigten Königreich verabschiedete Gesetz gegen moderne Sklaverei (Modern Slavery Act), das vorschreibt, dass Unternehmen ihre Lieferketten auf Zwangsarbeit überprüfen müssen, sowie das US-amerikanische Gesetz gegen Korruption im Ausland (Foreign Corrupt Practices Act), das britische Gesetz gegen Bestechung von 2010 (UK Bribery Act) und das bevorstehende Gesetz der Europäischen Union zur Sorgfaltspflicht von Unternehmen (Corporate Due Diligence Act).
Workflow-Schritte für das Risikomanagement von Drittanbietern
Viele Unternehmen übersehen, dass das Risikomanagement von Drittanbietern ihnen bei der Auswahl ihrer Lieferanten helfen kann. Lieferanten sollten vor Vertragsunterzeichnung anhand einheitlicher Kriterien auf ihre Risiken hin überprüft werden. Durch eine grundlegende Risikobewertung vor der Aufnahme eines neuen Lieferanten können Sie solche Lieferanten aussortieren, die finanzielle, betriebliche oder informationssicherheitstechnische Risiken für Ihr Unternehmen darstellen, bevor Sie Zeit in die Aufnahme eines neuen Lieferanten investieren.
Einer der wichtigsten Aspekte Ihres Risikomanagement-Workflows für Lieferanten sollte die Kommunikation während des gesamten Prozesses sein. Viele Prozesse scheitern aufgrund mangelnder Kommunikation seitens des Lieferanten oder Auftragnehmers. Ein robuster, ehrlicher und klarer Dialog zwischen den Unternehmen kann die Belastung durch die Einbindung eines neuen Lieferanten erheblich verringern und von Anfang an eine auf gegenseitigem Vertrauen basierende Beziehung aufbauen.
1. Einarbeitung
Der erste Teil jedes Workflows zum Lieferantenrisikomanagement besteht in der Einbindung neuer Lieferanten. Die Einbindung kann viele Formen annehmen, umfasst jedoch grundlegende Aspekte wie die Fertigstellung der Vertragsformulierungen, die Finanzplanung und andere wichtige Aufgaben.
Ein wichtiges Ziel des Onboardings ist die Zentralisierung von Lieferantendaten, damit interne Stakeholder schnell und effizient darauf zugreifen können. Dies beginnt mit dem Hochladen neuer Lieferantendaten in Ihre Lösung für das Lieferantenrisikomanagement. Sie sollten in der Lage sein, Daten aus bestehenden Lieferantenmanagement- oder Beschaffungslösungen über Tabellenkalkulationen, API-Verbindungen oder andere Integrationen zu importieren. Stellen Sie außerdem sicher, dass Ihre VRM-Lösung bestimmten Teams oder Mitarbeitern die Möglichkeit bietet, Lieferantenprofile über rollenbasierten Zugriff (RBAC) zu füllen.
2. Fragebogen zur Risikobewertung
Ein Fragebogen zur Risikobewertung von Lieferanten kann Ihnen dabei helfen, das von einem Lieferanten ausgehende Risiko einzuschätzen – sowohl vor der Aufnahme als auch regelmäßig danach. Fragebögen zur Risikobewertung von Lieferanten können verschiedene Formen annehmen, zielen jedoch meist darauf ab, die Informationssicherheitskontrollen, die Unternehmensstabilität und die Compliance-Praktiken der Lieferanten zu bewerten.
Bekannte Risiken sind solche, die anhand von Fragebögen, bestehenden Sicherheitskontrollen und der Betriebsumgebung identifiziert werden können. Unbekannte Risiken sind externe Faktoren, die schwer genau einzuschätzen sind, wie Hacker, geopolitische Ereignisse und andere Faktoren, die außerhalb des Rahmens einer herkömmlichen Bewertung liegen. Weitere Informationen zu inhärenten und Restrisiken finden Sie in unserem Blogbeitrag zum Thema „Inhärente Risiken versus Restrisiken“.
Bekannte Risiken werden in der Regel in drei Kategorien unterteilt:
-
Profiliertes Risiko: Das profilierte Risiko bezieht sich auf die Dienstleistungen, die der Anbieter für Ihr Unternehmen erbringt. Ein externes Lohnbuchhaltungsunternehmen stellt für Ihr Unternehmen höchstwahrscheinlich ein weitaus größeres Risiko dar als eine Agentur für digitale Werbung, da es Zugriff auf weitaus sensiblere Informationen hat.
-
Inhärentes Risiko: Das inhärente Risiko ist ein bestehendes Risiko, das der Anbieter vor der Durchführung von Abhilfemaßnahmen darstellt. Beispiele für inhärente Risiken sind eine schlechte Finanzlage, mangelhafte Informationssicherheitspraktiken oder betriebliche Ineffizienzen.
-
Restrisiko: Das Restrisiko umfasst Risiken, die nach Durchführung angemessener Abhilfemaßnahmen durch einen Anbieter verbleiben. Es obliegt Ihrem Risikomanagementteam, zu entscheiden, ob das Restrisiko akzeptabel oder inakzeptabel ist.
In vielen Fällen stufen Unternehmen Anbieter anhand ihres profilierten Risikos ein. Auf diese Weise können sie Fragebögen zur Risikobewertung von Anbietern auswählen, die die Risiken, die einzelne Dienstleister aufgrund ihrer Dienstleistungen darstellen, am besten widerspiegeln. Ein Lohnbuchhaltungsunternehmen benötigt einen anderen, strengeren Fragebogen als ein Unternehmensberater.
Sobald Sie sich ein solides Verständnis vom Profilrisiko eines Lieferanten verschafft haben, besteht der nächste Schritt darin, das inhärente Risiko zu messen. Dies geschieht in der Regel durch eine Kombination aus detaillierten Fragebögen zur Risikobewertung von Lieferanten und der Sammlung externer Risikoinformationen aus einer Vielzahl öffentlicher und privater Quellen.
3. Bewertung, Überprüfung und Risikoanalyse
Der nächste Schritt in Ihrem Lieferantenrisikomanagementprozess besteht darin, die Ergebnisse der Fragebögen und Ihrer Informationsbeschaffung zu überprüfen. Automatisierte TPRM-Software (Third-Party Risk Management) kann diesen Prozess erheblich vereinfachen, indem sie bedenkliche Antworten markiert und Compliance-Anforderungen automatisch zuordnet. Wenn Sie derzeit keine TPRM-Software verwenden, müssen Sie die Ergebnisse der Fragebögen manuell überprüfen und OSINT (Open-Source Intelligence) heranziehen, um das Risikoniveau des Lieferanten für Ihr Unternehmen einzuschätzen.
4. Kontinuierliche Überwachung
Auch nach dem ersten Onboarding-Fragebogen und der ersten Informationssammlung müssen Sie während des gesamten Lieferantenlebenszyklus eine kontinuierliche Überwachung durchführen. Neue Sicherheitslücken, Veränderungen im Managementteam, Rechtsstreitigkeiten und Dutzende anderer Faktoren können sich während des gesamten Lieferantenlebenszyklus auf das Risikoprofil eines Unternehmens auswirken. Es hat sich daher bewährt, externe Quellen für Lieferanteninformationen regelmäßig auf Folgendes zu überprüfen:
- Cyberrisiken wie Nachrichten über Datenverstöße, offengelegte Zugangsdaten und andere Hinweise auf Vorfälle im Bereich der Informationssicherheit.
- Operatives Risiko aufgrund von Führungswechseln oder Fusionen und Übernahmen. Partnerschaften und OEM-Beziehungen können frühzeitig vor Preisänderungen oder einer Änderung der Marketingstrategie warnen, und Naturkatastrophen oder Gesundheitskrisen können den Betrieb erheblich beeinträchtigen.
- Markenrisiko, das entsteht, wenn ein Anbieter Produkte zurückrufen muss, eine Datenpanne erleidet oder einen ESG-Fehltritt begeht, der zu negativer Öffentlichkeitsarbeit führt. Diese Ereignisse können auch zu finanziellen Strafen und Abhilfemaßnahmen führen, die sich nachteilig auf den Geschäftsbetrieb und die Fähigkeit des Anbieters zur Lieferung von Produkten und Dienstleistungen auswirken können.
- Regulatorische und rechtliche Risiken aufgrund von Handelsabkommen, internationalen Sanktionen, Sammelklagen und Verstößen gegen regulatorische Standards können zu erheblichen Verzögerungen bei der Lieferung von Produkten und Dienstleistungen führen.
- Finanzielle Risiken aufgrund von Insolvenzverfahren, Kundenverlusten, entgangenen Einnahmen und anderen zuvor genannten Bereichen können zu Umstrukturierungen und zur Einstellung bestimmter Anbieterangebote führen.
5. Sanierung
In bestimmten Fällen kann ein Fragebogen zur Risikobewertung von Lieferanten oder Überwachungsinformationen ergeben, dass ein Lieferant ein zu großes Risiko für Ihr Unternehmen darstellt. In diesem Fall haben Sie die Wahl, den Vertrag zu kündigen oder vom Lieferanten zu verlangen, dass er das Risiko vor Beginn der Arbeiten beseitigt. Wenn beispielsweise ein Lieferant schlechte Informationssicherheitspraktiken meldet, können Sie von ihm verlangen, dass er vor der Zusammenarbeit mit Ihnen einen Cybersicherheitsstandard eines Drittanbieters wie SOC 2 einführt. Das Ziel besteht darin, das Risiko auf ein akzeptables Restrisiko zu reduzieren.
6. Validierung der Sanierung
Es reicht nicht aus, wenn ein Anbieter behauptet, alle Bedenken Ihres Unternehmens angemessen behoben zu haben. Vergewissern Sie sich, dass tatsächlich Änderungen in allen Geschäfts- und Informationssicherheitsprozessen vorgenommen wurden. Viele Unternehmen haben ein starkes Interesse daran, nicht erfolgte Abhilfemaßnahmen zu melden, um den Auftrag zu erhalten, ohne Zeit und Mühe in die Behebung der Probleme zu investieren. Die Anforderung von Nachweisen für Änderungen sollte bei der Aufnahme von Anbietern, die Abhilfemaßnahmen erfordern, zur Standardpraxis gehören.
7. Offboarding
Der letzte Teil des Lebenszyklus des Lieferantenrisikomanagements besteht darin, Lieferanten effektiv aus dem Unternehmen zu entfernen. Ihr Unternehmen sollte über eine vordefinierte Checkliste mit Maßnahmen verfügen, um sicherzustellen, dass Lieferanten keine sensiblen Daten mehr besitzen oder Zugriff auf kritische IT-Systeme haben. In Service Level Agreements sollte klar festgelegt sein, welche Daten genau weitergegeben werden, wie lange sie aufbewahrt werden und was mit den Daten nach Vertragsende geschieht. Interne Stakeholder sollten die Beziehung sorgfältig überprüfen, gewonnene Erkenntnisse dokumentieren und sicherstellen, dass alle Zugriffe durch Dritte ordnungsgemäß widerrufen wurden.
Risiken während des gesamten Lieferantenlebenszyklus messen
Ein Teil der kontinuierlichen Überwachung besteht darin, das Risiko, das Ihr Auftragnehmer während der gesamten Dauer der Geschäftsbeziehung darstellt, genau zu messen. Die Möglichkeit, das Risiko eines Lieferanten monatlich oder sogar wöchentlich numerisch zu bewerten, ist entscheidend, um sicherzustellen, dass keine wesentlichen Veränderungen eingetreten sind, die Ihr Unternehmen einem erheblichen Risiko aussetzen könnten.
Beginnen Sie noch heute mit dem Aufbau eines effektiven Workflows für das Lieferantenrisikomanagement
Workflows für das Lieferantenrisikomanagement beschleunigen die Lieferantenauswahl und den Onboarding-Prozess und reduzieren gleichzeitig das Risiko während des gesamten Lebenszyklus von Drittanbietern. Die Prevalent Third-Party Risk Management Platform kann den Prozess der Erstellung und Automatisierung von Workflows zur Identifizierung von Lieferantenrisiken, zur Erleichterung von Abhilfemaßnahmen und zur Optimierung der Berichterstattung erheblich vereinfachen. Fordern Sie eine Demo an, um zu erfahren, wie Prevalent Ihr TPRM-Programm automatisieren und beschleunigen kann.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
