Anmerkung der Redaktion: Das folgende Interview mit Brad Hibbert von Prevalent wurde ursprünglich unter www.credittoday.net veröffentlicht und wird hier mit Genehmigung abgedruckt.
Immer mehr Kreditmanager berichten Credit Today, dass sie aufgefordert werden, Risikobewertungen für Lieferanten vorzunehmen. Angesichts der Belastungen, denen sowohl globale als auch lokale Lieferketten ausgesetzt sind, und der zunehmenden Bedeutung von Nachhaltigkeit als Managementthema ist dies nicht verwunderlich.
Darüber hinaus entstehen durch das Aufkommen des Enterprise Risk Management (ERM) neue Fachdisziplinen und Technologien. Datensicherheit ist ein zentrales Thema für IT- und Dienstleistungsanbieter, aber ein weiterer Schwerpunkt liegt auf der Lieferkette eines Unternehmens. Hier sind die Fähigkeiten von Kreditanalysten gefragt, um die finanziellen und operativen Risiken bestehender und potenzieller Lieferanten und Dienstleister zu bewerten.
Um ein besseres Verständnis für das Risikomanagement von Drittanbietern (TPRM) und die Rolle zu erlangen, die Kreditmanager dabei spielen können, haben wir mit Brad Hibbert gesprochen, dem COO/CSO bei Prevalent, einem Anbieter von TPRM-Softwarelösungen.
Was sollten Kreditmanager über den TPRM-Prozess wissen?
Das Third-Party Risk Management (TPRM) ist der Prozess der Analyse und Minimierung von Risiken, die mit der Auslagerung an Drittanbieter oder Dienstleister verbunden sind. Innerhalb der Kategorie der Risiken durch Dritte gibt es viele verschiedene Arten von Risiken. Dazu können Sicherheits-, Finanz-, Umwelt- und Reputationsrisiken gehören. Insbesondere die finanzielle Stabilität und das Insolvenzrisiko sind wichtige Komponenten des Lebenszyklus des Third-Party Risk Managements. Während die Analysen und Überlegungen zu finanziellen Erkenntnissen im TPRM und in der Kreditanalyse vergleichbar sind, ist der Schwerpunkt des TPRM eher operativer Natur, da es sich auf umsatzgenerierende Dienstleistungen auswirken kann.
Wie wird TPRM in den meisten Unternehmen gehandhabt?
Im Umgang mit Risiken durch Dritte haben sich drei separate Marktkategorien herausgebildet: TPRM (Third Party Risk Management), SCRM (Supply Chain Risk Management) und Compliance Risk Management. Diese Prozesse betrachten verschiedene Aspekte von Risiken durch Dritte, die für bestimmte Aufgabenbereiche spezifisch sind, beispielsweise Sicherheit, Beschaffung und Audit. Häufig arbeiten diese Teams unabhängig voneinander und nutzen isolierte Lösungen und Prozesse. In der Vergangenheit wurden diese Prozesse jährlich durchgeführt, aber heute geht der Trend dahin, die Risiken durch Dritte kontinuierlich zu bewerten, indem eine Kombination aus fragebogenbasierten Bewertungen und der laufenden Überwachung öffentlich zugänglicher Daten zum Einsatz kommt.
Welche Bereiche der Organisation sind an TPRM beteiligt?
In der Vergangenheit waren die Prozesse zur Bewertung dieses Risikos voneinander getrennt. Die IT-/Sicherheitsabteilung konzentriert sich auf sicherheitsrelevante Risiken für IT-Anbieter. Die Beschaffungs- und/oder Lieferantenverwaltung konzentriert sich auf nicht IT-bezogene Risiken, darunter finanzielle Risiken, Leistung, Lieferung, geopolitische Risiken und nun auch ESG-Risiken (Umwelt, Soziales und Unternehmensführung). Die Rechts- und Compliance-Abteilungen befassen sich mit Sanktionen, politisch exponierten Personen (PEPs) und staatlichem Eigentum. Diese Teams können sich auch an die Sicherheits-/IT-Teams wenden, um kontrollbasierte Sorgfaltspflichten in Bezug auf die Kontrollen zum Schutz von Daten und Datenzugriff sowie deren Zusammenhang mit verschiedenen regulatorischen Vorgaben wie der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union, 23 NY CRR 500 des New York State Department of Financial Services (NYDFS) usw. durchzuführen.
Wie können Kreditmanager das TPRM-Team am besten unterstützen, und gibt es Bereiche außerhalb des organisatorischen oder finanziellen Risikos, in denen Kreditmanager hilfreich sein können?
Wenn Kreditmanager Risiken und Risikokennzahlen anhand von Standard- oder proprietären Analysen ableiten, könnten diese Risiken und Erkenntnisse in das TPRM-Programm zurückfließen. Diese Erkenntnisse können nicht nur im Zusammenhang mit anderen nichtfinanziellen Risiken berücksichtigt werden, sondern auch dazu dienen, konsistente Risikoworkflows in allen internen Abteilungen während der gesamten Beziehung zum Lieferanten auszulösen und durchzusetzen.
Wie können Kreditmanager Risikofaktoren am besten an das TPRM-Team kommunizieren?
Wenn die Kreditmanager einen anderen Prozess und ein anderes Produkt als das umfassendere TPRM-Programm verwenden, könnten die Risiken und Risikobewertungen integriert werden. Dadurch könnten diese Erkenntnisse mit anderen Risikodimensionen korreliert werden, um standardisiertere teamübergreifende Risikoworkflows auszulösen und das TPRM-Programm zu nutzen, um die Minderung dieser Risiken durch Interaktion mit dem Unternehmen und Dritten selbst über einen standardisierten Workflow-Prozess zu verfolgen.
Bitte gehen Sie etwas näher auf die Quellen der Daten ein, die die TPRM-Teams über Lieferanten und andere Anbieter sammeln.
Zwischen regelmäßigen, fragebogengestützten Risikobewertungen kann viel passieren. Als Ergänzung zu punktuellen Bewertungen führen Unternehmen auch Überwachungsmaßnahmen durch, um kontinuierliche Einblicke in Risiken durch Dritte zu erhalten. Einige Beispiele für kontinuierliche Überwachungsfeeds sind:
- ESG: Umwelt-, Sozial- und Governance-Bewertung für börsennotierte Unternehmen, die analytisch fundierte Einblicke in die Haltung und die Prozesse der Organisation bietet, mit jährlichen Peer-Reviews und der EPA-Datenbank für Umweltverstöße.
- Cyber: Kriminelle Foren, Onion-Seiten, spezielle Zugangsforen im Dark Web, Bedrohungs-Feeds, Paste-Seiten für gestohlene Zugangsdaten sowie Sicherheits-Communities, Code-Repositorys und Schwachstellen-Datenbanken.
- Geschäft: Bewertungen aus öffentlichen Websites, Unternehmensblogs, Nachrichtenartikeln und mehr. Dadurch werden potenzielle Ereignisse von Interesse identifiziert, die in der breiteren Öffentlichkeit diskutiert werden, wie beispielsweise Finanzberichte, Fusionen, betriebliche Veränderungen und Untersuchungen.
- Finanziell: Kreditagenturen und Ermittlungsabläufe, um finanzielle Unstimmigkeiten oder Briefkastenfirmen aufzudecken, die sich auf die finanzielle Stabilität auswirken können.
- Reputationsbezogen: Lokalisierte Sanktionen und Vollstreckungslisten weltweit, einschließlich der Identifizierung politisch exponierter Personen oder Unternehmen, mit denen derzeit keine Transaktionen durchgeführt werden dürfen.
- Hack & Datenverletzung: Bekannte Datenverletzungen oder Hacks innerhalb der letzten 10 Jahre, einschließlich durchgesickerter Anmeldedaten auf öffentlichen Websites, die berücksichtigt werden müssen.
Für Kreditmanager ersetzt diese Art der Überwachung zwar nicht die traditionelle Finanzanalyse, bietet jedoch frühzeitige Einblicke in Aktivitäten, die erhebliche Auswirkungen auf die Finanz- und Bonitätssituation eines Dritten haben. Wenn ein Unternehmen in der Vergangenheit Datenverstöße begangen hat, aktiv Opfer eines Datenverstoßes geworden ist, einen massiven Ausfall erlitten hat oder in Rechtsstreitigkeiten verwickelt ist, möchten Sie dann darüber informiert werden? All diese Informationen können gesammelt, zusammengefasst, priorisiert und proaktiv an die zuständigen Kreditmanager weitergeleitet werden, sodass schnellere Vorabentscheidungen und zeitnahe Abhilfemaßnahmen getroffen werden können, darunter Anpassungen von Kreditlinien, Kreditbedingungen und/oder Kreditversicherungen.
Wie können Cyberdaten und Stimmungsdaten Kreditmanagern helfen?
Durch die Harmonisierung des TPRM-Programms kann ein Unternehmen ein umfassendes Risikoprofil für Dritte erstellen. Teams können diese Erkenntnisse nutzen, um in ihrer beruflichen Funktion bessere risikobasierte Entscheidungen zu treffen. Zusätzlich zu den üblichen Vorabprüfungen und Finanzdaten kann TPRM weitere Erkenntnisse liefern.
Aus Cybersicherheitsperspektive kann ein robustes TPRM-Programm Informationen über die Geschichte der Datenverletzungen und die aktuelle Sicherheitshygiene eines Drittanbieters liefern. Es kann auch dabei helfen, die Frage zu beantworten, wie gut sich der Drittanbieter selbst schützt. Betrachten Sie dies als Indikator für mögliche Kompromittierungen. Wie viele öffentliche Bekanntgaben von Datenverletzungen gab es in den letzten 10 bis 15 Jahren, wie viele Daten wurden kompromittiert und um welche Art von Daten handelte es sich? Eine schlechte Datenschutzbilanz kann sich auf die Fähigkeit eines Unternehmens auswirken, Dienstleistungen zu erbringen, Rechnungen zu bezahlen oder sogar auf seine Überlebensfähigkeit. Nach der Einführung kann eine TPRM-Lösung Ihre Drittanbieter automatisch auf laufende Datenschutzverletzungen überwachen, um sicherzustellen, dass Sie über proaktive Strategien zur Behebung und Risikominderung verfügen. Diese Informationen könnten auch von Kreditversicherern genutzt werden, um über die üblichen Finanzkennzahlen hinauszuschauen.
Aus Sicht der Unternehmensreputation kann die Überwachung auch kontinuierliche Einblicke in Geschäftsereignisse liefern, die sich auf die Fähigkeit eines Dritten auswirken könnten, Dienstleistungen zu erbringen, oder die möglicherweise zu Störungen führen könnten, darunter Entlassungen, Ausfälle, Arbeitsunterbrechungen oder Auswirkungen auf die Reputation und die Marke, wie z. B. Verstöße gegen EPA-Vorschriften, Rechtsstreitigkeiten usw. All diese Ereignisse können sich nicht nur auf die Fähigkeit eines Unternehmens auswirken, Dienstleistungen zu erbringen, sondern auch darauf, wie es seine Rechnungen bezahlt. Dies erstreckt sich auch auf die Transparenz von Finanzberichten, wichtigen Entlassungen und Fusionen/Übernahmen, die sich auf die zukünftige finanzielle Lage eines Dritten auswirken können.
Werden EPA, ESG und andere Umweltrisikofaktoren zu wichtigen Themenbereichen?
Jedes Jahr führen wir eine TPRM-Umfrage durch, und jedes Jahr gewinnen Nicht-IT-Risiken an Bedeutung. Innerhalb dieser Gruppe beobachten wir weiterhin ein steigendes Interesse an der Sichtbarkeit von Nicht-IT-Risiken und deren Behebung, einschließlich der Bereiche Unternehmensreputation und ESG.
Das Thema ethische Beschaffung gewinnt zunehmend an Bedeutung, sodass ESG-orientierte Fonds mittlerweile bei Anlegern sehr beliebt sind. Dies ist zum Teil auf den Zustrom von Daten zurückzuführen, die von Organisationen geteilt werden, um die Übereinstimmung mit den ESG-Leitprinzipien zu demonstrieren und eine Analyse im Beschaffungsprozess zu ermöglichen.
Welche Art der laufenden Überwachung ist damit verbunden und kann das Kreditmanagement davon profitieren bzw. dazu beitragen?
Meiner Ansicht nach umfassen die Vorteile für das Kreditmanagement eine Kombination aus einem angemessenen Einblick in die Geschäftstätigkeit sowie einer zusätzlichen Transparenz der Finanzdaten, um einen Überblick über die allgemeine Gesundheit des Unternehmens zu erhalten. Die laufende Überwachung kann auch auf selbst gemeldete Ereignisse aus dem Unternehmen ausgeweitet werden, die andernfalls übersehen würden.
Wenn das Vermögen von Dritten insgesamt betrachtet wird, bietet es eine zusätzliche Datenbank mit Trends und finanziellen Variablen, die zur Erstellung von Modellen beitragen und damit die täglichen Überlegungen von Kreditmanagern unterstützen können. Die Herausforderung besteht darin, Zugang zu diesen kontinuierlich überwachten Datensätzen zu erhalten und aussagekräftige Erkenntnisse zu gewinnen. Dies erfordert Zusammenarbeit und Wissensaustausch.
Kreditmanager können auch einen Beitrag leisten und die Entscheidungszentren für Risiken durch Dritte unterstützen, wenn sie nicht miteinander verflochten sind. Der Erfahrungsschatz und die Kenntnis der Finanzunterlagen können genutzt werden, um diejenigen, die Berichte von Dritten prüfen, zu unterstützen und zu schulen und ihnen Hinweise zu potenziellen Risiken und Fallstricken zu geben.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
