Mehr als eine Checkbox: Wie Sie den Wert Ihres TPRM-Programms ausschöpfen

Ashley: Mein Name ist Ashley. Ich arbeite in der Geschäftsentwicklung hier bei Prevalent. Und wir haben einige ganz besondere Gäste zu Gast, den CEO von Cyber Marathon Solutions, Bob Wilkinson. Wie geht es Ihnen, Bob? Bob Wilkinson: Es läuft großartig. Hallo, alle zusammen. Ashley: Und unser eigener Vizepräsident für Produktmarketing, Scott Lang. Wie geht's, Scott? Scott Lang: Hey, gut, Ashley. Danke, dass ich dabei sein darf. Ashley: Natürlich. Nur zur Erinnerung: Dieses Webinar wird aufgezeichnet und wir werden eine Kopie davon zusammen mit den Präsentationsfolien verschicken. Sie sind derzeit alle stummgeschaltet, aber wir freuen uns über jede Beteiligung. Wenn Sie also Fragen haben, werfen Sie diese bitte in unsere Q&A-Box, damit wir sie am Ende des Webinars besprechen können. Heute wird Bob darüber sprechen, wie Sie den größten Nutzen aus Ihrem TPRM-Programm ziehen können. Also, Bob, ich übergebe das Wort jetzt an Sie.

Bob Wilkinson: Vielen Dank, Ashley. Hallo zusammen. Das heutige Webinar trägt den Titel Beyond the Checkbox, Transforming Third Party Risk from Assessment to Risk Mitigation. Und für mich ist es eine Schlüsselkomponente des gesamten Risikomanagementprogramms für Dritte. Bei Drittparteirisiken sollte es nicht um die Einhaltung von Vorschriften gehen. Es sollte sich um das Management von Risiken drehen. Allzu oft wird der Schwerpunkt darauf gelegt, ein Kästchen anzukreuzen, eine Bewertung durchzuführen und zur nächsten Bewertung überzugehen. Das trägt nicht dazu bei, die Risiken zu mindern, die sich aus den Beziehungen zu Dritten ergeben. Deshalb werde ich heute über einige der wichtigsten Themen und Dinge sprechen, auf die wir uns beim Aufbau und bei der Durchführung unseres Risikomanagementprogramms für Dritte konzentrieren müssen, sowie über Dinge, die wir bedenken sollten, und vor allem darüber, wo Automatisierung Ihnen helfen kann, in diesem Prozess erfolgreich zu sein. Ich beginne also damit, warum wir ein TPRM-Programm haben, und gehe auf das TPRM-Rahmenwerk und den Lebenszyklus ein, indem ich über das Reifegradmodell spreche. Von dort aus geht es weiter mit der Erstellung von Profilen von Drittparteien und der Onboarding-Due-Diligence. Die Verwendung regelmäßiger Risikobewertungen. Die Schlüsselrolle der Automatisierung und die Besprechung einer Checkliste für die Automatisierung, um die Rolle der kontinuierlichen Überwachung bei der erfolgreichen Risikominderung in einem Drittparteiprogramm zu verdeutlichen. Die Rolle der wichtigsten Leistungs- und Risikoindikatoren bei der Messung des Erfolgs und des Fortschritts Ihres Programms. Problemmanagement, denn das ist der Punkt, an dem Sie das Risiko für Dritte tatsächlich mindern können. Programme, Programm-Dashboards und Berichte, die Sie Ihrem Management zur Verfügung stellen können, Incident Management und seine entscheidende Rolle bei Risiken Dritter und schließlich Benchmarking. Warum brauchen wir ein Risikomanagementprogramm für Drittanbieter? Nun, der Grund ist letzten Endes ganz einfach. Es geht darum, Risiken, die sich aus der Inanspruchnahme von Dritten ergeben, zu identifizieren, zu verwalten und zu mindern. Auf diese Weise verhindern wir finanzielle Verluste. Wir vermindern die negative Publicity und die Auswirkungen auf den Ruf. Und gegebenenfalls sorgen wir für die Einhaltung von Vorschriften.

Bob Wilkinson: Die wirkliche Herausforderung besteht darin, dass, wenn Sie in einer regulierten Branche wie dem Bankensektor arbeiten und Ihre Risiken gegenüber Dritten nicht effektiv managen, die Aufsichtsbehörden Sie nicht nur wegen Problemen vorladen werden, sondern dass dies zu ziemlich hohen Geldstrafen und Sanktionen führen kann. Das ist also ein wichtiges geschäftliches Anliegen. Und schließlich wollen wir unser TPRM-Programm effizient verwalten, und wir werden darüber sprechen, wie wir das tun können. Wenn wir also über den Rahmen und den Lebenszyklus für Drittparteirisiken sprechen. Wir beginnen mit der Planung und Erkundung, und dort wollen wir unser Lieferketteninventar identifizieren, das Drittparteien, also vierte, fünfte, sechste oder, wie wir es manchmal nennen, n-te Parteien, und auch den Einsatz von Drittanbietersoftware umfasst. Über Software von Drittanbietern wird meines Erachtens nicht genug gesprochen, und die Risiken, die sich daraus ergeben, sind in den letzten Jahren sehr weit verbreitet. ent. Wir müssen uns nur Dinge wie Sonnenwinde, Log 4j usw. ansehen. Und in der Planungs- und Erkundungsphase stellen wir sicher, dass für alle unsere Dritten Verträge bestehen und dass die wichtigsten Risiken berücksichtigt wurden. Von dort aus gehen wir zur Risikobewertung über und sprechen über Due Diligence und Onboarding und die Notwendigkeit eines einheitlichen Programms innerhalb einer Organisation, um alle Drittparteien einzubinden, was für viele Organisationen eine Herausforderung darstellt. Danach kommen wir zu dem, was ich als BAU bezeichne, und zur kontinuierlichen Überwachung der operationellen Risiken, die mit Drittparteien entstehen. Wie können wir dann die festgestellten Probleme beheben, und welche Formen kann das annehmen? Können wir sie beheben? Können wir das Risiko akzeptieren und unter welchen Umständen oder können wir das Risiko übertragen? Und wenn wir von Risikotransfer sprechen, dann meinen wir damit Dinge wie Cyber-Versicherungen. Und schließlich sollten wir uns auch über die Kündigung Gedanken machen. Bekommen wir also alle unsere Daten zurück? Werden alle Zugänge, die Dritten und Vierten gewährt wurden, bei Beendigung einer Geschäftsbeziehung gelöscht? Das nächste Element ist das Reifegradmodell für das Risikomanagement von Drittanbietern. Und wenn wir über ein Reifegradmodell nachdenken, müssen wir damit beginnen, wo wir uns befinden. Wir müssen objektiv sein, was den Reifegrad angeht, auf dem wir uns befinden, aber wir müssen auch ganz klar einen Zielreifegrad haben, auf den wir hinarbeiten.

Bob Wilkinson: Ich möchte gleich sagen, dass Stufe fünf sehr schwierig und teuer zu erreichen ist und dass die meisten Programme für Dritte diesen Reifegrad nicht anstreben. Meiner Erfahrung nach denken die Leute immer, dass sie einen höheren Reifegrad haben, als sie tatsächlich haben. Es ist also wichtig, dass die Leute objektiv sind, wenn sie ihr Reifegradmodell bewerten. Wenn wir ein Programm starten, ist alles sehr ad hoc. Es gibt kein spezielles Management-Reporting. Sie kennen Ihren Bestand nicht. Von dort aus bewegt man sich auf Stufe zwei, wo man anfängt, dedizierte Ressourcen zu bekommen. Man hat keine dokumentierten Prozesse und reagiert im Allgemeinen auf Probleme mit Dritten wie in einem reaktiven Modus. Auf Stufe drei beginnen die Dinge wirklich zusammenzukommen. Sie haben eine dokumentierte Roadmap und einen Plan. Sie führen diese Pläne aus und verfügen über ein Organ oder eine Organisationsstruktur und Prozesse, die es Ihnen ermöglichen, die Dynamik weiter zu steigern. Ich werde später noch ein wenig über die Bedeutung der Managementberichterstattung sprechen und darüber, wie Sie Ihr Programm auf dem Weg nach vorn sichtbar machen können. Eine der größten Herausforderungen bei TPRM-Programmen ist, dass sie mit viel Tamtam gestartet werden. Alle sind sehr engagiert. Wir werden das schon schaffen. Wir werden einen großartigen Prozess einführen. Aber dann stößt man auf Hindernisse, sei es in Bezug auf die Ressourcen, die Unterstützung des Managements oder was auch immer es sein mag. Für mich ist eines der Schlüsselelemente, wie man das Programm für alle Beteiligten auf den verschiedenen Managementebenen und für den Vorstand sichtbar macht. Wenn wir über das Onboarding von Dritten sprechen, ist es sehr wichtig zu verstehen, wie Ihre Organisation funktioniert. Manche Organisationen sind sehr zentralisiert, was die Verwaltung angeht. Andere Organisationen sind sehr dezentralisiert, und die Mitarbeiter haben eine große Autonomie, wenn es darum geht, Dritte zu beauftragen, weil sie dies für einen ganz bestimmten Geschäftszweck benötigen. Die meisten Organisationen liegen irgendwo in der Mitte, so dass sie nach einem föderierten Modell arbeiten, bei dem die einzelnen Geschäftseinheiten sehr autonom entscheiden können, welche Drittanbieter sie nutzen.

Bob Wilkinson: in der Art und Weise, wie sie mit ihnen zusammenarbeiten, und sie würden sich an die üblichen Unternehmensrichtlinien und -standards halten, hätten aber einen gewissen Spielraum dabei. Wenn man nun vom zentralisierten Modell abrückt, stößt man sehr schnell auf das Problem, dass die Leute Ausnahmen von den Kriterien für das Onboarding im Rahmen des Risikomanagement-Programms Dritter verlangen. Und wenn Geschäftseinheiten Ausnahmen vom Standard-Onboarding-Prozess machen dürfen, stoßen wir auf eine Menge Probleme, weil wir dann nicht wirklich eine vollständige Bestandsaufnahme haben. Wir haben nicht den vollen Überblick. Wir kennen nicht die gesamte Software, die verwendet wird, und wenn Probleme auftauchen, ist es sehr schwer, sie zu beheben, und das behindert unsere Fähigkeit, auf Zwischenfälle zu reagieren. Das schafft eine ganze Reihe von Problemen für das Unternehmen. Sobald man also festgestellt hat, dass es einen gemeinsamen Prozess gibt, oder festgestellt hat, wo die Lücken sind, muss man sich auf die Inventarisierung konzentrieren, und als Teil des Inventarisierungsprozesses kommt die Definition der Anbieter, der Drittparteien, auf die man sich am meisten konzentrieren will, oder das, was man oft als Kritikalität bezeichnet, ins Spiel. Unternehmen tun sich also manchmal schwer mit der Definition der kritischen Drittparteien. Ich verwende eine recht einfache und geradlinige Definition für kritische Drittparteien. Haben sie Zugang zu Ihren vertraulichen und eingeschränkten Informationen? Haben sie Zugang zu Ihrer Infrastruktur? Führen sie eine wichtige Kontrollfunktion für Ihr Unternehmen aus, z. B. Benutzeranzeigen, Löschungen und Kontrollen? Wurden sie von Ihren IT-Ressourcen und Unternehmen als kritisch für die Notfallwiederherstellung oder die Kontinuität des Geschäftsbetriebs eingestuft? Und schließlich, wenn einer dieser Dritten einen der ersten vier Punkte auf dieser Folie anbietet, werden diese Dienste dann von Unterauftragnehmern erbracht? Einer der Punkte, über den nicht oft genug gesprochen wird, ist die Frage, woher die Vorfälle kommen. Und die meisten Vorfälle haben ihren Ursprung bei einer dritten Partei, die ein Unternehmen einsetzt. Wenn man das genauer untersucht, stellt man fest, dass viele dieser Vorfälle gar nicht von der dritten Partei ausgingen. Sie begannen mit der vierten Partei. Denn so wie wir Kontrollen für Drittanbieter entwickeln, haben wir oft nicht die Ressourcen oder die Zeit, uns auf die vierten und fünften Anbieter zu konzentrieren.

Bob Wilkinson: Und die Bedrohungsakteure, die uns ausnutzen wollen, wissen das sehr gut. Daher versuche ich immer zu verstehen, wo immer jemand Zugang zu meiner Infrastruktur oder zu vertraulichen Informationen hat, ob er vierte oder fünfte Parteien einsetzt und welche Art von Informationen mit ihnen geteilt werden oder welcher Zugang mit ihnen geteilt werden könnte. Das ist ein wichtiger Bestandteil einer effektiven Kontrollumgebung für Dritte. Und wenn Sie das wissen und diese Due-Diligence-Prüfung durchgeführt haben, dann können Sie Ihre Drittparteien bewerten und Ihre Ressourcen auf die Bewertung dieser Drittparteien konzentrieren und Drittparteien, die für Ihr Unternehmen weniger kritisch sind, für ein anderes Mal aufheben. Nun zur Bewertung eines Dritten und der Entscheidung, ob Sie eine erste Risikobewertung durchführen. Das erste, was Sie tun sollten, bevor Sie sagen: "Okay, beginnen wir mit der Risikobewertung". Fragen Sie den Dritten, und das trifft immer häufiger zu, ob er in den letzten 12 Monaten eine unabhängige Risikobewertung seiner Organisation durchgeführt hat, denn wenn jemand anderes bereits eine unabhängige Risikobewertung durchgeführt hat, ist der Dritte bereit, Ihnen diese zur Verfügung zu stellen. Sie müssen keine weitere Risikobewertung durchführen, nur um zu sagen, dass Sie eine Risikobewertung durchgeführt haben. Sie können die bereits geleistete Arbeit überprüfen und entscheiden, ob sie Ihren Anforderungen genügt. Und wenn sie Ihren Anforderungen genügt, dann haben Sie sich den ganzen Aufwand für die regelmäßige oder erste Risikobewertung gespart. Fragen Sie also immer die dritte Partei, ob sie eine unabhängige Risikobewertung durchgeführt hat, die sie Ihnen mitteilen kann. Ich persönlich bin der Meinung, dass Sie, wenn Sie einen Dritten beauftragen wollen, eine Anfrage an verschiedene Unternehmen stellen sollten, um zu sehen, ob sie bestimmte Arbeiten für Sie erledigen wollen. Genauso wie sie im Rahmen des RFP-Prozesses ihre Finanzdaten vorlegen, sollten sie meiner Meinung nach auch eine unabhängige Risikobewertung vorlegen. Wenn sie das tun, brauchen Sie keine Risikobewertungen durchzuführen, deren Zweck es ist, die Risiken zu ermitteln.

Bob Wilkinson: Sie können Ihre wertvolle Zeit und Ihre Ressourcen darauf verwenden, diese Risiken, die Ihr Unternehmen betreffen, zu mindern. Also noch einmal: Verstehen Sie, ob Ihre Organisation alle Geschäftseinheiten dazu zwingt, denselben Prozess zu befolgen. Verwenden Sie einige der Kriterien hier, um zu entscheiden, auf welche kritischen Bereiche Sie sich konzentrieren müssen, und vergessen Sie nicht Ihre vierte und fünfte Partei, und bitten Sie sie dann zuerst um diese Risikobewertung. Wenn Sie beschließen, eine regelmäßige Risikobewertung durchzuführen, müssen Sie mehrere Entscheidungen treffen, und zwar auf Programmebene. Welchen Prozess und welchen Fragebogen werden Sie zur Durchführung Ihrer Risikobewertungen verwenden. Es gibt einige branchenübliche Fragebögen, die sich an verschiedenen Standards orientieren. Welcher ist der richtige für Ihr Unternehmen? Werden Sie diesen verwenden? Und werden Sie dann die Ressourcen Ihres Unternehmens nutzen? Verfügen Sie über genügend Personal, um diese Risikobewertungen für Sie durchführen zu können? Oder sind Sie besser bedient, wenn Sie das Personal aufstocken und Berater anheuern, die diese Risikobewertungen für Sie durchführen. Und würden Sie dann, je nach Branche, den Einsatz von Offshore-Ressourcen in Betracht ziehen? Denn Offshore-Ressourcen können für Sie finanziell effizienter sein. Eine andere Möglichkeit ist die Inanspruchnahme von Risikobewertungsdiensten, die die Risikobewertung für Sie durchführen und sich dann auf ihre regelmäßigen Risikobewertungen verlassen, die sie als Ihr Due Dill durchführen. auf Dritte. Das ist eine Möglichkeit. Ein weiteres Thema ist die Frage, wie Sie, wenn Sie bei einer Risikobewertung Probleme feststellen, diese Probleme verfolgen, beheben und sicherstellen, dass sie keine negativen Auswirkungen auf Ihr Unternehmen haben. Und wird Ihr Unternehmen in Zukunft regelmäßige, viele Leute machen jährliche Risikobewertungen. Und nach welchen Kriterien würden Sie diese Risikobewertungen durchführen? Ich persönlich bin kein Freund von Risikobewertungen außerhalb der ersten Risikobewertung, denn nach der ersten Bewertung haben Sie Ihre Ausgangsbasis. Die Ausgangssituation ändert sich von Jahr zu Jahr nicht wesentlich. Zu diesem Zeitpunkt kann man mit der kontinuierlichen Überwachung beginnen.

Bob Wilkinson: Ich werde im weiteren Verlauf noch mehr über die kontinuierliche Überwachung und deren Bedeutung sprechen. Aber der wichtigste Punkt ist, dass ein effektives TPRM-Programm die Risiken entsprechend der Risikobereitschaft Ihres Unternehmens mindert. Und die Risikobewertung ist nur der erste Schritt, der es Ihnen ermöglicht, die Risiken zu identifizieren, die Sie abmildern müssen. Wenn wir also zum Problemmanagement kommen, das für mich wahrscheinlich die wichtigste Folie der gesamten Präsentation ist, werden wir ausführlicher darüber sprechen. Der andere Punkt, auf den ich in ein paar Minuten eingehen werde, ist die Notwendigkeit der Automatisierung. Wenn wir also über die Durchführung von Risikobewertungen nachdenken, haben wir jetzt dank einer Reihe von Anbietern auf dem Markt die Möglichkeit, unseren Risikobewertungsprozess zu automatisieren. Wenn wir uns den Umfang einer Risikobewertung ansehen, dann ist es nicht mehr so wie vor 15 oder 20 Jahren, als ich mit dieser Arbeit begann, wo wir uns auf Sicherheit und vielleicht Geschäftskontinuität konzentrierten. Heute müssen wir sicherstellen, dass wir alle finanziellen, operativen, geografischen, Cyberbetrugs- und ESG-Risiken abdecken, die es gibt. Und wenn wir das nicht umfassend tun, wird das zu Problemen führen. Wenn wir zum Beispiel die finanzielle Gesundheit unserer Drittparteien nicht überwachen, hat eine dieser kritischen Drittparteien Probleme und steht möglicherweise vor dem Konkurs. Es ist sehr schwierig, kurzfristig eine Drittpartei gegen eine andere auszutauschen. Je nachdem, ob es sich um kritische Unternehmen handelt, kann die Planung ein Jahr oder länger dauern. Das ist nur ein Beispiel dafür, warum es wichtig ist, sicherzustellen, dass Ihr Risikobewertungsprozess auch die Finanzen abdeckt. Unabhängig davon, ob Sie regelmäßige Risikobewertungen durchführen oder zu einem Modell der kontinuierlichen Überwachung übergehen, müssen Sie jährlich mit Ihren Geschäftseinheiten überprüfen, ob sich kritische Aspekte der Beziehung zu Dritten geändert haben. Wir haben zum Beispiel vor einem Jahr ein Pilotprojekt gestartet. Wir haben dieser Drittpartei Zugang zu 100 unserer Konten gewährt. Nun, ein Jahr später, Sie gehen zurück zu dem Unternehmen und es war ein erfolgreiches Pilotprojekt und plötzlich haben sie Zugang zu einer Million Konten.

Bob Wilkinson: Und es mag einige Probleme gegeben haben, die aufgedeckt wurden, und weil es sich um ein Pilotprojekt handelte, durfte es fortgesetzt werden. Aber jetzt haben Sie die Datenbank des gesamten Unternehmens dem ausgesetzt, was ursprünglich ein Pilotprojekt sein sollte, und die Probleme, die aufgedeckt wurden, wurden nie behoben. Man muss sich also über solche Dinge im Klaren sein. Automatisierte Tools ermöglichen es Ihnen also, die Risikolage Ihrer Lieferanten zu zentralisieren. Sie geben Ihnen die Möglichkeit, auftauchende Probleme zu verstehen, zu verfolgen und deren Behebung zu gewährleisten. Die Automatisierung ermöglicht es Ihnen auch, Trends zu ermitteln, um zu verstehen, wie Ihr Unternehmen abschneidet, und letztlich zu verstehen, wie Ihr Unternehmen im Vergleich zu anderen Unternehmen abschneidet. Eine der Fragen, die mir häufig von Vorständen gestellt wird, ist die, wie unser Drittparteienprogramm im Vergleich zu unseren Wettbewerbern abschneidet, wenn wir über Drittparteien sprechen. Wie ich bereits sagte, zögern die Leute, Geld auszugeben, um das beste Risikomanagementprogramm für Dritte zu haben oder zu sein. Aber jeder verantwortungsbewusste Vorstand möchte nicht das schlechteste Programm für Drittparteirisiken haben. Daher ist es ein wichtiger Aspekt Ihres Programms, dass Sie in der Lage sind, Ihre Leistungen im Vergleich zu Ihren Kollegen zu kommunizieren, und wir werden etwas später über Benchmarking sprechen. Wenn Ihr Unternehmen also viele Drittanbieter einsetzt und Sie den Prozess nicht automatisieren und immer noch mit Tabellenkalkulationen arbeiten, wird es sehr schwierig sein, Ihr Programm effektiv zu skalieren, und es wird sehr teuer und damit risiko- und fehleranfällig sein. Durch die Nutzung der Automatisierung können Sie also die betriebliche Ausfallsicherheit gewährleisten, und das ist es, was wir mit unseren Drittanbietern anstreben. Wir wollen vor allem bei unseren kritischen Prozessen sicherstellen, dass sie verfügbar sind, wenn wir sie brauchen. Außerdem können wir so Probleme und Pläne zur Behebung zentral verfolgen. Auf diese Weise können wir die Informationen, die wir benötigen, auf konsistente, automatisierte Weise abrufen, um der Geschäftsleitung und dem Vorstand den Status zu melden. Und da Unternehmen zunehmend auf Data Science zurückgreifen, können wir das sich entwickelnde Risiko des Portfolios von Drittanbietern quantifizieren, wenn sich die Beziehungen zu unseren Drittanbietern ändern, wenn neue hinzukommen und wenn andere das Unternehmen verlassen.

Bob Wilkinson: Ich habe eine Checkliste für die Automatisierung erstellt, mit der Sie Ihr Risikoprogramm für Drittanbieter überdenken und sicherstellen können, dass Sie verstehen, wo Sie die Automatisierung einsetzen sollten, und die Ihnen bei diesem Prozess hilft. Der Bereich, mit dem ich als erstes beginne, ist die Frage, ob ich ein zentralisiertes Inventar von Drittanbietern habe oder ob ich mit mehreren föderierten Inventaren zu tun habe, die ich verwalten muss, und, was ebenso wichtig ist, ob alle die gleichen Informationen sammeln und ob diese Informationen vollständig sind. Eine automatisierte Datenbank mit vordefinierten Informationen, die für jeden von Ihnen eingesetzten Dritten obligatorisch sind, stellt sicher, dass Sie über eine genaue Grundlage verfügen, von der aus Sie Ihr Programm starten können. Wie ich bereits erwähnt habe, gibt es einen einheitlichen Arbeitsablauf, durch den alle Dritten eingebunden werden? Denn wenn nicht, haben Sie einige wirklich böse blinde Flecken, und das sind diejenigen, die Ihnen langfristig schaden werden. Ein weiterer Aspekt ist, dass Sie bei der Einbindung Ihrer Drittparteien diese in Risikobereiche einteilen können. Und was meine ich damit? Zum Beispiel alle Drittparteien, die Zugang zu vertraulichen Informationen haben, alle Drittparteien, die Zugang zu Ihrer Infrastruktur haben, alle Drittparteien, die Ihnen bestimmte Geschäftsfunktionen zur Verfügung stellen, wie Callcenter oder Zahlungsdienste. Wenn Sie diese in Risikobereiche einteilen können, können Sie erkennen, was für mich ein weiteres Kernproblem bei den Risiken von Drittanbietern ist: Warum stellt Ihr Unternehmen immer wieder Anbieter ein, die alle das Gleiche tun? Warum brauchen Sie fünf Anbieter für eine bestimmte Aufgabe, wenn zwei oder drei ausreichen könnten? Es ist klar, dass wir bei bestimmten kritischen Funktionen Redundanz brauchen, aber brauchen wir wirklich fünf oder sechs Drittanbieter, die im gesamten Unternehmen dasselbe tun? Wenn wir diesen Prozess effizienter gestalten würden, müssten wir nicht so viele zusätzliche Dritte beauftragen, was die Kosten in die Höhe treibt und das Risiko mit jedem neuen Dritten, mit dem Daten ausgetauscht werden, erhöht, und wir könnten unsere Programme in einer viel effizienteren und risikobasierten Umgebung betreiben.

Bob Wilkinson: Für mich ist der Gedanke wichtig, die Anbieter in Risikobereiche einzuteilen, um zu vermeiden, dass wir unnötigerweise Dritte hinzuziehen, die wir nicht brauchen. Haben wir eine zentralisierte Datenbank für die Verwaltung von Verträgen mit Drittanbietern? Ich habe noch nie mit einem Unternehmen zusammengearbeitet, das über Verträge für alle seine Lieferanten verfügte, auf die es einfach zugreifen konnte. Da sich der Prozess der Beauftragung von Drittanbietern im Laufe der Zeit weiterentwickelt und viele Unternehmen Fusionen und Übernahmen tätigen, ist es sehr schwierig, über alle Verträge Rechenschaft abzulegen, und es ist sicherlich schwierig, eine gemeinsame Sprache für alle Verträge zu finden. Und wenn wir über Vertragsmanagement nachdenken, ist es wichtig, dass bestimmte Schlüsselklauseln darin enthalten sind, wie das Recht auf Audits und die Verpflichtung, festgestellte Probleme zu entschärfen und rechtzeitig über alle Vorfälle zu informieren, die ihnen bekannt werden. Eine zentrale Vertragsdatenbank ist also im Allgemeinen nicht konsequent. Wenigstens hat man dort alles, und man könnte mit der Zeit daran arbeiten, die Verträge zu standardisieren. Verfügen Sie über ein automatisiertes Verfahren zur Durchführung von Due-Diligence-Prüfungen, und wir haben bereits darüber gesprochen, wie wichtig das ist, weil Sie damit einen einheitlichen Standard auf alle von Ihnen hinzugezogenen Dritten anwenden. Verfügen Sie über einen Prozess zur Verfolgung von Problemen und eine Datenbank, um diese Probleme zu verfolgen, so dass Sie ausstehende Probleme von Drittanbietern in Ihrem Unternehmen verwalten können? Darüber werden wir in ein paar Minuten ein wenig mehr sprechen. Gibt es ein Verfahren, mit dem die Geschäftsbereiche die Leistung Dritter verfolgen können? In der Finanzdienstleistungsbranche ist es gesetzlich vorgeschrieben, dass Dritte vierteljährlich von den Geschäftseinheiten, die sie einsetzen, hinsichtlich ihrer Leistung und ihrer Fähigkeit, die zugesagten Leistungen zu erbringen, bewertet werden und die Ergebnisse dokumentiert werden. Deshalb ist das so wichtig. Kontinuierliche Überwachung. Viele Leute sprechen von kontinuierlicher Überwachung, und für mich ist sie absolut unerlässlich. Aber wann immer Sie ein Tool einsetzen, sei es eine kontinuierliche Überwachung oder eine andere Software zur Risikobewertung, müssen Sie sich im Voraus überlegen, wie Sie diese Lösung mit der heutigen Arbeitsweise Ihres Unternehmens und den Prozessabläufen, mit denen sie verknüpft werden muss, in Einklang bringen können.

Bob Wilkinson: Dann sind Sie verloren, bevor Sie mit dem Teil beginnen. Die Software, die Sie zu diesem Zweck erwerben, wird das sein, was wir als Shelfware bezeichnen. Sie müssen sich darüber im Klaren sein, wie jedes Tool, das Sie einführen, in Ihre Betriebsumgebung integriert werden soll. Und schließlich müssen Sie bei der gegebenen Struktur der Managementberichterstattung berücksichtigen, welche Anforderungen an die Berichterstattung gestellt werden und wie häufig diese erfolgen muss, damit Sie nicht jedes Mal, wenn Sie einen Bericht über die Risiken Dritter für die Geschäftsleitung oder den Vorstand erstellen müssen, einen manuellen Aufwand betreiben müssen, um eine kontinuierliche Überwachung durchzuführen. Wir führen regelmäßige Risikobewertungen durch, und wenn wir diese für den Tag, an dem sie durchgeführt wurden, durchführen, sind sie korrekt. Die anderen 300 64 Tage im Jahr. Wir wissen es nicht. Wir verlieren den Überblick und die Dinge ändern sich sehr schnell. Wenn Sie also wirklich versuchen, das Risiko in einem Programm für Dritte zu mindern, müssen Sie eine Möglichkeit haben, das Risiko, das sich aus der Nutzung von Dritten ergibt, kontinuierlich zu verwalten. Wie ich bereits sagte, ist die Entscheidung darüber, wie Sie die Lösung zur kontinuierlichen Überwachung von Drittanbietern in Ihre Betriebsabläufe integrieren, der Schlüssel zum Erfolg. Kontinuierliche Überwachungsplattformen nutzen öffentlich zugängliche Datenquellen, um Risiken zu identifizieren, die in Ihrer Umgebung bestehen könnten, und Sie können die kontinuierliche Überwachung auch auf diese vierten, fünften und sechsten Parteien ausdehnen, insbesondere wenn diese Ihre kritischen Geschäftsprozesse beeinflussen. Sie stützen sich also nicht auf geschützte Informationen, die Ihr Unternehmen besitzt. Sie betrachten Daten, die öffentlich zugänglich sind. Aber wenn man an all die Websites denkt, die Unternehmen nutzen, und an all die Softwareänderungen, die vorgenommen werden, all die Infrastruktur-Upgrades, die vorgenommen werden, bietet jede Änderung die Möglichkeit, dass etwas schief geht. Und Hacker scannen ständig Ihre öffentlich zugängliche Internetpräsenz auf der Suche nach einer Schwachstelle, und wenn es eine gibt, finden sie sie oft innerhalb von Stunden, und dann kommen wir zu einem ganz anderen Thema. Bei der kontinuierlichen Überwachung ist es, wie gesagt, wichtig zu verstehen, was sie tut und was sie nicht tut.

Bob Wilkinson: Es ist auch wichtig zu verstehen, dass die Fähigkeiten, die man für die Durchführung von Risikobewertungen benötigt, sich in mancher Hinsicht von den Fähigkeiten unterscheiden, die für die kontinuierliche Überwachung erforderlich sind. Wenn man also über die Einführung einer kontinuierlichen Überwachung nachdenkt, muss man sicherstellen, dass die Mitarbeiter, die die kontinuierliche Überwachung durchführen sollen, über die richtigen Fähigkeiten verfügen. Sie müssen auch darüber nachdenken, wo das Programm zur kontinuierlichen Überwachung eine Schnittstelle zu anderen Bereichen Ihres Unternehmens bilden wird. Die kontinuierliche Überwachung kann also sehr nützlich sein. Zum Beispiel kann es das Programm zur Aufklärung von Cyber-Bedrohungen unterstützen, indem es die Mitarbeiter über die von Ihnen genutzten Anbieter informiert, von denen sie vielleicht nicht wussten, dass sie Einblick in diese haben, und über Probleme, die dort auftreten, und die sie dann mit den Erkenntnissen über Bedrohungen verknüpfen können, die sie sehen, "Nun, wir wissen nichts über diesen Anbieter, den wir benutzen. Können Sie uns das sagen? Können Sie uns sagen, was sie eigentlich für uns tun?" Wenn Sie daran arbeiten, den Wissensfluss im Vorfeld einzubeziehen, können Sie proaktiv statt reaktiv handeln. Weiter geht es mit den wichtigsten Leistungs- und Risikoindikatoren. Dies steht in direktem Zusammenhang mit der Berichterstattung und dem Einblick in das Programm. Leistungsindikatoren sind Messgrößen für den Fortschritt einer Programmkomponente, die auf ein bestimmtes Ziel ausgerichtet ist. Viele Leute sprechen von Schlüsselindikatoren, aber Daten sind nicht per se ein Indikator. Wann immer Sie glauben, einen KPI zu haben, den Sie verwenden wollen, sollten Sie sich eine Frage stellen. Und diese Frage lautet: Was also? Warum erhebe ich diese Daten? Was sagt mir das? Handelt es sich um verwertbare Informationen, die ich nutzen kann? Zeigt es mir tatsächlich einen Trend? Ein Beispiel: Werden wir besser in der Art und Weise, wie dieser Anbieter uns den Service liefert? Werden wir in unseren Programmen besser darin, wie wir persönlich unsere Risikobewertungen durchführen?

Bob Wilkinson: Das sind nur einige Beispiele dafür, wie Leistungsindikatoren ins Spiel kommen. Ein wichtiger Risikoindikator ist ein Maß dafür, wie riskant eine Geschäftsaktivität ist. Wenn wir also im Zusammenhang mit Drittanbietern darüber sprechen, haben wir heute mehr Probleme mit unseren Drittanbietern als letzten Monat, vor sechs Monaten oder vor einem Jahr? Und werden diese Probleme gelöst oder werden sie weiterhin angesprochen? Daraus können wir ableiten, dass mit der steigenden Anzahl von Problemen auch das Risiko unseres Drittanbieterprogramms zunimmt. Sie müssen also für jedes Programm entscheiden, welche Indikatoren für Sie die richtigen sind, aber sie müssen Ihnen dabei helfen, Ihre Geschichte über Ihr Risikoprogramm für Dritte zu erzählen. Das ist die entscheidende Information, die Sie brauchen. Nun zum Problemmanagement. Für mich ist dies der Punkt, an dem alles zusammenläuft. Wenn Sie ein belastbares Risikomanagementprogramm für Dritte haben wollen, müssen Sie die festgestellten Probleme und deren Behebung genau verfolgen. Und dies ist vielleicht einer der schwierigsten Bereiche des Risikos von Dritten. Die Drittparteien verpflichten sich, Probleme zu beheben, was einige Zeit in Anspruch nehmen kann, weil es nicht in ihren Zeitplan passt, aber bei den identifizierten Problemen gibt es einige wichtige Dinge, die Sie tun müssen. Zunächst müssen Sie sicherstellen, dass Sie sie in einer zentralen Datenbank erfassen. Diese Punkte gelten für alle Drittanbieter, die wir nutzen. Sie müssen sicherstellen, dass es ein verbindliches Datum gibt, zu dem sich jemand bereit erklärt hat, einen Plan für Abhilfemaßnahmen umzusetzen, und Sie müssen wissen, wer diese Person ist. Und schließlich müssen Sie über eine Möglichkeit verfügen, den Fortschritt zu verfolgen und darüber zu berichten. Typischerweise wird das Problemmanagement in einem Unternehmen so gehandhabt, dass die Geschäftseinheiten und Anbieter ein Datum am Ende des Quartals, in der Mitte des Jahres oder am Ende des Jahres festlegen. Wenn Sie also Ihre Problemverwaltungsdatenbank durchsehen, werden Sie wahrscheinlich 3:31, 6:30, 9:30 und 12:31 als Zieldaten für die Behebung von Problemen sehen. Wenn Sie bis zu diesen Terminen warten, um den Status zu überprüfen, haben Sie versagt, bevor Sie angefangen haben. Wenn mir heute jemand sagt, dass er etwas bis zum 30. September beheben will, dann ist das ein Fehler.

Bob Wilkinson: Ich werde dafür sorgen, dass ich am 31. März frage, wo der Plan steht. Am 30. Juni sage ich, welche Fortschritte gemacht worden sind. Und dann, wenn es näher rückt, würde ich die alte rot-gelb-grüne Methode anwenden, um den Status von Problemen zu verfolgen. Und ich würde diese Probleme an die Leiter der Geschäftsbereiche zurückmelden, damit jeder weiß, wie es um die Behebung von Problemen bei Dritten steht. Das ist ein politisch sehr brisantes Thema. Die Leute mögen es nicht, wenn man sie zur Rede stellt und sie zur Verantwortung zieht. Aber wenn Sie wollen, dass Probleme gelöst werden, dann müssen Sie das am Ende des Tages tun, bevor Sie einen Bericht veröffentlichen. Das geht am besten, indem man die Berichte einzeln an die Geschäftsbereiche weiterleitet, in denen Probleme nicht gelöst wurden, und ihnen mitteilt, dass dieser Bericht beispielsweise in zwei Wochen an die Geschäftsleitung weitergeleitet wird und es eine Besprechung dazu geben wird. Auf diese Weise erreicht man, dass Probleme gelöst werden, indem man die Leute zur Verantwortung zieht, und deshalb ist das Problemmanagement für mich so wichtig, denn letztendlich ist die Behebung von Problemen gleichbedeutend mit operativer Widerstandsfähigkeit. Aus meiner Sicht ist dies also der wichtigste Aspekt des Risikomanagements für Dritte. Wenn Sie die von Ihnen festgestellten Probleme nicht beheben, brauchen Sie aus meiner Sicht keine Risikobewertungen durchzuführen, denn Sie haben die Situation nur verschlimmert. Denn vorher waren Sie blind und wussten es nicht, jetzt wissen Sie es und haben beschlossen, nichts dagegen zu unternehmen. Programm-Dashboards und Berichte. Ich hatte bereits erwähnt, dass Sie sich einen Überblick über Ihr Risikomanagementprogramm für Dritte verschaffen müssen. Wie können Sie das tun, und wie können Sie es gleich zu Beginn Ihres Risikomanagementprogramms für Dritte tun? Sie können sofort mit der Erstellung von Berichten beginnen, und die Berichte werden auf verschiedenen Ebenen erstellt. Lassen Sie uns also über Ihr unmittelbares Management sprechen, vielleicht eine Ebene höher als dort. Sie können von Anfang an mit der Berichterstattung beginnen, und ich würde mit vier Aspekten beginnen. Sie brauchen dafür nicht mehr als vier Folien. Sie können also für jeden Berichtszeitraum - eine Woche, zwei Wochen, einen Monat - darüber sprechen, welche Fortschritte Sie in Ihrem Programm gemacht haben. Dann können Sie über Themen sprechen, die Ihr Management kennen muss, damit alle auf dem gleichen Stand sind. Drittens können Sie über die Hindernisse sprechen, die Ihrem Erfolg im Wege stehen.

Bob Wilkinson: Wer erledigt etwas nicht, das Sie brauchen, um Ihr Programm voranzubringen? Auf diese Weise können Sie Ihr Management dazu bringen, Sie bei der Lösung von Problemen zu unterstützen. Und schließlich, wie alle Aktivitäten, die Sie durchführen, dazu beitragen, die Nachhaltigkeit Ihres Risikomanagementprogramms für Dritte zu gewährleisten. Einige der Themen der Trendberichterstattung, die Sie abdecken können und die meiner Meinung nach wirklich helfen, die Geschichte zu erzählen, ist das Wachstum der Gesamtnutzung von Dritten. Meiner Erfahrung nach ist es nicht ungewöhnlich, dass die Zahl der Drittparteien um 10 % pro Jahr steigt. Wenn Sie also in diesem Jahr 10 % mehr mit Dritten zu tun haben als im letzten Jahr, hat Ihnen dann jemand eine 10 %ige Aufstockung Ihres Budgets gewährt? Ich glaube nicht. Sie müssen also effizienter werden, wenn es darum geht, die Zunahme der Inanspruchnahme von Drittanbietern zu erkennen, insbesondere wenn viele dieser Drittanbieter durch Übernahmen übernommen oder angeworben wurden und für Ihr Unternehmen doppelte Dienstleistungen erbringen. Sie können über die Zunahme oder Abnahme der Gesamtleistung und des Risikos Ihres Drittanbieterprogramms auf der Grundlage der von Ihnen gemessenen KPIs und KRIS sprechen. Sie können über die Vollständigkeit Ihres Drittanbieterinventars berichten. Nehmen wir an, Sie schlüsseln es nach Geschäftsbereichen auf. Angenommen, Sie haben eine beliebige Anzahl von Drittanbietern identifiziert, konnten aber nur die Hälfte von ihnen erfassen. Wird diese Zahl im Laufe der Zeit besser? Übrigens, wenn Sie überhaupt ein Verzeichnis von Dritten erstellen und dessen Vollständigkeit sicherstellen wollen, ist es am einfachsten, wenn Sie sich an Ihre Kreditorenbuchhaltung wenden und sie nach allen Personen fragen, die sie in den letzten zwei Jahren bezahlt haben, denn das sind Ihre tatsächlichen Lieferanten. Sie können über die Zunahme oder Abnahme der Anzahl der Ausgaben sprechen. Über diesen Punkt habe ich schon oft genug gesprochen. Wenn Sie in einem regulierten Geschäft tätig sind, können Sie auch über Probleme sprechen, über die die Aufsichtsbehörden berichten, denn die Aufsichtsbehörden haben ein Programm, z. B. im Bankwesen, bei dem sie Risikobewertungen von Dritten durchführen, die kritische Dienstleistungen für Finanzdienstleistungsunternehmen erbringen, wie sie es nennen.

Bob Wilkinson: Und wenn sie bei ihren Prüfungen Probleme finden, dokumentieren sie diese und leiten sie an alle Nutzer dieser Drittpartei weiter, und sie erwarten, dass Sie diese Probleme zurücknehmen, Pläne für Abhilfemaßnahmen entwickeln und Ihrem Vorstand darüber berichten, dass Sie das getan haben. Das musste ich in der Vergangenheit auch schon tun. Daher weiß ich das. Ich wechsle zum Vorfallmanagement. Auch hier sind die Vorteile der Automatisierung beträchtlich, wenn es darum geht, die Verwaltung zu erleichtern. Wie ich bereits sagte, kann mehr als die Hälfte der auftretenden Vorfälle direkt auf Dritte zurückgeführt werden. Ein dokumentierter, getesteter und ständig überprüfter Prozess ist also von entscheidender Bedeutung, wenn es darum geht, die Auswirkungen eines Vorfalls zu mindern. Wenn wir also über das Management von Zwischenfällen sprechen, gibt es eine Reihe von Themen, die behandelt werden müssen. Erstens, die Vorbereitung des Vorfallsmanagements. Was müssen wir tun? Wen müssen wir anrufen? Haben wir alle richtigen Telefonnummern? Wissen wir, wer unsere Lieferantenkontakte sind? Sind wir sicher, dass ihre Handys und E-Mails nicht mehr stimmen und dass sie nicht alle gekündigt haben? Woher wissen wir, wie unsere internen Prozesse aussehen? Die einzige Möglichkeit, dies herauszufinden, besteht darin, eine Übung durchzuführen und einen Vorfall mit der Geschäftsleitung und dem Drittanbieter zu simulieren. Erkennung von Zwischenfällen und Kommunikation. Wie sehen die Meldeverfahren aus? Wie erfolgt die Eskalation? Wenn ein Vorfall eintritt, wie werden Sie ihn einstufen und entscheiden, was die nächsten Schritte sind? Und vor allem: Was haben Sie aus dem Vorfall gelernt, und haben Sie die gewonnenen Erkenntnisse in Ihre Kontrollprozesse einfließen lassen? Eine schnelle Reaktion ist also absolut entscheidend, und hier kommt es auf Minuten an. Die Aufsichtsbehörden sind sehr konzentriert und erwarten, dass sie bei Zwischenfällen umgehend benachrichtigt werden, und sie werden Fragen stellen, wie es zu dem Vorfall gekommen ist und wie Ihre Prozesse aussehen, um zu verhindern, dass er sich wiederholt, und was anfangs versagt hat. Ein dokumentierter, automatisierter und regelmäßig getesteter Prozess für das Management von Zwischenfällen ist also absolut erfolgskritisch. Ich habe bereits ein wenig über Programm-Benchmarking gesprochen. Risikomanagement für Dritte ist für mich eine Reise.

Bob Wilkinson: Es ist kein Ziel. Es ist ständig im Wandel. Es treten neue Risiken auf. Es entwickeln sich neue Abhilfetechniken und -prozesse, die es uns ermöglichen, diese Risiken anzugehen. Wenn Sie automatisierte Prozesse einführen, wie die, über die wir hier gesprochen haben, werden Sie die Reife Ihres Programms verbessern. Sie erhalten klare Kriterien, anhand derer Sie Ihr Programm mit ähnlichen Organisationen in Ihrer Branche vergleichen können. Wenn Sie die Möglichkeit sehen, Datenanalysen zu nutzen. Sie können einige sehr interessante Modellierungen vornehmen, und ich habe bereits einige davon durchgeführt, bei denen Sie Ihre einzelnen Drittparteien bewerten können. Wie hoch ist ihr Risiko, basierend auf den Kontrollen, die sie aufgrund Ihrer Bewertung eingerichtet haben. Sie können das Risiko Ihres individuellen Risikobereichs bewerten. Wie riskant sind also meine Callcenter? Wie riskant sind die Dritten, die Zugang zu meinen vertraulichen Informationen haben? Sie können dies auch für Ihr gesamtes Portfolio an Dritten tun. Auf einer Skala von 1 bis 5 könnten Sie also das Risiko in Ihrem Drittanbieter-Portfolio bewerten und dann vierteljährlich überprüfen, ob das Risiko steigt oder sinkt. Es gibt also Techniken, um dies zu tun, und die dynamische Bewertung des Portfolios hilft Ihnen, Ihr sich entwickelndes Risiko zu verstehen und zu erkennen, ob es sich verbessert oder verschlechtert. Dies sind also die Themen, über die ich Ihnen sicher viele Informationen gegeben habe. Wie ich immer am Ende meines Teils des Webinars sage, hier sind meine Kontaktdaten. Ich bin jederzeit gerne bereit, mit jedem über diese Themen zu sprechen. Ich tue dies, weil es mir wirklich Spaß macht, und ich freue mich über jede Gelegenheit zu einem Gespräch. An dieser Stelle übergebe ich also an Scott Lang. Scott, sind Sie bereit?

Scott Lang: I am. Bob Wilkinson: It’s all yours. Thanks, buddy. I’m gonna share my screen here. Just uh quick confirmation that you can see my screen, Bob. Bob Wilkinson: Yes, sir. Scott Lang: Awesome. All right, everybody. Uh thank you so much for hanging in here through uh through Bob’s presentation. You know, the thing with Bob’s webinars is that they are rich in content and uh experience. So, I know he gave you a lot today to kind of consume and digest. Just as another reminder, as Ashley said in the chat, uh we will send out the deck in the recording tomorrow uh so you can kind of go through the materials again and really apply them as best practices you know in your organizations. What I thought I would do is just take a few minutes to explain what Prevalent can do to help you go beyond the check uh the checkbox and automate your thirdparty risk management program. Um we understand that there to be some pretty uh distinct realities that you know you’re probably facing in your program today. Number one, it’s highly manual. We do a survey every year uh where we ask respondents how many of you are using spreadsheets solely as your you know TPRM uh and assessment process and almost half of you do that stop doing that uh 20% of you say that you know you’re not really looking at risks at every stage across a third party uh or supplier life cycle and then third there’s you know maybe some questions about ownership of the process and ownership of the third party vendor supplier relationship in organizations Um 71% say the infosc team owns thirdparty risk but 63 say procurement owns the relationship. I don’t think that’s that uncommon uh but um it will drive certain behaviors like needing to work together building a good solid governance foundation setting your processes in place engaging different teams before you start down the path of you know buying a tool and and kind of incorporating that uh into your into your environment. Look the process of transforming you know from a checkbox to you know a much more dynamic and real time and process driven approach. Uh you know it it takes a lot and you know in our view this is kind of how it happens you you start out with headaches pain and stress and you’re worried about juggling email spreadsheets and shareoint step one tends to be managing all your vendors in one place just getting a single inventory or database of all your vendors and the vendor information that goes behind it their information their risks u a picture of you know their criticality uh as as as Bob talked about. And then as you have that information centralized um you can then start to evolve out of spreadsheet jail and begin to design you know centralized vendor risk assessments that are housed in a platform are backed by workflow and then enable communication with vendors you know in the platform and then sending those assessments out via links uh in emails instead of you know switching you know spreadsheets back and forth. Next step in the process once you kind of get out of, you know, the, you know, centrally managing vendors, um, dropping spreadsheets forever and all time. Uh, is validating the findings from those, uh, thirdparty risk assessments with external data that you might find via a cyber uh, cyber intel score, business operational updates, uh, financial um, or or you know uh, operational updates, reputational intelligence, like things that that happen in between your regular assessment that help to add color and context to that relationship and might trigger um a you know a reassessment in between your annual planned assessments. Next step in the process, you’ve got it centralized, you’ve got a process in place, you got your stakeholders all lined up, you’re validating answers that are coming back. Now you finally have the automation in place to to kind of define what a risk is. Um measure it, scale it, identify what doesn’t line up with your organization’s risk appetite, and then begin to prescribe some remediations to ultimately reduce risk instead of kind of doing it via, you know, a more ad hoc uh spreadsheet based approach. And that kind of gets you to the apex here. The apex is a more continuous, intelligent, and automated approach where you’re being much more proactive with it. So, you know, looks great on paper. How do you get there? Uh, you know, every path is is unique. Every journey is unique in in in thirdparty risk. But this from our perspective is a summ summarization of the steps that orgs finally take uh on that path to uh to the ultimate outcome. You know, our approach is very prescriptive. As I mentioned, we look at risk across every stage of the third party vendor and supplier life cycle from the point where you source and select the vendor to the point where you off offboard and terminate the that vendor uh and that relationship. Each one of those steps presents unique risks uh and then we look at those risks. We consume them, we score them, we categorize them, we give you insight and intelligence to help you remediate those risks. Uh whether it be from a a cyber failure or vulnerability to an operational disruption or financial problem at a vendor uh to reputational concern or compliance or sanctions violation. We incorporate that all together for three outcomes. Uh number one is to help you speed up and simplify your onboarding process with a single version of the truth. Second is to streamline the process and close uh gaps and risk coverage. And then third is to unify all of your teams uh across the third party life cycle. If you recall back to that first slide I had, it talks about different teams owning the relationship and uh owning the process. What we actually uh deliver to help is a combination of our people, our data, and our platform. If you choose to have us do it for you uh in managed services, we’ve got the experts to do everything from onboarding vendors and managing them to uh analyzing results and uh prescribing remediations. We incorporate hundreds of thousands of individual data sources into the platform to help you make good pinpoint specific decisions on uh on risk and then we house it all in the platform uh that has all the workflow the reporting the analytics and more to get everybody on the same page. Look at the end of the day we want you to achieve three things from your TPRM program. The number one is to get the data you need to make better decisions you know through automation by helping you like a knockout manual processes. Second, to increase your team’s efficiency and to break down silos um to get everybody singing from the same himnil uh with regard to uh you know making risk based decisions, looking at risk, looking at processes and then finally giving you a foundation that you can then evolve and scale your program uh over time. All right, again that’s what Premley can do to help you. Our platform is tuned to helping you apply automation so that you can and be much more efficient and effective in executing your program. So, with that, Ashley, flip it back over to you.

Ashley: Danke, Scott. Eigentlich, äh, möchte ich die Dinge an dich zurückgeben. Wir haben bereits eine Frage im Chat an dich, von Dan, der sagte: "Wie bringen wir bestehende Anbieter dazu, mitzumachen, wenn sie bereits einen Vertrag haben und jetzt Metriken, Überwachung und so weiter verlangen? Scott Lang: Ja. Wenn Sie einen Vertrag haben und sie nicht kooperieren und Teil des Bewertungsprozesses sein wollen, habe ich herausgefunden, dass ein erfolgreicher Weg darin besteht, einen Cyber-Scan bei ihnen durchzuführen und ihnen ihr Ergebnis zu zeigen, und das wird sie normalerweise dazu bringen, zu sagen: "Ach ja, wissen Sie was? Das ist nicht korrekt. Sie wissen, dass das falsch ist. Sie brauchen bessere Daten." Okay, super. Der beste Weg, um diese Daten von Ihnen zu erhalten, ist eine Bewertung. Das ist eine Möglichkeit, die Sie nutzen können, um sie zu bekommen.

Ashley: Danke Scott. Ich übergebe wieder an Sie, Bob. Kelly fragte: "Welchen Platz haben die Endparteien im Reifegradmodell? Bob Wilkinson: Nth Parties, abhängig von ihrer Verwendung, verbinde ich direkt mit der Kritikalität. Wenn Sie n-te Parteien verwenden, die mit kritischen Geschäftsprozessen verbunden sind, und diese n-ten Parteien Zugang zu all Ihren Kunden haben, stehen sie ganz oben, von Anfang an. Ich interessiere mich mehr für die Kriterien zur Definition der Kritikalität und für das Verständnis der vierten, fünften und sechsten beteiligten Parteien, als für dritte Parteien, die weniger kritische Funktionen innerhalb meines Unternehmens ausführen oder mit ihnen verbunden sind. Ich setze sie also ganz oben an, wenn sie Teil einer kritischen Funktion sind.

Ashley: Danke Bob. Ich habe noch eine Frage an Sie. David fragte, wie eine Organisation die Risikobereitschaft definiert? Bob Wilkinson: Nun, die Risikobereitschaft ist die Frage, wie viel Risiko man bereit ist, für eine bestimmte Belohnung einzugehen, und die Organisation definiert das auf Vorstandsebene. Der Vorstand sollte also klar definieren und der Unternehmensleitung mitteilen, wie viel Risiko man eingehen darf, um eine bestimmte Belohnung zu erreichen. Und dann sollte die Geschäftsleitung dafür sorgen, dass diese Informationen an das gesamte Unternehmen weitergegeben werden, so dass alle nach dem gleichen Schema arbeiten und jeder versteht, welches Risiko akzeptabel ist. Ein klassisches Beispiel dafür ist der Zusammenbruch der Finanzmärkte, als AIG ein kleines Team hatte, das sich mit der Versicherung von Derivatverträgen befasste, und die ganze Sache ging schief, als die Finanzmärkte zusammenschmolzen und AIG am Ende von der Regierung mit 60 Milliarden Dollar gerettet wurde. Das war ein kleiner Teil einer sehr großen Organisation, der dieses Problem verursachte, und zwar weil die Risikobereitschaft größer war als die der Unternehmen.

Ashley: Danke Bob und Scott. Wenn Sie noch da sind, haben wir noch eine Frage an Sie, bevor wir hier zum Schluss kommen. Jemand fragte nach den Datenpunkten der finanziellen Cyber-ESG-Reputation. Könnten Sie das näher erläutern, ob diese in der Plattform enthalten sind oder ob man zusätzliche Lizenzen erwerben muss, um diese Datenpunkte zu sammeln? Scott Lang: Ja, es gibt zwei Teile der Gleichung. Es gibt Bewertungen, die Sie Ihren Anbietern ausstellen können, die sehr spezifische Fragen zu dieser Art von Informationen stellen. Und der zweite Teil ist die kontinuierliche Überwachung, die sozusagen dazugehört. Es ist also alles Teil der Plattform.

Ashley: Ausgezeichnet. Danke Scott. Und eine letzte Frage hier. Die ist für Sie, Bob. Jemand fragte nach nicht behobenen Problemen mit Lieferanten. Wie stellen Sie fest, wer die Risikoübernahme abzeichnet? Bob Wilkinson: Ah, Risikoakzeptanz ist ein ganz anderes Thema. Wer ist der Geschäftsinhaber, dessen Name auf dem Vertrag steht? Sie sind diejenigen, die rechenschaftspflichtig sind. Die Unternehmen haben die trügerische Vorstellung, dass sie Verträge unterzeichnen und Dinge an Dritte auslagern können und dass sie nach der Vertragsunterzeichnung nicht mehr dafür verantwortlich sind, sondern dass es ihnen gehört, und wenn es schief geht, sind sie schuld.

Ashley: Ausgezeichnet. Nun, ich danke Bob und Scott und allen anderen für ihre Fragen. Sie beide haben uns heute einige großartige Informationen gegeben, und ich hoffe, Sie alle entweder in Ihrem Posteingang oder bei einem zukünftigen privaten Webinar zu sehen. Vielen Dank an alle. Genießen Sie den Rest Ihrer Woche. Scott Lang: Danke. Bob Wilkinson: Auf Wiedersehen. Scott Lang: Auf Wiedersehen.