Was ist ein echtes inhärentes Risiko im Risikomanagement für Drittparteien?

Die Berechnung des inhärenten Risikos erfordert mehr als nur ein paar Fragen zum Onboarding, bevor Sie mit dem Anbieter in Kontakt treten. Kennen Sie den Unterschied zwischen inhärentem Risiko und Profilrisiko. Lesen Sie die Best Practice hier.

Mitratech-Mitarbeiter
Mitratech-Mitarbeiter November 6, 2019 5 min gelesen

In den 15 Jahren, in denen ich Organisationen beim Aufbau oder der Weiterentwicklung ihrer Risikomanagementprogramme für Dritte berate, habe ich viele Definitionen des inhärenten Risikos kennengelernt. Diese Definitionen haben sich bis vor kurzem nur geringfügig unterschieden, daher möchte ich diese Gelegenheit nutzen, um zu klären, was inhärentes Risiko ist und was nicht. Ein falsch verstandenes inhärentes Risiko kann erhebliche negative Folgen für Ihr Unternehmen haben, also lassen Sie uns sicherstellen, dass wir alle dieselbe Sprache richtig verwenden.

Definition des inhärenten Risikos

Die branchenübliche Definition des inhärenten Risikos besagt, dass es "das Ausmaß des Risikos darstellt, das bei Fehlen von Kontrollen besteht". Oder: "das aktuelle Risikoniveau angesichts der vorhandenen Kontrollen und nicht die hypothetische Vorstellung vom Fehlen jeglicher Kontrollen". Einfacher ausgedrückt: Das inhärente Risiko ist das Ausmaß des Risikos, bevor man etwas dagegen unternimmt.

Was ist das Schlüsselwort hier? Kontrollen. Sie müssen Einblick in die Kontrollen eines Anbieters haben, um diese Stufe des Basisrisikos zu erreichen.

Der falsche Ansatz

Kürzlich hatte ich mit einem potenziellen Kunden zu tun, der angab, dass er mit einem anderen Drittanbieter für Risikomanagement zusammenarbeitet, der behauptete, dass seine Lösung eine inhärente Risikobewertung errechnet, die dann Aufschluss darüber gibt, welcher Fragebogeninhalt für die Bewertung seines Anbieters zu verwenden ist. Der potenzielle Kunde wies darauf hin, dass der Ansatz des Drittanbieters für Risikomanagement darin bestand, dass ein Analyst eine Reihe grundlegender Fragen über den Anbieter beantwortete - z. B. auf welche Daten er Zugriff hat, wie kritisch der Anbieter ist usw. - bevor er mit dem Anbieter in Kontakt tritt und somit ohne Kenntnis der internen Kontrollsituation des Anbieters.

Ich war über diesen Ansatz erstaunt, da er nicht mit der branchenüblichen Definition des inhärenten Risikos übereinstimmt, sondern eher mit dem so genannten profilierten Risiko. Nachdem ich den potenziellen Kunden darüber aufgeklärt hatte, was sie mit diesem Ansatz des profilierten Risikos erhalten würden, wurde ihnen schnell klar, dass es sich nicht um ein wahres Bild des inhärenten Risikos handelt.

Definition des Risikoprofils

Das Risikoprofil basiert auf Faktoren wie der Art der gemeinsam genutzten Daten, der Art der erbrachten Dienstleistung, dem geopolitischen Standort usw. In der Regel wird dieses auf der Grundlage einer Reihe von Fragen zum Umfang abgeleitet, aber wie Sie sehen können, werden hier keine kontrollbasierten Fragen gestellt. Ein Risikoprofil kann hilfreich sein, aber es ist kein inhärentes Risiko, da es keinen Einblick in die Kontrollen gibt. Und wie kann man ohne diese Transparenz das Risiko bewerten?

Um besser zu beschreiben, wie Risiken berechnet werden, habe ich beschlossen, drei (3) Arten von Risiken - Profil, inhärentes Risiko und Restrisiko - in der nachstehenden Tabelle darzustellen.

Vergleichstabelle: Verschiedene Arten von Risiken
Risiko Definition Wie Lösungen dieses Risiko angehen sollten Beispiel für einen Anwendungsfall

Profiliertes Risiko

Auf der Grundlage von Risikofaktoren wie z. B.: Art der gemeinsam genutzten Daten, Art der erbrachten Dienstleistung, geopolitischer Standort usw. In der Regel wird dies auf der Grundlage einer Reihe von Fragen zum Rahmen abgeleitet.

Automatische Kategorisierung auf der Grundlage einer Reihe von Fragen im Vorfeld der Untersuchung.

Hinweis: Einige Unternehmen verwenden die Ergebnisse von Bedrohungsüberwachungsberichten, um das Lieferantenuniversum zu priorisieren, bevor sie ein Risikoprofil erstellen.

  1. Eine Entität wird dem System hinzugefügt
  2. Ein Scoping-Fragebogen wird intern ausgefüllt
  3. Auf der Grundlage der Ergebnisse wird eine Kategorie auf die Entität angewendet

Inhärentes Risiko

Auf der Grundlage der ersten Antworten eines Anbieters auf eine Reihe gezielter Fragen

  1. Automatische Identifizierung von Risiken auf der Grundlage der Antworten der Anbieter
  2. Visualisierung einer Risikobewertung auf dem Entitätsdatensatz und über die Ausgabe des Risikoberichts
  3. Anwendung eines Risikomultiplikators zur Anpassung der Risikobewertungen auf der Grundlage der Unternehmenskategorie
  1. Der Verkäufer wird bewertet, zum Beispiel mit einem SIG-Lite-Fragebogen
  2. Die Antworten der Anbieter ergeben eine Punktzahl von 15 für die Lösung
  3. "15" ist das inhärente Risiko
  4. Der Risikowert von 15 kann zusätzliche Maßnahmen vorschlagen

Verbleibendes Risiko

Angepasstes Risiko im Zusammenhang mit einer Beziehung zu einem Lieferanten auf der Grundlage von vorhandenen kompensierenden Kontrollen und ausgehandelten Abhilfeplänen oder -aktivitäten

  1. Plattforminterne Abhilfemaßnahmen
  2. Zusammenarbeit mit Anbietern
  3. Risikotrendberichte (einschließlich Risikoberichte auf Unternehmens-/Portfolioebene)
  4. Die Risikobewertung entwickelt sich mit der Schließung von Risiken
  1. Unternehmen arbeitet mit Lieferant im System
  2. Die geminderten Risiken tragen nicht mehr zur Risikobewertung des Lieferanten bei, wodurch sich die Bewertung im System verringert.
  3. Neue Punktzahl = Restrisiko - dieser Wert kann sich je nach Abhilfemaßnahmen auf der Plattform weiter ändern

Worauf Sie bei einer Lösung achten sollten

Wenn die von Ihnen untersuchte Risikomanagementlösung eines Drittanbieters behauptet, eine Bewertung des inhärenten Risikos zu liefern, sollten Sie sich genau ansehen, wie diese Bewertung berechnet wird. Wenn das Tool lediglich einen kurzen internen Onboarding-Fragebogen verwendet, um einen ersten Rahmen für die Due-Diligence-Prüfung zu schaffen, ist das hilfreich, aber es ist kein inhärentes Risiko.

Suchen Sie stattdessen nach einer Lösung, die das tatsächliche inhärente Risiko auf der Grundlage der Antworten des Anbieters auf gezielte kontrollbasierte Fragen aufzeigt. Diese Metrik kann zusammen mit dem Risikoprofil verwendet werden, um festzustellen, ob eine Akzeptanz oder weitere Abhilfemaßnahmen mit dem Anbieter erforderlich sind. Anschließend können zusätzliche Funktionen wie die automatische Risikoidentifizierung und die Fähigkeit, diese Risiken auf gängige Branchenrahmen/Vorschriften und Unternehmenskontrollen abzubilden, eingesetzt werden, damit Sie sich auf das Risiko innerhalb Ihres erweiterten Unternehmens konzentrieren und darüber berichten können. Mit der Definition von Risikoempfehlungen und der Behebung von Risiken oder der Akzeptanz kompensierender Kontrollen haben Sie das Restrisiko erreicht.

Die Prevalent-Perspektive zum inhärenten Risiko ist der Industriestandard, fügt Kontext hinzu und ist viel gründlicher. Wenn Sie 10 kurze Fragen zum Onboarding stellen, werden Sie diese Antworten nicht erhalten. Das könnte Ihnen bestenfalls Aufschluss darüber geben, wie Sie Ihre Anbieter priorisieren sollten.

Wenn Sie mehr darüber erfahren möchten, wie Prevalent Ihnen dabei helfen kann, die mit Ihren Beziehungen zu Dritten verbundenen Risiken aufzudecken, zu interpretieren und zu vermindern, nehmen Sie noch heute Kontakt mit uns auf. Ich würde mich freuen, mit Ihnen und Ihrem Team ein Strategiegespräch zu führen.

Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.