Wie Sie Ihre internen Stakeholder für das Risikomanagement von Drittanbietern begeistern

Melissa: Hallo und willkommen. Es ist schön zu sehen, dass alle mitmachen. Ich gebe Ihnen eine Minute, während wir darauf warten, dass die Leute sich einrichten und verbinden. In der Zwischenzeit werde ich unsere erste Umfrage starten. Los geht's. Sie wird hoffentlich auf Ihrem Bildschirm erscheinen. Oh, perfekt. Ich liebe es, dass es nicht funktioniert. Das ist mein Lieblingsteil. Alles klar, los geht's. Du wirst es jetzt sehen. Ähm, wir sind neugierig , was Sie zum heutigen Webinar führt. Ich freue mich immer, das zu sehen. Ist es, Sie wissen schon, lehrreich. Stehen Sie in der Anfangsphase Ihres Risikoprogramms für Dritte? Sind Sie ein aktueller Kunde? Lassen Sie es mich wissen. Und lassen Sie uns mit einer kleinen Einführung beginnen. Mein Name ist Melissa und ich arbeite hier in der Geschäftsentwicklung. Und heute haben wir einen wiederkehrenden Gast, Rodney Campbell, Senior Vice President und Leiter des Risikomanagements für Drittparteien bei der Valley National Bank. Willkommen zurück, Rodney.

Rodney Campbell: Ich danke Ihnen. Mike Yaffy: Ja. Und wir haben auch Mike Yaffy hier, Chief Marketing Officer von Prevalent. Hallo, Mike. Mike Yaffy: Hallo. Ich weiß, dass ich rede und winke. Melissa: Wow. Erstaunlich. Und zu guter Letzt haben wir Scott Lang, unseren eigenen VP für Produktmarketing. Hallo, Scott. Scott Lang: Hey, Melissa. Wie geht es dir? Melissa: Keine Welle. Ich sehe gerade, dass es nur eins nach dem anderen gibt, richtig? Das nächste Mal. Heute haben wir Rodney, und er wird uns erklären, wie Sie Ihre ersten Stakeholder dazu bringen, sich für das Risikomanagement von Dritten zu interessieren. Wie Sie sehen können, wird dieses Webinar aufgezeichnet, so dass Sie es zusammen mit der Diashow erhalten, kurz nachdem alles abgeschlossen ist. Und zu guter Letzt: Sie sind alle stummgeschaltet, also benutzen Sie einfach den Chat, wenn Sie etwas mitteilen möchten, das keine Frage für die Q&A-Box ist. Wenn Sie also eine dringende Frage haben, benutzen Sie bitte das Frage-und-Antwort-Feld. Wir würden uns freuen, wenn die Dinge ziemlich interaktiv wären. Und ohne weitere Umschweife überlasse ich Rodney und ein wenig Mike den Vortritt.

Mike Yaffy: Ja. Gut so. Lasst uns mit den Folien anfangen, Leute. Also, so werden wir vorgehen. Rodney hat eine Menge Erfahrung im Gegensatz zu ähm zu präsentieren. Wir werden heute ein bisschen im Interview-Stil vorgehen, was es hoffentlich ein bisschen lustiger macht, ein bisschen leichter. Wir haben bemerkt, dass Rod viel besser gekleidet ist als ich. Nun, er arbeitet in einer Bank. Wir arbeiten in der High-Tech-Branche, also ist die Tatsache, dass ich angezogen bin, geduscht bin und keinen Hut trage, für mich der Gipfel des Anziehens. Also, Rodney trägt heute keine Krawatte, also geht er in bar. Also, Melissa, kannst du die Dias verteilen? Das wäre fabelhaft. Die erste Frage, auf die wir eingehen werden, und wir werden viel darüber sprechen, wie man die Leute auf TPRM ausrichtet. Ich denke, eines der Dinge, die wir sehen, Rodney, und über die wir heute sprechen wollen, ist, dass es eine Art Konvergenz zwischen Compliance, Sicherheitsrisiko und Beschaffung gibt, und jeder muss seine Lieferanten, seine Lieferkette und die Leute, die ihn im Geschäft halten, wie ich gerne sage, bewerten. Also, äh, die erste Frage ist ein Softball, richtig? Lassen Sie uns also ein wenig darüber sprechen, wie wichtig es Ihrer Meinung nach ist, dass die internen Stakeholder aktiv einbezogen werden, oder? Wenn die Antwort "Nein" lautet, können wir das Webinar natürlich hier beenden. Also, ähm, aber sehen Sie, wie machen Sie das? Warum müssen Sie es tun? Warum ist es so wichtig, es zu tun?

Rodney Campbell: Nun, ich würde sagen, Sie sollten es immer tun. Es ist erforderlich. Man muss das Ganze aus einer ganzheitlichen Perspektive betrachten. Dies sind miteinander verbundene Aktivitäten. Zusammenhängende Aktivitäten erfordern die Zusammenarbeit zwischen Menschen, Prozessen und Technologie. Denken Sie an all die Risikokontrollfunktionen, die Sie in Ihrem Unternehmen haben. Sie wollen sicherstellen, dass die Kontrollfunktionen tatsächlich miteinander sprechen. Sie müssen sicherstellen, dass sie sich darüber im Klaren sind, was innerhalb der Organisation vor sich geht oder welches Risiko ein Produkt oder eine Dienstleistung für Ihre Organisation darstellen könnte. Ich kann Ihnen sagen, dass Sie auf viele Probleme stoßen werden, wenn Sie die Punkte zwischen Ihren Risikokontrollfunktionen, der Einhaltung von Vorschriften, Ihrer Innenrevision und Ihrem TPR-Programm nicht miteinander verbinden, denn wir müssen das Ganze aus zwei Blickwinkeln betrachten. Es gibt ein externes Risiko, richtig? Der Einsatz von Produktdiensten durch Dritte ist also die externe Risikobetrachtung. Was ist mit den internen Auswirkungen, die dies auf Ihre täglichen Geschäftsabläufe haben kann? Nun, wenn

Mike Yaffy: Rodney, wir haben es auch gesehen und ich würde sagen, dass eines der größten Probleme, die wir bei Leuten gesehen haben, die im TPRM-Bereich tätig sind und ein wenig isoliert sind, darin besteht, dass sie die verrückten Anbieter nicht in das Produkt bringen können, weil sie nicht einmal wissen, an wen sie sich wenden oder wie sie anfangen sollen, weil sie keine Verbindungen zu Leuten in ihrer gesamten Organisation aufgebaut haben. Rodney Campbell: Ich denke, das hängt mit der Unternehmensführung zusammen, nicht wahr? Wenn Sie also einen neuen Anbieter oder eine dritte Partei für ein Produkt oder eine Dienstleistung engagieren, müssen Sie sicherstellen, dass Ihre Unternehmensführung in Ordnung ist. Wie binden Sie die Stakeholder ein? Wer sollte einbezogen werden? Sie müssen sicherstellen, dass die Entscheidungen nicht in einer isolierten Umgebung getroffen werden. Sie müssen sicherstellen, dass diese Entscheidungen in Zusammenarbeit getroffen werden. Sie müssen sicherstellen, dass die Funktionen, die aktiv für den Erhalt des Produkts oder der Dienstleistungen verantwortlich sind, die Wartung und Unterstützung für diese Produkte und Dienstleistungen bereitstellen, aktiv und gleichberechtigt einbezogen werden, so dass Ihre Entscheidung am Ende ganzheitlich, aber auch fundiert ist.

Mike Yaffy: Sprechen Sie mit mir über den Nachteil, der darin besteht, dass Sie keine Unterstützung für das Programm haben, wenn Sie nicht mit den Leuten in Kontakt treten, und dass Sie vielleicht Ihre Lieferanten nicht identifizieren können. Was sehen Sie als Rodney Campbell: der Major, wenn Sie nicht bereit sind, mit einem Olivenzweig zu kommen und zusammenzuarbeiten? Was passiert dann? Was sind die Risiken, die sich daraus ergeben? Rodney Campbell: Oh je, der Olivenzweig. Man braucht mehrere Olivenzweige. Ich sage Ihnen, die Kehrseite davon ist, dass Sie es verpassen, die Anbieter zu identifizieren. Sie verpassen es, das mit den Produkten und Dienstleistungen verbundene Risiko zu identifizieren und auch das Risiko zu mindern, das mit Ihren Produkt- oder Dienstleistungsaufträgen verbunden ist. Sie müssen sicherstellen, dass Ihre Stakeholder, also nicht nur die Geschäftsfunktionen, die das Produkt oder die Dienstleistung unterstützen oder in Anspruch nehmen, sondern auch die Personen, die für den Schutz und die Unterstützung des Unternehmens vor dem Risiko zuständig sind, für die Risikominderung verantwortlich sind. Wenn Sie sie nicht einbeziehen, werden Sie das Risiko nicht in vollem Umfang mindern können. Sie werden das Risiko, das das Produkt oder die Dienstleistung für Ihr Unternehmen darstellt, falsch einschätzen und das Risiko, das mit Ihrem Produkt oder Ihrer Dienstleistung verbunden ist, insgesamt falsch qualifizieren oder quantifizieren.

Mike Yaffy: Also, ich bin nicht so schlau. Wenn Sie also von einer Fehlinterpretation des Risikos und einer falschen Quantifizierung sprechen, was brauchen Sie dann wirklich? Mike Yaffy: Zum Beispiel, und ich sage das so: Ich habe einen Haufen Dinge getan, aber erklären Sie es so, als würden Sie es mir erklären, der im Marketing arbeitet, richtig? Aber erkläre es so, als würdest du es deiner Mutter erklären. Und was ist das? Und das meine ich wirklich. Was bedeutet es in den einfachsten Worten? Rodney Campbell: Nun, wenn ich es so erkläre, wie ich es meiner Mutter erkläre, brauche ich einen Kuschelanzug und etwas Tee.

Mike Yaffy: Oh mein Gott. Meine Frau hat einen Snuggie. Meine Frau hat einen Snuggie. Ein Snuggie ist nicht zu unterschätzen. Rodney Campbell: Ja. Also, lassen Sie uns das aus dieser Perspektive betrachten. Sie wollen sicherstellen, dass Sie und Ihre Geschäftsfunktionen, denn wir werden wieder auf die miteinander verbundenen Aktivitäten zurückkommen, und Sie wollen sicherstellen, dass Sie die Verbindung zwischen Ihren Mitarbeitern und den Prozessen und Technologien vor Ort sicherstellen, um die mit diesen miteinander verbundenen Aktivitäten verbundenen Risiken zu schützen und zu mindern. Die Stakeholder sind also sehr wichtig, denn wenn man nicht die richtigen Leute identifiziert, wenn nicht die richtigen Leute mit am Tisch sitzen, wird man keine ganzheitliche oder fundierte Entscheidung treffen können. Die Entscheidung kann von einer einzigen Person getroffen werden. Sie kann speziell von der Geschäftsleitung getroffen werden. Sie kann von einer Risikofunktion getroffen werden.

Mike Yaffy: Ich möchte nur sicher sein, dass ich es richtig verstehe: Wenn man nicht die richtige Gruppe hat, hat man nicht alle Teile, die man braucht, um eine fundierte Entscheidung zu treffen. Rodney Campbell: Ganz genau. Ganz genau. Mike Yaffy: Ich meine, das macht doch Sinn, oder? Und Sie lassen jemanden außen vor, der sich um das Programm kümmern oder es zerstören könnte, richtig? Rodney Campbell: Auf jeden Fall. Und man muss es auch von der Seite betrachten. Wenn Sie einen bestimmten Dritten für ein Produkt oder eine Dienstleistung engagieren, wollen Sie dann wirklich eine Funktion oder eine Risikokontrollgruppe einbeziehen, nachdem der Vertrag abgeschlossen ist? Die Risikominderung, die vor der Auftragsvergabe stattfinden sollte, würde Ihnen entgehen. Sie sollten also sicherstellen, dass Sie die Beteiligten von Anfang an einbeziehen. Sorgen Sie dafür, dass Ihre Entscheidungen fundiert sind, und stellen Sie sicher, dass es sich um einen kooperativen Ansatz handelt.

Mike Yaffy: In Verträgen sehen wir also mehr. Ich glaube nicht, dass es oft genug vorkommt, aber die beiden Dinge, die wir in den Verträgen immer häufiger sehen, sind das Recht auf Abmilderung, das Recht auf eine Art erneute Prüfung und die Notwendigkeit einer kontinuierlichen Aktualisierung, und sie müssen dies kontinuierlich bereitstellen. Ich denke, das hängt mit der Zusammenarbeit und der Einbeziehung der Stakeholder zusammen, wenn es um die Risikobewertung eines bestimmten Produkts oder einer Dienstleistung geht. Stellen Sie sicher, dass alle Due-Diligence-Prüfungen, alle Probleme und Risiken, die Sie identifizieren, berücksichtigt werden, wenn Sie eine vertragliche Vereinbarung zwischen Ihnen und einer dritten Partei abschließen. Ich kann Ihnen sagen, dass unsere Organisation hier bei der Valley National Bank. Wir haben einen kooperativen Ansatz für die Beauftragung von Dritten für alle Produkte und Dienstleistungen gewählt. Wir wollen sicherstellen, dass die Entscheidungen nicht nur von einer bestimmten Geschäftsfunktion getroffen werden. Es ist etwas, das

Mike Yaffy: Wer ist beteiligt, wer ist beteiligt, wer ist Teil Ihrer Zusammenarbeit? Wer gehört zu Ihrem Kernteam? Nur so aus Neugierde. Rodney Campbell: Okay. Also, das Kernteam Nummer eins ist das Unternehmen, weil die Unternehmen die Eigentümer des Risikos sind. Ihnen gehört die Beziehung. Sie wollen sicherstellen, dass es die zweite Verteidigungslinie ist. Egal, ob es sich dabei um Ihre Informationssicherheit, Ihr Cyber-Risiko, Ihre TPRM-Gruppe, Ihre Compliance- oder Regulierungsgruppe handelt, sie müssen ebenfalls einbezogen werden. Aber wir wollen sicherstellen, dass wir die richtigen Leute aus den richtigen Gründen einbeziehen. Sie wollen nicht, dass, sagen wir, eine Kontrollfunktion für die Einhaltung von Vorschriften und ein potenzielles oder zukünftiges Engagement für ein Produkt oder eine Dienstleistung involviert werden, wenn dies nicht erforderlich ist. Sie wollen sicherstellen, dass für jede Kontrollgruppe. Außerdem muss sie sich an dem Risiko orientieren, das wir bei einem potenziellen Produkt- oder Dienstleistungsengagement identifizieren. Das wird also variieren.

Mike Yaffy: Okay. Nur um das noch einmal klarzustellen, es ist richtig, dass nicht jeder an allem beteiligt ist. Sie sind eine Art von Personen, die Sie kennen, die Gruppen, aber jeder in der Infoseite offensichtlich laden Sie nicht ein ganzes Infosc-Team ein, sondern Sie laden bestimmte Leute ein Mike Yaffy: Gibt es irgendeine Gruppe, die sich um die Einbindung von Anbietern kümmert? Treffen Sie die Entscheidung über die Einbindung von Anbietern als Teil einer Gruppe? Haben Sie eine Art Onboarding-Komitee, in dem Sie die Entscheidung nach und nach treffen? Haben Sie eine Beschaffungsgruppe, eine Rechtsgruppe, eine Risikogruppe und eine Sicherheitsgruppe, oder ist es so, dass die Beschaffung sie an Bord holt und wir dann irgendwie nachgeschaltet werden?

Rodney Campbell: Nein, das ist natürlich wieder ein kooperativer Ansatz. Wir haben also eine Beschaffungsfunktion, die bei der Prüfung potenzieller Dritter direkt mit dem Unternehmen zusammenarbeitet. Auch hier ist die Prüfung separat, aber ein Teil des gesamten Onboarding-Prozesses. Sie wollen sicherstellen, dass wir bei der Berücksichtigung eines angesehenen Dritten von Anfang an die richtige oder eine leichte, auf das Produkt oder die Dienstleistung zugeschnittene Due-Diligence-Prüfung durchführen. Es handelt sich also definitiv um eine Quelle für das Beschaffungsgeschäft und auch um eine entsprechende Risikokontrollfunktion bzw. Zusammenarbeit.

Mike Yaffy: Ähm Melissa, gehen Sie zu Frage drei. Das haben wir schon gemacht, das ist Nummer eins. Nummer zwei, ich weiß, wir haben Frage drei schon behandelt. Ich werde in einer Sekunde dazu kommen. Mike Yaffy: Eine andere Sache, die interessanterweise aufgetaucht ist, ist, dass wir in unserem Geschäft sehen, dass die Leute uns im Allgemeinen auf der Informationsseite engagieren und dann etwa 80 bis 75 % und dann 25 % auf der Beschaffungsseite. Während ESG und ähnliche Dinge nicht unbedingt die Hauptfunktion sind, sehen wir, dass viel mehr Fragen in Umfragen, Bewertungen und kontinuierliche Überwachung einfließen. Führen Sie eine kontinuierliche ESG-Funktion durch, nur so aus Neugierde? Ist es etwas, das irgendwie dazu geführt hat. Ist es eine eigenständige Funktion oder ist es etwas, das man sich ansieht und zu dem man kommen wird?

Rodney Campbell: Nun, unser Ansatz besteht darin, dass wir alle Risikobereiche oder Risikokategorien berücksichtigen. Ich denke, ESG ist eines der Themen, die viele Organisationen gerade reifen lassen. Einige haben es vielleicht schon reifen lassen. Mike Yaffy: Glauben Sie mir, nicht viele, wie wir neulich mit den Analysten von Gartner telefoniert haben. Wir haben mit einer Gruppe von fünf unabhängigen Analysten gesprochen, und Mike Yaffy: Wir sehen, dass viele Leute darüber reden und dass es viel Wirbel darum gibt, aber niemand tut es, oder alle evaluieren es. Also,

Rodney Campbell: Sie haben Recht. Ich werde ich werde ich werde auf jeden Fall die Anführungszeichen bei der Bewertung dort verwenden. Ich Ich Ich Ich kann Ihnen nur zustimmen. Ich kann Ihnen sagen, dass wir schon seit einiger Zeit darüber sprechen, aber ich denke, wenn wir uns andere Risikokategorien ansehen, die wir im Allgemeinen nicht in Betracht ziehen oder über die wir nicht sprechen oder die wir nicht bewerten, müssen wir anfangen, Maßnahmen zu ergreifen. Wir können Risikobereiche im Zusammenhang mit ESG oder potenzielle Risikobereiche im Zusammenhang mit ESG identifizieren. Selbst wenn Sie kein notwendiges ESG-Programm haben, sollten Sie sicherstellen, dass Sie die Indikatoren oder potenziellen Risikobereiche gleich zu Beginn identifizieren. Sie haben ein Produkt oder eine Dienstleistung. Wo wird Ihr Produkt oder Ihre Dienstleistung hergestellt? Wer stellt es her und was wird bei der Bereitstellung Ihres Produkts oder Ihrer Dienstleistung berücksichtigt? Das sind einfache Fragen, auf die es einfache Antworten gibt, aber Sie sollten sicherstellen, dass diese einfachen Antworten nicht zu größeren Risikoindikatoren für Ihr Unternehmen führen.

Mike Yaffy: Ja. Und schau, Rodney hatte mich während unserer Probezeit gefragt, ob ich etwas sagen würde, und ich sagte: "Oh, vielleicht ein bisschen", und dann sagte ich: "Ich kann mir nicht helfen", wie ihr wahrscheinlich wisst, wie Scott und Peter und jeder, mit dem ich zusammengearbeitet habe, aber schaut, ihr habt darüber gesprochen, das ist eine meiner Seifenblasen Ich habe bei infosac Marketing gemacht und dann Marketing, aber genug, um gefährlich zu sein. Ich denke, die Herausforderung, die wir haben, ist, und ich habe das bei Penetrationstests für Schwachstellen gesehen, bei Krypto, bei all diesen Marktsegmenten, wo die Leute mit dem neuen glänzenden Ball abgelenkt werden und besonders mit der bevorstehenden RSA anfangen zu reden, Oh, ich will ESG machen, ich will das machen. Man braucht ein grundlegendes Rückgrat eines gut funktionierenden Programms, das alles integriert, worüber Rodney spricht und sprechen wird, um dies richtig zu tun, bevor man zu ESG kommt. Sie fragen sich, ob Sie Ihre Tier-1-Anbieter regelmäßig auf bestimmte Kriterien hin überprüfen, oder? Und haben Sie einen Plan für die zweite, dritte und vierte Ebene? Gut. Aber wie sieht Ihr Programm aus? Wie sieht Ihr Plan aus, dann kommen Sie zu den ESG. Nein, es ist in Ordnung zu sagen, dass wir zuerst das Programm erstellen müssen. Kriechen, gehen, rennen, was auch immer du willst, Rod, aber du musst einen Plan und ein Programm haben, sonst wirfst du nur Mist gegen die Wand, ganz offen gesagt.

Rodney Campbell: Nein, ich könnte Ihnen nicht mehr zustimmen. Ich denke, wir müssen auch die Kompetenzen der Personen untersuchen, die diese Programme bewerten und durchführen. Es ist eine Sache, die neueste und beste Technologie zu kaufen und zu sagen: "Hey, hey, das ist es, was wir tun. Aber wenn Sie die Daten, die Technologie, nicht interpretieren oder aggregieren können und sie nicht in einer Weise nutzen, die für Ihre Organisation von Vorteil ist, wird sie nur zu einer weiteren Ausgabe. Sie wird zu einem weiteren Teil, den man hat, und ist völlig nutzlos. Mike Yaffy: Wissen Sie, die Technologie sollte Ihnen helfen, zu skalieren und schneller zu werden. Und wenn das nicht der Fall ist, kauft man sie nicht. Das gilt auch für die Prävalenz. Kaufen Sie es nicht. Äh, wir haben eine Frage von Ed. Und Leute, ich wiederhole, ich weiß, dass ich schon ein paar Mal gesagt habe, dass ich ein Marketingmensch bin, der gleichzeitig laufen und Kaugummi kauen kann. Wenn Sie also Fragen stellen wollen, während wir über ein Thema sprechen, werde ich gerne versuchen, sie in Echtzeit zu beantworten. Also, wir haben eine Frage von Ed. Als wir vorhin über die Gruppen sprachen, Rodney, äh, die verschiedenen Gruppen, die als Teil Ihres Ausschusses beteiligt sind, haben diese Gruppen die Macht, einen potenziellen Anbieter auf der Grundlage ihrer Due-Diligence-Prüfung abzulehnen? Ich kann mir vorstellen, dass jede der Gruppen unterschiedliche Arten von Due-Diligence-Prüfungen durchführt, die sie vor der Aufnahme eines Anbieters sehen möchte. Wie funktioniert Ihr Verfahren in diesem Fall? I

Rodney Campbell: Ich denke, dass das Risikoprofil Ihres Produkts oder Ihrer Dienstleistung zusätzlich zur Risikobereitschaft Ihrer Organisation und der Risikofunktionen berücksichtigt werden muss. Wenn ein bestimmter oder potenzieller Dritter oder ein Produkt- oder Dienstleistungsauftrag ein zu großes Risiko darstellt, das größer ist als Ihre Risikobereitschaft und größer als die vorhandenen Abhilfemaßnahmen, dann ist das der Fall. Sie sollten jedoch sicherstellen, dass dies nicht nur ein Einzelfall ist, bei dem wir nicht einverstanden sind, sondern dass die Geschäftsfunktion und andere angesehene Risikokontrollgruppen sowie die Risikokomitees der Geschäftsleitung über jede Entscheidung informiert werden, ein Engagement aufgrund eines identifizierten Risikos oder erhöhter Risikobereiche nicht weiterzuführen. Sie wollen sicherstellen, dass alle Ihre Stakeholder beteiligt sind und dass sie gleichermaßen oder gemeinsam zustimmen.

Mike Yaffy: Ja. Ich würde dem zustimmen. Ich denke, es geht darum, Erwartungen zu setzen, richtig? Wenn wir zum Beispiel Sanktionen finden, wenn die SEC gegen sie ermittelt, wenn wir herausfinden, dass sie in einem Land Kinderarbeit einsetzen, richtig? Wir sind uns alle im Voraus einig, dass diese Dinge uns davon abhalten würden, mit diesem Anbieter zusammenzuarbeiten, oder? Ich denke, es geht darum, sich hinzusetzen. Es geht um Kommunikation und Einigung, wie ich höre. Rodney Campbell: Ja, Mike Yaffy: Okay, lassen Sie uns zu Frage zwei kommen. Wir sind schon bei 18 Minuten. Wir sind jetzt bei der zweiten roten Frage. Also, ähm Oh, warten Sie. Gehen Sie dorthin zurück, wo Sie waren. Äh, wo auch immer du warst.

Melissa: Äh, nein, das haben wir schon gemacht. Ja. Lass es an. Ja. Ja. Mike Yaffy: Ja. Okay. Ich habe mit Rodney gesprochen, Melissa, tut mir leid. Oh , nur ein Scherz. Ich war.. . Ja. Ja, ich habe mich verstellt. Ich habe mich da draußen verstellt. Ähm, wie können Sie also, Reed, wie können Sie die Notwendigkeit Ich weiß, Sie haben darüber gesprochen und wir haben über Olivenzweige gesprochen. Mike Yaffy: Gib den Leuten hier konkrete Hinweise. Meine Hypothese ist, dass viele Leute in TPRM reingeschmissen werden oder zum ersten Mal mit TPRM zu tun haben, richtig? Oder sie waren, Sie wissen schon, es ist eine wirklich wichtige Sache, aber es ist ein aufstrebendes Segment, richtig? Es gibt also nicht viele Leute mit 20 Jahren Erfahrung. Ich kenne fünf von ihnen mit gemeinsamen Bewertungen, richtig? Aber ich würde sagen, in der Branche gibt es eine Menge Neulinge. Also noch einmal ganz deutlich

Mike Yaffy: Was haben Sie getan, wie haben Sie es getan, wie haben Sie diese Gruppen an den Tisch gebracht? Ich meine, sind es Treffen? Sind es Telefonanrufe? Geht man zum Mittagessen? Machen Sie teambildende Maßnahmen? Ich meine, wie bekommt man die Trägheit des Unternehmens Rodney Campbell: in eine positive Richtung. Rodney Campbell: Nein, das, das ist gut. Um noch einmal auf die Olivenzweige und einige kostenlose Mittagessen zurückzukommen, viele kostenlose Mittagessen, leider. Sie sollten sicherstellen, dass Ihre Organisation in erster Linie versteht, was Risikomanagement für Dritte ist und was es für Ihre Organisation bedeutet, was die potenziellen Auswirkungen sind. Es ist schwer, Personen innerhalb Ihrer Organisation oder sogar Personen, mit denen Sie vielleicht extern zusammenarbeiten, dazu zu bringen, etwas zu akzeptieren, was sie nicht verstehen. Dieses Verständnis ist also das Wichtigste. Sie können einen Rahmen schaffen. Sie können eine Richtlinie verfassen, aber Sie müssen sicherstellen, dass die Grundlagen dafür vorhanden sind. Sie haben es selbst gesagt, Mike, dass das Risikomanagement für Dritte in vielen Unternehmen als Verwaltungsprozess gehandhabt wurde und wird. Und es gibt einige Unternehmen, die immer noch ein komplettes Inventar über Excel-Tabellen verwalten und pflegen, aber wir haben auch gesehen, dass es in der Branche parallel dazu gibt, egal ob man Teil einer regulierten Einrichtung ist oder irgendwelchen regulatorischen Einschränkungen unterliegt.

Mike Yaffy: Alle sind übrigens unter. Mike Yaffy: Scott, ich frage dich, Scott hat dieses Compliance-Handbuch geschrieben und Scott, wie viele Seiten hat die Gesetzgebung, die sich auf das Risiko von Dritten auswirkt. Wie viele Seiten hat deine Novelle jetzt, Scott? Scott Lang: Äh, es sind vielleicht 200 Seiten oder auch nicht. Mike Yaffy: Und übrigens, es sind nur drei oder vier zwei oder drei Seiten oder vier Seiten pro Compliance. Scott Lang: Ja, Mike Yaffy: Das ist Wahnsinn. Melissa: Wow. Mike Yaffy: Wie viele Gesetzestexte oder Richtlinien Mike Yaffy: fordern jetzt direkt das Risiko von Dritten? Ich glaube also, dass jeder unter etwas steht.

Rodney Campbell: Das sind sie. Da stimme ich vollkommen zu. Aber ich kann sagen, dass es Organisationen gibt, die glauben oder den Eindruck haben, dass sie nicht von einer bestimmten Aufsichtsbehörde reguliert werden, egal ob es sich um die OC FRB FDIC handelt, aber ich denke, dass Ihre Aktivitäten reguliert werden und ich denke, dass wir uns darüber im Klaren sein müssen, was diese Aktivitäten sind und welche Risiken diese Produkte und Dienstleistungen mit sich bringen, um noch einmal auf Ihren Punkt zurückzukommen , Wie sehen Sie das Risikomanagement für Dritte? Was machen wir eigentlich? Ähm, was ist unser RARI? Denn Sie wollen sicherstellen, dass Ihr RORI wichtig ist. Ihr RARI ist nicht nur das Lieferantenmanagement, denn wenn Ihre Organisation Ihren Prozess nur als einen administrativen Ansatz für das Management unserer Lieferanten sieht oder betrachtet, dann werden Sie etwas verpassen und Sie werden auch falsch informiert sein, wenn es um Risikominderung und Engagement geht.

Mike Yaffy: Ja, Rodney, ich sage Ihnen, nachdem ich mit vielen Beschaffungsexperten gesprochen habe, und ich komme aus der Sicherheitsbranche, aber wir haben das letzte Jahr damit verbracht, mit vielen Führungskräften aus dem Beschaffungswesen zu sprechen, und ich glaube, eines ist klar geworden: Wenn man einen miesen Anbieter ins Boot holt Mike Yaffy: Wenn man einen miesen Anbieter ins Boot holt und der einen im Stich lässt, kann das das Äquivalent zu einer einzigen Beschaffung sein, wie bei einigen Autoherstellern in der Ukraine, wo das Risiko nicht nur aus finanzieller Stabilität und vielleicht ein paar Blicken besteht, sondern aus einer kontinuierlichen Sache. Es ist besser, wenn Sie eine konsistente und regelmäßige Methode haben, um sicherzustellen, dass Sie keine Probleme bekommen.

Rodney Campbell: Ich stimme voll und ganz zu. Was passiert also , wenn ein Problem auftritt? Das bedeutet, dass die Personen, die keine Ahnung haben, was passiert ist oder was hätte passieren sollen, damit beauftragt werden, das Problem anzugehen, zu lösen oder zu beheben. Und diese Personen wurden nicht an vorderster Front einbezogen. Sie haben nicht verstanden, worum es bei dem Produkt oder der Dienstleistung geht. Aber sie haben nicht nur eine treuhänderische, sondern auch eine organisatorische Verantwortung, das Risiko anzugehen. Jetzt versuchen sie also, sich mit einem Produkt oder einer Dienstleistung zu befassen oder mit dem Risiko oder einem Vorfall, der sich aus der Beauftragung eines Drittanbieters ergibt, und haben kein grundlegendes Verständnis für das Was und Wie des Wer und Wie.

Mike Yaffy: Das erinnert mich an die Softwareentwicklung. Man spricht immer davon, dass die Kosten, wenn man einen Fehler in der Entwicklung findet, bei eins zu eins liegen. Wenn er in die Kompilierung geht, ist es 5 zu 1. Wenn es in die Produktion geht, ist es 10 zu 1. Wenn man also versteht, dass ein Anbieter, wenn man ihn einbindet oder so tut, als ob man ihn einbinden will, etwas sein könnte, im Gegensatz zu 18 Monaten später, wenn man einen Vertrag mit ihm abgeschlossen hat und plötzlich ein Fehler auftritt, und ich sage nicht, dass das oft oder immer passiert, aber mein Gott, Sie wissen, dass alle diese Unternehmen, wenn man über Verstöße spricht, nur eine Frage der Zeit sind.

Rodney Campbell: Ich kann Ihnen nur zustimmen. Aber noch einmal: Wenn Sie nicht zusammenarbeiten und sicherstellen, dass Sie die richtigen Leute in Ihrer Organisation identifizieren, die Teil dieses Gesprächs sein sollten, die am Tisch sitzen sollten, Mike Yaffy: dann werden sie mit dem Finger zeigen, wenn Sie es nicht getan haben. Wenn sie vorher nicht dabei waren, können Sie darauf wetten, dass sie im Nachhinein mit dem Finger auf Sie zeigen werden. Rodney Campbell: Sie wollen vermeiden, dass man mit dem Finger auf Sie zeigt, bevor es passiert, und nicht, nachdem es passiert ist. Mike Yaffy: Richtig. Richtig. Das macht Sinn. Hey, wir haben eine richtige Frage von Teresa. Ähm, cloudbasiert. Sie ist in einem Cloud-basierten Startup. Was ist der beste Weg, um eine Exe-Buyin zu bekommen und die Bedeutung von TPRM zu verstehen.

Rodney Campbell: Okay. Also das zu Mike Yaffy: Es hört sich so an, als ob Ihre Organisation sich nicht darum gekümmert hat und Sie es verkaufen mussten. Ja. Rodney Campbell: Genau Ihr Team. Rodney Campbell: Wie, bevor Sie versuchen zu verkaufen, wie wichtig es ist, es zu haben. Ich habe auch die Frage gestellt, wie kritisch und nachteilig es ist, wenn es nicht vorhanden ist. Was passiert, wenn man kein TPR-Programm hat? Mike Yaffy: Die Folgen der Untätigkeit. Rodney Campbell: Auf jeden Fall. Ich kann Ihnen sagen, dass es einfacher ist, es auf diese Weise anzugehen, als zu versuchen, all die wunderbaren Dinge zu verkaufen, denn ich kann Ihnen sagen, dass es viele Dinge gibt, viele Vorteile, warum man ein TPR-Programm haben sollte. Wir alle wissen das. Wir reden die ganze Zeit darüber. Aber ich glaube, worüber wir nicht so oft sprechen, sind die Konsequenzen. Was sind die Folgen, wenn man kein TPR-Programm hat? Welche Folgen hat es, wenn man nicht für eine angemessene Governance sorgt? Sie müssen sicherstellen, dass Sie über ein Rahmenwerk verfügen, das Ihr Unternehmen schützen kann, das aber auch eine gewisse Unternehmensführung für alle diese miteinander verbundenen Aktivitäten und Prozesse gewährleistet.

Mike Yaffy: Wissen Sie, ich möchte noch hinzufügen, dass ich einerseits denke, und das ist vielleicht nicht die populäre Antwort, dass man nicht immer jede Organisation dazu bringen kann, sich darum zu kümmern, richtig? Als ich früher in Sicherheitsteams ging, fragte ich mich: Was für ein Laden sind Sie? Sind Sie die Art von Organisation, die sich damit befasst, oder wollen Sie erst dann eine Versicherung, wenn Sie mit dem Rücken zur Wand stehen? Ich meine, sehen Sie, am Ende des Tages ist Sicherheit bis zu einem gewissen Grad eine Versicherung, richtig? Sie versuchen, den einfachsten oder kleinsten gemeinsamen Nenner von Angriffen zu verhindern.

Mike Yaffy: Es hängt also von Ihrer Organisation ab. Ich sage Ihnen, Teresa, dass der Großteil des Geschäfts in der Regel durch die Einhaltung von Vorschriften oder durch Audits angetrieben wird, richtig? Es geht also um die Einhaltung von Vorschriften, egal mit wem Sie zusammenarbeiten, oder um die Einhaltung interner Vorschriften in einer Organisation. Ein Audit-Fehler oder ein Befund ist in der Regel der Grund dafür. Die Sicherheit nimmt zu Es ist schwer zu sagen, aber 65 % der Sicherheitsverletzungen erfolgen heute durch Dritte. Ihre Organisation wird also entweder sagen, dass dies etwas Wichtiges ist, und ich glaube, dass wir wahrscheinlich einen besseren Prozess brauchen, um dies zu bewerten, wie Sie zu Beginn von Rodney erwähnt haben. Akzeptieren sie dieses Risiko oder lehnen sie es ab?

Mike Yaffy: Genau. Ich bin bereit, mit allem zu leben, was Sie gerade gesagt haben, und ich werde die Würfel rollen lassen oder nicht. Ich würde sagen, dass Bußgelder, die bei einer nicht bestandenen Prüfung verhängt werden, die Leute typischerweise motivieren, aber es gibt einige Leute, die das am Ende des Tages einfach nicht haben wollen. Rodney Campbell: Nein, das ist absolut die Wahrheit. Und ich denke, was man immer tun oder berücksichtigen sollte, ist, wenn man es mit einem Stakeholder zu tun hat, ist es wahrscheinlich viel einfacher, als wenn man es mit fünf, sechs, sieben oder acht zu tun hat. In manchen Fällen hat man es vielleicht mit einem zu tun. Und man kann nicht allen die Geschichte vom Wert verkaufen. Aber es ist wichtig, dass Sie den Kurs halten und tun, was Sie tun müssen, um Ihr Unternehmen zu schützen. Sie sind also dafür verantwortlich, ein Programm zu entwickeln, bei dem die Stakeholder genau wissen müssen, ob dieses Produkt oder diese Dienstleistung etwas unterstützt, das für Ihr Tagesgeschäft von Bedeutung ist, und was passiert, wenn es schief geht oder was passiert, wenn es schief geht.

Mike Yaffy: Sind Sie bereit, damit zu leben, dass dieser Lieferant Mike Yaffy: verletzt wird Rodney Campbell: auf jeden Fall Mike Yaffy: und ich bin damit einverstanden und sehen Sie es von einem nicht-emotionalen Standpunkt aus, ich spreche viel über solche Dinge, aber es ist wie und ich denke, das ist ein Blick, wir könnten eine Verletzung dieses Lieferanten haben, hypothetisch ist es derjenige, der die Flusskondensatoren für die Deloreans liefert, richtig. Mike Yaffy: Wenn Sie also bereit sind, zu akzeptieren, dass wir keine Flusskondensatoren mehr bekommen können oder dass es einen Verstoß gibt, der sich wesentlich auswirkt, dann ist das für mich in Ordnung. Aber wir müssen eine Richtlinie haben, die besagt, dass wir dieses Risiko akzeptieren. Das ist der Punkt, an dem die Leute dazu neigen, unruhig zu werden, wenn sie ihren Namen auf etwas setzen und ein Risiko akzeptieren müssen.

Rodney Campbell: Und Mike, vergessen wir nicht, dass sie verstehen, dass sie für das Management der Beziehung verantwortlich sind? Denn ich kann Ihnen sagen, dass sie bei der Nutzung auf keinen Fall Mike Yaffy: etwas völlig anderes tun. Sie sollten also sicherstellen, dass sie das verstehen. Mike Yaffy: Ich weiß nicht, wie es in Ihrer Organisation aussieht, aber ich habe festgestellt, dass es manchmal gegen mich arbeitet, aber ich habe festgestellt, dass die Zusammenarbeit mit dem CFO oder der Rechtsabteilung gut funktioniert. Denn der CFO versteht das Risiko und die potenziellen negativen Auswirkungen, wenn man so etwas tut, nicht wahr? Wenn wir ein Ereignis hätten, wäre es X und Y. Und hier sind die finanziellen Auswirkungen. Ähm, wissen Sie, das ist die Art und Weise, wie man die Leute dazu bringen muss, sich dafür zu interessieren. Genau. Manchmal und ähm, es ist der Betrug, es ist eine Konsequenz und einige, wissen Sie, und ich hasse es zu sagen, oh, wenn Sie verletzt werden, sind die durchschnittlichen Kosten einer Verletzung eine Million. Okay, wir haben es verstanden.

Mike Yaffy: Mein bester Rat wäre, offen gesagt, wie Sie das für Ihr Unternehmen kontextualisieren können. Mike Yaffy: Ähm, Melissa, warum gehen wir nicht zum nächsten Oh, da haben wir es. Also gut. Ähm, ich denke, das ist gut. Sie wissen, dass Sie darüber gesprochen haben. Aber was ist mit Ihnen? Du sprachst von Transparenz als etwas, das wir brauchen. Einverstanden. Aber wie kommt man dahin? Wie setzen sich die Leute an einen Tisch und führen tatsächlich offene und ehrliche Gespräche? Rodney Campbell: Ich denke, eine Sache, die wir als Unternehmen oder in der gesamten Branche tun müssen, ist, dass wir bei jeder Bewertung eines bestimmten Produkts oder einer Dienstleistung dafür sorgen müssen, dass die Transparenz, die Ergebnisse und die Erkenntnisse aus diesen Risikobewertungen im Rahmen der Due-Diligence-Aktivitäten auf breiter Ebene kommuniziert werden. Es nützt Ihnen nichts, wenn die Stakeholder, die für die Entscheidung "Ja" oder "Nein" verantwortlich sind, keine Ahnung haben, was aus Sicht der Due-Diligence-Prüfung vor sich geht, sie haben keine Ahnung, was inhärent oder rückwirkend festgestellt wurde. Wenn Sie diese Aktivitäten nur durchführen, um das Kästchen anzukreuzen und zu sagen, wir haben es geschafft, wir sind startklar. Dann ist das sinnlos und eigentlich der falsche Ansatz. Sie müssen also dafür sorgen, dass jeder, der daran beteiligt ist, weiß, dass es sich um einen transparenten, aber auch engagierten Prozess handelt. Als Interessenvertreter hat man eine Verantwortung, und manchmal ist es das Beste, sich an die harten Fakten und die harte Wahrheit zu halten. Ganz gleich, wie sehr wir dieses bestimmte Produkt oder diese Dienstleistung lieben, Sie müssen ehrlich sein. Und ich weiß, dass es schwer sein wird, das zu sagen, was vielleicht als schlechte Nachricht empfunden wird, aber man muss tun, was man tun muss. Und auf diese Weise können Sie Ihr Programm ehrlich halten, aber auch weiterhin auf den Schutz Ihrer Organisation hinarbeiten.

Mike Yaffy: Ja. Ich, ich, ich habe da nichts. Du bist es, es ist die Ehrlichkeit, richtig? Es ist einfach so, dass man sieht, hier ist das Gute, hier ist das Schlechte. Und ich denke, dass es nicht emotional binär ist, Mike Yaffy: aber es geht zurück zu dem, was wir vorher gesagt haben. Ich denke, wir müssen die Kriterien festlegen und dann alle zur Rechenschaft ziehen. Rodney Campbell: Auf jeden Fall. Ich denke, dass man ohne die Governance diese Aktivitäten nicht so durchführen kann, wie sie sein müssen. Man muss sicherstellen, dass man das, was man im Hinblick auf die Einbindung der Stakeholder tut, optimieren und maximieren kann. Und noch einmal: Man kann so transparent sein oder glauben, dass man transparent ist, aber Transparenz bedeutet, dass man die harten Fakten liefert. Sie haben nichts mit dem Spiel zu tun. Sie sind TPRM. Sie sind ein TPR-Fachmann oder Sie sind Teil dieses kollaborativen Ansatzes, der sicherstellt, dass Sie Risiken identifizieren, bewerten und abmildern. Aber Sie müssen sicherstellen, dass Sie ehrlich zu Ihren Stakeholdern sind. Sie müssen alles verstehen, damit sie fundierte Entscheidungen treffen können.

Mike Yaffy: Ja. Und das ist Ihr Job. Das ist doch der Job, oder? Ich meine, am Ende des Tages. Also, tolle Antwort. Tolle Antwort, Melissa. Warum machen wir nicht mit der nächsten weiter? Wissen Sie, ich habe das gelesen und lese es jetzt noch einmal. Ich finde es nicht gut. Aber ich werde die Frage auf eine andere Art und Weise stellen. Erstens, wie hoch ist die Sichtbarkeit, die das TPRM-Programm oder das Lieferantenmanagement bei Ihnen hat, oder geht es bis zum Vorstand, und kümmert sich der Vorstand darum, oder kümmert sich der Vorstand insofern, als dass wir nicht wollen, dass es zu einem Lieferantenverstoß kommt, wie, äh, Sie wissen schon, wie hoch ist die Sichtbarkeit, wird das jemals präsentiert, sogar auf einer Folie, richtig, ähm, oder so?

Rodney Campbell: Ich kann Ihnen sagen, dass unser GPR und das Programm an den Vorstand gehen Mike Yaffy: Welche Metriken sind dem Vorstand wichtig im Vergleich zu dem, wie Sie den Erfolg mit dem Vorstand messen, das wäre eine interessante Seite. Lassen Sie uns das zu Ende bringen, aber dann kommen wir auch dazu. Rodney Campbell: Okay. Es gibt also mehrere Ansätze, um den Erfolg zu messen. Ich denke, zuallererst sollte man sicherstellen, dass man dem Vorstand das richtige Maß an Transparenz bietet. Nicht auf zu niedrigem Niveau, nicht auf zu hohem Niveau, aber Sie sollten sicherstellen, dass der Vorstand das Risikoprofil Ihres TPR-Programms kennt. Er sollte das inhärente Risiko Ihrer Lieferanten verstehen. Sie sollten die finanzielle Lebensfähigkeit und die Stabilität Ihrer Drittpartei verstehen. Sie sollten ein klares Verständnis und Transparenz darüber haben, wer Ihre kritischen und wichtigsten Lieferanten sind. Das ist sehr wichtig. Wer sind die Lieferanten, auf die wir uns verlassen, um unsere täglichen BAU-Aktivitäten zu gewährleisten? Das ist sehr wichtig. Sie sollten sicherstellen, dass alle Probleme, Risikoereignisse oder Abhilfemaßnahmen oder erhöhte Risiken im Zusammenhang mit hohen Risiken bei Ihren kritischen Lieferanten identifiziert und dem Vorstand ebenfalls mitgeteilt werden. Aber die Weitergabe dieser Informationen ist sehr wichtig, denn auch hier ist es der Vorstand, und ich nehme an, dass einige Organisationen nach dem Vorstand oder noch vor dem Vorstand eine Art Risikoausschuss der Geschäftsführung haben. Sie wollen sicherstellen, dass dieser Risikoausschuss oder andere Ausschüsse, die Sie außerhalb des Vorstands haben, über die allgemeine TPR und den Zustand des Programms informiert sind.

Mike Yaffy: Ich habe zwei Fragen an Sie. Erstens, wie quantifizieren Sie die allgemeine Gesundheit Ihres TPRM-Programms? Ist es eine bestimmte Anzahl von Anbietern, die im grünen Bereich sind? Sind alle im grünen Bereich? Es ist eine Acht. Wie machen Sie das, ehrlich gesagt, wie machen Sie dieses Programm? Rodney Campbell: Ja. Mike Yaffy: Wie sind wir hier oder hier oder in der Mitte? Rodney Campbell: Ich würde gerne sagen, dass jeder Anbieter eine Acht auf seinem Bildschirm bekommt. Das wäre ein perfekter Weg. Mike Yaffy: Übrigens, ich denke mir das gerade aus. Es könnte eins bis 100 sein und dann könnte man sagen, Rodney Campbell: Aber ich denke, Benchmarking ist wichtig. Woran messen Sie den Erfolg? Denn wenn man keine Messwerte hat, nichts, woran man sich orientieren kann, dann ist der Erfolg nur ziemlich subjektiv. Es ist Ihre Meinung, und wenn Sie für die Durchführung eines TParn-Programms verantwortlich sind, bin ich sicher, dass Ihre Meinung die beste in der Klasse sein wird. Sie wollen also sicherstellen, dass Sie etwas haben, um den Erfolg zu messen. Was sind also Ihre Messgrößen, um zu qualifizieren und zu quantifizieren, dass dies gut ist, während dies etwas Aufmerksamkeit erfordert oder nicht so gut ist. Wenn Sie Ihrem Vorstand, einer Geschäftsleitung, einem Ausschuss oder der obersten Führungsebene etwas vorlegen, dann bedeutet das nicht, dass Ihre TPR und Ihr Programm gut sind. Sie sollten auch sicherstellen, dass Sie erkennen können, was nicht gut ist und was die Aufmerksamkeit des Vorstands, der Geschäftsleitung oder der Geschäftsfunktion erfordert. Ich denke also, dass es wichtig ist, dass Sie über Hardcore-Metriken verfügen, die Ihnen sagen, wie hoch der Anteil Ihrer gesamten Anbieter ist. Das sind die Restrisikobewertungen. Das ist die Einhaltung des Gesamtinventars. Wie kann man messen, wie viele Risikobewertungen durchgeführt wurden? Wie messen Sie, was abgeschlossen ist oder wie der Abschluss aussieht? Wie lange dauert es beispielsweise, bis Sie die richtigen Informationen ermittelt, gesammelt und bewertet haben, um ein genaues Risikoprofil für Ihr Inventar zu erstellen? Sie müssen sicherstellen, dass Sie über formgetreue Messwerte verfügen, damit Sie Ihrem Vorstand und der Geschäftsleitung den Gesamtwert oder die Gesamtbewertung des Erfolgs Ihres Programms vorlegen können.

Mike Yaffy: Das ist eine wirklich gute Antwort. Inwiefern unterscheidet sich der Risikoausschuss der Geschäftsführung von dem des Vorstands? Ist es einfach mehr Tiefe? Rodney Campbell: Auf jeden Fall sollte es mehr sein, also sprechen wir über den Risikoausschuss der Geschäftsleitung, und vielleicht gibt es in Ihrer Organisation einen Risikoausschuss der Geschäftsleitung oder eine Form eines neu entstehenden Risikoausschusses, an dem ich teilgenommen habe. Sie wollen sicherstellen, dass die Risikoausschüsse im Allgemeinen aus mehreren Personen aus verschiedenen Risikofunktionen in Ihrer Organisation bestehen. Wir haben echte Transparenz, Zusammenarbeit und volles Bewusstsein darüber, was das Produkt- und Dienstleistungsengagement mit sich bringt und jedes Risiko, das möglicherweise während der gesamten Dauer des Produkt- oder Dienstleistungsengagements identifiziert werden kann, würde ich sagen.

Mike Yaffy: Okay, alles klar. Äh, wir haben eine Frage. Anonymer Teilnehmer, mein Lieblingstyp. Wie bringen Sie größere Unternehmen wie Microsoft und Amazon dazu, sich an den Tisch zu setzen und eine Risikobewertung durchzuführen? In der Vergangenheit waren sie in dieser Hinsicht traditionell nicht besonders gut. Wow! Wenn ich könnte, würde ich wahrscheinlich die gleiche Frage stellen. Ich denke, was ich für uns sagen würde und was ich anderen Organisationen empfehlen oder vorschlagen würde, ist, auf diese Zusammenarbeit zurückzugreifen. Ich weiß, wir haben über das Modell der internen Zusammenarbeit gesprochen, aber lassen Sie uns über die externe Zusammenarbeit sprechen. Wenn Sie ein neues Engagement mit einer dritten Partei für ein Produkt oder eine Dienstleistung eingehen, können Sie zwei Ansätze wählen. Die eine ist der Standoff-Ansatz. Wir kommunizieren per E-Mail. Wir wissen, was wir brauchen. Sie geben es uns und wir sind fertig. Der Vertrag ist unterzeichnet. Oder Sie können einen Dienstleister engagieren, und ich meine aktiv engagieren. Lassen Sie ihn wissen, was für Sie in Ihrer Organisation wichtig ist. Was brauchen Sie, um den Erfolg zu messen oder zumindest das externe oder ausreichende externe Kontrollumfeld zu verstehen? Das können Sie gleich zu Beginn tun. Wenn Sie um diese Informationen bitten, bedeutet das nicht, dass Sie sie auch bekommen, denn wenn das der Fall wäre, würden ich und mein Team alles bekommen, was wir wollen und erbitten. Aber ich denke, das ist ein Anfang, eine Zusammenarbeit, die sicherstellt, dass man aktiv beteiligt ist. Sie bauen diese Beziehung von Anfang an auf und arbeiten kontinuierlich daran. Auf die gleiche Weise, wie Sie eine kontinuierliche Überwachung durchführen, binden Sie auch Ihre Drittparteien kontinuierlich ein, insbesondere wenn es sich um einen wichtigen Kernlieferanten handelt, wie z. B. Microsoft. Aber ich denke, dass das Einbindungsmodell wichtig ist. Und ich will nicht sagen, dass die Einbindung oder Zusammenarbeit mit den besten Absichten Ihnen das bringt, was Sie wollen oder brauchen, aber ich denke, das ist ein guter Anfang.

Mike Yaffy: Okay. Melissa, überspringe die nächste Frage und gehe dann zur nächsten Frage über. und gehe dann zur nächsten Frage über. Ähm, ich denke, das ist gut und vielleicht ist die Metrik die Antwort und wir haben gerade darüber gesprochen. Aber Mike Yaffy: ähm, ich hätte gerne eine subjektive und eine objektive Antwort, wenn Sie sie richtig verstanden haben. Aber selbst im Marketing messen wir alles, oder? Haben wir einen Lead bekommen? Haben wir einen Abschluss erzielt? Ist etwas in die Pipeline gegangen? Nicht alles ist ein Geschäft, aber wie viele Impressionen haben wir bekommen? Richtig? Es muss also einen Weg geben, ein Benchmarking durchzuführen, und ich denke, Sie wissen, dass ich in meiner Vergangenheit einen CEO hatte, der mir immer eine Frage stellte, und es war eine gute Frage. Ich mochte den Kerl nicht besonders, aber es war eine gute Frage, und sie lautete : Ist das eine gute oder eine schlechte Zahl? Oder? Sie können sagen: Oh, wir haben 5.000 Bewertungen verschickt. Okay. Wie viele Anbieter haben Sie? Wie viele Stufen? Sie könnten sagen, na ja, wir haben 5.000 verschickt, aber wir haben 10.000 Anbieter und wir haben nur 500 unserer ersten Stufe befragt. Also sind 5.000 wirklich eine schreckliche Zahl. Richtig. Wie können Sie also , und es tut mir leid, dass ich hier so führend bin. Wie können Sie subjektiv und objektiv den Wert und die Effektivität aufzeigen?

Rodney Campbell: Ich Ich mag den objektiven Ansatz. Ich mag es, an die Dinge so heranzugehen, als ob die Personen, die es überprüfen, wenig bis gar nichts von dem Programm verstehen oder bereits ihre Schwierigkeiten mit dem Verständnis haben. Mike Yaffy: Holen Sie Ihren Kuschelanzug heraus, das wollen Sie damit sagen. Rodney Campbell: Holt eure Snuggies raus. Holt die Snuggies in eure Törtchen. Mike Yaffy: Da haben wir's. Unsere Kundgebungen sind perfekt. Ich sage Ihnen, dass wir bei der Lafer Valley National Bank, unserem Risikomanagementprogramm für Dritte, sicherstellen wollen, dass wir mehr tun müssen, als Ihnen nur zu zeigen, wie viele Risikobewertungen wir durchgeführt haben, um den Wert unseres Gesamtprogramms zu demonstrieren und zu zeigen, wie effektiv es ist . Nun, ja, Sie werden Ihre Stufen durchlaufen. Sie haben kritisch, hoch, mäßig, niedrig, und Sie werden in der Lage sein zu zeigen, dass wir in diesem Quartal eine Risikobewertung durchgeführt haben. So ist es gut. Alles ist gut. Aber was passiert, wenn Sie eine Risikobewertung vornehmen und alles im grünen Bereich ist, es aber immer noch Probleme und Risiken gibt, die nicht identifiziert und gemeldet oder falsch gemeldet wurden, dann wollen Sie sicherstellen, dass Ihr Programm den Wert der gesamten Beziehung zeigt. Wie sieht es also mit Ihren Neuverhandlungen und Verlängerungen aus, denn Ihre RORI ist mehr als nur eine Risikobewertung. Sie müssen verstehen, dass Sie als TPR-Experte Risikobewertungen durchführen und dies auch im Rahmen einer risikobasierten Häufigkeit der Vertragsbeziehung mit dem Lieferanten tun. Wenn Sie also den wahren Wert demonstrieren wollen, wenn Sie Risiken identifizieren, und lassen Sie uns über Risiken sprechen, die sich während der gesamten Geschäftsbeziehung erhöhen. Sollten Sie das nicht auch für Ihre Vertragsverlängerungen und Neuverhandlungen nutzen, etwa beim Preis?

Mike Yaffy: Auf jeden Fall. Und die Leute tun nicht genug, richtig? Das ist für mich ein solches Versäumnis. Rodney Campbell: Es ist ein großes Versäumnis. Mike Yaffy: Es ist ein großes Versäumnis. Sie haben all diese Daten darüber, ob sie gute oder schlechte Arbeit leisten, und das sollte in Ihre Vertragsneuverhandlung einfließen. Hey, raten Sie mal? Ihre SEC-Sache ist darunter, sie gibt Ihnen ein Druckmittel, wenn sonst nichts. Es gibt Ihnen mehr als das hier. Rodney Campbell: Ich meine, man muss die Sache ganzheitlich betrachten. Was bringt es, wenn der Vertrag abgeschlossen ist und Sie nun Ihre jährlichen Neubewertungen, Ihre kontinuierlichen Überwachungsaktivitäten durchführen. All diese Informationen, all diese Daten werden während der gesamten Dauer der Beziehung gesammelt, bis zu dem Punkt, an dem Sie sich für eine Vertragsverlängerung entscheiden, und keine dieser Informationen wird verwendet. Keine dieser Informationen wird in den Prozess der Vertragsneuverhandlung oder -erneuerung aufgenommen. Sie führen also alle erforderlichen oder gesetzlich vorgeschriebenen Aktivitäten durch, aber nicht zu Ihrem Vorteil. Eigentlich ist es sogar von Nachteil, weil Sie keine dieser Informationen nutzen, um Ihre Verträge zu erneuern und insbesondere nach alternativen Lieferanten zu suchen. Der Wert, der Gesamtwert wird also verfehlt. Also, noch einmal, holen Sie einfach die Risikobewertungen heraus. Wir können etwas zu einem bestimmten Zeitpunkt bewerten. Wir können eine kontinuierliche Überwachung durchführen, aber wie wenden Sie das auf die gesamte Vertragsbeziehung zwischen Kann ich etwas reparieren, das ich finde? Wenn ich etwas bei Ihnen finde, habe ich dann die Befugnis, etwas durchzusetzen?

Mike Yaffy: eine Korrektur auf Ihrer Seite, richtig, als Anbieter? Und dann nutzen Sie die verdammten Informationen, die Sie bei der Vertragserneuerung haben. Ich denke, das sind die beiden wichtigsten Punkte bei TPRM, wenn ich, Sie wissen schon, wieder mal eine Sonntagsrede halten soll, aber wenn Sie diese beiden Dinge erreichen können, werden Sie ein wirklich erfolgreiches Programm haben. Rodney Campbell: Auf jeden Fall. Ich kann Ihnen das nicht mehr sagen. Warten Sie nicht, bis es zu spät ist, denn im Nachhinein sollten Sie Risiken erkennen, die Sie von Anfang an erkennen sollten, damit Sie diese Risiken angemessen verwalten und überwachen können, um zu sehen, ob sich diese Risiken erhöhen oder in irgendeiner Weise verändern, die sich möglicherweise nachteilig auf Ihr Unternehmen auswirken könnte. Ihnen entgeht einfach so viel. Ihr Wert ist also mehr als nur eine Risikobewertung.

Mike Yaffy: Right on. All right. So uh we got 1243. What I’m going to do is turn it over to uh Scott Lang. Uh he’s VP at Prevalent. And look, hope you’ve enjoyed the webinar. He’s gonna do like three to five minutes on us and then Rodney and I will stick around. We’ll answer any more questions uh that we get in during that time. So, you get 3 to 5 minutes, fire away. Rodney’s been awesome. So, this has been super helpful and um then we’ll take it from there. Okay. So, Scott, over to you, bud. Scott Lang: Awesome. Thanks, Mike. Um listen, you can advance to the next slide, please. Um look, guys, everything you heard about today is about building a collaborative and agile thirdparty risk management program in your organization, including multiple stakeholders, understanding different perspectives on risk, understanding what the stakeholders want as far as reporting goes, risk mitigation, ultimately remediation, who’s responsible for what invariably throughout that process. When we talk to our customers, they tell us they want to accomplish these three things as it relates to their programs. Number one, help them get the data they need to make better decisions, whether that’s, you know, where risks are coming from, how to calculate a proper, you know, risk exposure, um, scale your risks to, you know, what the appetite is for the business. business and you know get good data to prescribe some remediations, right? Getting good data. Second, increasing team efficiency and breaking down silos. A huge part of what we talked about today. Um and that’s all about um you know getting people together in uh you know a single version of the truth for processes for workflows uh and for data. So we’re all in effect singing from the same himnil. And then third evolving and scaling your program over time. You know these three things are what customers tell us they want most frequently out of their third party risk management program. The ideal end state, if you will, have that program be agile, able to expand and accommodate uh new vendors and suppliers, new third parties that you’re bringing on um and you kind of scale and and support the business about what’s next. Next slide, please. But what we find really gets in the way, and you can build this out one more uh as well, Melissa, this is a builder slide, you know, click and then click again. Um You know what we find is that these challenges that organizations face are somewhat unique to every stage of the life cycle. So you want to accomplish those three things. What gets in the way of you accomplishing those objectives for your TPRM program. Let’s look at it from a from a um you know process perspective. There’s a life cycle of that that relationship. As you’re throwing and selecting vendors, you’re probably dealing with limited risk insights, a lot of silos, manual processes, We’re looking at vendors as you’re performing your intake and your onboarding. You’ve got different teams, different processes and tools in place to make it happen. Manual processes and a lack of insight for calculating inherent risks to determine what that baseline is to allow you to then make good decisions on what type of risk assessment and strategy you want going forward. And then, you know, goodness gracious, the breads and the manual processes involved in the assessment in the remediation phase. You know, we do an industry study every year um to who assess the um state of third party risk management you know in the industry and we ask a very specific question in this study every year and it is you know are you currently using spreadsheets to assess your third parties and I am really disappointed uh to say that that number keeps going up every year two I guess three years ago was 42% last year was 45% this year 48% almost half the people that we serve in the industry are using spreadsheets to perform their assessments uh of their their third parties. Two ways to look at that. Number one, you know, that manual processes isn’t going to help you achieve those three objectives we mentioned earlier. Getting good insights, bringing people together and then scaling. I guess maybe the glass half full way to look at it is, hey, maybe more folks are doing third party risk. Anyway, as you progress through this life cycle relationship, you know, you you then move into the constant monitor ing and validation of controls phase and you you’re looking at disjointed tools and inefficiencies. You’re looking at measuring SLAs’s and performance and you’ve got SLAs’s uh sorry silo uh teams and manual tracking and very limited contract enforcement or no tieback to an overall risk profile and then inevitably as every relationship comes to an end um you’re going to want to offboard and terminate that relationship and you know that invariably is going to mean that you know you’ve got to um you know follow some sort of manual process to make sure that the final items are tied off. Anyway, those are the challenges that we see. Uh Melissa, click one more time. You know, what Prevalent delivers is the ability to do three things here. To simplify and speed up onboarding with a single source of the truth and a process to help you manage that third party relationship from the point you source and select them to the point where you offboard and terminate them. Second, deliver you a very streamlined process that closes gaps in risk coverage for these different teams in these different risk domains that you want to see covered at every one of these phases, be it onboarding, management or offboarding. And that really leads to the third benefit of unifying teams across the life cycle, right? Getting everybody together in a single solution, single set of data and processes uh to ultimately execute on the life cycle of that relationship. Next slide, please Melissa. We deliver it through a combination of um expertise in our people. We help uh do the hard work of thirdparty risk management on your behalf from on reporting, assessing, remediating and managing that vendor if you choose that. Uh we give you the the the most data available in the industry to help you make good decisions. More than half a million um uh profiles of vendor intelligence we have uh you know in our library. Constant inflows of information from the cyber business financial ESG and and reputational risk side. And we don’t just give you the data, we correlate it, we harmonize it, help you make good decisions. And all those decisions are helped to facilitate or facilitated through the platform. The third pillar uh of what we deliver all the workflows, all the automation, all the reporting, you know, are all centralized. So, a combination of the people, the data and the platform is how we help uh to address that problem we we talked about before. Next slide, please, Melissa. Ultimately, there are three things we want for you uh that we deliver in our solution. The first is to give you the comprehensive risk, performance, insights, analytics, and reporting to help your team be smarter in its decisioning processes. Second, to unify assessments, monitoring, and the life cycle to give you a single source of the truth of the enterprise to unify your program and to deliver you a program that is prescriptive and not just has built-in intelligations and automate automated workflows. We’ve got a whole army of experts uh behind that to help support you every step of the way. So, good intelligence, great automations, a prescriptive process. You know, we could help you from the from the point where you want to start building your program to you want to optimize it, you know, through its life cycle. That’s our approach. That’s what we do to help from a third party risk management perspective. I think it ties in perfectly to the theme today on building some organizational alignment, getting people rallied around a single set of processes, truths, and uh and data sets to make good risk based decisions. All right, that’s what I just shared today. I’m going to pitch it back over to uh Melissa. Melissa, I think we’re probably gonna open up for questions for uh for Mike and for Rodney.

Melissa: Ja. Ähm, dass du meine Gedanken gelesen hast. Ähm, in der Zwischenzeit werde ich unsere zweite Umfrage starten. Also, wissen Sie, genau wie bei der ersten, ähm, wollen wir sehen Okay, ich weiß nicht, was mit meiner Umfrage heute los war. Äh, mal sehen. Ich beendete Mike Yaffy: Bammel vor dem Eröffnungstag, Melissa: Sie wissen schon. Das war's dann. Das ist auch nicht mein erstes Rodeo, also weiß ich nicht, was los ist, aber Mike Yaffy: Tagesbammel ist nicht zu übertreffen, richtig? Sie haben jedes Jahr Schmetterlinge im Bauch, Melissa: Sie wissen schon, neue Saison, neuer Start. Ähm, wollt ihr etwas aufbauen oder verstärken? Wisst ihr, besonders wenn ihr noch in diesen Tabellen seid, seid ihr bereit? rauszukommen. Ähm, lasst es uns wissen. Und bitte seid ehrlich. Wir setzen uns mit Ihnen in Verbindung. Wir machen diese Umfragen nicht nur zum Spaß. Ähm,

Mike Yaffy: Eigentlich wird es Melissa sein. Melissa: Das werde nicht ich sein. Ich verspreche, dass dies nicht nur ein zufälliger Roboter ist. Mike Yaffy: Und sagen Sie nein, wenn Sie nicht mit Melissa sprechen wollen. Sie wird Sie nicht belästigen. Wenn Sie mit Melissa sprechen möchten, sagen Sie ja. Melissa: Hören Sie auch auf, mich in Ihren Spam-Ordner zu stecken. Ähm, aber, wissen Sie, ich habe Rodney. Mike Yaffy: Zeigen Sie auch mit dem Finger, wenn Sie das sagen. Melissa: Hey, lassen Sie mich die Kamera einschalten, damit Sie meinen Gesichtsausdruck richtig sehen können. Aber ich weiß, dass wir ein paar Fragen haben, ihr wisst schon, in der Pipeline. ähm, ihr wisst, wenn es etwas gibt, das ihr ansprechen wollt, das nicht im Slide Deck war, ist dies eure Zeit zu sprechen und ihr wisst, dass es anonym ist, wenn ihr eine Frage stellen wollt, habt keine Angst, das ist interaktiv

Melissa: ähm, wir hatten einen, es war mehr eine Aussage von einem Kevin da draußen, ähm, ihr wisst schon, er Rodney, er hat ein bisschen über Partnerschaften geredet, richtig, missbraucht eure Partner nicht, richtig, also das ist ein toller Ratschlag, ich meine das mit einem Augenzwinkern, aber er hat Recht, richtig, nutzt das nicht aus. Also, was sagen Sie dazu? Rodney Campbell: Ja, ich stimme ihm vollkommen zu. Ich denke, wenn wir über das Risikomanagement für Dritte sprechen, stellen wir die Lieferanten oft als eine Art Alter dar. Was ich damit meine, ist, dass sie diejenigen sind, die einige der Probleme, äh das Risiko, darstellen und dass ihr Engagement oder ihr mangelndes Engagement potenziell mehr Risiken für Ihr Unternehmen schafft oder erzeugt. Aber Sie müssen es aus dieser Perspektive betrachten, um wieder auf die Zusammenarbeit zurückzukommen. Sie müssen sicherstellen, dass die Beziehung zwischen Ihrem Unternehmen und dem Lieferanten eine ist, von der ich annehme, dass Sie eine gesunde und fruchtbare Beziehung wünschen. Stellen Sie also zu Beginn der Zusammenarbeit sicher, dass der Lieferant genau weiß, was Sie brauchen, und zwar nicht nur das Produkt, sondern auch, wie Sie das Produkt oder die Dienstleistung unterstützen können, und stellen Sie sicher, dass der Lieferant weiß, was Sie aus Sicht der Rechnungsprüfung und der Sorgfaltspflicht brauchen. Informieren Sie sie über diese Dinge. Teilen Sie ihnen all diese Informationen von Anfang an mit und lassen Sie den Drittanbieter oder Verkäufer auf Sie zukommen, damit er Ihre Bedürfnisse oder Anforderungen erfüllen kann. Sie sollten jedoch sicherstellen, dass die Beziehung zwischen Ihrem Unternehmen und dem Anbieter eine kooperative Beziehung ist, denn es geht nicht nur um Sie, genauso wenig wie es nur um den Anbieter geht. Es ist etwas, das zum Wohle Ihrer beiden Organisationen aufgebaut werden sollte.

Mike Yaffy: Ich denke, das ist auf jeden Fall eine tolle Abschlussfrage. Sie haben das wirklich schön verpackt, eine Schleife darum gemacht. Also, ähm, wir haben noch eine Frage. Äh, ja, das können wir fragen. Welchen Ansatz verfolgen Sie, wenn es um Risiken jenseits von Dritten geht, d. h. Risiken, die von Dritten ausgehen. Also Endparteien. Rodney Campbell: Okay. Das ist der Punkt, an dem ich vorgeschlagen habe, oder zumindest vielen erklärt habe, wie man zu den früheren Phasen zurückgeht. Jetzt gibt es zwei Teile. Es wird Beziehungen geben, die Sie bereits im Gange haben. Der Vertrag ist unterzeichnet. Vielleicht gehörten die Risikomanagement-Aktivitäten oder -Verantwortlichkeiten der dritten Partei nicht Ihnen. Das war jemand anderes vor Ihnen. Jetzt haben Sie also diesen Prozess geerbt, den Sie langsam verstehen. Aber gehen wir noch einmal zurück zum Anfang. Wenn es sich um einen Lieferanten handelt, der für Ihr Unternehmen möglicherweise ein Haupt- oder bedeutender Lieferant ist, würden Sie dann nicht wissen wollen, ob Ihre kritischen oder wichtigen Drittparteien kritische oder wichtige Drittparteien haben? Auf welche Lieferanten sind sie angewiesen, um die Produkte und Dienstleistungen für Ihr Unternehmen zu liefern? Diese Frage sollten Sie sich gleich zu Beginn stellen. Wenn Sie nun Ihre Due-Diligence-Prüfung für bestehende Dritte durchführen, sollten Sie, auch wenn Sie diese Frage nicht von Anfang an gestellt haben, wissen, wer die Subdienstleister sind. Sie sollten wissen wollen, welche Abhängigkeiten bestehen, und zwar nicht nur die kritischen, sondern auch die Abhängigkeiten, auf die sich Ihre Beziehungen zu Dritten stützen. Sie sollten sicherstellen, dass diese Daten den Zugang zu Daten ermöglichen, denn es geht nicht nur um Abhängigkeiten. Es geht auch darum, zu verstehen, dass diese Abhängigkeiten potenziell ein Risiko für den Zugriff auf Ihre Daten, die Daten Ihres Unternehmens, darstellen können. Sie wollen wissen, welche Kontrollen zum Schutz dieser Daten bestehen. Wir wissen, dass nicht alles perfekt ist, aber Sie wollen sicherstellen, dass Sie eine gewisse Transparenz und ein Verständnis für die Drittparteien haben, die möglicherweise auf Ihre Daten zugreifen, abgesehen von denen, die nur kritische Abhängigkeiten für Ihre Drittorganisationen darstellen.

Mike Yaffy: Genau richtig. Ähm, keine weiteren Fragen, abschließende Gedanken. Ryan, Rodney Campbell: Äh, ich würde sagen, ich weiß, dass viele äh, sich überwiegend einschalten, weil es sich um Personen handelt, die gerade dabei sind, ihre Programme aufzubauen, und ich weiß, dass es Ihr Ziel ist, dafür zu sorgen, dass die Bedeutung Ihres Programms in Ihrer gesamten Organisation verstanden wird, und das ist nicht einfach und kann schwieriger sein, als ich es im Moment in Worte fassen kann. Aber ich kann Ihnen raten, einfach den Kurs beizubehalten. Tun Sie weiterhin, was richtig ist. Stellen Sie sicher, dass Sie beim Aufbau Ihres Programms die Interessengruppen mit einbeziehen, und tun Sie dies durch Transparenz. Tun Sie das durch Fakten. Nicht das, was Sie sich für das Programm wünschen, nicht etwas, das konzeptionell ist, sondern Fakten und Transparenz und Zusammenarbeit. Ich kann Ihnen sagen, dass Sie auf diese Weise ein Programm aufbauen werden, das Sie für Ihre Organisation brauchen. Es wird nicht morgen geschehen, aber es wird sich herausstellen, dass es das richtige Programm für Sie ist.

Mike Yaffy: Fantastisch. Perfekt. Ich danke Ihnen vielmals, mein Freund. Das war fantastisch. Ich liebe das Tempo. Es hat Spaß gemacht und ich denke, wir haben eine Menge Themen durchgenommen. Also, vielen Dank, dass du das gemacht hast. Melissa, gibt es irgendetwas, das wir noch tun müssen, bevor wir alle gehen lassen? Melissa: Nein, ich meine, jeder muss sich heute ein Baseballspiel ansehen, wenn man sich für den Eröffnungstag interessiert. Wissen Sie, es hat mir viel Spaß gemacht, Rodney, Mike und natürlich Scott zuzuhören, wir sehen uns also in Kürze in Ihren Posteingängen. Und ähm Ja, wir sehen uns bald wieder. Passt auf euch auf. Tschüss zusammen.

Rodney Campbell: Nochmals vielen Dank. Melissa: Passen Sie auf sich auf.