4 Best Practices für Benchmarking und Auditing Ihres Risikomanagementprogramms für Dritte

Amanda: Vielen Dank, Amanda. Alistair: Gern geschehen. Alistair: Also, Joe, zunächst einmal: Wer bist du? Warum bist du hier? Und warum sprichst du mit uns? Joe: Danke, Alistair. Ähm, ich bin Programmdirektor bei Prev. Ich habe viel Zeit damit verbracht, mit Kunden an der Entwicklung ihrer Programme zu arbeiten. Ähm, ich habe viel Zeit damit verbracht, zu untersuchen, wie wir auch die Reife von Programmen von Drittanbietern bewerten können. Deshalb kann ich heute hoffentlich einen guten Beitrag zur Diskussion über einige dieser wichtigen Faktoren leisten, die ein ausgereiftes Programm ausmachen. Alistair: Wunderbar. Danke, Joe. Und hallo an alle. Alistister Pal. Ich bin Senior Vice President für Produkte und Lieferung hier bei Prevalent. Ich habe jahrzehntelange Erfahrung in der Prüfung von Programmen von Drittanbietern in Bezug auf wichtige Risikobereiche und Risikokontrollen und habe insbesondere im Bereich Governance einen guten Überblick über Programme von Drittanbietern. Ich werde also versuchen, mein Wissen einzubringen, und wir werden sicherlich auch einige Informationen von Joe und Scott einfließen lassen, die im Laufe der Sitzung ebenfalls nützlich sein könnten. Scott, bitte übernehmen Sie.

Scott: Sie werden nicht viel herausbekommen. Aus meiner heutigen Sicht jedenfalls nicht. Leider bin ich nur der Marketing-Mitarbeiter in diesem Gespräch, Alistair. Ich bin Vice President für Produktmarketing hier bei Prevalent. Meine Aufgabe ist es, die Best Practices, die wir von unseren Kunden lernen und aus unserer eigenen Expertise generieren, zusammenzufassen und durch die Veröffentlichung von Inhalten und regelmäßigen Best-Practice-Leitfäden dazu beizutragen, dass diese bei vielen Kunden Anwendung finden. Im Grunde überprüfe ich also alles, was Alistair und Joe erstellen, auf Rechtschreibung und Voilà, das ist mein Beitrag. Ich freue mich sehr, hier zu sein.

Alistair: Scott ist sicherlich der Bescheidenste von den vier, wie Sie wahrscheinlich schon bemerkt haben. Was werden wir heute behandeln? Also, ein kleiner Einblick. Äh, unser Schwerpunkt liegt wirklich darauf, einige der Kernkomponenten zu untersuchen, die speziell bei der Unterstützung guter Auditprogramme im Zusammenhang mit Risiken durch Dritte helfen. Äh, und es gibt ein paar Fragen, mit denen wir uns im Rahmen dessen beschäftigen werden. Das zentrale Thema, das Sie heute sehen werden, ist die Reifegradbewertung. Der Grund, warum wir Sicherheitsbewertungen als Audit-Mechanismus verwenden, ist, dass sie wiederholbar und konsistent sind und einen geeigneten Maßstab bieten. Im Laufe unserer Reise und unserer Gespräche heute werden wir einige häufig gestellte Fragen behandeln. Wir werden verstehen, wie wir tatsächlich überprüfen können, ob ein Programm, ein TPRM-Programm, ein Programm zum Management von Risiken durch Dritte, effektiv und korrekt funktioniert. Wir werden uns die wichtigsten Benchmarks im Zusammenhang mit einem TPRM-Programm ansehen. Wir werden verstehen, wie wir tatsächlich feststellen können, wo ein einzelnes Programm im gängigen Reifegradmodell steht, das das Ergebnis der Reifegradbewertung ist. Wir werden uns einige der gängigen Schwellenwerte für die kritischen Benchmarks ansehen, aus denen sich diese Reifegradbewertung zusammensetzt, und wir werden allgemeine Einblicke geben, wie man tatsächlich zum nächsten Benchmark gelangt. Wie Amanda bereits richtig erwähnt hat, wird es später eine Frage-und-Antwort-Runde geben. Wenn Sie also Fragen haben, können Sie diese gerne in die Frage-und-Antwort-Runde einbringen. Wir werden uns bemühen, diese entweder im Laufe dieser Sitzung zu beantworten oder sie für das Ende aufzuheben. Also, Joe, was ist eigentlich eine Reifegradbewertung für ein Drittanbieterprogramm?

Joe: Sicher. Das ist ein guter Ausgangspunkt. Es ist also wirklich eine Möglichkeit, zu verstehen, wo Sie derzeit mit Ihrem Drittanbieterprogramm stehen. Wir sehen, dass viele Unternehmen sich in die Erstellung und Entwicklung eines Programms stürzen, in der Hoffnung, dass es erfolgreich sein wird. Eine Reifegradbewertung ermöglicht es uns, einen Schritt zurückzutreten und genau zu verstehen, ob wir alle wichtigen grundlegenden Komponenten berücksichtigt haben, die ein gutes Programm ausmachen. Gibt es Dinge, die wir übersehen haben, als wir die Ebenen aufgebaut haben, die ein Programm unterstützen? Durch die Anwendung eines Bewertungssystems können wir verstehen, wo wir stehen und wo wir potenziell hin gelangen könnten. Alistair: Joe, warum sollte mich das eigentlich interessieren? Joe: Ja, gute Frage. Sobald wir unser Bewertungssystem für eine Reifegradbewertung aufgebaut haben, verstehen wir, wo wir stehen. Dann können wir mit der Planung beginnen. Wenn wir also beispielsweise eine Zwei auf dieser Reifegradskala erreichen, können wir uns ansehen, warum wir eine Zwei erreicht haben. Wo waren unsere Erfolge, wo waren unsere Schwächen, und dann können wir intern Verantwortung übernehmen, um tatsächlich den nächsten Level zu erreichen. Und wie sich das auf unser Programm auswirken könnte. Und wenn wir uns ein Gesamtprogramm ansehen, sollten wir nicht nur darauf achten, wie wir mehr Anbieter bewerten und wie wir Risiken minimieren können. Es sollte darum gehen, diesen Prozess so effizient wie möglich zu gestalten. Und das ist in der Regel einer der Bereiche, in denen wir häufig Fehler sehen, wenn Unternehmen ihr Programm zusammenstellen. Es geht darum, etwas zu entwickeln, das skalierbar ist. Man wird hoffentlich immer mehr Anbieter an Bord holen. In diesem Sinne müssen wir uns frühzeitig überlegen, wo wir die Effizienz verbessern können, damit wir die Vorteile sehen können, wenn wir das Programm im Laufe der Zeit ausweiten und ausbauen.

Joe: Und ich möchte hier auch erwähnen, dass wir festgestellt haben, dass beim Erstellen dieser Art von Fragensätzen und beim Versuch, den Reifegrad zu verstehen, ein gemeinsames Thema auftauchte: Unternehmen versuchten immer, bei einigen dieser Bewertungen die bestmögliche Punktzahl zu erzielen, obwohl man eigentlich genau umgekehrt vorgehen sollte. Man sollte immer versuchen, eher auf der Seite der Unreife als auf der Seite der Reife zu bleiben, wenn man diese Art von Bewertungen ausfüllt, damit man, wenn es irgendwelche Grauzonen gibt, in denen man bestimmte Schwächen sieht, diese im Blick behält, um sie weiterzuentwickeln und im Laufe der Zeit zu verbessern. Ein weiterer Punkt, der hier ebenfalls erwähnt werden sollte, ist, dass man, wenn man eine solche Übung regelmäßig durchführt, hoffentlich vierteljährlich oder mindestens jährlich, darauf achten sollte, dass es sich um einen Vergleich von Äpfeln mit Äpfeln handelt. Wie war unsere Situation im letzten Jahr? Wie haben wir die Bewertung durchgeführt, waren wir ehrlich mit unseren Antworten? Haben wir sie auf eine bestimmte binäre Weise beantwortet, die einen Vergleich mit etwas ermöglicht, das wir später ausfüllen? Das sind also einige der wichtigsten Faktoren, die ich berücksichtigen würde, wenn wir damit beginnen, eine Bewertung auszufüllen oder uns auf diese Reise der Durchführung von Bewertungen begeben. Alistair: Danke, Joe. Das sind interessante Informationen. Eine Frage, die mir dabei häufig gestellt wird, ist: Das ist großartig. Es gibt also ein Benchmarking-Modell von eins bis fünf, das auf dem Carnegie-Modell zur Reifegradbewertung basiert.

Alistair: Aber was sehen Sie normalerweise als Durchschnitt? Sie haben erwähnt, dass man von vornherein davon ausgehen sollte, dass die Leute noch unerfahren sind, und dass man ein gewisses Maß an Unreife in ihrem Programm und den Säulen erwarten sollte. Alistair: Wie sieht ein gutes Programm im ersten Jahr aus? Joe: Ja, ich würde sagen, die häufigste Bewertung, die wir für unser spezielles Modell sehen, liegt zwischen zwei und drei Punkten. Also ein sich entwickelndes und skalierbares Programm. Und das ist typisch, weil ich denke, dass alle Grundlagen eines Programms vorhanden sind, aber es fehlt noch die Überprüfung, wie man die Dinge skalierbarer und effizienter gestalten kann, weshalb man nicht zu diesem skalierbaren und optimierten Zustand des Programms gelangt. Also sehen wir häufig eine Zwei bis Drei, ich denke, mit etwas, wissen Sie, einem Jahr, in dem man sich tatsächlich mit einem Programm befasst, das einige dieser Schwächen entwickelt, denke ich, dass es erreichbar sein sollte, dass Sie, wissen Sie, zwischen einer Drei und einer Vier erhalten können, langweilig. Ich würde sagen, das ist typisch, wenn Sie alles richtig machen, Sie führen diese, ähm, vierteljährlich durch und Sie haben intern die richtigen Verantwortlichkeiten, um die Leute dafür verantwortlich zu machen, dass sie in diesen Bereichen tatsächlich Fortschritte machen.

Alistair: Sehr interessant. Was ist das Beste, das Sie gesehen haben, Joe? Joe: Das Beste, was ich gesehen habe, ist eine späte Form. Eine Sache, die wir bei der Betrachtung dieser Art von Kennzahlen ebenfalls berücksichtigen müssen, ist der tatsächliche Umfang der Bewertung. Unternehmen haben möglicherweise nur eine sehr geringe Anzahl von Drittanbietern. In diesem Fall können sie viel Zeit in die Entwicklung einiger dieser Bereiche investieren. Wenn das Programm wächst, kann es sogar vorkommen, dass Organisationen in einigen Bereichen schlechter abschneiden, weil der Umfang des Programms zunimmt. Vielleicht gibt es neue gesetzliche Bestimmungen, die sie in ihrem Bewertungsprogramm berücksichtigen müssen. Obwohl wir also einige Organisationen mit recht hohen Punktzahlen sehen, würde ich sagen, dass es eher darum geht, diese Punktzahlen aufrechtzuerhalten, was mit zunehmendem Umfang des Programms zu einer Herausforderung wird. Alistair: Verstanden. Vielen Dank, Joe. Das ist sehr hilfreich. Das veranlasst mich zu der Frage: Was sind die Schlüsselfaktoren, die tatsächlich zu diesen Bewertungen beitragen? Sie wissen schon, die hohen Bewertungen, die hohen Punktzahlen usw. Wie komme ich von einem relativ unreifen Programm zu etwas, das komplexer ist? Was trägt dazu bei?

Joe: Ja, wir sollten damit beginnen, ein Programm in kleinere Komponenten zu zerlegen, um einen detaillierteren Überblick zu erhalten oder um einen echten Einblick zu gewinnen, wo wir unser Programm verbessern und weiterentwickeln können. Aus diesem Grund haben wir uns für die Erstellung einer Reifegradbewertung entschieden, bei der wir bestimmte Säulen betrachten, anhand derer wir eine Bewertung vornehmen können, auf die wir gleich noch zu sprechen kommen werden. Aber wenn wir uns die Bewertung ansehen, wie ich sie gerade erwähnt habe, sollten wir sicherstellen, dass wir einige wirklich klare Punkte haben, die wir hinter den Fragen, die wir stellen, ansprechen müssen. Wenn wir uns zum Beispiel den Inhalt eines Fragebogens ansehen und wie weit wir in einem bestimmten Bereich eines Fragenkatalogs sind, sollten wir uns diesen Fragenkatalog ansehen und herausfinden, wie wir uns verbessern können, wenn wir anfangen, diese Fragen vierteljährlich zu überprüfen. Ähm, aber ja, wir haben viele dieser Punkte gerade angesprochen. Ähm, der binäre Ansatz zum Ausfüllen eines Fragenkatalogs, um sicherzustellen, dass es einen standardisierten Ansatz gibt, um die Ergebnisse als Output der Bewertung zu erhalten. Wie ich bereits sagte, müssen wir Äpfel mit Äpfeln vergleichen, um ein echtes Verständnis für die Reifegradverbesserungen zu erhalten. Ähm, und ein weiterer wirklich wichtiger Punkt ist, dass wir bei der Bewertung anhand der Reifegradbewertung auch versuchen sollten, den Output zu priorisieren. Wir betrachten also nicht einfach alles innerhalb des Programms als gleichwertig, wenn wir unsere Reife bewerten. Es sollte bestimmte Dinge geben, die wichtiger sind als andere, oder bestimmte Abhängigkeiten, die wir zuerst schaffen müssen, und genau hier müssen wir etwas mehr Intelligenz in unsere Bewertungsinhalte einbringen.

Alistair: Danke, Joe. Du hast da von Säulen gesprochen. Säulen klingen sehr unterstützend und sind aus Sicht des Benchmarkings sicherlich nützlich. Also, ähm, ich würde gerne mehr darüber erfahren, Joe. Was sind das für Säulen? Joe: Ja, klar. Danke. Wenn wir uns also eine Bewertung oder ein Programm ansehen, müssen wir es in bestimmte Bereiche unterteilen, damit wir verstehen können, wo unsere Stärken und Schwächen liegen. Der logischste Weg, ein Programm auf der Grundlage unserer Bewertungstypen zu unterteilen, sind die Säulen, die wir hier vor uns sehen. Wir haben also Abdeckung, Inhalt, Rollen und Verantwortlichkeiten, Nachbesserung und Governance. Und das sind die fünf Säulen, die unser Programm stützen. Innerhalb dieser Säulen haben wir eine Reihe von Fragen und einen Reifegrad. Der Vorteil dieser Aufschlüsselung über die Gesamtbewertung des Programms hinaus besteht darin, dass wir einen wirklich detaillierten Überblick darüber erhalten, wo unsere Stärken und Schwächen liegen. Ich denke, dass einige Bewertungen, die nur eine allgemeine Reifegradbewertung liefern, viel von dieser Transparenz und Granularität verlieren. Und obwohl man eine Bewertung wie 2,94 erhält, ist es wirklich schwierig zu erkennen, wie gut das eigentlich ist. Erst wenn man anfängt, es aufzuschlüsseln, wie Sie in dieser Tabelle vor uns sehen können, erkennt man die klaren Stärken und Schwächen, die tatsächlich diese Gesamtbewertung ausmachen. Vielleicht lohnt es sich, während wir bei dieser Folie sind, kurz darauf einzugehen, warum wir ... oder einen kleinen Überblick über jede dieser Säulen zu geben. Der Umfang wäre also, wie viel von den Drittanbietern wir tatsächlich mit dem Programm bewerten oder abdecken, oder wie viel wir glauben, dass wir abdecken, sollte ich sagen? Bewerten wir alle unsere Drittparteien? Verfügen wir über einen soliden Onboarding-Workflow, um sicherzustellen, dass neue Drittparteien in das Programm aufgenommen werden, und pflegen wir diese Drittparteien auch? Dann kommen wir zum Inhalt, also zum Inhalt des Fragebogens. Versenden wir genügend Bewertungsinhalte oder Fragebogentypen, um das erforderliche Bewertungsniveau zu erreichen? Dann kommen wir zu den Rollen und Verantwortlichkeiten. Haben wir die richtigen oder wichtigsten Rollen innerhalb des Programms definiert und dokumentiert, und sind alle geschult? Dann schauen wir uns die Abhilfemaßnahmen an, bei denen wir uns auf die Risiken und den Überprüfungsprozess konzentrieren, und schließlich die Governance, die sich hauptsächlich auf die Berichterstattung und die Aufrechterhaltung von Prüfungsnachweisen konzentriert, die belegen, dass unser Programm erfolgreich funktioniert.

Alistair: Interessant. Nun, Joe, eine meiner ersten Fragen dazu ist, wie diese fünf Kernsäulen gewichtet werden und zur Gesamtbewertung beitragen. Werden sie alle gleich gewichtet? Joe: Ja, das ist eine sehr gute Frage. Wie ich gerade erwähnt habe, sind einige Bereiche eines Programms von anderen abhängig. Um bei dem Vergleich mit dem Laufen vor dem Gehen zu bleiben: Die Komponenten des Gehens werden stärker gewichtet. Das sind die Dinge, die man richtig machen muss, um skalieren zu können. Ein Beispiel: Im Bereich Rollen und Verantwortlichkeiten sollte man nicht einfach endlos Ressourcen in ein Programm stecken, um Bewertungen abzuschließen. Wir sollten uns die Arbeitsabläufe und die Schulungen ansehen, um sicherzustellen, dass diese Prozesse effizient ablaufen, und das sind die Bereiche des Programms, die wir in der Regel mit einem höheren Stellenwert betrachten als einige der späteren Bereiche.

Alistair: Danke, Joe. Vor diesem Hintergrund erscheint es mir sinnvoll, dass wir uns nun mit einigen dieser einzelnen Säulen näher befassen. Alistair: Joe, könnten Sie uns zunächst einen kleinen Einblick in den Bereich „Abdeckung” geben, da dies ein ziemlich Alistair: wichtiges Thema ist, wenn wir uns mit Lieferantenbeständen und Risiken durch Dritte befassen. Joe: Ja, gerne. Ich denke, das Hauptziel der Säule „Abdeckung” besteht darin, sicherzustellen, dass wir alle unsere Drittanbieter bewerten, damit wir keine potenziellen Risiken innerhalb unserer Lieferkette übersehen. Die Säule „Abdeckung” befasst sich also mit den Prozessen, die dies unterstützen. Haben wir also einen Überblick über alle unsere Drittanbieter? Gibt es ein Verzeichnis unserer Lieferanten? Wissen alle, wie man es benutzt? Wenn eine neue Anfrage für eine Dienstleistung von einem Lieferanten eingeht, wissen unsere Mitarbeiter dann genau, wo sie eine Anfrage für die Aufnahme eines neuen Lieferanten stellen müssen? Es geht also darum, diese Lücken im Programm zu schließen, um sicherzustellen, dass es keine potenziellen Bereiche gibt, in denen Risiken bestehen könnten und wir keinen Überblick darüber haben. Sobald wir wissen, dass wir eine gute Abdeckung haben, können wir damit beginnen, diese Anbieter auf die richtige Weise zu identifizieren und zu profilieren. Auf der rechten Seite finden Sie eine praktische Grafik, die einen Überblick über einige der Bewertungslogiken gibt, die manche Unternehmen anwenden könnten. Das Ziel dabei ist, dass wir bei der Betrachtung von Anbietern wissen, wo wir unsere Bemühungen priorisieren sollten. Wenn wir also einen stationären Anbieter haben und jemanden, der unsere Daten hostet, möchten wir sicherstellen, dass diejenigen, die unsere Daten hosten, gründlicher und kontextbezogener bewertet werden. Die Profilerstellung und Einstufung ist also eine Möglichkeit, zu verstehen, wer ein Anbieter zum Zeitpunkt der Aufnahme ist. Je mehr Informationen wir so früh wie möglich im Prozess erhalten, desto mehr Kontext haben wir, um sie richtig bewerten zu können. Wenn wir uns den Bereich „Abdeckung” genauer ansehen, kommen wir dann auch zu potenziellen vierten Parteien. U ist die dritte Partei, die wir betrachten, also nur ein Mittelsmann für einen anderen Lieferanten. Weiter entlang der Kette, und dies ist ein Bereich, in dem wir nicht viel Abdeckung von Organisationen sehen, die wir mit der Reifegradbewertung bewerten. Wissen wir, wereinige dieser Drittanbieter-Dienstleistungen unterstützt. Ein weiterer wichtiger Faktor, einer der wichtigsten auf dieser Liste, ist meiner Meinung nach die Wartung durch Dritte. Viele Organisationen bewerten Unternehmen mit einem einmaligen Ansatz, bei dem sie einen Anbieter bewerten und dann nie wieder zurückkommen und den Prozess der Profilerstellung, der Einstufung und der Sicherstellung, dass sie über die richtigen Kontaktinformationen verfügen, um bei Bedarf mit ihnen in Kontakt zu treten, wiederholen. Aber auch das ist hier unerlässlich, um sicherzustellen, dass wir Anbieter auf die richtige Weise bewerten. Es gibt nichts, was einen Tier-3-Anbieter daran hindert, in einem Jahr zu einem Tier-1-Anbieter aufzusteigen, weil sich möglicherweise der Umfang der Dienstleistungen erhöht hat. Daher ist es ebenfalls von entscheidender Bedeutung, dass wir diese Art der Wartung durch Dritte durchführen.

Alistair: Danke, Joe. Aus Sicht der guten Praxis klingt es also ganz klar so, als ob jemand, der seine eigenen Audit- und Validierungsmechanismen aufbauen möchte, all diese Faktoren berücksichtigen sollte, um zumindest die erwartete Abdeckung zu erreichen. Und wie es sich anhört, steht natürlich auch die gängige Reifegradbewertung zur Verfügung, wenn jemand diese nutzen möchte. Damit sind keine Kosten verbunden. Wir werden Ihnen später in diesem Webinar detaillierte Informationen dazu geben, wie Sie diese Bewertung durchführen können. Aber dies sind sicherlich sehr nützliche Punkte als Kennzahlen, die wir Jahr für Jahr wiederholt betrachten können. Mir gefällt der Begriff „once and dunce” (einmal und für immer). Ich denke, dass dies ziemlich gut auf das Risikomanagement von Drittanbietern zutrifft, da es sich um einen sehr fortlaufenden, iterativen Prozess handelt. Vielen Dank, Joe. In diesem Sinne gibt es einige interessante Informationen und Beobachtungen. Prevenant führt regelmäßig Bewertungen, Untersuchungen und Forschungen zum Thema Drittanbieter und zur Reife von Programmen durch. Während wir heute einige dieser wichtigen Säulen und Kennzahlen durchgehen, werden wir einige Erkenntnisse aus unserer Analyse hervorheben, die tatsächlich zu regelmäßigen Audit-Fehlern und Audit-Ergebnissen in Drittanbieterprogrammen beitragen. Einer der häufigsten Punkte, den wir in Bezug auf die Abdeckung sehen, ist interessanterweise der n-te Anbieter. Wir wissen, dass dies eine sehr häufig wiederkehrende Herausforderung für die Menschen ist. In den meisten Fällen haben die meisten Unternehmen schon genug damit zu tun, einen ausreichend guten Lieferantenbestand aufzubauen. Ganz zu schweigen davon, diesen Bestand auf die n-ten Parteien, die sogenannten vierten Parteien und nachgelagerten Unternehmen, die Joe zuvor angesprochen hat, auszuweiten. 79 % der Unternehmen, die unsere Reifegradbewertungen absolvieren und die wir untersuchen, hatten keine Programme, um Fourth Parties zu berücksichtigen. Wir beobachten einen Trend, dass sich dies verbessert, da immer mehr Tools verfügbar werden, um End-Parties zu entdecken, oder dass dies über Bewertungen geschieht, aber dies scheint einer der häufigsten Faktoren zu sein, die sich auf die Abdeckung auswirken. Okay, Joe, würdest du uns bitte einen kleinen Einblick in den Inhalt geben?

Joe: Inhalt. Ja. Einer der Hauptgründe, warum Prozesse ineffizient werden und wir bestimmte Grauzonen bei der Risikoidentifizierung schaffen. Ein wirklich wichtiger Punkt ist also, dass wir zunächst einmal genau verstehen sollten, was unsere Bewertungskomponenten sind, wenn wir uns mit Anbietern befassen. Versenden wir einfach einen Fragebogen, der für alle Anbieter gleich ist, oder wenden wir bestimmte Logik bei der Bewertung von Anbietern an? Hier kommt ein Bewertungsrahmen ins Spiel. Und wie ich bereits erwähnt habe, als ich einige wirklich wichtige grundlegende Aspekte eines Programms angesprochen habe, ist das Bewertungsrahmenwerk wahrscheinlich eines der ersten Dinge, die man sich ansehen sollte. Woher wissen wir, dass wir Anbieter auf die richtige Weise bewerten? Gibt es eine Logik, anhand derer wir bestimmen können, welche Anbieter wie behandelt werden sollten? Das Bewertungsrahmenwerk sollte also detailliert beschreiben, welche Art von Fragebogen sie erhalten könnten oder ob sie nur durch eine Remote-Sitzung oder ob möglicherweise ein Vor-Ort-Besuch erforderlich ist, ob Überwachungs- oder Bedrohungsmanagement-Elemente zum Bewertungsansatz beitragen sollten und ob dies mit der zuvor erwähnten Logik der Profilierung und Einstufung einhergeht. Wenn wir das vollständige Profil eines Anbieters im Voraus kennen, können wir sicherstellen, dass diese Informationen korrekt auf diese Anbieter angewendet werden und dass wir unsere Ressourcen sinnvoll einsetzen und in die richtigen Bereiche innerhalb unserer Drittanbieter investieren. Das ist also der erste Punkt. Und dann kommt es wirklich auf den Inhalt an, den wir in unseren Ansatz einfließen lassen, wenn wir einen Anbieter bewerten. Viele unserer Bewertungen, die wir bei unseren Kunden sehen, sind binäre Ja-Nein-Fragen. Gibt es Möglichkeiten, unseren Bewertungsansatz zu verbessern, um alle benötigten Informationen zu erhalten und diesen für unsere Lieferanten so benutzerfreundlich und effizient wie möglich zu gestalten? Wir haben viel Zeit damit verbracht, intern Fragenkataloge zu entwickeln, die benutzerfreundlich und so wenig aufdringlich wie möglich sind, da dies unsere Beziehungen zu den Lieferanten verbessert, da sie weniger Zeit mit dem Ausfüllen von Umfragen verbringen. Und wenn wir bei der Erstellung unserer Fragenkataloge das richtige Maß an Überlegung walten lassen, können wir sicherstellen, dass wir alle wichtigen Informationen erhalten, die wir benötigen, um Entscheidungen darüber zu treffen, ob ein Dritter eine Nachverfolgung benötigt, ohne dass wir uns erneut an ihn wenden und eine Reihe von Fragen stellen müssen, um wirklich an die Informationen zu gelangen, die wir benötigen. Es ist also von großem Vorteil, wenn wir uns Gedanken darüber machen, wie wir unsere Zeit in die Erstellung von Fragebögen investieren. Ob wir nun Anleitungen beigefügt haben oder nicht, wir müssen die richtige Kommunikation finden, um die von uns versendeten Inhalte zu unterstützen. Unser Ziel ist es, diesen Prozess so reibungslos wie möglich zu gestalten und mit möglichst wenig Interaktionen möglichst viele hochwertige Informationen von unseren Dritten zu erhalten. Ein wichtiger Teil davon ist auch, dass wir, sobald wir mit dem Inhalt unseres Fragebogens zufrieden sind und einige dieser Techniken angewendet haben, sicherstellen müssen, dass die Bewertung funktioniert und ausgereift ist. Haben wir also unsere Fragenkataloge an die interne Risikobereitschaft angepasst? Ich denke, wenn wir sicherstellen, dass wir diese grundlegende Ebene der Risikobereitschaft des Unternehmens haben, können wir diese Art von Logik auf unsere Fragebögen anwenden, die wir versenden, sodass wir eine gute Auswahl an Risikopunkten erhalten, die wirklich von unserer Seite aus weiterverfolgt werden müssen.

Alistair: Danke. Joe, wir haben einige Kommentare aus dem Publikum hier erhalten, die sich um das Thema Bewertungen drehen. Wir wissen es zu schätzen, dass es standardisierte Fragensätze wie den SIG gibt, die großartig sind, aber einige der Kommentare hier beziehen sich darauf, dass Anbieter diese letztendlich in eine zentrale Datenbank zurückschicken, die mit nichts Bestimmtem abgeglichen ist, oder ihnen einen Sock-2-Bericht oder etwas Ähnliches zur Verfügung stellen, und das ist im Grunde genommen alles, was sie tun. Der interessante Punkt dabei ist also, ob es wichtig ist, einen Prozess zu etablieren, der die erhaltenen Unterlagen konvertiert oder anpasst. Vielleicht sind es Beweise aus einem Sock-2-Bericht, einer 27.01-Anwendbarkeitserklärung usw. Es geht darum, einen Prozess zu haben, um das in die standardisierte Methodik zu übertragen, von der Joe gesprochen hat. Also Bewertungsmechanismen und Risikomechanismen zu haben, die aufeinander abgestimmt, aber konsistent sind. Also in der Lage zu sein, anzupassen und zu übersetzen. Interessanterweise, wenn wir uns die Trends ansehen, wenn wir uns diese Bewertungen insgesamt ansehen, haben enttäuschende 52 % keine standardisierte Methode zur Darstellung von Risikodaten hatten, und damit meinen wir die verschiedenen Mittel und Mediane, mit denen sie Informationen erhalten, also zwei Audits, ihre eigenen proprietären Bewertungen, Überwachungsdaten usw. Sie hatten keine Möglichkeit, dies zu standardisieren und zu benchmarken, was sehr stark mit Joes früheren Kommentaren zusammenhängt, dass man einen konsistenten Mechanismus haben und daher in der Lage sein muss, Risikoschwellenwerte für das gesamte Unternehmen festzulegen. Das ist extrem wichtig, wenn man über Tausende, Zehntausende oder Hunderttausende von Dritten spricht, denn seien wir ehrlich: Wenn sie nicht alle gleich sind, wird das Leben stromabwärts extrem schwierig. Das ist leider einer der Faktoren, die am stärksten zu niedrigen Reifegraden und Audit-Fehlern beitragen, wenn es um Inhalte geht, die speziell mit Risiken durch Dritte zusammenhängen. Joe, wären Sie so freundlich, mir einige Einblicke in die Rollen und Verantwortlichkeiten zu geben?

Joe: Yeah, perfect. Thanks, Alistister. So, this particular pillar is is really interesting because again, it’s going to really have a huge impact on efficiency, you know, how well we develop this particular area. So, making sure we have the right roles and responsibilities defined for a program is going to be really important. Making sure that we have all of our processes for doing out assessments, on boarding suppliers, um you know, managing that assessment process all the way through to remediation and reporting. Making sure we’ve got our roles aligned to those um specific areas accurately is going to be uh really really important. When it comes to um resource actually performing tasks, we should always try and look at how we can streamline those uh processes because if there’s an efficient an inefficiency for one particular vendor, uh then that problem is only going to get multiplied with every vendor that we on board into the program and have to perform that particular process on. Uh so I recommend we invest heavily in looking at those processes seeing how we can streamline them you know is there any automation that can take place you know could we leverage a platform to send the assessments and you know manage the chasing process for example anything we can gain here is going to be really critical to uh moving from that scoring of a two that we saw earlier where we’re just developing a program up to something that’s more scalable. Um, also to support this, we see a lot of um issues with uh with role alignment. You know, we have um one particular uh resource that’s really experiencing risk remediation that might be chasing up responders for responses on um on on risks they might be discussing, for example. So, again, making sure we’re aligning our right resource to the right jobs and tasks. again is going to be improving um the uh the efficiency of of the program. Um one thing as well that we don’t see many clients performing on a regular basis is resource forecasting and this is actually something um really easy to do. We should be able to understand pretty early on whether the uh resource we have within our team is enough to be able to support you know x number of vendors over the course of a year. We know how long each of our processes take. uh we know we’ve we may have streamlined them as well to make sure they are as efficient as possible. So now we should be able to do some basic calculations to work out you know how much of a um of a scale can our team manage and performing those types of exercises is going to be really helpful in planning and making sure we’re setting oursel up for success rather than failure as we start to build out the program on board new suppliers and um and overall begin to scale. Alistair: Thank you, Joe. It’s certainly second based on the programs I’ve seen, some of the commentary that Joe’s had there. So, when it comes to allocating the right resource for the right job, we have yet to see a overstaffed TPRM program. You might be the odd unicorn that exists out there, but um if you are, you certainly are that unicorn and congrats to you. Uh but typically what we would see is the fact that you have a small team with shared capabilities and even some quick wins such as documenting skills matrix. based on who’s doing what. Not so much a racy roles and responsibilities, but also understanding for the variations that you might have in your process, who can actually take on what role and making sure that you’re allocating responsibilities accordingly is very important. And that contributes to those resource forecasts that you do because the reality is you could be overcommitting over what you’re able to achieve in one year. And that’s a very common issue that we see. People overcommit and essentially misrepresent what they’re able to do in 12 months. And even if you do the a significant amount in year one, you end up still looking like you’ve missed targets, which is totally unfair. That is sadly still too common in this space. But what are the most common observations that we are seeing when it comes to roles and responsibilities? Uh at the very top there, lacking the standardized process. So this is about establishing a process for operations. Uh third party risk management is still a very workflow heavy activity. Tools automate and help make decisions, define thresholds etc. But you nonetheless need a process for identifying the information, reacting to the information, articulating and sharing it across the business. 62% did not have a consistently standardized process. 52% had planning shortfalls. This is where they when we ultimately looked at capacity planning, the reality is that they would never be able to achieve what they’ve committed to to the execs. Uh and that is sadly undermining all the good efforts that they’re doing throughout the year. So, we strongly strongly recommend looking at resource capacity planning and then factor that in based on the limited in information you’re probably going to get from your third parties and be pragmatic and realistic. And 59% actually overspent on TPRM resources. What do we mean by that, Joe? I think you touched on it not too long ago, which is you’ve got say senior risk consultants who are wellversed to dealing with the intricacies of risk management sitting there doing things like chasing responses, asking generic questions, answering generic questions as well across third parties. That’s not a good use of their time. The reality is there’s going to be a large subset of risks that they need to deal with. So aortioning the right duties to the right people is certainly uh valid and worthwhile. Joe, please share more on remediation for me.

Joe: Remediation uh again I keep hammering home this point around efficiency, but um it really is going to be key here as well. Uh a lot and you even touched on it there with one of the the stats you mentioned around um some inconsistent approaches. So, one thing we we’re commonly finding with with remediation is um there’s not a consistent approach leveraged by teams to perform review process pro processes, whether that’s a review of a submission that’s just been returned to us from a a vendor uh or it’s an actual risk that needs to be reviewed internally. There’s always seems to be a lack of um a standardized approach that’s actually documented to support these types of activities. So things like playbooks, uh if we’re looking at a question and they answer X or Y, you know, what should we do? What’s our standard response? You know, actually looking looking at our um request for evidence and where they provide it, you know, providing some guidance internally on what we should look for. to validate that this particular evidence is fit for purpose. The more we can invest in in that type of process and documenting it, the less we would have to rely on some of these more expensive resources performing these types of tasks because we’ve actually documented it. It’s more of a playbook and there’s some some standardized logic to it. So recommend uh and of course we’re we’re um we’re reviewing everything consistently which is going to be beneficial to uh to the program. So I recommend uh you know we we build on that as a dependency or one of our more heavily weighted areas for improving maturity within this particular area. Um making sure we have aligned a good and um maintained uh risk scoring to the the types of uh risks that we’re assessing as well. It’s going to be beneficial. So we have seen a lot of um question sets which have been used within within programs where they just using a binary approach of you know is this in place yes or no. Um without applying that scoring and that waiting to how important that particular question is to the business it becomes very difficult to prioritize these items for review internally. You know we want to be able to tell our suppliers you know these are the key things we need from you right now as must-haves rather than these other 50 that might be nice to haves. So investing time into making sure you scoring is uh is up to date, maintained and um and reflective of our our internal risk appetite uh would be really uh really beneficial for maturity when it comes to risk remediation approach. Uh again a playbook is going to be hugely helpful and uh when I perform these exercises of actually debriefing some clients on their maturity assessments uh I bring this up almost every session and just say if we invest some time into defining what remediation looks like to you and how can we standardize it. Um we’re going to hugely improve the the efficiencies in that particular area. And again, as Alistister said a second ago, you know, why are we using our expensive resource to manage things that we can document and ask maybe our more junior resource or different roles to conduct for us? Any levels of filtering we can apply to those those types of processes will increase our efficiency um and overall our maturity of our program. We discussed on the last piece around uh resource management. Again the same can be applied to remediation. We should be able to grasp what our uh our scale of remediation looks like based on the team we have internally. You know how many risks can we manage a day? Do we have guidelines on um you know when our chases are needed to make sure things are in place by you know those types of uh of attributes can be really beneficial to maturing. the remediation area. And I would say although these these these things seem like uh you know it’s a heavy investment of time I actually think you could accomplish quite a lot of this stuff you know within the scope of a month say of building out what risk mediation looks like and um and standardizing it from that point onwards it’s going to be a process of evolving that playbook over time. This is never going to be uh a oneanddone approach like I mentioned earlier. If we can define our our our logic of if this then that for risks being identified and then just build on that and evolve that over time that playbook’s only going to get more and more advanced. Um and with that we’re relying on less and less expensive resource to conduct those types of activities. So another really good one there for uh for improving efficiency and that also ties into the last point there around standardization and process. We need everyone to be conducting remediation approaches in the same way, you know, having workflows defined, considering things like uh the profile of a vendor and the tier of a vendor, obviously that can impact on, you know, how we’re approaching remediation. So the more we can build on that type of activity, uh the more maturity we’re going to see in these particular areas.

Alistair: Danke, Joe. Eine häufig gestellte Frage, die uns gestellt wird, wenn es um Remediation geht, ist, dass die Leute natürlich das Gefühl haben, dass Anbieter und andere Parteien unverbindlich sind und in manchen Fällen unverhältnismäßig hohe Investitionen verlangen, um sie dazu zu bewegen, sich auf die Risikobekämpfung einzulassen. Nun, das Wichtigste, was wir in diesem Zusammenhang normalerweise betonen möchten, ist, dass Pragmatismus hier entscheidend ist. Wenn wir uns ein Programm eines Drittanbieters ansehen, sind die Toleranzwerte und Risikoschwellen in den meisten Fällen sehr großzügig. Sie lassen eine große Anzahl von Risiken durch, die als kritisch, hoch oder mittel eingestuft werden, was unverhältnismäßig sein kann. In der Regel dauert es eine gewisse Zeit der Anpassung und Feinabstimmung, bis man erste Abhilfemaßnahmen sieht, bis das Volumen zurückgeht und man wirklich beginnt, die Toleranzschwelle als Organisation festzulegen, was dann natürlich zu Abhilfemaßnahmen führt. Aus dieser Perspektive sollte es also nur ein winziger Teil Ihrer Drittanbieter sein, bei denen Sie tatsächlich aktive Abhilfemaßnahmen ergreifen, im Vergleich zu Ihrem viel größeren Lieferantenbestand. Was sind also die häufigsten Beobachtungen, die wir machen, wenn wir uns speziell mit Abhilfemaßnahmen befassen? Am häufigsten, und das ist sehr hoch, hatten 86 % keine einheitlichen Richtlinien für Abhilfemaßnahmen. Dazu gehören Unternehmen, die Dinge wie SIG, ihre eigenen proprietären Inhalte und passive Überwachung auf breiter Basis einsetzen. Wenn bestimmte Risiken Ihre Toleranzschwellen überschreiten, sollte es standardisierte Leitlinien geben. Wenn also die Risikoberater auf der Welt eines Tages auf magische Weise verschwinden würden, hätten wir alle die Möglichkeit, positive Veränderungen bei den Drittanbietern zu bewirken. Wir alle hätten die Möglichkeit, positive Veränderungen mit den Dritten zu bewirken. Es ist also wichtig, dies zu dokumentieren, und vor allem ist es skalierbar, wenn wir beginnen, dieses Wissen mit Dritten zu teilen, das Wissen der Audit-Teams zu teilen und es mit unseren Analysten zu teilen, die die Arbeit erledigen. Die zweiten 59 % hatten kein einheitliches Modell zur Bewertung der Risikowahrscheinlichkeit und der Auswirkungen. Unabhängig davon, ob Sie beispielsweise das Fair-Modell zur Risikobewertung verwenden oder ob Sie traditionelle Modelle zur Bewertung der Risikowahrscheinlichkeit und der Auswirkungen verwenden, empfehlen wir Ihnen, sicherzustellen, dass Sie über einen einheitlichen Mechanismus verfügen. Unabhängig von der Datenquelle, der passiven Überwachung oder der Verwendung Ihrer eigenen Bewertungsmethodik, egal ob es sich um zwei eingehende Berichte handelt, sollten Sie über ein konsistentes Risikomodell verfügen, mit dem Sie auf der Grundlage von Toleranzschwellen Abhilfemaßnahmen ergreifen können. Aber ja, unserer Erfahrung nach verfügen 59 % nicht über ein solches Modell. Joe, ich würde mich freuen, wenn Sie uns einen kleinen Einblick in die Governance geben könnten, die letzte Säule.

Joe: Yeah, sure. Um, and this starts with a couple of points around reporting, uh, which I’m investing a lot of time into at the moment internally in uh, in developing what’s good and what’s meaningful from a reporting standpoint. Um, but it actually becomes quite challenging to provide this type of reporting without some form of system to support the assessment approach. Uh, we need to know uh, we need an output from our assessment. We need risk registers. We need some scoring mechanisms behind it to be able to collect this data and and present it back to the business in in a meaningful way and something that they can understand and and interpret. Uh which becomes, you know, quite challenging when we’re working with just Excel documents or, you know, standalone assessments on in different files and different areas of our of our desk, let’s say. Um but when we’re using more um uh more automated systems, we can start to pull this information together. and provide something quite uh quite automated, quite quick and of course we can start to collect data together and that’s when this stuff becomes a little bit more powerful. So from an individual reporting standpoint here we’re referencing how mature are you able to report on a particular third party as an output from an assessment. And this shouldn’t just be you know there was this x amount of risk items and and we’re managing them and here’s our target dates. We should also include here any context around who that third party is, what they do for us, uh who would be impacted by this particular third party if we were to terminate services with them and what tier they might be. You know, those types of attributes and immediately that starts to add to the story of the data that sits within this type of reporting. Um so being able to collect that data together and prioritize the output from our our risk review and and the assessment content um would would demonstrate some real maturity from an individual reporting aspect. Additionally, we’d be great to be able to prepare to be able to pair that with some of our monitoring data that you might be using as well if you’re leveraging passive insights around businesses and uh and whether there’s any new emerging threats related to that industry. Again, all of that information paints that better picture for that individual third party and demonstrates a maturity within that area. When it comes to program reporting, it again relies on a method of collecting data together. Uh, ideally we want to be able to see um how one vendor stacks up against another vendor. Um, which could be, you know, hugely helpful if you were leveraging this approach for things like um RFPs and those types of aspects. Um, but also it’s going to be really helpful to see trends. You know, how how does um uh how many risks particular type are we seeing within the program? Are there sudden spikes or commonalities in risk within uh within the program? And probably one of the most valuable metrics to be able to see and demonstrate back to the business to uh to give get some value from all the hard work that the program has been putting in is can we demonstrate risk reduction. Uh and that’s something that yes, organizations can say they’re doing uh I would hope. But being able to say they’re doing accurately becomes more challenging and that’s where we then lean on some of the other areas that we’ve been talking about today. You know, how accurate our remediation approach is. Whether we can uh provide some assurance that the whole program is within scope of our uh sorry, all of our third party estate is within scope of our program. Whether we are happy that we’re maintaining third party information. When it’s it’s only when it’s paired with all that that we can demonstrate some with some accuracy that our program is working and and functioning successfully. Uh using that information, of course, we need to be able to demonstrate to other areas of of the business that uh you know where we’re seeing threats and um anything valuable or meaningful uh to them. As I said a second ago, when we start to aggregate these reporting, we can start to um we can start to add a bit more value to the other areas in business. I think it becomes more and more challenging to give some definitive answers about risk to the rest of the business when we’re just looking at things on a on an individual third party by third party basis. Uh a couple of quick points here just to mention around maturity. So the whole aspect that we’ve talked about today is you know dissecting a program measuring maturity across each area. We need to make sure we’re doing this consistently. Um there’s a chart on the right there giving some indication that we should be doing this at least quarterly which is something I recommend. Uh I think that’s useful for a couple of reasons. Uh one Of course, um we can demonstrate hopefully some improvements in those areas, but also it makes sure that if we are assigning objectives and tasks to improving our program that they are being worked on and we are seeing progress without making sure these checkpoints are in place. You know, other things can take priority uh over uh improving third party program maturity. So, ensuring this is brought up time and time again as part of an agenda uh make sure that we’re accountable and that we are you know adhering to some of our tasks to get program maturity increased.

Alistair: Danke, Joe. Und für diejenigen unter Ihnen, die sich mehr für einige der KPIs und KIS interessieren, die wir in einem guten TPRM-Programm erwarten, haben wir natürlich einige Inhalte zu diesem Thema in früheren Webinaren, die wir mit Shared Assessment durchgeführt haben. Schauen Sie sich also gerne die Prevalence-Website an, dort finden Sie weitere Informationen dazu. Wenn wir uns mit Governance befassen, wie Joe zu Recht erwähnt hat, erfordert bewährte Praxis Konsistenz. Eines der häufigsten Probleme, das wir in diesem Zusammenhang beobachten, ist die Tatsache, dass Menschen Berichte aufgrund ihres Umfangs falsch darstellen. Sie sagen beispielsweise, dass 80 % unserer Lieferanten dieses Ergebnis haben, obwohl sie nur 5 % ihres Portfolios, also ihres Lieferantenbestands, bewerten. Das sind irreführende Daten, die letztendlich den Rest des Unternehmens in eine falsche Sicherheit wiegen können. Man würde erwarten, dass das Auditteam einige dieser Unstimmigkeiten ziemlich schnell aufdeckt und in der Lage ist, den Umfang der Berichterstattung mit den erzielten Ergebnissen abzugleichen. Bitte denken Sie daran. Als wir uns speziell mit der Governance befassten, stellten wir fest, dass 69 % strategische Berichtsgelegenheiten verpassten, bei denen sie die Informationen aus dem TPRM-Programm nutzen konnten, um positive Geschäftsergebnisse zu erzielen. Diese Informationen könnten beispielsweise an das Datenschutzteam oder die Beschaffungsabteilung weitergegeben werden, um die Einhaltung oder Nichteinhaltung von Vorschriften durch einen Lieferanten nachzuweisen, um bei Vertragsverhandlungen zu helfen oder um sie natürlich auch an die Rechtsabteilung weiterzugeben, um regulatorische Verpflichtungen zu erfüllen. Die Datensätze bieten vielfältige Vorteile, die entweder dazu genutzt werden könnten, mehr Budgets zu sichern oder einen anderen Teil des Unternehmens zu unterstützen. Zweitens haben 59 % Schwierigkeiten, sich einen Überblick, pardon, einen Gesamtüberblick über die Risiken von Drittanbietern zu verschaffen. Und das liegt einzig und allein daran, dass es an Konsistenz zwischen ihren Programmen mangelt oder dass sie nicht in der Lage sind, die Datensätze so zu formulieren, dass die Führungskräfte, der Lenkungsausschuss usw. letztendlich Ergebnisse sehen können. Wir empfehlen daher, sicherzustellen, dass Sie über Berichtsmechanismen, KPIs oder K-Augen verfügen, die dabei helfen, den Fortschritt des Programms zu verdeutlichen. Was kommt als Nächstes? Wir geben Ihnen dann etwas mehr Informationen speziell zu Reifegradbewertungen, wie Sie entweder Ihre eigenen erstellen oder die gängigen Angebote nutzen können und wie Sie letztendlich Zugang dazu erhalten. Um noch einmal zu wiederholen: Einige dieser Ergebnisse stammen aus einer breiten Palette von Reifegradbewertungen, die Prevenant weltweit in mehreren Organisationen verschiedener Disziplinen, Branchen und Größen durchgeführt hat. Es handelt sich also um einen interessanten, breit gefächerten Datensatz. Also ganz kurz, wie geht es weiter? Wir haben jetzt ein Verständnis dafür, welche Arten von Informationen wir erwarten würden oder welche ein Audit erwarten würde, wenn es um diese gemeinsamen Säulen geht. Das Allererste, was wir empfehlen würden, ist, Verbesserungen zu priorisieren. Wenn Sie in der Lage waren, entweder Ihre Basisliste der Einflussfaktoren für Ihre eigenen Säulen zu dokumentieren oder natürlich das gängige Reifegradmodell, die Reifegradbewertung, zu verwenden, empfehlen wir Ihnen, Ihre Schwächen, die Bereiche mit Verbesserungspotenzial, aufzubauen und zu dokumentieren. Wenn Sie die Auswirkungen dieser Faktoren auf Ihr Portfolio und Ihre Organisation in Ihrem Lieferantenbestand verstehen, können Sie natürlich damit beginnen, zu prüfen, was zuerst angegangen werden muss. Ein Faktor, der dabei eine Rolle spielt, ist der Aufwand. Im Idealfall würden Sie den Aufwand gegen den Nutzen und das damit verbundene Risiko abwägen, um eine nach Prioritäten geordnete Liste von Maßnahmen zu erhalten, die Sie ergreifen könnten. Sie werden unweigerlich einige schnelle Erfolge sehen, wahrscheinlich weniger im Bereich des Lieferantenbestands, sondern eher bei den betrieblichen Veränderungen und Prozessen und möglicherweise sogar bei den Inhalten. Sobald Sie das getan haben, haben Sie die Möglichkeit, mit der Planung und der Zuweisung realistischer Zeitpläne zu beginnen, diese den Personen zuzuweisen, die über die entsprechenden Fachkenntnisse verfügen, und dann Ihre tatsächlichen Ziele zu definieren. Wir wollen in den nächsten 12 Monaten um 0,8 Punkte für diesen Pfeiler und um 1,2 Punkte für diesen Pfeiler wachsen, und hier sind die umsetzbaren, messbaren Maßnahmen, die wir ergreifen können, um dieses Ziel zu erreichen. Wenn Sie die Aufgaben in Säulen und Phasen unterteilen und einen typischen projektbasierten Ansatz verfolgen, wird Ihnen das das Leben erheblich erleichtern. Demonstrieren Sie dies bei den jährlichen Audits, während Sie diese Auditzyklen durchlaufen. Bevor wir nun an Scott übergeben, möchte ich noch einmal an Amanda von unserer Seite zurückgeben, um eine kurze Umfrage durchzuführen. Amanda,

Amanda: Hallo. Okay, ich habe hier noch eine kurze Umfrage. Vielen Dank. Ähm, ich werde sie jetzt starten. Es ist eine ganz einfache, klare Frage. Möchten Sie in den kommenden Monaten unser Risikomanagementprogramm für Dritte erweitern oder ein solches Programm einführen? Sind Sie dabei, etwas für 2023 zu planen? Ist das einer der Gründe, warum Sie hier sind? Ähm, wenn Sie mit uns, mir oder den Leuten aus meinem Team sprechen möchten, antworten Sie bitte ehrlich. Bitte sagen Sie Ja. Dann werden wir uns bei Ihnen melden. Das ist unsere Aufgabe. Ich werde die Umfrage noch ein wenig laufen lassen. Je schneller Sie antworten, desto schneller ist sie vorbei. Es ist ein kleiner Spaß, wissen Sie, damit ich es hinter mich bringen kann. Lassen Sie uns weitermachen. Damit werde ich die Umfrage beenden und das Wort an Scott Lang übergeben.

Scott: Hey, vielen Dank, Amanda. Alistister, bitte fahren Sie mit der nächsten Folie fort. Ähm, wissen Sie, alles, was Sie heute von Alistister und Joe gehört haben, drehte sich darum, Ihnen dabei zu helfen, Ihr Programm von Ihrem aktuellen Punkt A zu Ihrem gewünschten Punkt B oder Punkt C in der Zukunft zu bringen. Und wir sehen viele Herausforderungen, denen Unternehmen auf dem Weg dorthin gegenüberstehen. Ähm, Alistar, Sie können sogar zur nächsten Folie übergehen, um die Präsentation etwas zu beschleunigen. Aber diese drei Dinge, die wir bei Unternehmen beobachten, die ihre Ziele erreichen wollen, sind: bessere Daten, um gute Entscheidungen zu treffen, die Verbesserung der Zusammenarbeit zwischen verschiedenen Abteilungen im Unternehmen, da jeder in irgendeiner Form am Management von Drittanbietern beteiligt ist, und die Weiterentwicklung und Skalierung ihrer Programme im Laufe der Zeit. Diese drei Bereiche sind genau das, was Prevalent tut, um ein Risikomanagementprogramm für Dritte im Laufe der Zeit auszubauen und zu verbessern. Auf der nächsten Folie sehen Sie unseren präskriptiven Ansatz für den Erfolg, bei dem wir das Risikomanagement für Dritte nur aus der Perspektive eines Lebenszyklus betrachten, da jede einzelne Phase dieses Beziehungslebenszyklus einzigartige Risiken mit sich bringt. Wenn Siesich am Anfang oder am Ende dieses Lebenszyklus selbst benachteiligen, erhalten Sie keinen ganzheitlichen Überblick darüber, was Ihr Unternehmen tun kann, um seine Position und seine Reife in Bezug auf diese verschiedenen Risiken zu verbessern. Ich werde diese Dinge nicht im Detail besprechen, da ich Ihnen die Möglichkeit geben möchte, Fragen zu stellen, aber Sie können sehen, dass wir letztendlichversuchen, Ihnen die Tools an die Hand zu geben, die Sie benötigen, um die Einarbeitung zu vereinfachen und zu beschleunigen, Ihnen einen programmatischen Prozess zu bieten, den Prozess der Bewertung von Anbietern und der Schließung von Risikolücken zu optimieren und dann Ihre Teams im Laufe der Zeit zu vereinen. Nächste Folie, bitte. Alistister, unsere Lösungen sind eine einzigartige Kombination aus den Menschen, den Daten und der Plattform oder den Experten, die wir in unserem Team haben, um Ihnen dabei zu helfen, Ihr Programm im Laufe der Zeit zu entwerfen, aufzubauen und zu optimieren. Eine unglaubliche Menge an Daten fließt in die Berechnung der Risiken und die Messung Ihrer Fortschritte im Laufe der Zeit ein. All dies wird in einer preisgekrönten Plattform gespeichert, kontrolliert und verwaltet, die es uns und Ihnen ermöglicht, Ihre Aufgaben und Ihr Management zu zentralisieren und Ihre Prozesse im Laufe der Zeit zu verbessern. Nächste Folie, Alistister, bitte. Und wir haben eine Reihe von Anwendungsfällen, die wir mit der Plattform behandeln, die hier nach Abteilungen oder Bereichen gegliedert sind, unabhängig davon, ob Sie sich mit Beschaffung, IT-Sicherheit oder Datenschutz befassen. Ich werde nicht weiter darauf eingehen. Sie werden dies nach der heutigen Präsentation erhalten, aber es genügt zu sagen, dass wir eine bedeutende Reihe von Risiken auf breiter Front behandeln. Nicht nur traditionelle IT-Risiken im Bereich der Cybersicherheit, obwohl diese vorherrschend sind, sondern wir können Organisationen auch dabei helfen, Risiken außerhalb des IT-Bereichs anzugehen. Nächste Folie, bitte, Alistister. Das führt uns zu einigen Fragen, die bisher im Fragefenster aufgetaucht sind: Was kann Prevalent tun, um Ihnen zu helfen, und wie können Sie eine sehr präskriptive Reifegradbewertung nutzen, um zu verstehen, wo Sie jetzt stehen und wo Sie in Zukunft hin möchten? Wir empfehlen Ihnen, sich direkt an Prevalent zu wenden und in der Folge-E-Mail zu diesem Webinar, die wir Ihnen morgen früh zusenden, wenn wir Ihnen die Aufzeichnung schicken. Wir fügen eine Kopie der Präsentation bei, aber auch einen Link, über den Sie sich für ein kurzes Gespräch mit unseren Experten anmelden können, die Ihnen helfen können, die nächsten Schritte in Bezug auf die Durchführung dieser Reifegradbewertung zu planen. Ich möchte Sie nicht direkt damit konfrontieren. Es handelt sich um einen sehr disziplinierten und gut durchdachten Prozess, der sehr umfassend ist. Es gibt etwa 45 Fragen, die sich über fünf Ebenen und mehrere verschiedene Bereiche erstrecken und zu einem Aktionsplan für Programmverbesserungen führen. Es handelt sich also um eine geführte Übung, bei der wir Sie durch den Prozess begleiten und Ihnen alles erklären, damit Sie am Ende das Beste herausholen können. Also, netto, Sie erhalten morgen eine E-Mail von uns mit der Aufzeichnung dieser Präsentation. Darin finden Sie den Link zur Anmeldung für weitere Informationen über die Reifegradbewertung. Wir werden uns dann bei Ihnen melden und Sie durch diesen Prozess begleiten. Ich glaube, das ist alles, was ich Ihnen mitteilen wollte, Alistister.

Alistair: Das ist großartig. Fantastisch. Um noch einmal zu bekräftigen, was Scott gesagt hat: Absolut. Hoffentlich konnten Sie aus den heutigen Gesprächen einige der wichtigsten Kennzahlen und Kriterien mitnehmen, die unserer Meinung nach bei Audits gefragt sind und die in einem gemeinsamen Programm behandelt werden sollten. Unabhängig davon, ob Sie diese Benchmarks selbst zur Selbstbewertung verwenden oder die gängige Reifegradbewertung als Ihre eigene Benchmark von Drittanbietern nutzen, sind dies auf jeden Fall gute gemeinsame Punkte. Wir wiederholen noch einmal, dass es diese fünf Kernsäulen gibt, die wir auf jeden Fall empfehlen. Wenn Sie also beginnen, sich mit Ihren Rollen und Verantwortlichkeiten, Abhilfemaßnahmen, Governance, Inhalten und Abdeckung zu befassen, sind Sie auf jeden Fall auf einem guten Weg, um sicherzustellen, dass Sie alle gängigen Bereiche abgedeckt haben. Wir haben heute unser Bestes getan, um die Fragen, die über den Chat eingegangen sind, dynamisch einzubauen. Wenn Sie jedoch noch weitere Fragen haben, können Sie sich gerne an uns wenden, und wir werden diese nach der Sitzung gerne ausführlich beantworten. Aber damit möchte ich mich für heute bedanken und das Wort wieder an Amanda übergeben.

Amanda: Ja, ich möchte genau dasselbe sagen. Vielen Dank an alle für Ihre Teilnahme. Es sind noch zwei Minuten bis zur vollen Stunde, also geben wir das Wort wieder an Sie zurück. Ich weiß, dass Sie diesen Witz schon kennen. Er lautet in etwa: „Oh, mein Leben wird sich jetzt in diesen zwei Minuten verändern. Vielen Dank.“ Aber wir melden uns trotzdem wieder bei Ihnen. Wir hoffen, Sie beim nächsten Mal wiederzusehen. Wenn Sie weitere Fragen haben, wenden Sie sich bitte an uns. Wir werden uns bei Ihnen melden. Ähm, und antworten Sie immer. Überprüfen Sie Ihren Spam-Ordner, da unsere E-Mails dort oft landen. Wenn Sie also auf eine Antwort von uns warten, schauen Sie immer dort nach. Äh, eine alte Geschichte. Sie wissen ja, wie das läuft. In Ordnung. Vielen Dank an alle. Ich wünsche Ihnen noch einen schönen Tag. Tschüss.

Unbekannter Sprecher: Danke.