Risikomanagement für Lieferanten: 8 Schlüssel zum Erfolg

Nutzen Sie diese bewährten Verfahren, um in diesem Jahr ein proaktiveres Programm zum Lieferantenrisikomanagement (VRM) aufzubauen.

Mitratech-Mitarbeiter
Mitratech-Mitarbeiter Mai 22, 2024 17 min gelesen
Decorative image

Was ist Lieferantenrisikomanagement?

Das Lieferantenrisikomanagement (VRM) ist der Prozess der Identifizierung, Bewertung und Minderung der Risiken, die mit der Beauftragung von Drittanbietern oder Lieferanten verbunden sind, die Waren oder Dienstleistungen für ein Unternehmen bereitstellen. VRM ist ein wichtiger Aspekt des Unternehmensrisikomanagements, da Lieferanten Risiken mit sich bringen können, die sich negativ auf den Betrieb, den Ruf oder die Compliance-Situation eines Unternehmens auswirken können. VRM-Aktivitäten sollten in allen Phasen des Lieferantenlebenszyklus durchgeführt werden, einschließlich Beschaffung und Auswahl, Aufnahme und Onboarding, Bewertung inhärenter Risiken, Risikobewertung und -behebung, kontinuierliche Risikoüberwachung, Leistungs- und SLA-Management sowie Offboarding und Kündigung.

Definition und Schritte des Lieferantenrisikomanagements

Warum ist das Risikomanagement von Lieferanten wichtig?

Das Risikomanagement von Lieferanten ist aus mehreren Gründen wichtig, darunter:

Warum das Risikomanagement von Lieferanten wichtig ist

Abhängigkeit von Lieferanten

Viele Unternehmen sind bei wichtigen Dienstleistungen, Produkten oder Komponenten auf externe Anbieter angewiesen. Jede Störung oder jeder Ausfall im Betrieb des Anbieters kann sich direkt auf die Fähigkeit des Unternehmens auswirken, seine eigenen Produkte oder Dienstleistungen zu liefern. Das Risikomanagement für Anbieter hilft dabei, potenzielle Risiken im Zusammenhang mit diesen Abhängigkeiten zu identifizieren und zu mindern.

Datensicherheit und Datenschutz

Lieferanten haben oft Zugriff auf sensible Daten oder Systeme des Unternehmens. Unzureichende Sicherheitsmaßnahmen oder Datenverstöße auf Seiten des Lieferanten können wertvolle Informationen, darunter auch Kundendaten, gefährden. Das Lieferantenrisikomanagement hilft dabei, die Sicherheitspraktiken von Lieferanten zu bewerten und sicherzustellen, dass sie über robuste Maßnahmen zum Schutz von Daten verfügen.

Einhaltung von Vorschriften

Unternehmen unterliegen verschiedenen regulatorischen Anforderungen, wie beispielsweise Datenschutzgesetzen oder branchenspezifischen Vorschriften. Auch Anbieter, die mit regulierten Daten oder Prozessen umgehen, müssen diese Anforderungen einhalten. Ein effektives Risikomanagement für Anbieter stellt sicher, dass diese die relevanten Vorschriften einhalten, wodurch das Risiko von Compliance-Verstößen und damit verbundenen Strafen für das Unternehmen verringert wird.

Geschäftskontinuität und Widerstandsfähigkeit

Lieferanten spielen eine entscheidende Rolle für die Aufrechterhaltung der Geschäftskontinuität. Wenn ein Lieferant von Störungen wie Naturkatastrophen, finanzieller Instabilität oder Betriebsausfällen betroffen ist, kann dies Auswirkungen auf den Betrieb des Unternehmens haben. Das Lieferantenrisikomanagement hilft dabei, potenzielle Schwachstellen zu identifizieren und Notfallpläne zu erstellen, um die Auswirkungen von Lieferanten-bedingten Störungen zu mindern.

Reputation und Markenschutz

Das Handeln oder Versagen eines Lieferanten kann erhebliche Auswirkungen auf den Ruf und das Markenimage eines Unternehmens haben. Wenn ein Lieferant beispielsweise in unethische Praktiken, Umweltverstöße oder öffentliche Kontroversen verwickelt ist, kann dies ein schlechtes Licht auf das Unternehmen werfen, das mit ihm zusammenarbeitet. Das Lieferantenrisikomanagement hilft dabei, den Ruf des Lieferanten zu bewerten, die Übereinstimmung mit den Werten des Unternehmens sicherzustellen und dessen Marke zu schützen.

Kostenoptimierung und Leistung

Ein effektives Lieferantenrisikomanagement ermöglicht es Unternehmen, die finanzielle Stabilität und Leistungsfähigkeit ihrer Lieferanten zu bewerten. Durch die Bewertung der Fähigkeiten ihrer Lieferanten können Unternehmen fundierte Entscheidungen darüber treffen, mit welchen Lieferanten sie zusammenarbeiten möchten, günstige Konditionen aushandeln und potenzielle finanzielle Verluste oder Leistungsmängel vermeiden.

Insgesamt ermöglicht das Lieferantenrisikomanagement Unternehmen, Risiken im Zusammenhang mit Lieferantenbeziehungen proaktiv zu identifizieren und anzugehen, wodurch ihre Betriebsabläufe, ihr Ruf, ihre Daten und ihre Compliance geschützt werden, während gleichzeitig die Kosten optimiert und die Geschäftskontinuität sichergestellt werden.

Welche Arten von Risiken bestehen bei Drittanbietern?

Ein Programm zum Lieferantenrisikomanagement kann Ihrem Unternehmen dabei helfen, eine Vielzahl von Bedrohungen und Risiken zu bewältigen:

Arten von Risiken bei Drittanbietern

Cyberrisiko

Cybersicherheits
ist bei der Bewertung von Anbietern von entscheidender Bedeutung. Ransomware, Distributed Denial of Service und andere Angriffe können Ihr Unternehmen lahmlegen und es unmöglich machen, dass Ihr Unternehmen seinen geschäftlichen Verpflichtungen nachkommt. Laut der neuesten Studie von IBM wurden fast 25 % aller Datenverstöße durch Ransomware oder böswillige Cyberangriffe verursacht, die die Systeme des Unternehmens funktionsunfähig machten.

Compliance-Risiko

Die meisten Unternehmen unterliegen einer Vielzahl sich ständig weiterentwickelnder gesetzlicher Anforderungen hinsichtlich des Schutzes sensibler Daten und Systeme. Viele dieser Vorschriften, darunter HIPAA, der California Consumer Privacy Act (CCPA), der New York SHIELD Act und die Europäische Datenschutz-Grundverordnung (DSGVO), verpflichten Unternehmen zum Schutz der privaten Daten ihrer Verbraucher, Kunden und Mitarbeiter. Andere Vorschriften betreffen den Schutz nicht öffentlicher Finanzdaten. Verstöße können zu Geldstrafen und Reputationsschäden führen.

Datenschutzbestimmungen

Finanzielles Risiko

Beschaffungsteams müssen Einblick in die finanzielle Stabilität ihrer Drittanbieter haben, einschließlich der Schulden ihrer Lieferanten und der Kredite, die sie ihren Kunden gewähren. Eine Insolvenzerklärung kann zu Geschäftsverlusten und Unterbrechungen der Lieferkette führen.

ESG-Risiken

Die Bedenken der Anleger hinsichtlich Umwelt-, Sozial- und Governance-Praktiken (ESG) nehmen weiter zu. So wurde beispielsweise nach dem Einmarsch Russlands in die Ukraine für viele Unternehmen die Zusammenarbeit mit Firmen, die mit der russischen Regierung verbunden sind, unattraktiv. Unternehmen müssen sich auch gegen Vorwürfe schützen, dass ihre Lieferkette in Menschenrechtsverletzungen, Kinderarbeit oder Umweltschäden verwickelt ist.

Reputationsrisiko

Negative Medienberichte oder schlechte Nachrichten über einen Anbieter können den Ruf seiner Kunden schädigen. Das kann passieren, wenn der Anbieter in unethische Einstellungspraktiken, Qualitätsprobleme bei seinen Produkten, kriminelle Aktivitäten oder Umweltkatastrophen verwickelt ist.

4. Beheben Sie wichtige Probleme mit empfohlenen Abhilfemaßnahmen und Berichten.

Jetzt kommt der schwierige Teil: die Beseitigung der Risiken! Zu den wichtigsten Überlegungen in dieser Phase gehören:

  • Verfügt Ihr Team über das erforderliche Fachwissen, um Abhilfemaßnahmen für fehlgeschlagene Kontrollen zu empfehlen? Wäre es hilfreich, vordefinierte Abhilfemaßnahmen automatisch auszulösen, wenn bei Bewertungen bestimmte Risiken festgestellt werden?

  • Wie planen Sie, das künftige Risiko (z. B. das Restrisiko) nach der Anwendung oder Durchsetzung von Abhilfemaßnahmen im Laufe der Zeit zu prognostizieren? Dies wird für die Berichterstattung auf Vorstandsebene wichtig sein.

  • Wie können Sie nachweisen, dass ein Anbieter eine bestimmte Rechtsvorschrift oder einen bestimmten Branchenrahmen einhält? (Tipp: Halten Sie Ausschau nach Lösungen, die "prozentuale Konformitätskennzahlen" für mehrere Vorschriften liefern).

  • Wie werden Sie versteckte Risiken mindern, die durch die Antworten der Bewertung nicht aufgedeckt werden? (Fragen Sie unbedingt nach, ob Ihre VRM-Lösung maschinelles Lernen zur Analyse von Daten und Aufdeckung versteckter Trends umfasst.)

5. Verfolgen Sie einen kontinuierlichen, intelligenten und automatisierten Ansatz für das Risikomanagement von Lieferanten.

Der letzte Schritt auf dem Weg zu einem proaktiveren VRM besteht darin, langfristig eine kontinuierliche und intelligente Automatisierung in Ihr Programm zu integrieren. Dazu gehört die Nutzung von Lösungen, die proaktiv und kontinuierlich Lieferantenrisiken bewerten, überwachen und beseitigen können. Aber wie sieht "kontinuierlich, intelligent und automatisiert" aus?

Kontinuierliche Bewertungen

Eine Möglichkeit, ein kontinuierlicheres, weniger reaktives Bewertungsmodell zu erreichen, besteht darin, Echtzeit-Cyber- und Geschäftsüberwachungsinformationen zu nutzen, um Ihren Bewertungsplan zu optimieren. Mit den richtigen Regeln können Sie die Schwachstellen, Sicherheitsverletzungen oder durchgesickerten Anmeldedaten eines Anbieters im Dark Web mit Bewertungsergebnissen korrelieren, die auf eine schwache Passwortverwaltung oder mangelhafte Patch-Management-Praktiken hinweisen. Anhand dieser Erkenntnisse können Sie dann Bewertungen auslösen. Dieser Grad an Automatisierung schließt den Kreis bei Risiken durch Dritte und verwandelt punktuelle Bewertungen in eine kontinuierliche Überwachung der Risiken von Anbietern.

Intelligenz aus jeder Ecke

Fundierte, risikobasierte Entscheidungen zu treffen bedeutet, Daten aus verschiedenen Quellen zu nutzen und zu normalisieren. In unserem Leitfaden zu bewährten Verfahren finden Sie ein Diagramm, das die typischerweise erforderlichen Inputs für eine risikobasierte Entscheidungsfindung veranschaulicht. Hier sind nur einige davon:

  • Öffentliche und private Quellen, Risikoinformationen von Anbietern und Technologieintegrationen können quantitative und qualitative Einblicke in IT-Sicherheitsrisiken, finanzielle Probleme und andere Indikatoren für die Cyber- und Geschäftslage eines Anbieters liefern.

  • Die Anbietergemeinschaft, abgeschlossene Bewertungen und Branchenpartnerschaften spielen ebenfalls eine Rolle. Sie stellen von Mitgliedern oder aus der Bevölkerung stammende Unterlagen und Erkenntnisse zur Verfügung, die einen Einblick in die Risiken von Anbietern in bestimmten Branchen geben können.

  • Die Überwachung von Vorschriften bietet Einblicke in Kontrollmängel in regulierten Branchen und kann dazu beitragen, die erforderlichen Abhilfemaßnahmen zu antizipieren, um das Restrisiko eines Anbieters zu verringern.

Automatisierte Playbooks zur Optimierung der Risikoreaktion

Eine Möglichkeit, ein stärker automatisiertes Programm zu erreichen, ist die Nutzung von Funktionen zur Auslösung von Risikoreaktionsmaßnahmen auf der Grundlage von "Wenn dies, dann das"-Kriterien für bestimmte Unternehmen und Risiken. Die Regeln sollten eine breite Palette von Einführungs-, Bewertungs- und Überprüfungsaufgaben automatisieren. Dazu können die Aktualisierung von Lieferantenprofilen und Risikoattributen, das Versenden von Benachrichtigungen und/oder die Aktivierung von Arbeitsabläufen gehören. Sie sollten auch ständig laufen, um die VRM-Umgebung zu aktualisieren, wenn neue Ereignisse und Risiken auftauchen.

6. Berücksichtigen Sie geopolitische Faktoren in Ihrem VRM-Plan

Die zunehmend angespannte geopolitische Lage kann auch erhebliche Risiken für die Risikomanagementprogramme von Lieferanten mit sich bringen. Bewerten Sie Ihre Lieferanten anhand dem Ort ihrer Geschäftstätigkeit. Lieferanten, deren Geschäftstätigkeit sich stark auf Länder mit schlechter Bilanz in Bezug auf Menschenrechte und ESG konzentriert, können sich selbst und ihre Dienstleistungen für Ihr Unternehmen einem Risiko aussetzen. Plötzliche Zölle oder ein Embargo könnten zu einem dramatischen Umsatzrückgang führen und ein Leistungsrisiko oder sogar einen Ausfall des Lieferanten zur Folge haben.

Ebenso können Unternehmen, die umfangreiche Geschäfte in Ländern ohne ausdrückliche Datenschutzgesetze tätigen oder dort Daten hosten, die Daten Ihres Unternehmens durch die vorgeschriebene Weitergabe an Regierungsstellen im Gastland gefährden. Hier sind einige Fragen, die Sie Ihren aktuellen und potenziellen zukünftigen Anbietern während Ihres Beschaffungs- und Auswahlprozesses stellen sollten:

  • Hat der Anbieter wesentliche Geschäftsaktivitäten oder hostet er Daten in Ländern, in denen es keine klaren Gesetze und Vorschriften hinsichtlich des Datenaustauschs zwischen staatlichen und privaten Stellen gibt?

  • Ist der Anbieter in Ländern tätig, die eine schlechte Bilanz in Bezug auf Menschenrechte, politische Freiheit oder Umweltzerstörung aufweisen? Wenn ja, sind seine Aktivitäten dort so umfangreich, dass sie zu Störungen führen würden, wenn gegen dieses Land ein Embargo verhängt würde?

  • Hat der Anbieter seinen Sitz in einem Land, in dem es umstrittene Gebiete oder aktive gewalttätige Aufstände gibt?

7. Compliance-Berichterstattung von Grund auf einbauen

Da das Risikomanagement von Drittanbietern in den meisten Regulierungssystemen und Branchenrahmenwerken ein wichtiger Kontrollschwerpunkt ist, müssen sowohl externe als auch interne Auditoren Fortschritte bei der Erfüllung dieser Anforderungen nachweisen. Viele Risikomanagement-Tools machen die Compliance-Berichterstattung jedoch übermäßig komplex und zeitaufwändig. Integrierte Berichterstattungsfunktionen für Standardvorschriften und Branchenrahmenwerke sind entscheidend für die Beschleunigung und Vereinfachung des Compliance-Prozesses.

Eine Möglichkeit, die Compliance-Berichterstattung zu beschleunigen, besteht darin, sich einen Überblick über den Compliance-Grad jedes einzelnen Lieferanten zu verschaffen. Beginnen Sie damit, einen Schwellenwert für die Compliance-„Bestandquote“ für eine Risikokategorie festzulegen (z. B. X % Compliance gegenüber einem bestimmten Rahmenwerk oder einer bestimmten Richtlinie). Alle Berichte werden an diese prozentuale Konformitätsbewertung gekoppelt, sodass sich Ihr Team auf Bereiche konzentrieren kann, in denen die Konformitätsquote niedrig ist. Dies sollte auch auf Makroebene für alle Lieferanten durchgeführt werden, nicht nur auf Lieferantenebene. Berichte auf Makroebene sind erforderlich, damit der Vorstand feststellen kann, inwieweit das Unternehmen die aktuellen Vorschriften einhält.

Bonus-Tipp: Die Einhaltung von ESG-Kriterien durch Lieferanten wird immer wichtiger

ESG-Vorschriften, vom California Supply Chain Transparency Act bis zum EU-Richtlinienentwurf, erhöhen den Druck auf Unternehmen, schlechte ESG-Praktiken aus ihren Lieferketten zu verbannen. Dieser Trend dürfte sich in den 2020er Jahren fortsetzen. Während viele Unternehmen ESG in erster Linie als ein Problem für Lieferanten betrachten, können auch IT-Anbieter ESG-Risiken bergen, die von schlechten Arbeitsbedingungen in Fabriken bis hin zu Bestechung und anderen Formen der Korruption reichen. Bitte prüfen Sie sorgfältig die ESG-Compliance-Anforderungen, die sich auf Ihr Unternehmen auswirken können, und stellen Sie sicher, dass Sie die Compliance-Berichterstattung entsprechend strukturieren.

8. Sicherstellen, dass die Abmeldung von Lieferanten reibungslos, effizient und überprüft erfolgt

Wenn eine Lieferantenbeziehung endet, können weiterhin Risiken bestehen bleiben. Ein Lieferant, der über sensible Daten verfügt, muss diese Daten zurückgeben und sicher vernichten. Supportverpflichtungen können über die Laufzeit eines Kaufvertrags hinaus bestehen bleiben, und Unternehmen müssen sicherstellen, dass jeglicher Zugriff Dritter auf interne Systeme beendet wird. Obwohl dies leicht verständlich ist, hat eine Studie von Prevalent ergeben, dass 60 Prozent der Unternehmen die Risiken durch Dritte beim Offboarding nicht aktiv bewerten. Dies birgt fortdauernde Risiken für das Geschäft, die Sicherheit und das geistige Eigentum.

Hier sind einige wichtige Fragen zu Ihrem aktuellen Ansatz für das Offboarding von Lieferanten.

  • Verfügen wir über Überprüfungsmethoden, um zu verhindern, dass ausgeschiedene Lieferanten auf die gesamte IT-Infrastruktur und alle Anwendungen zugreifen können?

  • Überprüfen wir regelmäßig die Systeme, um sicherzustellen, dass Lieferanten erfolgreich aus dem Unternehmen ausgeschieden sind?

  • Beinhaltet unser Ansatz zum Offboarding von Lieferanten wichtige Bestimmungen der geltenden Compliance-Anforderungen?

  • Verlangen wir von unseren Lieferanten eine schriftliche Bestätigung, dass alle sensiblen Daten nach Abschluss des Offboardings vernichtet wurden?

  • Nehmen wir die Anforderungen für das Offboarding in Verträge und SLAs mit Anbietern auf?

Nächste Schritte: Laden Sie den Leitfaden zu bewährten Verfahren im Bereich Vendor Risk Management herunter.

Nachdem Sie nun wissen, wie die Implementierung eines Risikomanagementsystems für Lieferanten in Unternehmen aussieht, erfahren Sie weitere Details im Leitfaden zu bewährten Verfahren.

Prevalent bietet eine umfassende Lösung für das Lieferantenrisikomanagement, die auf einer einzigen, benutzerfreundlichen Plattform vereint ist. Wenn Sie mehr darüber erfahren möchten, wie Sie Ihre umfassende VRM-Strategie aufbauen können, fordern Sie noch heute eine Demo an.

Herausforderungen beim Lieferantenrisikomanagement

Der Aufbau eines effektiven Programms zum Lieferantenrisikomanagement kann ein komplexer Prozess sein, der eine sorgfältige Planung und Umsetzung erfordert. Hier sind neun Herausforderungen, denen Ihr Unternehmen beim Aufbau eines VRM-Programms begegnen kann:

Identifizierung von Drittanbietern

Eine der größten Herausforderungen besteht darin, Drittanbieter zu identifizieren, mit denen Ihr Unternehmen zusammenarbeitet, da diese Anbieter möglicherweise über verschiedene Abteilungen und Funktionen verteilt sind.

Bewertung von Lieferantenrisiken

Sobald die Lieferanten identifiziert sind, kann die Bewertung ihres Risikos komplex und zeitaufwändig sein, insbesondere wenn Ihr Unternehmen Tabellenkalkulationen oder andere manuelle Methoden zur Erfassung und Verfolgung von Antworten verwendet.

Risikotoleranz definieren

Um fundiertere Entscheidungen zur Risikominderung treffen zu können, ist es wichtig, die Risikotoleranz Ihrer Organisation zu definieren und Schwellenwerte für das Risiko durch Dritte festzulegen. Ein strukturierter Ansatz für die Einstufung und Kategorisierung von Lieferanten ist dabei unerlässlich.

Einführung von Sorgfaltspflichten

Stellen Sie sicher, dass Sie über robuste Verfahren zur Lieferanten-Due-Diligence verfügen. Diese sollten eine Reihe von Themen wie finanzielle Stabilität, Compliance und Cybersicherheit abdecken.

Sicherstellung der Vertragseinhaltung

Es ist wichtig sicherzustellen, dass Anbieter die Bedingungen ihrer Verträge einhalten, insbesondere in Bezug auf Sicherheits- und Compliance-Anforderungen.

Überwachung der Lieferantenleistung

Überwachen Sie kontinuierlich die Leistung der Anbieter und die SLAs, um sicherzustellen, dass die Service-Levels eingehalten werden, und um eventuell auftretende Probleme zu erkennen.

Mit regulatorischen Änderungen Schritt halten

Es kann schwierig sein, mit den sich ändernden regulatorischen Anforderungen Schritt zu halten, da das Risikomanagement von Lieferanten ein wichtiger Faktor in vielen Cybersicherheits-Frameworks, Branchenrichtlinien, Datenschutzgesetzen und ESG-Vorschriften ist.

Sicherstellung der Zustimmung der Führungskräfte

Die Einrichtung eines effektiven Programms zum Lieferantenrisikomanagement erfordert die Zustimmung und Unterstützung der Geschäftsleitung, was manchmal schwierig zu erreichen sein kann.

Interne Ressourcen aufeinander abstimmen

Erfolgreiche Programme zum Risikomanagement von Lieferanten erfordern die Zusammenarbeit mehrerer verschiedener Abteilungen, darunter IT-Sicherheit, Risikomanagement, Beschaffung, Datenschutz, Rechtsabteilung und Compliance.

8 Best Practices für ein erfolgreiches Vendor-Risikomanagement-Programm

Im „reaktiven Modus“ zu arbeiten ist anstrengend, ineffizient und stressig – und besonders riskant, wenn die Arbeitsbelastung hoch ist. Das gilt auch für das Lieferantenrisikomanagement (VRM): Ein reaktives VRM-Programm, das auf Lieferantenrisiken reagiert, anstatt diese proaktiv zu managen, setzt Ihr Unternehmen der Gefahr von Datenverstößen, Datenschutzverletzungen und Verstößen gegen gesetzliche Vorschriften aus.

Aus diesem Grund ist es wichtig, über einen klaren Prozess zu verfügen, um die Cyberrisiken von Drittanbietern und die Risiken für die Geschäftskontinuität, die im Laufe der gesamten Lieferantenbeziehung unvermeidlich auftreten, proaktiv zu managen.

In unserer über 15-jährigen Zusammenarbeit mit Tausenden von Kunden und Lieferanten haben wir acht Best Practices für den Aufbau eines proaktiveren Programms zum Lieferantenrisikomanagement (VRM) entwickelt.

Hier ein kleiner Einblick in einige dieser Praktiken und wie sie das Risikomanagement von Lieferanten vereinfachen können:

8 Best Practices für ein erfolgreiches Risikomanagement bei Lieferanten

1. Lieferantenrisiken erfassen, bewerten und verwalten

Bevor Sie ein Programm zum Lieferantenrisikomanagement starten, müssen Sie mehrere Entscheidungen treffen. Fachkundige Beratungsdienste können Ihnen dabei helfen, die Parameter des Programms festzulegen. Der nächste Schritt besteht darin, die Kontrolle über Ihre Drittanbieter zu erlangen, sie zu integrieren und ihre inhärenten Risiken zu identifizieren.

Zu den wichtigsten Entscheidungen in diesem Schritt gehören:

  • Was ist der richtige Mechanismus für die Einbindung von Lieferanten? Werden Sie einen manuellen Prozess oder eine Tabellenvorlage verwenden? Benötigen Sie Integrationen mit Beschaffungs- oder Lieferantenmanagementsystemen?
  • Welche Faktoren werden Sie bei der Entscheidung über die Einstufung von Lieferanten berücksichtigen? Welche Eigenschaften oder Kritikalitätsaspekte beeinflussen beispielsweise die Einstufung bestimmter Lieferanten?
  • Wie werden Sie Informationen sammeln, um das inhärente Risiko zu bewerten? Werden Sie einen automatisierten Fragebogen verwenden? Welche Daten werden zur Berechnung des inhärenten Risikos verwendet (z. B. betriebliche, rechtliche, regulatorische, finanzielle und/oder reputationsbezogene Daten)?

Wenn Sie zum ersten Mal mit potenziellen VRM-Lösungsanbietern in Kontakt treten, sollten Sie sicherstellen, dass diese mehrere Mechanismen für die Einbindung von Anbietern, Lieferanten und anderen Dritten anbieten. Dazu kann auch die Durchführung von Einbindungsaufgaben im Namen Ihres Teams gehören.

Stellen Sie außerdem sicher, dass die Methodik zur Einstufung von Lieferanten und zur Bewertung von Lieferantenrisiken mehr als nur oberflächliche Fragen umfasst. Beispielsweise sollten auch finanzielle Aspekte und Überlegungen zur Lieferkette berücksichtigt werden. Lesen Sie unseren Leitfaden zu bewährten Verfahren, um einen vollständigen Überblick über diese Attribute zu erhalten.

2. Automatisieren Sie wichtige Aspekte des VRM-Prozesses

Der nächste Schritt zu einem proaktiven Lieferantenrisikomanagement besteht darin, keine Tabellenkalkulationen mehr für die Risikobewertung von Lieferanten zu verwenden. Natürlich brauchen Sie immer noch eine Möglichkeit, Nachweise für Sicherheitskontrollen zu sammeln und Due-Diligence-Prüfungen gemäß Ihren Unternehmensstandards und Compliance-Anforderungen durchzuführen. Glücklicherweise können Sie diesen Prozess automatisieren und die redundanten, mühsamen Bewertungsaufgaben, die oft zu Fehlern und Risiken führen, eliminieren.

Die Datenerhebung und Due-Diligence-Prüfung kann viele Formen annehmen. Sie können beispielsweise den Bewertungsprozess selbst verwalten, auf eine Bibliothek mit ausgefüllten Fragebögen zugreifen oder die Datenerhebung an einen Partner auslagern. Tatsächlich beobachten wir, dass viele Unternehmen Risiken erfolgreich mit einem hybriden Modell managen, das unterschiedliche Ansätze für verschiedene Lieferantenebenen nutzt.

Zu den wichtigsten Entscheidungen in diesem Schritt gehören:

  • Welcher Fragebogen wird verwendet, um Informationen über die Kontrollen Ihres Lieferanten zu sammeln? Werden Sie branchenübliche oder proprietäre Umfragen verwenden? (Hinweis: Das hängt von zwei Faktoren ab: 1) An welche Vorschriften oder Rahmenbedingungen Sie die Antworten anpassen möchten und 2) ob Sie die Ergebnisse mit einem Netzwerk teilen möchten.)
  • Welche Erhebungsmethode(n) werden Sie verwenden? Verfügen Sie über die Ressourcen und das Fachwissen, um dies intern zu bewältigen? Werden Sie die Netzwerke der bereits ausgefüllten Antworten der Anbieter nutzen, um den Prozess zu beschleunigen? Werden Sie die Erhebung an einen Partner auslagern? (Ideal für Teams mit unzureichenden Ressourcen oder ohne ausreichende Personaldecke.)

Wie bei Schritt 1 sollten Sie sich vergewissern, dass Ihr Anbieter von VRM-Lösungen in Bezug auf die Verfügbarkeit von Fragebögen und Erhebungsmethoden flexibel ist. Sie möchten wahrscheinlich nicht an einen einzigen starren Fragebogen gebunden sein, der nicht angepasst werden kann. Sie möchten auch nicht gezwungen sein, die Due-Diligence-Daten selbst zu erheben, vor allem nicht, wenn Sie über zu wenig Personal verfügen.

3. Treffen Sie intelligentere Entscheidungen mit kontinuierlicher Lieferantenrisikokontrolle

Der nächste Schritt beim Aufbau Ihres Vendor-Risikomanagement-Frameworks besteht darin, die Bewertungen von Drittanbietern mit externen Cybersicherheits- und Geschäftsrisikoinformationen zu validieren. Regelmäßige Bewertungen sind zwar unerlässlich, um zu verstehen, wie Anbieter ihre Informationssicherheits- und Datenschutzprogramme zu einem bestimmten Zeitpunkt verwalten, aber zwischen den Bewertungen kann bei einem Anbieter viel passieren! Hier kann eine kontinuierliche Überwachung helfen.

Viele Unternehmen sind hier unzureichend. Zu viele nehmen eine enge, qualitative Sichtweise der Lieferantenrisiken ein und ignorieren qualitativere Informationen. Die Kombination und Korrelation von Cybersicherheit und Unternehmensüberwachung bietet eine umfassendere Sicht auf das Lieferantenrisiko. Diese "Outside-in"-Sicht verschafft Ihnen einen Vorteil beim Erfassen der potenziellen Auswirkungen von Lieferantenrisiken. Sie ergänzt auch Ihre "Inside-Out"-Bewertungen, um eine fundiertere und genauere Risikobewertung zu erhalten. Doch auf welche Arten von Überwachungsinformationen sollten Sie sich konzentrieren?

  • Quellen für Informationen zu Cybersicherheitsrisiken: Um Schwachstellen zu erkennen, die für Angreifer sichtbar sind, müssen zunächst kompromittierte Daten im Dark Web aufgedeckt und Offenlegungen von Sicherheitsverletzungen katalogisiert werden. Anschließend werden Informationen zu bestätigten Cyberangriffen, Verstößen gegen Infrastruktur- und IT-Richtlinien, Schwachstellen und anderen Risiken gesammelt.
  • Quellen für Informationen zu Geschäftsrisiken: Erkenntnisse zu Risiken aufgrund von betrieblichen Problemen, M&A-Aktivitäten, Entlassungen, Führungswechseln, Produktrückrufen, behördlichen/rechtlichen Untersuchungen sowie Finanz- und Insolvenzmeldungen sind wichtige qualitative Informationen, die dem VRM-Prozess zusätzlichen Kontext verleihen.

Lesen Sie den Leitfaden zu bewährten Verfahren, um sich eingehender mit jeder dieser Informationsquellen zu befassen.

Mit den richtigen Informationen können Sie Anbietern dabei helfen, ihren Open-Source-Fußabdruck zu bereinigen und Sicherheitslücken in ihren internen Prozessen zu schließen. Der Prozess ist vergleichbar mit dem Aufpolieren Ihrer Kreditauskunft vor der Beantragung eines Hauskredits.

Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.