Ein ganzheitlicher Ansatz für das Onboarding und Offboarding von Lieferanten

Melissa: Beginnen wir mit einer kurzen Vorstellungsrunde. Mein Name ist Melissa. Ich arbeite hier bei Prevalent Business Development. Und heute haben wir einen wiederkehrenden Gast, Tom Geruba, Direktor für Third-Party-Risikomanagement-Services bei Echelon Risk and Cyber. Willkommen zurück, Tom.

Tom Geruba: Vielen Dank, Melissa. Es ist toll, wieder hier zu sein. Hallo zusammen. Guten Morgen, guten Nachmittag oder guten Abend, je nachdem, wo auf der Welt Sie sich gerade befinden. Ich fühle mich sehr geehrt, dass Prevalent mich gebeten hat, wiederzukommen und über einige der gemeinsamen Herausforderungen zu sprechen, die ich im Bereich Third-Party-Risiko sehe. Eine der größten Herausforderungen, mit denen viele Fachleute für Risiken durch Dritte zu kämpfen haben, betrifft das gesamte Onboarding und Offboarding und das Verständnis ihrer jeweiligen Rollen in diesem Prozess. Wir werden also einen ganzheitlichen Ansatz für das Onboarding und Offboarding von Lieferanten verfolgen. Ich freue mich sehr, Ihnen diese Erkenntnisse mitteilen zu können. Zunächst ein paar Hintergrundinformationen zu meiner Person. Melissa hat Ihnen diese bereits mitgeteilt. Aber hier ist, was wir heute behandeln werden. Zunächst werden wir darüber sprechen, welche Risiken während des Onboarding- und Offboarding-Prozesses von Lieferanten zu bewerten sind. Auf welche Risiken müssen wir uns konzentrieren? Was müssen wir im Blick behalten, wenn wir uns sowohl mit dem Onboarding als auch mit den Risiken in Bezug auf Organisationen befassen, die wir auslagern werden, und was sind die Herausforderungen dabei? Wir werden darüber sprechen, wie Sie mit den üblichen Herausforderungen umgehen können, denen Sie in diesem Prozess innerhalb Ihrer Organisation begegnen könnten. Wir werden über die Sorgfaltspflicht sprechen, die für das Onboarding tatsächlich erforderlich ist. Wir werden auch auf die Risiken eingehen, die Sie beim Offboarding berücksichtigen müssen. Es gibt Risiken, die Sie berücksichtigen müssen. Sie können nicht einfach die Verbindung kappen und sich zurückziehen. Es gibt Dinge, die Sie berücksichtigen müssen, bevor Sie sich von einem potenziellen Anbieter verabschieden. Und schließlich werde ich über einige empfohlene Prozesse sprechen, um die Konvergenz Ihres Programms sicherzustellen. Und wenn Sie sich fragen, was Programmkonvergenz ist, werde ich auch darauf eingehen. Aber fangen wir hier an. Risiken, die beim Onboarding und Offboarding zu bewerten sind. Immer wenn Sie sich auf das Onboarding eines Lieferanten vorbereiten, sollten Sie sicherstellen, dass diese Risiken von jemandem in Ihrem Unternehmen geprüft wurden. Die Marktrisiken – was verstehen wir unter Marktrisiken? Gibt es neue Lösungen?

Gibt es Technologieinvestitionen auf dem Markt? Befindet sich der Anbieter, mit dem Sie zusammenarbeiten, möglicherweise in einer Umstrukturierungsphase? Vielleicht gibt es auch eine Expansion durch Fusionen und Übernahmen, die sie gerade durchlaufen. Was passiert in der Branche? Ist das etwas, das Sie berücksichtigen? Wenn Sie über finanzielle Risiken sprechen, betrachten Sie Dinge wie Cashflow und Kreditrisiko. Sehen Sie irgendetwas in Bezug auf Insiderverkäufe? Wie sieht es mit dem Rückkauf von Aktien aus? Gibt es irgendetwas, das Ihnen auffällt, das Ihnen sagt: „Wissen Sie was, das könnte ein Kreditrisiko sein, oder hoffentlich gehören wir nicht zu den Anbietern, die ihnen helfen, bestimmte Quoten zu erfüllen, sei es in der Branche oder um sicherzustellen, dass sie weiterhin finanziell solide sind?“ Gibt es irgendetwas in Bezug auf regulatorische Risiken? Gibt es irgendetwas mit der Regulierungsbehörde, die sie unter Druck setzt, beispielsweise durch Geldstrafen? Wie sieht es mit ESG aus? Ist das etwas, worauf Sie besonders achten müssen? Und das wird sehr geografisch unterschiedlich sein. Damit meine ich, dass in der Europäischen Union der Umweltaspekt von ESG stark im Vordergrund steht. Hier in den USA und anderen Teilen der Welt steht eher der soziale Aspekt im Vordergrund. Wenn wir über Themen wie Gesundheit und Sicherheit sprechen, sprechen wir über Vielfalt, wir sprechen über Lohngleichheit und ähnliche Dinge. Und schließlich konzentrieren wir uns auf die Governance-Aspekte. Verfügen Sie über Informationen, die Sie nutzen können, um Ihrem Unternehmen dabei zu helfen, Governance-Entscheidungen auf der Grundlage von Faktoren wie der Zusammensetzung des Vorstands zu treffen? Ethik, Antikorruptionsrichtlinien, Dinge dieser Art, Standort. Es gibt viele Compliance-Risiken, wobei viel Wert auf die Einhaltung der Vorschriften gelegt wird. Ist Ihr Lieferant vielleicht in bestimmten Ländern oder bestimmten Branchen für geschäftliche Aktivitäten gesperrt? Gibt es Dinge, die Sie aus Sicht der Rechtsstreitigkeiten beunruhigen? Gibt es etwas in Bezug auf außergerichtliche Einigungen oder Einigungen, die auf etwas basieren, was sie getan haben? Dürfen sie Geschäfte mit der Bundesregierung machen?

Als ich noch Programme leitete, haben wir immer darauf geachtet: Wenn Sie keine Geschäfte mit der Bundesregierung machen können, warum sollten wir dann mit Ihnen Geschäfte machen? Aus Sicht der Compliance betrachtet: Wo findet die Verarbeitung statt? Wo werden die Daten gespeichert? Wir prüfen Dinge wie: Handelt es sich um Überschwemmungsgebiete? Gibt es andere Umweltzonen, über die wir uns Gedanken machen müssen, wenn wir uns auf geopolitischem Gebiet bewegen? Man betrachtet Dinge, die hier zu Hause in Bezug auf Arbeitsrechtsstaaten oder Arbeitsrechtsländer relevant sein könnten. Man könnte sich auch auf bestimmte regionale Spannungen konzentrieren. Das sieht man offensichtlich in Osteuropa. Wir sehen das im Südchinesischen Meer und im asiatisch-pazifischen Raum. Man muss also auch diese Dinge berücksichtigen. Ist das etwas, das ich tun muss, bin ich bereit, dieses Risiko einzugehen? Und schließlich natürlich noch die Cybersicherheit. Kann man während des Onboardings etwas aus Cybersicherheitsperspektive tun? Wenn man dann tatsächlich seine Bewertung vornimmt, hilft das, die Dinge zu rationalisieren und ein wenig flüssiger zu gestalten, was die Due Diligence-Perspektive angeht. Nun zum Offboarding, das unter sehr ähnlichen Umständen stattfindet. Wenn Sie zu einem neuen Anbieter wechseln, werden Sie einen Anbieter eliminieren. Sind Sie besorgt über den Standort? Können Sie Ihre Materialien zurückerhalten? Gibt es etwas, das Sie aus Sicht des Compliance-Risikos tun müssen? Und wenn ich von Compliance-Risiken spreche, meine ich insbesondere, dass Sie, wenn Sie beispielsweise ein Finanzunternehmen in der Europäischen Union sind, Ihre Aufsichtsbehörde kontaktieren und ihr mitteilen müssen, dass Sie einen bestimmten Anbieter nicht mehr nutzen, sodass Sie möglicherweise die Daten wieder in Ihr eigenes Unternehmen zurückholen müssen oder bereits einen anderen Anbieter gefunden haben müssen, an den Sie die Daten übertragen können. Sie sprechen also jetzt über Dinge, die Ihr Lieferantenrepository betreffen. Okay, Sie können ihnen zeigen, was Sie in Bezug auf die Übertragung dieser Daten und deren Verarbeitung tun. Redundanzrisiko. Lassen Sie die Verarbeitung in mehreren Städten an mehreren Standorten oder bei mehreren Lieferanten durchführen?

Sie nehmen es weg und geben es nun einem anderen Anbieter, wodurch Sie sich dem sogenannten Konzentrationsrisiko aussetzen. Setzen Sie sprichwörtlich alles auf eine Karte oder an einen Standort, an dem ein Tornado, Taifun, Hurrikan oder ein anderes Naturereignis Ihren Anbieter beeinträchtigen könnte? Und letztendlich auch Sie als Unternehmen. Alles, was mit einem ESG-Risiko zu tun hat, um das Sie sich jetzt, nachdem Sie den Anbieter an Bord geholt haben, kümmern müssen, wird zu Ihrem Risiko. Gibt es bestimmte Dinge, für die Sie gegenüber Ihren Investoren oder anderen in Bezug auf die Anbieter, die Sie bisher genutzt haben, verantwortlich sind? Jetzt übernehmen Sie dieses Risiko. Können Sie das auf einen neuen Lieferanten für Ihre neue Zusammenarbeit übertragen? Aber können diese das Risiko übertragen? Das sind also Dinge, die Sie berücksichtigen müssen, entschuldigen Sie bitte die Redundanz in Bezug auf das Compliance-Risiko. All dies hängt mit Ihrem sozialen Wahrnehmungsrisiko zusammen. Die soziale Wahrnehmung beeinflusst die anderen Risiken. Sie beeinflusst das finanzielle Risiko. Sie beeinflusst sogar Ihr ESG-Risiko. Sie beeinflusst andere Risiken wie Ihr operatives Risiko. Wenn also Ihre Kunden das Gefühl haben, dass Sie etwas tun, das nicht mit ihren Grundüberzeugungen als Organisation und als Unternehmen übereinstimmt, könnte sich dies in dieser sozialen Wahrnehmung rächen. Okay, ich denke, das sind die wichtigsten Punkte, die es zu berücksichtigen gilt. Lassen Sie uns nun darüber sprechen, wie wir diese gemeinsamen Herausforderungen bewältigen können. Zunächst einmal, und das sehe ich bis heute so, das Risikomanagement von Dritten. Ich hatte letzte Woche ein wunderbares Gespräch mit einem Kollegen, in dem wir darüber gesprochen haben, dass das Risikomanagement von Dritten noch in den Kinderschuhen steckt. Auch wenn viele von uns dies schon seit fast einem Dutzend Jahren tun, steckt es in Bezug auf all diese zusätzlichen Komponenten, die scheinbar isoliert voneinander operieren, noch in den Kinderschuhen, und wir müssen damit beginnen, diese zusammenzuführen. Darauf werde ich etwas später eingehen, wenn ich über Konvergenz spreche. Aber wer ist für das Lieferantenrepository verantwortlich, wer ist Eigentümer der Master-Lieferantenliste? Viele Unternehmen werden sagen, dass dies Aufgabe des Primat-Sourcing ist.

Das Problem dabei ist, und ich weiß, dass Sie alle in irgendeiner Form damit konfrontiert waren oder es erlebt haben. Es gibt Möglichkeiten, wie Sie die Beschaffung und den Einkauf umgehen können. Okay? Es kann sein, dass Sie nur bei bestimmten Ausgaben von 40.000, 50.000 oder was auch immer zur Beschaffung und zum Einkauf greifen. Es könnte sein, dass Sie nur die Ausgaben und das Projekt des Lieferanten kapitalisieren. Sie haben also vielleicht Geschäftsbereiche, die etwas aus Sicht der Datenübertragung und Datenverarbeitung tun, aber es handelt sich um etwa 25.000 bis 30.000, jedoch sind damit viele Datensätze und viele Daten verbunden, sodass die Beschaffung und Beschaffung davon vielleicht nichts weiß, aber der Lieferant schon, und jetztsprechen auch über rechtliche Aspekte und Informationssicherheit, sodass Sie wirklich verstehen müssen, wem das Lieferantenrepository gehört. In vielen Fällen handelt es sich dabei um das Risikomanagementprogramm für Dritte. Und jetzt müssen Sie in der Lage sein, das, was Sie auf Ihrer Liste haben, den Mitarbeitern der Beschaffungs- und Einkaufsabteilung zu vermitteln. Wer sind die Stakeholder im Onboarding-Prozess? Zunächst einmal ist es die Geschäftseinheit, die erste Verteidigungslinie. Die Geschäftseinheit ist verantwortlich. Sie ist der wichtigste Stakeholder. Sie schreibt die Schecks aus. Aber andere Stakeholder, die sehr wichtig für den Risikomanagementprozess für Dritte sind, sind die Beschaffung und das Sourcing. Die Rechtsabteilung formuliert die rechtlichen Bestimmungen, richtig? Richtig. Arbeiten Sie im Bereich IT-Sicherheit mit der Informationssicherheit und anderen Organisationen wie dem Datenschutz zusammen, um sicherzustellen, dass Ihre Daten geschützt sind und die dem Vertrag beigefügten Datenschutz- und Sicherheitszusätze mit Ihrer Organisation übereinstimmen? Das kann beispielsweise die Arbeit von zu Hause aus sein oder die Sicherstellung, dass Sie VPNs verwenden, oder was auch immer der Fall sein mag. Wie auch immer Sie das strukturiert haben, arbeiten Sie mit Ihren anderen Stakeholdern zusammen, sind diese aufeinander abgestimmt und verstehen sie, was vom Anbieter erwartet wird? Wie sieht es mit dem Facility Management aus? Oft kommen Ihre Anbieter zu Ihnen vor Ort, insbesondere im IT-Bereich. Okay. Haben sie Schlüsselkarten oder ähnliches, die ihnen zugewiesen werden, um Zugang zu bestimmten Einrichtungen zu erhalten? Geschäftskontinuität und Notfallwiederherstellung.

Sie sind es, die in vielen Fällen dabei helfen, Ihre Lieferanten aus strategischer Sicht zu priorisieren, falls es Probleme mit der Verfügbarkeit und Wiederherstellung und natürlich der Compliance gibt. Sind alle Änderungen, die Sie vornehmen, nicht nur mit den Richtlinien, Standards oder gesetzlichen Verpflichtungen konform, sondern auch mit den Richtlinien und Standards Ihres Unternehmens? Was ist unser inhärentes Risiko und unser Expositionsrisiko? Ein weiteres häufiges Problem, das schon seit Ewigkeiten besteht. Wie berechnen wir das inhärente Risiko? Ich bin sehr stolz darauf, sagen zu können, dass eine Organisation, die Ihnen wahrscheinlich bekannt ist, das Shared Assessments Program, sich tatsächlich mit diesem Thema befasst und eine Komponente entwickelt hat, die Ihnen bei der Berechnung des inhärenten Risikos hilft. Ähm, und ich war Teil dieser Gruppe und bin sehr stolz auf das, was wir dort geleistet haben, und das ist etwas, das Sie bald sehen werden, und ich bin sicher, dass Prevalin auch auf diese zusätzlichen Tools aufmerksam gemacht werden wird. Das Problem mit dem inhärenten Risiko und dem Expositionsrisiko ist jedoch, dass es keine festen Richtlinien dafür gibt, wie man das inhärente Risiko oder das Expositionsrisiko berechnet. Und wenn man darüber nachdenkt, was genau das inhärente Risiko oder das Expositionsrisiko ist, dann sind das die Unbekannten, bevor man tatsächlich mit diesem Anbieter Geschäfte macht. Okay? Stellen Sie sich das fast wie ein Date vor. Sie wissen nur so viel über die Person, mit der Sie sich verabreden, vielleicht aus ihren sozialen Medien, vielleicht aus dem, was ihre Freunde Ihnen erzählt haben, vielleicht aus dem, was Sie über sie bei der Arbeit wissen. Aber bis Sie anfangen, sich mit ihr zu beschäftigen und eine Beziehung zu ihr aufzubauen, wissen Sie wirklich, was los ist? Sie können diese Unbekannten also nicht unbedingt berechnen, aber Sie müssen in der Lage sein, sich ein Bild zu machen, das Ihnen eine allgemeine Vorstellung davon vermittelt: Ja, ich freue mich auf dieses Date. Ich freue mich darauf, diese Person kennenzulernen. Okay. Das Gleiche gilt für Ihre Lieferanten. Berechnen Sie dieses Risiko. Haben Sie ausreichende Vertragsformulierungen? Das ist etwas, was ich bis heute immer wieder sehe. Ob es sich nun um etablierte Unternehmen oder kleine und mittlere Unternehmen handelt, Sie müssen unbedingt sicherstellen, dass Sie die entsprechenden Formulierungen in den Vertragsvereinbarungen haben.

Jeder kennt die Klausel zum Prüfungsrecht, aber hier ist ein kleines schmutziges Geheimnis über diese Klausel. In den meisten Fällen können Sie Ihr Prüfungsrecht gemäß dieser Klausel nur einmal während der Laufzeit des Vertrags ausüben. Sie haben also vielleicht eine dreijährige Geschäftsbeziehung, einen Vertrag, der besagt, dass Sie in den nächsten drei Jahren Geschäfte miteinander machen werden. Aber wenn Sie dieses Recht auf Prüfung ausüben oder es so interpretiert wird, dass eine Bewertung Teil dieser Prüfung ist, können Sie dies nur einmal tun. Und wenn dann bei diesem Anbieter etwas passiert und Sie sagen: „Ich muss zu Ihnen kommen und prüfen, ob es sich um einen Verstoß oder um einen Missbrauch von Informationen oder Daten handelt“, behalten sie sich das Recht vor, zu Ihnen zurückzukommen und zu sagen: „Moment mal. Sie haben eine Bewertung bei mir durchgeführt.“ Das hängt mit der Klausel über das Recht auf Prüfung zusammen. Dann behält er sich das Recht vor, zu Ihnen zurückzukommen und zu sagen: „Moment mal, Moment mal, Moment mal. Sie haben mich einer Bewertung unterzogen.“ Das hängt mit der Klausel zum Prüfungsrecht zusammen. Sie können also nicht zu mir zurückkommen. Und in einer Klausel zum Prüfungsrecht gibt es viele zusätzliche Bestimmungen. Ich brauche eine vorherige Benachrichtigung. Ich brauche Zeit, um mich vorzubereiten. Ich muss dies tun, usw., usw. Sie sollten also sicherstellen, dass Sie neben der Klausel zum Recht auf Prüfung noch etwas anderes haben. Was ich seit einiger Zeit fordere und was mittlerweile viele Organisationen umsetzen, ist das Recht auf Bewertung. Die Klausel zum Recht auf Bewertung besagt im Wesentlichen, dass wir Sie bewerten und auf der Grundlage Ihrer Risikotoleranz und unserer Risikobewertung neu bewerten werden. Was kann noch mit dieser Risikobewertung verbunden sein? Das ist der Aspekt der kontinuierlichen Überwachung. Sie sollten offen sein und mitteilen, dass wir Sie kontinuierlich überwachen werden oder könnten, sei es auf Cyber-Ebene oder in einer Kombination aus Cyber, Finanzen, Betrieb usw. Okay. Und wenn Sie nun zu den Erwartungen kommen, können Sie dann noch weitermachen? Wenn Sie das tun wollen, müssen Sie wissen, wer letztendlich die Genehmigung oder Ablehnung der Nutzung eines bestimmten Anbieters autorisiert. Ist es der Dritte mit dem Managementprogramm? Gibt es eine Gruppe? Wir hatten tatsächlich so etwas wie einen Ausschuss zur Lieferantenbewertung. Damals nannten wir ihn scherzhaft „Vakuum“, weil wir ihm Dinge gaben und sagten: „Hey, Sie müssen das unterschreiben, und wir würden es nicht zurückbekommen.“ Also wurde aus VAC „Vakuum“. Sie bekamen Wind davon, also änderten wir es ein wenig.

Das war also ein kleiner Humor-Einlage für den Donnerstag. Aber wer muss das genehmigen? Wenn Sie keinen Anbieter beauftragen, wer informiert dann die Geschäftseinheit darüber, dass Sie diesen Anbieter aufgrund der Risiken in meinem Unternehmen nicht beauftragen können? Das war ich. Und manchmal gab es tatsächlich ein Ausnahmeverfahren, bei dem die Geschäftseinheit ihre Argumente vorbringen konnte. Nicht nur ich, sondern auch der Datenschutzbeauftragte wurde hinzugezogen. Wir zogen den Chief Information Security Officer oder jeden anderen hinzu, der an diesem Gespräch teilnehmen musste. Wer hat die Genehmigungsbefugnis für Ausnahmen? Wenn wir über Ausnahmen sprechen, ist es in Ordnung, wenn Sie ein Gespräch mit einer bestimmten Geschäftseinheit führen und sagen: „Wir sind mit der aktuellen Sicherheits- und Datenschutzsituation dieses Anbieters nicht ganz zufrieden. Wir verstehen jedoch, dass es sich möglicherweise um einen Alleinlieferanten oder einen einzigen Lieferanten handelt. Deshalb werden wir ihn akzeptieren und ihn in unser Lieferantenregister aufnehmen, zusammen mit unserem Risikoregister, in dem wir dies nachverfolgt und identifiziert haben.“ Okay. Hier ist es also nützlich, zu wissen, wer befugt ist, diese Ausnahmen zu genehmigen. Aus Cybersicherheitsperspektive kommt diese Befugnis in neun von zehn Fällen vom CISO-Büro, aber in anderen Organisationen kann sie auch vom Chief Risk Officer oder einer anderen Person in einer hohen Position ausgehen. Zuletzt: Wann führen wir die Due Diligence durch? Vor oder nach dem Vertragsabschluss? Viele Finanzaufsichtsbehörden werden Ihnen sagen, dass diese Due Diligence vor der tatsächlichen Datenübertragung durchgeführt werden muss. In der Regel beginnt man erst mit der Datenübertragung, wenn der Vertrag unterzeichnet ist. Ich habe Organisationen gesehen, die mit der Datenübertragung beginnen, obwohl der Vertrag noch nicht unterzeichnet ist. Seien Sie vorsichtig. Der Grund, warum ich das sage, ist: Wenn Sie einen Vertrag haben, wenn Sie tatsächlich Daten untereinander austauschen und bei Ihrem Lieferanten etwas passiert, der Vertrag aber noch nicht unterzeichnet ist, haben Sie wirklich keine rechtlichen Möglichkeiten, gegen diesen Lieferanten vorzugehen, da der Vertrag noch nicht abgeschlossen ist. Nun, alles, was ich Ihnen hier in Bezug auf Verträge sage, besprechen Sie bitte mit Ihrem Rechtsbeistand, wenn Sie weitere Informationen dazu benötigen, okay? Jede Organisation ist anders. Deshalb wollte ich diesen kleinen Vorbehalt anmerken.

Aber auch dies sind gängige Methoden, um diese häufigen Herausforderungen zu bewältigen. Wie sieht es mit der Sorgfaltspflicht beim Onboarding aus? Sie fragen sich vielleicht, welche Tools wir für unsere Bewertungen verwenden. Das hängt wirklich davon ab, welche Risiken Sie im Voraus kennen müssen. Aus cybertechnischer Sicht gibt es viele Tools. Sie kennen die großen Namen. Diese muss ich Ihnen hier nicht nennen. Es gibt auch einige kleinere Namen, die sehr, sehr gut in dem sind, was sie tun. Einige davon halten Sie vielleicht für Eintagsfliegen. Wie auch immer, wenn sie Ihrem Unternehmen einen Mehrwert bieten, sollten Sie ihren Einsatz in Betracht ziehen. Nun, Sie im Risikomanagementprogramm für Dritte, insbesondere wenn Sie im Cyberbereich des Unternehmens tätig sind, verwenden wahrscheinlich keine anderen Tools wie Kredit- und Finanzanalysen, vielleicht Dinge aus ESG-Perspektive, aber Sie können Tools verwenden, auch wenn es sich nur um Google-Newsfeeds handelt, oder Sie sollten sich vielleicht bei Ihrem Unternehmen erkundigen. Haben Sie Abonnements für Bloomberg, Standard & Poor's oder U Lexus Nexus, also etwas, das Ihnen helfen könnte, zumindest für Ihre wichtigsten Lieferanten strategische Recherchen durchzuführen? Gibt es irgendetwas in Bezug auf eine Klage hier? Ich höre Gerüchte, dass dieser bestimmte Lieferant aus Sicht der E-Akquisition ein Übernahmeziel sein könnte. Was bedeutet das für mich? Könnte einer meiner Konkurrenten dieses Produkt oder diesen Lieferanten übernehmen? Das sind also die Dinge, über die Sie nachdenken müssen. Gibt es irgendetwas in Bezug auf einen Lieferanten, das Sie aufgrund einer rechtlichen Verpflichtung, der er jetzt gegenübersteht, beruhigen könnte? Vielleicht ist es eine Sammelklage. Vielleicht sind sie in Europa tätig und eine europäische Datenschutzbehörde verhängt eine Geldstrafe in Millionenhöhe gegen sie, und das kommt langsam in die Presse. Okay. Welche Daten werden verarbeitet? Ich lege großen Wert auf die Daten, und ich werde Ihnen sagen, warum. Wir leben in einer klagefreudigen Gesellschaft, und wenn Sie mit Kunden- und/oder Mitarbeiterdaten zu tun haben und Anbieter dies für Sie tun, ist es wirklich eine gute Idee, zu verstehen, welche Daten verarbeitet werden. Welchen Wert haben diese Daten, die verarbeitet werden?

Vorname, Nachname und Anschrift haben weit weniger Wert als Vorname, Nachname, Anschrift mit Sozialversicherungsnummern, EBT-Nummern, Bankkontonummern und so weiter und so fort oder Gesundheitsdaten. Und im Falle einer Datenschutzverletzung bei Ihrem Anbieter werden sich die Datenschutzbehörden und Anwaltskanzleien genau damit befassen. Um welche Daten handelte es sich? Wie viele Datensätze sind betroffen? Es ist ein großer Unterschied zwischen 10.000 und 10 Millionen Datensätzen. Okay, Sie betrachten nicht nur die Kosten für einen Datensatz, die je nach Daten zwischen 5 und 50 Dollar liegen können, sondern Sie müssen diese nun mit 10.000 Datensätzen oder 10 Millionen Datensätzen multiplizieren. Man muss also wirklich verstehen, welche Daten verarbeitet werden und um welche Datensätze es sich handelt. Welche Art von Fragebogen sollte man nun verwenden? Ich weiß, dass es so etwas wie „Vendor Fatigue” gibt. Und das Wichtigste, worauf wir ebenfalls hinarbeiten, da ich selbst ein Verfechter gemeinsamer Bewertungen bin, ist die Standardisierung unter Verwendung von bereits vorhandenen Mitteln. Eines der besten Dinge, die ich je gehört habe, war, als ich vor einigen Jahren zufällig in London war und ein Vertreter der Financial Conduct Authority gefragt wurde, ob wir standardisierte Fragebögen verwenden können. Dieser Regulierer sah die Person an und sagte: „Warum sollten Sie das nicht tun? Warum versuchen Sie, das Rad neu zu erfinden, wenn es bereits großartige Tools gibt?“ Suchen Sie also nach etwas Standardisiertem. Es gibt einen Grund, warum sie Industriestandards sind. Krevalent verwendet beispielsweise den SIG-Fragebogen. Es liegt an Ihnen, ob Sie SIG Light oder SIG Core verwenden möchten. Wenn Sie etwas in der Cloud-Umgebung tun, benötigen Sie vielleicht etwas wie Cake? Was auch immer es ist, stellen Sie sicher, dass der von Ihnen verwendete Fragebogen auf den Umfang abgestimmt ist und mit den Daten und der Verarbeitung übereinstimmt. Etwas, das Sie ebenfalls in Betracht ziehen sollten und das ich mit der Organisation, für die ich zuvor tätig war, als ich deren Programm leitete, umsetzen konnte, war die Entwicklung einer sogenannten Vendor Intelligence Checklist, kurz VIC.

Der Zweck des VIC war – und ich bin sicher, Sie haben das schon erlebt –, dass Sie von einer Geschäftseinheit mit Anfragen überschüttet werden: „Hey, ich habe hier fünf Anbieter und kann mich nicht entscheiden, welchen ich nehmen soll. Können Sie mir bei der Entscheidung helfen?“ Nein, ich werde mir nur den einen ansehen, den Sie auswählen möchten. Ich sage Ihnen was: Ich mache Ihnen ein Angebot, weil ich ein netter Mensch bin. Geben Sie mir zwei davon. Okay? Und egal, ob Sie eine Rückbuchung vornehmen oder wie auch immer, Sie bieten der Geschäftseinheit zumindest diesen Mehrwert, indem Sie ihr helfen. Eine gute Möglichkeit, dies zu umgehen, besteht darin, mit der Beschaffungs- und Sourcing-Abteilung zusammenzuarbeiten und eine Checkliste für Lieferanteninformationen zu erstellen. Das könnte sogar das SIG-Licht sein. Es kann alles sein, was Sie wollen, aber es ist eine Möglichkeit für Sie, den Lieferanten, der an Bord kommt, zu überprüfen, um sicherzustellen, dass er groß genug ist, um mitzufahren. Ein Beispiel, das ich schon oft verwendet habe, ist, einen Lieferanten so zu behandeln, als wäre er ein kleines Kind, das mit der Achterbahn fahren möchte. Diese Achterbahn kann eine kleine Achterbahn sein, was bedeutet, dass Sie ihm vielleicht nur vertrauliche Unternehmensinformationen geben. Er hilft Ihnen vielleicht bei etwas wie Marketingplänen oder Wachstumschancen, oder es kann sich um eine Achterbahn mit Dreifachlooping und einer Geschwindigkeit von 145 km/h handeln, und Sie geben ihm 10 Millionen Datensätze mit geschützten Gesundheitsinformationen oder anderen Arten von Daten. Okay, Sie möchten also sicherstellen, dass die Kontrolle groß genug ist, um sie mitfahren zu lassen. Zu guter Letzt sollten Sie Ihr eigenes berufliches Netzwerk nicht außer Acht lassen. Wir leben in einer Zeit, in der wir zum Telefon greifen und Leute anrufen können. Wir können mit Menschen außerhalb unserer Organisation kommunizieren und sagen: „Hey, nutzt du diesen bestimmten Anbieter? Was hältst du von ihm?“ Vielleicht bekommst du die Antwort: „Oh, wir lieben ihn. Er ist großartig.“ Und andere sagen vielleicht: „Oh mein Gott, Mann. Ich würde mich nicht im Entferntesten mit ihm einlassen. Er hatte zwei Datenverstöße in 18 Monaten.“ Wow. Davon habe ich noch nie gehört. Es ist also die Möglichkeit, auf Ihr berufliches Netzwerk zurückzugreifen, die Ihnen hilft, diese Sorgfaltspflicht vor der Zusammenarbeit zu erfüllen. Und zum Schluss: Haben Sie eine Superkraft? Okay, ich mache jetzt mal ganz ungeniert Werbung für einen Artikel, den ich vor zwei Wochen über Superkräfte veröffentlicht habe. Kennen Sie Ihre Superkraft im Bereich des Risikomanagements von Drittanbietern?

Wenn Sie Ihre Karriere beginnen und die Ihnen zur Verfügung stehenden Werkzeuge nutzen, werden Sie tatsächlich beginnen, diese Superkraft zu entwickeln. Es ist wahrscheinlich, dass Menschen auf Sie zukommen werden, und das sind möglicherweise nicht die Menschen aus Ihrer eigenen Gruppe. Es könnte jemand aus der Beschaffung sein, jemand aus der Sicherheit, jemand aus der IT, der Sie anspricht und fragt: „Hey, können Sie mir dabei helfen?“ Das sind also die Dinge, die Sie berücksichtigen sollten, wenn Sie Ihre Sorgfaltspflicht für Ihr Onboarding erfüllen. Risiken, die Sie beim Offboarding berücksichtigen sollten. Viele Unternehmen haben immer noch Schwierigkeiten mit der Entwicklung einer Exit-Strategie. Und ich sage Ihnen auch warum: Es liegt einfach daran, dass Menschen sich nicht gerne verabschieden. Okay, das liegt in der Natur des Menschen. Wir mögen Beziehungen. Wir mögen ... Ich weiß, dass ihr mich ein paar Mal enttäuscht habt, aber wisst ihr, im Vergleich zu anderen Unternehmen seid ihr relativ günstig. Es ist relativ einfach, mit euch zu arbeiten. Okay, eure Genauigkeitsrate könnte besser sein, aber ich weiß, dass wir schon zehn Mal darüber gesprochen haben, aber lasst uns sehen, ob wir das verbessern können. Es kommt eine Zeit, in der man den Stift weglegen und den Test abgeben muss, und man muss ihn angemessen benoten. Durch die Ausarbeitung einer Ausstiegsstrategie, die in der Verantwortung der Geschäftseinheit liegt, kann das Risikomanagement von Drittanbietern einen Mehrwert für die Geschäftseinheit schaffen, indem es als Verbindungsstelle, als Vermittler zwischen der Rechtsabteilung, dem Beschaffungswesen und anderen Organisationen fungiert und sagt, dass wir hier eine Ausstiegsstrategie ausarbeiten und entwickeln müssen. Und Sie sollten dies tatsächlich in die Vereinbarung aufnehmen. Sehen Sie, für den Fall, dass wir uns trennen müssen, werden wir so vorgehen. Das werden wir tun. Selbst wenn sie nur für einen kleinen Auftrag eingesetzt werden, vielleicht nur für dieses eine einmalige Projekt, sollten Sie dennoch eine Strategie für den Fall haben, dass Sie sich umentscheiden und sagen: „Okay, das funktioniert einfach nicht.“ Das sollten Sie also bedenken. Versäumnis, eine ordnungsgemäße Kündigung oder Nichtverlängerung anzukündigen. Es kann vorkommen, dass Sie sich von einem Anbieter trennen und ihm dies nicht innerhalb einer bestimmten Frist mitteilen.

Sie sollten also sicherstellen, dass Sie diese Informationen im Voraus mit dem Anbieter teilen können. Es ist zwar empfehlenswert, dies tatsächlich zu tun, aber manche Leute werden sich umdrehen und sagen: „Hören Sie, wir trennen uns einfach und machen weiter.“ Das kann zu einem Problem mit dem nächsten Punkt führen, nämlich dem Mangel an parallelen oder Übergangsdienstleistungen. Wenn Sie diesen Übergang vornehmen wollen. Entschuldigen Sie bitte, meine Katze hat beschlossen, sich hier niederzulassen. Wenn Sie vor einer Migration zu einem neuen Anbieter stehen, ist dies eine gute Gelegenheit, etwa drei bis sechs Monate im Voraus mit der Planung von Parallel- oder Übergangsdienstleistungen zu beginnen. Wenn Sie bereits einen anderen Anbieter gefunden haben, beginnen Sie mit der Zusammenarbeit und stellen Sie ihm die Feeds mit den tatsächlichen Daten zur Verfügung, die an ihn übermittelt werden sollen. Wenn es dann an der Zeit ist, den Schalter umzulegen und von Ihrem Hauptanbieter zu Ihrem neuen Anbieter zu wechseln, haben Sie diese Möglichkeit. Die Zusammenarbeit ist bereits eingespielt und Ihr Team kann mit ihm zusammenarbeiten. Dies trägt dazu bei, Dienstunterbrechungen während der Auslaufphase zu vermeiden. Wenn es Neuigkeiten gibt, dass die Geschäftseinheit dem genannten Anbieter mitteilt: „Hören Sie, wir werden getrennte Wege gehen. Wir sind nicht zufrieden. Es ist September. Ich teile Ihnen mit, dass wir Ende Dezember auslaufen werden. Okay? Dies ist der Zeitpunkt, an dem Sie mit ihnen zusammenarbeiten, und sie werden höchstwahrscheinlich einen guten Eindruck hinterlassen wollen und sagen wollen: „Okay, äh, nun, ich hoffe, Sie wenden sich in Zukunft wieder an uns.“ Okay? Sie werden also während dieser Auslaufphase mit Ihnen zusammenarbeiten wollen. Das ist sehr wichtig. Was ist mit der Rückgabe Ihrer Daten, insbesondere von vierten Parteien? Sie müssen das Risiko berücksichtigen, dass der Anbieter, Ihre dritte Partei, Ihre vierte Partei nicht über die Vorgänge informiert. In diesem Zusammenhang sollten Sie sich vergewissern, dass die Daten an den Drittanbieter zurückgegeben werden. Wenn sie beim Viertanbieter gespeichert werden, müssen Sie in der Lage sein, diesem Ihren Datenaufbewahrungsplan und Ihre Datenaufbewahrungsfristen mitzuteilen. Sie können nicht einfach den Kontakt abbrechen und unterschreiben.

Ich habe einige Leute gesehen, einige Leute, sollte ich sagen, die zu mir kamen und fragten: „Kann ich einen Anbieter, mit dem ich keine Geschäftsbeziehung mehr habe, trotzdem bewerten?“ Die Antwort darauf lautet ganz klar „Nein“. Wenn Sie keine vertragliche Beziehung zu einem Dritt- oder sogar Viertanbieter haben und Sie ihn fragen: „Sie speichern meine Daten, daher möchte ich Sie diesbezüglich bewerten“, Dann werden sie Ihnen sagen: „Nein, wir speichern diese Daten aufgrund einer gesetzlichen Verpflichtung.“ Sie müssen also weiterhin die in diesen Verträgen festgelegten Erwartungen erfüllen, was die Sicherheit und den Umgang mit personenbezogenen Daten angeht, die sie ursprünglich festgelegt haben. Okay. Zuletzt muss die Kontinuität sichergestellt werden. Einen Moment bitte, Leute. Entschuldigung. Die Kontinuität des laufenden Datenschutzes muss sichergestellt werden. Hier müssen Sie sicherstellen, dass der Datenschutz auch im Falle eines Falles weiterhin gewährleistet ist. Ich habe dies bereits zuvor angesprochen, als ich darauf hingewiesen habe, dass sie Ihre Datenschutzrichtlinien – entschuldigen Sie, ihre Richtlinien zur Datenaufbewahrung – einhalten und Sie davon ausgehen, dass sie weiterhin strenge Kontrollen in Bezug auf diese Daten haben werden. Sie können darum bitten, regelmäßig einen SOC-2-Bericht zu erhalten, wenn sie dies tun, damit Sie zumindest sagen können, dass Sie dies weiterhin verfolgen, und Sie können dies an Ihre Rechtsabteilung weitergeben und sogar an die für die Datenaufbewahrung zuständigen Mitarbeiter in Ihrem Unternehmen. Zuletzt möchte ich noch schnell einen Schluck nehmen. Vielen Dank. Empfohlene Prozesse zur Sicherstellung der Programmkonvergenz. Ich habe also über diese Sache namens Programmkonvergenz gesprochen. Ähm, ich werde sehr bald einen Blogbeitrag über die Reife von Generationsprogrammen im Bereich des Risikos durch Dritte veröffentlichen. Das habe ich bereits bei einer anderen Konferenz veröffentlicht. Ich möchte es nur einer breiteren Öffentlichkeit zugänglich machen. Die Programmkonvergenz versetzt Ihr Unternehmen in die, wie ich es nenne, vierte Generation der Programmreife. Das bedeutet, dass das Risikomanagementprogramm für Dritte mit den Bereichen Beschaffung, Rechtsabteilung, Finanzen und anderen Second-Line-Gruppen zusammenarbeitet und einen Dialog mit ihnen führt. Sie haben tatsächlich definierte Rollen, Verantwortlichkeiten und Prozesse festgelegt. Diese sind in Ihrer Richtlinie zum Risikomanagement für Dritte definiert.

Sie können diese Verbindungen von der Risikomanagementrichtlinie für Dritte bis hin zu den anderen Organisationen aufzeigen, die Ihrem Programm andere Arten von operativer Anleitung und Unterstützung bieten. Außerdem werden Sie in diesem Programm Konvergenz sehen, Sie werden Zertifizierungen für Fachleute sehen, zusammen mit Zertifizierungen in Bezug auf Prozesse, das könnten ITIL-Zertifizierungen sein, das könnte eine ISO-Zertifizierung sein, das könnte eine Black-Belt-Zertifizierung sein, und dann kommen Sie zu Personen in diesen jeweiligen Rollen, die ebenfalls Zertifizierungen haben, egal ob es sich um PMPs oder CTPRPs handelt. Ich unterrichte zufällig die CTPRP- und CTP-Zertifizierungen. Es könnten auch andere Zertifizierungen für Risiken durch Dritte sein, andere Sicherheitszertifizierungen, andere Beschaffungs- und Beschaffungszertifizierungen, zertifizierte CPPs (Certified Procurement Professionals) und ähnliches. Hier werden Sie diese Konvergenz des Risikomanagements von Drittanbietern mit anderen Organisationen erkennen und Sie werden dies aus Prozessperspektive dokumentieren können. Und das führt zurück zu Beschaffungsprozessen, Prozessabläufen und anderen Karten, die tatsächlich definiert und überprüft werden, da dies für Ihr Risikomanagement von Drittanbietern von entscheidender Bedeutung ist. Sie betrachten die Dinge aus der Perspektive Ihrer Prozesse, haben ein Verständnis dafür, wie sie funktionieren, welche Vorteile sie bieten und wer für die Aufrechterhaltung und Dokumentation dieser kritischen Prozesse in Ihrer Kette verantwortlich ist. Okay, das wird also von entscheidender Bedeutung sein, wenn Sie entweder einen externen Prüfer, eine Aufsichtsbehörde oder eine interne Überprüfung haben, die sich damit befasst, okay, Beschaffung und Einkauf sind dafür verantwortlich. Wir ziehen dafür die Rechtsabteilung hinzu. Wir benachrichtigen die Informationssicherheit, ähm, das Facility Management und so weiter und so fort. Sie müssen sicherstellen, dass Sie diese Prozesse und Prozessabläufe dokumentiert haben. Teilen Sie das mit anderen Personen? Melden sich diese bei Ihnen zurück und sagen: „Moment mal. Hier in der Beschaffung und im Einkauf hat sich etwas geändert. Diese Rollen haben sich geändert.“ Das wird Ihnen helfen, die Vorgänge innerhalb Ihres Programms zu dokumentieren, und es wird die Abläufe während des Onboarding- und Offboarding-Prozesses wirklich rationalisieren.

Nun, da wir uns auf die Weihnachtszeit zubewegen, noch ein paar abschließende Gedanken. Ich weiß, es ist kaum zu glauben, oder? Wir haben bereits Oktober, aber wenn November und Dezember kommen und es etwas ruhiger wird, wenn ich diesen Begriff in Bezug auf Risikobewertungen durch Dritte verwenden darf, ist es eine gute Zeit für Sie und Ihr Unternehmen, sich zurückzulehnen, noch einmal alles zu überdenken und einen Blick auf Ihre Onboarding- und Offboarding-Prozesse und -Standards zu werfen. Nehmen Sie die notwendigen Anpassungen an Ihren Richtlinien vor. Und noch einmal: Ich spreche hier von den Verbindungen zu anderen Unternehmen, auf die Sie sich verlassen. Das können auch andere Dinge sein, die mit der Art und Weise zu tun haben, wie wir unsere Sorgfaltspflicht erfüllen. Die Bewältigung Ihrer gemeinsamen Herausforderungen bringt Ihrem Programm Verantwortlichkeit, Überprüfbarkeit und vor allem Glaubwürdigkeit. Das wird ein Aushängeschild für Sie sein, das auch die obersten Führungsebenen sehen werden. Dies ist eine großartige Gelegenheit, Ihre Sorgfaltspflicht neu zu kalibrieren. Gibt es etwas, das wir ändern müssen? Gibt es etwas in Bezug auf PCI, das wir in unserer Sorgfaltspflicht berücksichtigen sollten? Vielleicht werden wir die Art und Weise, wie wir Tools zur kontinuierlichen Überwachung einsetzen, neu kalibrieren. Vielleicht werden wir die Art und Weise, wie wir mit kritischen Anbietern und Anbietern mit hohem Risiko umgehen, neu kalibrieren. Vielleicht werden wir neu kalibrieren und sagen: „Wissen Sie was? Wir müssen uns nicht alle diese Kontrollmechanismen für unsere risikoarmen Lieferanten ansehen. Das ist also eine wunderbare Gelegenheit für Sie, denn das wird Ihnen auch bei Ihrem Onboarding-Prozess helfen. Sie möchten weiterhin Einblicke bieten, um den Beschaffungs- und Einkaufsprozess effizienter zu gestalten. Und auch hier gilt: Durch diese Phase, diese Art von Dialogen und diese Beziehungen wird das wirklich vorangetrieben werden können. Und schließlich sollten Sie Stakeholder-Meetings mit diesen Organisationen und Ihren zweiten Linien planen. Werden Sie zu diesem Analysezentrum. Betrachten Sie sich selbst als internes ISAC-Informationsaustausch- und Analysezentrum, in dem Sie sich hinsetzen und sagen können: „Hey, Beschaffung und Einkauf, hier ist, was ich sehe. Hey, Sicherheit, hier ist, was ich sehe, usw.“ Und bitten Sie sie, Ihnen einige Kennzahlen zu liefern.

Halten wir uns an unsere Service Level Agreements für die Einarbeitung von Lieferanten? Möglicherweise gibt es Geschäftsbereiche, die sagen: „Wissen Sie was? Das hat 45 bis 50 Tage gedauert und bremst uns hier wirklich aus.“ Nun, wie lautet Ihr Service Level Agreement? Wenn Ihr Service Level Agreement 30 Tage vorsieht und Sie dies nicht erreichen können, ist dies eine gute Möglichkeit, das Problem anzugehen, indem Sie mit Ihren Stakeholdern zusammenarbeiten und sagen: „Liegt es an uns oder ist die Erwartung von 30 Tagen etwas zu hoch gegriffen? Vielleicht sollten es 45 Tage sein. Vielleicht müssen Sie zurückgehen und das Projektmanagementbüro und andere Organisationen informieren. Das ist die Erwartung. Wir müssen sie neu kalibrieren, weil es Probleme mit der Personalausstattung, der Technologie usw. gibt.“ Ich habe also viele Informationen bereitgestellt. Ich weiß, dass wir einige Fragen haben. Ich sehe, dass hier etwas aufleuchtet. Ich bin froh, dass wir die Gelegenheit haben, dies schnell zu erledigen, und dann werde ich das Wort an Scott von Prevalent weitergeben, der Ihnen einige zusätzliche Einblicke in Prevalence geben kann. Also, Melissa, gibt es noch etwas, worüber wir sprechen könnten?

Melissa: Ähm, ich möchte euch alle dazu ermutigen, eure Fragen in das Q&A-Feld einzutragen. Ich weiß, wir haben darüber im Chat gesprochen, aber schreibt sie bitte dort hinein. Seien Sie nicht schüchtern. Sie können ihm jederzeit anonym Fragen stellen. Und dann, ähm, Scott ist unser Vizepräsident für Produktmarketing hier. Er wird nur ein paar Worte sagen, und, äh, ich werde das Wort an Sie übergeben, Scott. Also, hören Sie schnell auf zu teilen. Scott kann einfach seinen Bildschirm teilen, und, äh, wir machen weiter.

Okay. Also, ich höre hier auf.

Melissa, wollen wir jetzt mit den Fragen und Antworten beginnen oder warten wir, bis Scott fertig ist?

Melissa: Ich werde warten, bis die Leute noch ein paar weitere Fragen zusammengetragen haben. In Ordnung. Danke.

Scott: Super. Kurze Überprüfung. Könnt ihr meine Folie sehen? Okay, Tom?

Tom Geruba: Ja.

Scott: Großartig. Sehr gut. Cool. Leute, äh, alle zusammen, vielen Dank, dass ihr euch die Zeit genommen habt, am heutigen Webinar teilzunehmen. Ich finde, Tom leistet immer hervorragende Arbeit, wenn es darum geht, einige der wichtigsten Dinge herauszuarbeiten, über die wir in einigen der wichtigsten Phasen des Lebenszyklus eines Drittanbieters nachdenken müssen. Diese Überlegungen, diese Risikoarten, diese Aufgaben, ihr wisst schon, all das, was oft übersehen wird, weil wir es eilig haben. Wir haben eine Menge zu erledigen, und wir wissen, dass dies immer Konsequenzen hat. Ich möchte kurz unseren Ansatz erläutern, mit dem wir Ihnen helfen möchten, einige dieser Herausforderungen zu bewältigen. Zunächst einmal möchten wir Ihnen unsere Sichtweise auf Risiken durch Dritte darlegen. Die Ziele, die wir Ihnen dabei helfen möchten zu erreichen, sind im Wesentlichen dreierlei. An erster Stelle steht, Ihnen dabei zu helfen, Daten zu erhalten, die Sie benötigen, um bessere Entscheidungen zu treffen, und zwar speziell im Zusammenhang mit Onboarding und Offboarding. Wir sehen viele Unternehmen, die nach einem Cyber-Monitoring-Tool suchen, um eine Bewertung der Cybersicherheit zu erhalten, bevor sie eine Entscheidung über die Beschaffung, Auswahl oder das Onboarding treffen. Wir sehen, dass jemand einen D&B-Bericht zu Finanzdaten ansieht oder eine Lexus-Nexus-Suche nach aktuellen Nachrichtenartikeln oder Sanktionsproblemen oder ähnlichem durchführt. Das ist eine Art isolierter Ansatz, der die Dinge ein wenig verlangsamt. Unser Ansatz in dieser Angelegenheit besteht darin, zu versuchen, einen Großteil dieser Informationen an einem Ort zu konsolidieren, damit Sie diese Transparenz auf alle verschiedenen Arten von Risikobereichen und auf verschiedene Interessengruppen im gesamten Unternehmen ausweiten können. So singen Sie alle aus dem gleichen Notenblatt, wenn Sie so wollen, oder sehen Sie sich die gleichen Daten an, erhalten Sie bessere Daten auf konsistentere Weise, um bessere Entscheidungen zu treffen. Zweitens, und das knüpft direkt an meinen vorherigen Punkt an, ist, dass Effizienz tendenziell das größte Hindernis für den langfristigen Erfolg eines Programms zum Management von Risiken durch Dritte ist. Und ob das nun an der Vielzahl Ihrer Lieferanten liegt, die Sie bewerten müssen, an einem Mangel an Ressourcen, die Ihnen bei der Arbeit helfen, oder vielleicht daran, dass Sie in manuellen Prozessen feststecken – jeder hat gewisse Erwartungen an ein Programm zur Bewertung von Risiken durch Dritte. Das Sicherheitsteam muss die Sicherheitskontrollen kennen. Die Beschaffungsabteilung muss wissen, ob es sich um ein tragfähiges und dauerhaftes Unternehmen handelt. Die Compliance-Abteilung muss wissen, ob Sanktionen oder Verstöße gegen sie vorliegen, was auch immer. Und wenn Sie versuchen, dies mit einer Reihe von unzusammenhängenden Tools oder Prozessen oder einem manuellen Ansatz oder in Silos zu tun, dann ist das meiner Meinung nach nicht gut. Ich verstehe, dass dies in vielen Unternehmen die Realität ist, und ich verstehe das auch, aber Sie wissen, dass es kontraproduktiv ist. Und drittens, und das knüpft wirklich an die ersten beiden Punkte an: Wenn Sie gute Daten erhalten, um gute Entscheidungen zu treffen, wenn Sie durch Automatisierung und Intelligenz mehr mit den Ihnen zur Verfügung stehenden Ressourcen erreichen können, sind Sie letztendlich besser positioniert, um Ihr Programm im Laufe der Zeit weiterzuentwickeln und zu skalieren. Und genau dabei möchten wir Ihnen mit Ihrem Programm helfen. Gute Daten, die viel effizienter umgesetzt werden, um Ihnen zu helfen, Ihr Programm im Laufe der Zeit auszubauen, zu skalieren und weiterzuentwickeln. Und wir betrachten das Risikomanagement von Drittanbietern wirklich aus einer Lebenszyklusperspektive. Und alles, worüber Tom heute gesprochen hat, befindet sich ganz klar auf der linken Seite dieses Diagramms mit der aufgehenden Sonne, wenn Sie so wollen, und auf der rechten Seite, richtig? Ähm, und was wir bei Unternehmen in Bezug auf die Onboarding-Perspektive beobachten, ist, dass sie nicht wirklich über eine einzige Quelle für alle Daten verfügen, die ich auf der vorherigen Folie erwähnt habe. Sie betrachten Datenrisiken als isolierte Prozesse und führen sie nicht an einem bestimmten Ort zusammen. Alles, von RFX über Vertragsabschlüsse bis hin zum Onboarding von Anbietern, wenn all das an verschiedenen Orten stattfindet, dann laufen Sie Gefahr, Ihre Ziele nicht zu erreichen. Ähm, mein Headset sagt mir, dass der Akku fast leer ist. Es war also einer dieser Tage. Es ist erst 12:30 Uhr. Ähm, also werde ich die nächsten paar Folien hier schnell durchgehen. Wir befassen uns mit diesen verschiedenen Arten von Risiken über den gesamten Lebenszyklus hinweg in diesen Kategorien und können Ihnen helfen, indem wir diese Informationen konsolidieren.