On-Demand-Webinar: Fallstudie Pfizer – Wie man das Risikomanagement für Dritte richtig angeht
Erfahren Sie, wie Pfizer ein automatisiertes und skalierbares TPRM-Programm implementiert hat.
Beschreibung
Erfahren Sie von Keith Lichtenwalner von Pfizer, wie er das Third-Party Risk Management (TPRM) von einem taktischen, auf Tabellenkalkulationen basierenden Prozess zu einem strategischen, hochautomatisierten und skalierbaren Programm weiterentwickelt hat.
Dieses On-Demand-Webinar behandelt den gesamten TPRM-Workflow, von der Identifizierung Ihrer Lieferanten bis hin zur effektiven Behebung von Risiken. Ganz gleich, ob Sie gerade erst mit dem Aufbau Ihres Programms beginnen oder bereits über ein ausgereiftes Programm verfügen, Sie werden neue Techniken zur Risikominderung, zur Erreichung der Compliance und zur Implementierung eines Programms entdecken, das für Sie und Ihre Lieferanten funktioniert.
Redner
Keith Lichtenwalner
Pfizer
Abschrift
Peter Schumacher: Willkommen und vielen Dank, dass Sie heute an unserem Webinar teilnehmen. Wie man das Risikomanagement für Dritte in den Griff bekommt – schreiben Sie eine Fallstudie mit Beratern Keith Walter Governance. Mit dabei sind auch Brenda Ferraro, Chief Third Party Evangelist und Senior Director of Networks bei Prevalence. Mein Name ist Peter Schumacher, Ihr Webinar-Moderator für heute.Bevor wir beginnen, möchte ich noch ein paar organisatorische Dinge klären. Zunächst einmal möchte ich Sie daran erinnern, dass die Mikrofon- und E-Mail-Funktionen stummgeschaltet sind. Um diese Sitzung jedoch interaktiv zu gestalten, laden wir Sie ein, Ihre Fragen über die Zoom-Konsole einzureichen. Wenn es die Zeit erlaubt, werden wir am Ende der Stunde eine Live-Fragerunde veranstalten. Das heutige Webinar wird aufgezeichnet, und am nächsten Werktag erhalten Sie eineE-Mail mit einem Link zu dieser Aufzeichnung erhalten. Ich weiß, dass Sie nicht hier sind, um meine Stimme zu hören, daher möchte ich nun das Wort an Keith und Brenda übergeben. Vielen Dank, dass Sie heute bei uns sind. Bitte fangen Sie an.
Brenda Ferraro: Vielen Dank, Peter Keith, herzlich willkommen. Ich freue mich sehr, Ihnen allen von der großartigen Arbeit zu berichten, die Sie im letzten Jahr bei der Weiterentwicklung Ihres Programms zum Management von Risiken durch Dritte geleistet haben. Sie können loslegen. Keith Walter: Das bin ich auf jeden Fall. Wir müssen also die Folien wechseln. Hier sind die Referenten für heute, damit Sie sehen können, wie wir aussehen. Sie versuchen, ein scharfes Bild von Keith zu bekommen, aber ohne Erfolg. Wir werden es so lassen, wie es ist. Wie Sie gehört haben, bin ich Chief Third Party Evangelist und Senior Director of Networks bei Prevalent. Ich bin seit etwa zwei Jahren bei Prevalent, aber meine Geschichte mit Risiken durch Dritte-Party-Risiken erstreckt sich über sechs Jahre, und ich habe mehr als 20 Jahre Erfahrung im IT-Bereich. Wie sieht es bei Ihnen aus? Wie sind Sie zu Third Party gekommen? Ich habe 27 Jahre in der Chemieindustrie gearbeitet, davon etwa 15 Jahre tatsächlich mit Third Party.
Risikomanagement und andere Risikomanagementaufgaben und bin seit drei Jahren zu Pfizer gewechselt, wo ich mich mehr auf Risikomanagement und Cybersicherheit in Fabriken konzentriert habe. Das ist also seit mindestens 17 bis 18 Jahren ein Bereich, der mich begeistert, und wir beide arbeiten vielleicht seit über vier Jahren zusammen, mit dem achten Eisbeutel, ist das richtig? Ja, es sind mehr als drei, ja. Brenda Ferraro: Dann machen wir mal. Ich bin mir sicher, dass nicht jeder wissen möchte, wie wir uns kennengelernt haben, aber wir werden darüber sprechen, warum wir heute hier sind. Das dritte-Partei-Risiko hat sich von einer Position der Sammlung von Inhalten zu einer Position der Bewusstseinsbildung entwickelt, vielleicht unter Verwendung aktiver Stationen, um besser zu verstehen, wo Ihre Unternehmen, Drittanbieter oder Lieferanten mit der Sicherung ihrer Kontrollen stehen und ob diese tatsächlich den Anforderungen Ihrer Kunden hinsichtlich Compliance und regulatorischer Anforderungen entsprechen. Was ein Vorherrschender getan hat, ist, dass wir die Fähigkeit haben, mit einem 360-Grad-Ansatz zu bewerten, zu überwachen und zu teilen. Wir sind in der Lage, eins zu sammeln und mit vielen zu teilen, wenn es um Fragebögen geht, diekönnen wir Ihnen einen Einblick in Ihre Lieferanten und Unternehmen geben und Ihnen zeigen, was diese für ihr Drittanbieterrisiko eingerichtet haben. Die Netzwerke, die uns innerhalb der Branche zur Verfügung stehen, helfen uns dabei, den Communities genau zu sagen, wo die Schwachstellen liegen, während wir voranschreiten und besser verstehen, wie sich die Bedrohungslandschaft verändert.werden zu Beginn dieser Sitzung eine Umfragefrage stellen, um Sie alle zu fragen, wie viele Fragen Ihr primärer Bewertungsfragebogen enthält. Peter, wenn Sie diese Umfrage starten, werden wir uns ansehen, was wir vom Publikum erhalten. Wir möchten wirklich mehr über den Inhalt des Fragebogens sprechen, denn Fragebögen geben Ihnen nur Auskunft darüber, was Ihre Unternehmen Ihnen über ihre Kontrollen mitteilen, richtig, Keith? Wir sehen uns das an und sagen: „Oh mein Gott, wir haben all diese
Trolle, und das sagen sie uns, und wir müssen darauf vertrauen, dass das, was sie uns sagen, die Wahrheit ist, richtig? Mm-hmm. Keith Walter: Ja, ich bin ein großer Befürworter der Überwachung, denn sie hilft Ihnen, einen vollständigen Überblick zu bekommen. Erhalten Sie qualitativ hochwertige Antworten auf die Fragebogen zu den Indikatoren aus dem modernen Teil? Unterstützen Sie die Antworten auf die Fragebögen, da alles synchron zu sein scheint, was meiner Meinung nach auf eine gute Qualität hindeutet. Sie ergänzen sich sehr gut, also sieht es so aus, als hätten wirhaben etwa 50, was 60 % der Leute abgestimmt haben, also werden wir diese Umfrage beenden und die Ergebnisse weitergeben. Peter, möchtest du das machen? Etwa 50 % von uns, die an der Telefonkonferenz teilnehmen, haben abgestimmt, dass sie zwischen 100 und 500 Fragen in ihrem primären Bewertungsfragebogen haben. Okay, dasist interessant zu wissen, und manchmal kommt es auf der Anbieterseite zu einer Situation, in der es viele Fragebögen gibt, die manchmal nicht aussagekräftig oder relevant sind. Deshalb wollen wir uns auf relevante, aussagekräftige Inhalte und Bemühungen konzentrieren, um Risiken zu identifizieren und das zu mindern, was für diese Engagements wichtig ist. Keith, lassen Sie uns über den einheitlichen risikobasierten Ansatz sprechen, den Sie kürzlich eingeführt haben. Brenda Ferraro: Ja, die wichtigsten Punkte dieser Folie, die ich wirklich hervorheben möchte, sind genau das, worum es in der einleitenden Frage ging: Unser primärer Fragebogen, den wir seit anderthalb bis zwei Jahren verwenden, dreht sich wirklich um die Wiederverwendung in der Branche und umfasst228 Fragen umfasst. Aber was wir in dieser Zeit gelernt haben, indem wir uns wirklich damit beschäftigt haben, ist, dass wir im Voraus die richtigen Metadaten über den Anbieter und einige grundlegende Dinge sammeln, die, wenn sie verfügbar sind, wie z. B. der Lagerbestand 2 usw., es uns ermöglichen, uns wirklich auf etwa 15 % dieser Fragen zu konzentrieren, die wirklich unsere Meinung ändern.
Ob wir einen Vertrag abschließen oder nicht oder ob wir einen bestehenden Vertrag fortsetzen, bezeichnen wir als Schlüsselkontrollen. Diese Kontrollen bezeichnen wir als Kontrollen, wenn wir ein Risiko bewerten. Wenn wir die Dienstleistung selbst entwickeln würden, wären dies die Kontrollen, die wir unbedingt in die Anforderungsliste aufnehmen würden. Wir begannen also mit dieser Kontrollliste und kehrten dann zu unserem Fragebogen zurück, wobei wir im Grunde genommen das Konzept verwendeten, zu sagen, welche Fragen hier für mich Frühindikatoren dafür sind, dass dieser Anbieter tatsächlich diese Kontrolle in angemessener Weise erfüllt.
Also werden wiruns das genau ansehen und ein oder zwei Fragen auswählen, die wirklich sicherstellen, dass diese Kontrolle wahrscheinlich vorhanden ist, und das gibt uns einen wirklich guten Anhaltspunkt mit der Fähigkeit, die Dinge wirklich schnell zu betrachten, uns auf die höchsten Risiken zu konzentrieren und die Investitionen unserer Assessoren, unseres Unternehmens usw. wirklich auf die wichtigsten Kontrollen zu lenken, deren Fehlen ihnen am meisten schaden würde, und das bedeutet, dass ich wirklich teilen und veräußern und bis zum Abschluss verfolgen kann, ich kann die kritischsten Risiken für Pfizer managen und somit diese zum Abschluss bringen, anstatt zu versuchen, ein Purist zu sein, der alles löst. Ich kann die wichtigsten Punkte lösen, das ist es, was ich aus dieser Folie mitnehmen würde. Ich erinnere mich, als wir begonnen haben, gemeinsam an Prevalent und Pfizer zu arbeiten, um das Programm zu entwickeln. Können Sie mir noch einmal sagen, ob es stimmt, dass Sie am Anfang Excel-Tabellen verwendet haben? Keith Walter: Ja, der Prozess begann sicherlich mit Excel-Tabellen, die sich nicht für einen echten risikobasierten Ansatz mit automatisierten Arbeitsabläufen und ähnlichem eignen. Es ist mühsam, eine gute Datenqualität durchzusetzen, und die Beantwortung von Fragen ist in einer Excel-Tabelle schwierig, da es einfach viel Hin- und Her-Schicken gibt.
Verzögerungen beim Versenden einer E-Mail, eine verlorene E-Mail – all diese Dinge haben es uns wirklich nicht ermöglicht, den Lieferanten für die Sammlung verantwortlich zu machen, den Gutachter mit einem SLA für die Durchführung der Bewertung verantwortlich zu machen und auch bei der gemeinsamen Verteilung und Nachverfolgung wirklich auf der Grundlage des Risikos entweder unseren Pfizer-Geschäftsinhaber verantwortlich zu machen, und für die kritischsten Risiken machen wir sie immer noch verantwortlich, aber wirhaben auch diese Governance-Aufsicht, um unseren Vorstand und unseren Standort so zufrieden und zuversichtlich zu machen, dass ich dieses Risiko in die von ihnen geforderte Richtung gelenkt habe. Brenda Ferraro: Ich freue mich sehr, dass Sie Ihre Reife von einer Tabellenkalkulation zu einem Workflow und automatisierten Funktionen erhöht haben, sodass Sie nun Entscheidungen auf der Grundlage von mehr Informationen treffen können, die Ihnen zur Verfügung stehen. Das ist großartig. Die nächste Umfragefrage lautet: Haben Sie Ihr Programm zur Bewertung durch Dritte automatisiertBewertungsprogramm für Dritte automatisiert haben, um Risikoinformationen über die Verwendung von Excel-Arbeitsmappen hinaus zu sammeln? Peter, wenn Sie diese Umfragefrage starten könnten, geben wir ihnen die Möglichkeit zu antworten. Ich würde gerne näher an hundert Prozent Stimmen kommen, also für diejenigen von Ihnen, die zu Hause, bei der Arbeit oder im Auto sind: Machen Sie das nicht im Auto.
Bitte stürzen Sie nicht ab, aber Sie möchten herausfinden, wo wir mit allen anderen stehen. Das ist sehr interessant, Keith. Ich spreche mit vielen Unternehmen aus der Branche, und es gibt viele Unternehmen, die immer noch Excel verwenden. Keith Walter: Ja, und wenn Sie ein kleines Unternehmen sind, ist das sicherlich der beste Ort, um zu liegen, wenn Sie es wirklich nicht tun, aber sobald Sie in das Volumen einsteigen und wirklich einen risikobasierten Blick und Ansatz verfolgen wollen...
Es gibt einfach Funktionen, die für uns wichtig geworden sind, von denen Sie im Laufe unseres Gesprächs noch hören werden. Ich bin wirklich der Meinung, dass Sie ein Tool benötigen, um in diesem Bereich einen Schritt nach vorne zu machen. Das Schöne daran ist, dass wir eine deutliche Effizienzsteigerung erzielt haben, wodurch wir die Anzahl unserer Bewertungen pro Vollzeitmitarbeiter erheblich steigern konnten. Letztendlich ist das eine Kapitalrendite, undist wirklich der Punkt, an dem wir uns gemessen haben, um sicherzustellen, dass wir die richtigen Investitionen tätigen und die richtigen Anbieter auswählen. Wir messen also nicht nur die Effizienz der Tools in Bezug auf Personal, Volumen oder Kapazität, sondern wir messen auch – und darüber werden wir noch ein wenig sprechen – einige der Bandbreiten und Messungen, die wir durchführen, um festzustellen, wie viele unserer Flotte tatsächlich keine Probleme haben – wie viele wirklich erhebliche Kernprobleme aufweisen, die kontrolliert werden müssen, und welche Schlüsselkontrollfehler wir mit diesem Anbieter ändern wollen. Brenda Ferraro: Ja, nun, es sieht so aus, als hätten wir 61 % der Stimmen erhalten. Wenn wir das also beenden und weitergeben wollen, wäre das großartig und würde das Auge erfreuen.
45 % der Befragten gaben an, dass sie keine Excel-Tabellen oder -Arbeitsmappen mehr verwenden, 27 % gaben an, dass sie dies tun, 18 % gaben an, dass sie sich in der Umstellung befinden, und 10 % gaben an, dass dies auf sie nicht zutrifft. Vielen Dank für diese Ergebnisse. Lassen Sie uns nun darüber sprechen, wie die risikobasierte Vorgehensweise zum Tragen kommt. Wir möchten Ihnen bei Pfizer dabei helfen, einen Prozess mit vier sehr einfachen Schritten zu entwickeln: Der erste Schritt ist die Vorbereitung, der zweite ist das Sammeln, der dritte ist die Bewertung und der vierte ist die Nachverfolgung.. Wir wollten Ihnen bei Pfizer dabei helfen, einen Prozess mit vier sehr einfachen Schritten aufzubauen: Der erste Schritt ist die Vorbereitung, der zweite das Sammeln, der dritte das Bewerten und Evaluieren und der vierte das Verfolgen und Beheben. Außerdem wollten wir Ihnen die Möglichkeit geben, einen flexiblen automatisierten Workflow zu nutzen. Möchten Sie darüber sprechen, wie Prevalence sein Programm und seine Bemühungen zur Anwendung dieses vierstufigen Ansatzes in Phase vier der risikobasierten Bewertung umgesetzt hat?
Keith Walter: Ja, danke, Brenda. Das passt wirklich gut zu meiner inneren Vorstellung davon, wie ich die Bedürfnisse des Unternehmens nach einer zeitnahen und effizienten Unterstützung wirklich erfüllen kann, damit es die Risiken kennt, die es entweder bei Abschluss eines neuen Vertrags eingeht oder derzeit bei der Zusammenarbeit mit einem bestehenden Anbieter hat. Bei der Vorbereitung werde ichmöchte ich hervorheben, dass es wirklich wichtig ist, über die weißen Metadaten zur Zusammenarbeit mit dem Anbieter zu verfügen, wenn man loslegt. Es ist also wirklich wichtig, über benutzerdefinierte Feldfunktionen zu verfügen, mit denen man diese zusätzlichen Felder erfassen kann. Das ermöglicht einfach die Automatisierung und Reaktion in diesen schwierigen Fällen, diesen seltsamen Situationen, in denen maneinige dieser Metadaten direkt zur Hand haben, damit die Ressourcen die Erfassungsphase wirklich effizient durchführen können. Hier ist es sehr wichtig, automatisierte E-Mails und automatisierte Aufgaben zu haben, um die Übergabe von uns an Prevalent für die Erfassungsaktivitäten an den Lieferanten zu erledigen, der daran erinnert wird, und dann direkt zurück an uns, damit wir tatsächlich die Rücksendung des validierten Fragebogens koordinieren, diesen umdrehen und in eine Assessor-Aktion umwandeln können, die ohne Inbox und ohne viel zusätzliche Arbeit durchgeführt wird. Ich werde den Fragebogen veröffentlichen und automatisch die E-Mail generieren, in der die wichtigsten Kontrollmängel oben sortiert sind, damit der Assessor sie in wenigen Sekunden validieren kann. Es sieht nicht so aus, als würden die Assessoren dies direkt an das Unternehmen weiterleiten und dann je nach Risiko entweder an das Unternehmen liefern, das dies selbst nachverfolgt, oder, wenn das Risiko offensichtlich hoch genug ist,überwachen wir die Governance, verfolgen das und treiben die Behebung voran und beraten das Unternehmen bei diesen Schritten. Daher ist ein Workflow-SLA x von Anfang bis Ende und eine klare Verantwortlichkeit mit Eskalation in der Vergangenheit entscheidend für unseren Erfolg, um wirklich die Effizienz pro Vollzeitkraft zu erreichen, die wir haben wollen. Brenda Ferraro: Und ich finde es großartig, dass wir den Prozess durchlaufen haben, das Universum Ihrer Anbieter oder, wie Sie es nennen, das Universum Ihrer Lieferanten zu definieren, und dann die Möglichkeit hatten,
Um Risiken schnell zu erkennen, haben wir Fragen aus Fragebögen gestellt und sogar einige Ihrer anderen Lösungen genutzt, um die Querverweise einzubetten-Referenz, ob diese Informationen angemessen waren oder nicht, und dann, als wir an den Whiteboards arbeiteten, die wir „Whiteboard Magic Keep” nennen, und ich liebe Marker und Whiteboards, konnten wir die Verdopplung der FTE-Produktivität feststellen, indem wir von einer Excel-Tabelle zu einem Programm übergingen, das Ihnen nun die Informationen direkt zur Verfügung stellt, mit einem automatisierten Workflow, automatisierten Verfolgern und so weiter und so fort. Haben Sie dem noch etwas hinzuzufügen, Keith Walter? Nein, ich denke, der Workflow ist einfach die Möglichkeit, Aufgaben zu erstellen und Übergaben in einem gemeinsamen Tool zu erledigen, das nicht in E-Mails und allem anderen untergeht, und Ihnen E-Mail-Erinnerungen an Ihre Aufgaben oder anstehende Termine zu schicken. All das ist Teil der Möglichkeit, jede dieser Schlüsselkomponenten, diese Schlüsselpersonen, in die Lage zu versetzen, eine sehr hohe Arbeitsbelastung auszugleichen, denn das ist einfach die Welt, in der wir alle arbeiten. Brenda Ferraro: Ich stimme zu. Lassen Sie uns also den Phasenansatz genauer betrachten. Ich glaube, Sie werden in dieser Folie über alle Komponenten sprechen, die Sie benötigen, um sich auf den Erfolg vorzubereiten. Keith Walter: Ja, was ich den Leuten hier wirklich vermitteln möchte, ist, dass sie sich bei der Vorbereitung bewusst machen, dass es wie bei allem anderen ist: Je besser Sie sich vorbereiten, desto einfacher wird die Anfrage und desto erfolgreicher wird Ihr Service sein. In dieser Foliemöchte ich einige Teile hervorheben. Der erste ist das Lieferantenprofil. Nehmen Sie sich wirklich Zeit, um zu planen, welche wichtigen Informationen Sie benötigen, damit alle weiteren Schritte erfolgreich verlaufen. Sammeln Sie diese Metadaten über den Lieferanten, und es ist einfach nur
Die Beschreibung dessen, was wir mit diesem Lieferanten erreichen wollen, und die Aufforderung an das Unternehmen, dies schriftlich festzuhalten, hilft den Assessoren wirklich dabei, zu verstehen, was wichtig ist und was nicht. Wenn man diese Dinge nicht weiß, die Kontrollstandards, die eigenen internen Standards, deren Einhaltung man von anderen erwartet, und dann wirklich die Fragebogenregeln, wie ich sie nenne, befolgt, bedeutet das, dass man sich den Fragebogen, den man verwendet, genau ansiehtSie verwenden, und sagen, welche Fragen wirklich Frühindikatoren dafür sind, dass die von mir erwarteten Kontrollen vorhanden sind. Wir helfen sicherlich beim Lieferantenprofil, indem wir Fakten sammeln, wie z. B. wie viel Sie wissen, dass SPI-Daten diesem Anbieter zugänglich sind oder ob dieser Anbieter für den Cashflow und die Aktivitäten von Pfizer usw. von entscheidender Bedeutung ist. Die im Lieferantenprofil gesammelten Informationen ermöglichen es uns, ein Klassifizierungsmodell der offengelegten Daten und der Bedeutung des Anbieters für uns zu erstellen. Wir nutzen sicherlich Vertragszusätze und Standardisierung, wirWir werden in ein paar Minuten darüber sprechen, und vor allem über den Workflow-Status. Nehmen Sie sich wirklich die Zeit, ein wenig darüber nachzudenken, ob Sie über genügend Workflow-Status-Zustände verfügen, um wirklich zu wissen, wo und wer die Dinge in Ihrem Unternehmen aufhält, die Sie versuchen, in Bezug auf Anfragen zu erfüllen, und ob Sie über genügend Zustände verfügen, die Ihre Metriken und KPIs wirklich unterstützen, damit Sie wissen, wo Sie neue Verbesserungen in Ihrem Prozess vornehmen können, wo Siewirklich zu kurz kommen und warum wir dort zu kurz kommen, damit wir uns darauf konzentrieren und weiterhin die Effizienz und die Durchlaufzeiten vorantreiben können, die es Ihrem Unternehmen ermöglichen, seine Fristen einzuhalten, denn in vielen dieser Fälle, bei Vertragsverlängerungen und Vertragsverhandlungen, verliert das Unternehmen jeden Tag die Fähigkeit, die angestrebten Vorteile zu erreichen. Brenda Ferraro: Und mir gefällt der Teil über das Engagement der Stakeholder sehr gut, denn wenn Sie einen Lenkungsausschuss haben, der für Veräußerungsgegenstände zur Verfügung steht und sicherstellt, dass Sie, wenn Sie etwas akzeptieren,
Drittanbieter oder Lieferanten, die sich bewusst sind, dass sie ein Risiko eingehen, dass das Engagement der Stakeholder und die Einrichtung eines Lenkungsausschusses wirklich entscheidend sind. Keith Walter: Auf jeden Fall. Brenda Ferraro: Lassen Sie uns also über die Lieferantenprofile sprechen. Was ist das Wichtigste, was Sie aus der Neugestaltung Ihres Programms gelernt haben, oder vielleicht die zwei wichtigsten Dinge, die Ihnen geholfen haben, besser zu verstehen, wer Ihre Lieferanten sind und was Sie über jeden einzelnen wissen müssen, um einen konsistenten Arbeitsablauf zu gewährleisten? Keith Walter: Ja, die wahrscheinlich größte Herausforderung, die ich im Laufe der Jahre immer wieder gelernt habe, ist es, sowohl innerhalb des Unternehmens als Geschäftsinhaber als auch beim Lieferanten über genaue und motivierte Ansprechpartner zu verfügen. Das ist wahrscheinlich die größte Herausforderung in Bezug auf die Datenqualität, insbesondere wenn man neu startet. Wir führen gerne Nachrüstungen bestehender Lieferantenbewertungen durch, und zwar in sogenannten Wellen oder Bündeln. Wenn manein paar Hundert davon auf einmal machen, muss man ziemlich sicher davon ausgehen, dass man ein Datenqualitätsproblem von zehn Prozent hat, da wir sehen, dass sich mindestens ein Kontakt oder eine Einheit oder mehrere, egal ob interne oder externe Kontakte, pro Jahr in Ihrem Bestand tatsächlich ändern. Wenn Sie also hundert starten, bedeutet das, dass Sie zehn haben, die stolpern werden, und Sie müssen sicherstellen, dass der Workflow-Status, über den ich auf der letzten Folie gesprochen habe, richtig ist.
Möglichkeit, zu kennzeichnen, wenn eine E-Mail als unzustellbar zurückkommt Möglichkeit, zu erfahren, wenn etwasnicht innerhalb der vom Anbieter erwarteten ersten SLA-Frist angekommen ist hat sich der Anbieter registriert haben sie überhaupt geantwortet wenn sie mindestens 15 Fragen beantwortet haben wissen wir zumindest, dass wir die richtige Person haben sie haben sich registriert und begonnen, Fragen zu beantworten diese Transparenz ist entscheidend, um schnell und frühzeitig zu erkennen, wenn man wahrscheinlich einen schlechten Kontakt hat daher ist es für den Erfolg entscheidend, Kontakte zu verwalten und darauf zu achten, ob diese Kontakte fehlerhaft sind und wie sich dies in KPI-Problemen usw. äußert und das ist wahrscheinlich
Was ich aus dieser Folie wirklich mitnehmen würde Brenda Ferraro: Ich denke an die benutzerdefinierten Felder, die Sie erstellen, um zu verstehen, ob es relevante Inhaltsinformationen für Berichtszwecke gibt, z. B. um welche Informationen es sich handelt, ob sie onshore oder offshore sind, wer der Gutachter ist – Dinge, die Sie sehr leicht herausfinden können. Können Sie ein wenig darüber sprechen, wo Sie angefangen haben? Sie haben so viele Dritte und Lieferanten – woher wussten Sie, wo Sie anfangen sollten? Keith Walter: Ja, es geht darum, zu entscheiden, wo man anfängt. Als Risikomanager ist meine Einstellung, dass man einen Weg wählen sollte, um die größten Risiken zu identifizieren, und mit dem ersten Teil des Programms beginnen sollte. Ich denke, der größte Fehler ist, dass jemand denkt, er müsse gleich zu Beginn alles auf einmal machen und damit beginnen, den Prozess zu perfektionieren und die Daten zu perfektionieren, die man zur Unterstützung des Prozesses benötigt.Ich bin fest davon überzeugt, dass wir mit dieser Einstellung in einem Jahr viel mehr erreichen konnten, als wenn wir versucht hätten, alles zu perfektionieren, denn ich glaube, wir hätten den größten Teil des Jahres damit verbracht, uns mit den schrittweisen Veränderungen herumzuschlagen, und im letzten Quartal wahrscheinlich nicht viel erreicht, anstatt etwas zu erreichen und es dann nach und nach auszuweiten. Daher halte ich es für wichtig, konzertierte schrittweise Veränderungen vorzunehmen und diese zu planen.
Wählen Sie auf jeden Fall die erste Option aus, schauen Sie sich Ihre Kriterien an und setzen Sie Ihren Geschäftsmannhut auf. Setzen Sie sich mit dem Unternehmen zusammen und finden Sie heraus, was die besten Auslöser sein könnten. Ich denke, SieSie werden feststellen, dass viele der Abteilungen, mit denen ich im Laufe meiner Karriere zusammengearbeitet habe, das Konzept der strategischen Partner oder der Liste der wichtigsten Lieferanten verfolgen, weil dies für das Unternehmen von entscheidender Bedeutung ist. Sie wissen, dass es darauf ankommt, diese Liste zu finden und mit ihnen darüber zu sprechen, warum sie auch mit dem Unternehmen zusammensitzen und die Frage stellen: Was ist, wenn Sie mehrere Dienstleistungen anbieten, welche davon bringen wirklich den größten Umsatz? Und dann stellen Sie die Frage: Welche Lieferanten sind kritisch?
für die Erzielung dieser Einnahmen und das Verständnis, dass dies im Hinblick auf die Einhaltung von Gesetzen von entscheidender Bedeutung ist. Ein weiterer Bereich, den wir als sehr wertvoll empfinden, ist das, was wir als Partnerverbindung bezeichnen, bei der wir unser Netzwerk mit anderen wichtigen Partnern verbinden, natürlich über Firewalls, aber tatsächlichist etwas, das wir als Teil der IT-Digitaldienstleistungsabteilungen in unseren Daten haben, sodass Sie diese Daten leicht abrufen und wirklich diejenigen finden können, bei denen wir das größte Risiko eingehen, weil wir Ports und andere Dinge zwischen wichtigen Partnern öffnen.
Es gibt sicherlich verschiedene Ebenen davon, und wir haben erkannt, dass die Verwendung Ihrer Firewall-Daten äußerst erfolgreich dabei war, die wirklich besten Partner mit den Kriterien zu finden, die uns helfen könnten, unsere Zeit, unser Geld und unsere Energie zu fokussieren . Brenda Ferraro: Eine weitere Sache, bei der Sie mich, wenn ich mich nicht irre, nicht korrigiert haben, ist, dass Sie einen methodischen regulatorischen Ansatz verfolgt haben, also einen Teilbereich Ihres speziellen Lieferantenprofils ausgewählt und damit begonnen haben, basierend auf den Anforderungen der Compliance und der Regulierung. Ist das richtig? Keith Walter: Sicherlich mit den Schlüsselfragen, die wir haben wollen, den Schlüsselkontrollen, sicherlich Datenschutz. Wir haben 26 Schlüsselfragen identifiziert, die wirklich Frühindikatoren dafür sind, dass diese Kontrollen in einem verantwortungsvollen Zustand sind, und das hilft uns wirklich, uns darauf zu konzentrieren. Wenn man über diese strengen Vorschriften hinausgeht, gibt es natürlich operative Kontrollen, die für die Bereitstellung, Reife und Verfügbarkeit einer Dienstleistung entscheidend sind, und dashaben wir eindeutig weitere 9 bis 10 hinzugefügt, sodass wir nun insgesamt 35 Indikatorfragen haben, die unsere Kontrolllisten bestimmen. Brenda Ferraro: Ausgezeichnet, kommen wir also zu unserer nächsten Umfragefrage: Halten Sie sich und Ihre Dritten an die gleichen Sicherheitsstandards?
Kontrollierte Standardanforderungen Peter, möchtest du das kurz ansprechen? Das ist für mich ein wichtiger Punkt, weil ich immer darauf achte, dass wir sicherstellen müssen, dass die Kontrollen, die wir innerhalb unseres Unternehmens anwenden, auch bei Dritten, Vierten, Fünften und Endpartnern tatsächlich eingehalten und durchgesetzt werden. Das ist meiner Meinung nach ein entscheidender Punkt, der sehr wichtig ist. Was meinst du dazu, Keith? Keith Walter: Auf jeden Fall, und das gilt auch in umgekehrter Richtung: Man sollte sie nicht an einem Standard messen, den man selbst nicht erfüllen kann. Ich habe einige Compliance-orientierte Programme gesehen, bei denen es so aussieht, als wolle ich jede einzelne meiner Fragen weitergeben, aber realistisch gesehen gibt es gute geschäftliche Gründe, warum nicht jeder alles auf die gleiche Weise macht, und das kann zu Problemen führen. Man sollte sich also wirklich auf die wichtigsten Kontrollen und Risiken konzentrieren und verstehen, wann die anderen potenziellSie einen Schlüssel nicht erfüllen, was sind dann die damit verbundenen Fragen, die ich verstehen möchte, die mir helfen könnten, ein vollständiges Bild davon zu bekommen? Hier liegt der Wert des Assessors, der möglicherweise ein paar zusätzliche Fragen beantwortet, die auf Risiken basieren. Es gibt definitiv Bereiche, in denen Sie viel mehr Fragen stellen und dieses Wissen haben möchten. Brenda Ferraro: Okay, dann lassen Sie uns die Umfrage beenden. Es sieht so aus, als hätten 69 % mit „Ja” geantwortet, 18 % mit „Nein” und 14 % mit „Ich bin mir nicht sicher”. Es scheint, als gäbe es einen kleinen Tippfehler in dieser Frage, aber im Grunde wurde gefragt, ob Sie von Ihren Drittanbietern die gleichen Kontrollstandards erwarten wie von sich selbst. Das war mein Fehler.
Peter Schumacher: Das ist okay, Peter. Ich mache auch Fehler, das macht uns menschlich. Ich bin froh, dass du kein Roboter bist. Danke dafür. Brenda Ferraro: Okay, dann hören wir auf, diese Ergebnisse zu teilen, und gehen zur nächsten Folie über. Auf der nächsten Folie möchte ich Sie alle auf eines aufmerksam machen, das mir bei meinen Gesprächen mit Unternehmen und Versuchen aufgefallen ist: Wir verfolgen gegenüber unseren Lieferanten den Ansatz, sie nicht zu bestrafen, weil sie keine Kontrollen eingerichtet haben, sondern wirklich dafür zu sorgen, dass wir das Ökosystem und die Gemeinschaft weiterentwickeln, um anderen Unternehmen zu helfen, die vielleicht nicht so groß sindund die Unterstützung benötigen, um in Bezug auf diese Sicherheitsaspekte und Kontrollstandards reifer zu werden. Lassen Sie uns also über Kontrollstandards sprechen und darüber, was Sie darüber gelernt haben, was passiert, wenn Sie Schlüsselkontrollen erstellen, und was das für Sie wirklich bedeutet, auch im Hinblick auf die Bemühungen, sich weiterzuentwickeln. Keith Walter: Sicher, also zunächst einmal sind die von mir definierten Schlüsselkontrollen wirklich die Kontrollen, die wir als absolut notwendig bezeichnen würden, wenn wir, wenn wir die eigentliche Lösung selbst implementieren würden. Dann sind wir zum Fragebogen zurückgekehrt und haben uns gefragt, welche Fragen, wenn sie richtig beantwortet werden, die Mehrheit der Anwendungsfälle oder Erfahrungen abdecken, die wir haben. Wir haben einen Raum voller Kontrollfachleute, darunter Compliance-Experten, Risikomanager, Sicherheitsexperten usw. Was ist ihre Erfahrung? Wir haben festgestellt, dass 15 Prozent der Fragen uns wirklich diese Transparenz verschafft haben. Dann haben wir etwa hundert Anbieter untersucht, wobei wir sowohl alle Fragen vollständig durchgesehen alle Fragen und uns nur auf die Kernkontrollen konzentriert haben. Dabei haben wir festgestellt, dass wir mit diesen 15 % der Fragen mindestens 80 % der Sicherheitsklarheit erreichen konnten, die wir wirklich wollten, und dass wir dies viel schneller tun und uns wirklich auf die größten Risiken konzentrieren konnten. Als Einheit gibt es eineneinen Ort und einen Zeitpunkt, an dem man sich alles ansehen muss, insbesondere wenn es um Compliance geht und es sich um den absolut wichtigsten Top-Anbieter Ihres Unternehmens handelt.
Für den Erfolg Ihres Unternehmens wissen Sie, dass Sie sich weitere Fragen ansehen müssen, aber in vielen Fällen konnten wir schnell feststellen, dass dieser Anbieter wirklich einen guten Ruf hat, und wir haben festgestellt, dass wir, wenn wir viele solcher Fälle sahen, wirklichkein großes Problem darstellte und wir selbst bei genauerer Betrachtung der übrigen Fragen nichts von Bedeutung finden konnten. Wenn wir jedoch feststellten, dass diese wichtigen Kontrollen versagten, insbesondere wenn eine erhebliche Anzahl davon versagte, handelte es sich wirklich um ein Unternehmen mit einem schlechten Cybersicherheitsprogramm, und dann wussten wir wirklich, dass dies ein Bereich war, auf den wir uns aufgrund des Risikos dieses Unternehmens für unser Geschäft konzentrieren wollten.
Um Unternehmen wirklich dabei zu helfen, ihre Energie dort einzusetzen, wo sie den größten Nutzen erzielen, indem sie ihre Betriebsrisiken und Compliance-Anforderungen reduzieren, lege ich in dieser Foliebetone ich wirklich die Konzentration auf die wichtigsten Kontrollen, die durch Ihr Engagement vorangetrieben werden, die Sie sammeln sollten. Was ist das Engagement, das ich mache? Es ist Teil der Metadaten, wenn dies geschieht, wenn der Anbieter initiiert wird, und die Kontrollen können sich von einem Datenschutz-Engagement unterscheiden, bei dem der Austausch Ihrer Datenschutzdaten wirklich das Ziel ist, im Gegensatz zu einigen dieser eher operativ kritischen Dienstleistungen für das Unternehmen. Sie haben vielleicht mehr Kontrollen in der Leiter, was Sinn macht, aber wenn Sie sich viele der datenschutzbasierten Kontrollen ansehen, sindhandelt es sich lediglich um bewährte Best Practices, die wir wirklich ständig vorantreiben. Wie ich bereits sagte, haben wir bei den ersten hundert Fällen wirklich bewiesen, dass wir in mehr als 95 % der Fälle viel genauer hinschauen könnten, aber es waren wirklich nur die wenigen Fälle, bei denen wir bereits Anzeichen für ein ernsthaftes Problem hatten oder bei denen es überhaupt kein Problem gab, wenn man sich nur die grundlegenden, unverzichtbaren kritischen Kontrollfragen ansieht. Brenda Ferraro: Ja, ich denke, was ich an der Vordenkerrolle, die Sie in Ihrem Programm einnehmen, wirklich schätze, ist, dass Sie die wichtigsten Kontrollen nach Engagement definiert haben und manchmal auch nach der Anzahl.
Nicht dasselbe. Sie würden sicherstellen, dass es für Ihre Abteilung relevant ist, zu wissen, welche Punkte risikomäßig gemindert werden müssen, im Gegensatz zur gleichen Risikominderung und Priorisierung dieser Risiken bei jedem einzelnen Anbieter oder Lieferanten, den Sie hatten. Außerdem haben Sie eine Risikobibliothek erstellt, sodass Sie, wenn ein Risiko nicht erfüllt wurde, bereits das Erwartete in die Lösung einprogrammiert hatten, damit Ihre Assessoren mit dem Drittanbieteroder Lieferanten sprechen konnten, um ihnen mitzuteilen, dass Sie dieses Risiko nicht erreicht haben, dass es eine kompensierende Kontrolle gibt, die wir vielleicht übernehmen werden, aber dies ist der Zeitplan, dies ist, was wir suchen, sodass Sie das Ökosystem wirklich verbessern, indem Sie diese Hilfe auf der Grundlage der Reife Ihrer eigenen Kontrollen bereitstellen.
Keith Walter: Ja, danke, Brenda. Das ist sicherlich wichtig für diejenigen, die ich als wichtige Kontrollfragen bezeichnen würde, die wir hervorheben und wirklich eine wiederholbare Antwort formulieren und uns die Zeit nehmen, diese in Geschäftssprache zu schreiben. Wir finden nicht nur eine viel reaktionsfreudigere Lieferantensituation vor, sondern, was noch wichtiger ist, wires wirklich geschafft, sie so zu formulieren, dass unsere Pfizer-Geschäftsinhaber ihren Wert erkennen, sobald sie verstehen, warum wir darauf drängen. Dann können sie wirklich mit dem Bericht arbeiten, der aus dem System kommt, und entsprechend handeln. In vielen Fällen stellen wir fest, dass der Prozentsatz, in denen das interne Pfizer-Geschäft sagt: „Ich habe das verstanden, ich gehe zum Anbieter, ich bin mit diesen Problemen nicht zufrieden, ich werde mich darum kümmern“, und sie fahren wirklich los und sagen, dass dieses hier ein wenig anders ist, in einem kleinen Prozentsatz, und wirklich die Hilfe des Gutachters wollen, ähm, das erste Mal, dass ein bestimmter Pfizer-Geschäftsinhaber
Sie wollen immer noch etwas Unterstützung und Anleitung, aber je mehr wir sie selbstständig machen können, desto mehr Volumen können wir bewältigen und desto mehr können wir uns um den nächsten Teil unseres Ökosystems und unserer Lieferantenflotte kümmern, um sicherzustellen, dass wirmehr im Blick haben, anstatt unsere Energie auf wenige zu konzentrieren. Je mehr ich den Blick weite, desto sicherer bin ich mir, dass ich die Gesamtrisiken von Pfizer ausgeglichen habe. Ich denke, dass Ehrlichkeit, Fragebögen, Regeln und Risikobewertung ein Thema sind, das in allen Branchen auftaucht, und vielleicht können Sie den Teilnehmern dieses Gesprächs helfen, mehr darüber zu erfahren. Was genau haben Sie herausgefunden, als Sie diese Regeln aufgestellt und die Kriterien für die Risikobewertung definiert haben? Brenda Ferraro: Ja, als Sie es definiert haben, haben wir, glaube ich, gesagt, wie ich es gemacht habe. Ich denke, der Mann, derich in dieser Folie hervorheben wollte, ist, dass man bei der Budgetierung für die Reaktion am Ende die Kosten wirklich senken kann, basierend auf meiner letzten Bemerkung, dass man seine Standardantworten im Voraus aufschreiben sollte. Aber in der Mitte habe ich festgestellt, dass etwa ein Drittel meiner Lieferanten wirklich keine wesentlichen Risikokontrollprobleme hatten, also habe ich diese Rollen einfach übersprungen und bin weitergegangen. Aber das bedeutet, dass es einen anderen, größeren Prozentsatz gibt, an demwirklich sagen muss, dass wir daran arbeiten müssen, Ressourcen einplanen und einen Plan erstellen müssen, um diese vorgefertigten Antworten zu verfassen, was wirklich dabei hilft, die Zeit und Energie richtig einzusetzen.
Also, budgetieren Sie dafür Ressourcen. Mehrere andere Kollegen, mit denen ich gesprochen habe, scheinen zu sagen, dass ein Drittel in guter Verfassung ist und keine wirklichen Maßnahmen ergriffen werden müssen. Das ist sozusagen eine Norm, die ich bei einigen Leuten beobachtet habe, mit denen ich gesprochen habe. Es scheint einfach statistisch gesehen so zu sein, dass die Dinge sich so entwickeln. Brenda Ferraro: Das Tolle an dieser Lösung ist, dass jeder einzelne Kunde die Möglichkeit hat, seine eigene Risikotoleranz und sein eigenes Risikoprofil festzulegen. Im Gesundheitswesen und im Netzwerk haben Sie beispielsweise ein Archiv mit ausgefüllten Fragebögen, Inhalten und Nachweisen, die von Dritten oder Lieferanten gesammelt wurden, und wenn diese dann in das
Fiser-Instanz oder Ansicht Sie haben die Lösung so konfiguriert, dass sie Ihrer Risikotoleranz und Ihrer Einstellung entspricht, sodass Sie wirklich bestimmen können, wie diese risikobasierten Entscheidungen aussehen, wenn Sie jemanden haben, der vielleicht ein Cloud-Anbieter ist, im Gegensatz zu jemandem, der vielleicht für Sie produziert, und das ist es, was mir an Ihrem Programm so gefällt, dass Sie in der Lage sind, anhand dieser Toleranzstufen zu analysieren und Risiken einzustufen. Keith Walter: Klassifizierungsmodelle sind für viele Unternehmen ein wichtiges Thema, sobald sie beginnen, ihr Portfolio zu betrachten und feststellen, dass sie Dutzende, Hunderte, Tausende oder sogar Zehntausende von Anbietern und Lieferanten haben. Zu wissen, welche Art von Bewertung für jede Art von Klassifizierung geeignet ist, ist etwas, womit einige Unternehmen zu kämpfen haben. Wie haben Sie definiert, was welche Art von Due Diligence erhalten sollte? Brenda Ferraro: Ja, ich denke, es ist wichtig, im Vorfeld in der Vorbereitungsphase darüber nachzudenken, und das möchte ich mit dieser Folie wirklich betonen. In unserem Fall und in unserer Branche ist es wirklich wichtig, in der Vorbereitungsphase jedes Lieferantenengagement zu verstehen und jedem Lieferanten ein Risikoniveau sowie möglicherweise ein Engagement-Risikoniveau zuzuweisen. Diese Dinge können sich drastisch unterscheiden, und das Beispiel, das ichbesonders Anbieter heran, die viele verschiedene Dienstleistungen anbieten. Ein gutes Beispiel ist IBM, da sie einfach alles anbieten, von PC-Lösungen über Beratungsdienstleistungen bis hin zu Watson usw. Sie sind nur eines von vielen Beispielen, bei denen ihre Dienstleistungen das gesamte Spektrum abdecken und das Risiko völlig unterschiedlich sein kann. Seien Sie also vorsichtig und verstehen Sie, was Sie tun.
Nutzen Sie die Daten, und ich denke, auf dem Bildschirm sehen Sie einige der Dinge, über die wir uns Wissen aneignen. Wir versuchen, den Fragebogen zur Ermittlung des Risikoniveaus auf etwa 15 Fragen mit Auswahlkästchen zu beschränken, damit das Unternehmen diese wirklich nach Bandbreiten einteilen kann, wie ich Ihnen sagen werde, das Ausmaß der SPI-Daten, die Sie offenlegen, oder die Anzahl der Forschungsverbindungen, die Dana offenlegt.Ich frage sie, ob sie eine bestimmte Bandbreite davon offenlegen, und wenn sie mit Ja antworten, wählen sie die Bandbreite aus. Die Bandbreiten sind ziemlich breit gefasst, aber sie geben mir ein Verständnis für das kritische hohe, mittlere und niedrige Engagement der Anbieter, auf das ich mich konzentrieren möchte. Ich denke also, dass es für das Unternehmen einfacher ist, wenn man es in seiner Sprache hält, aber schauen Sie sich Ihr eigenes Unternehmensklassifizierungsmodell und einige dieser Faktoren an, wenn Sie es entwerfen. Brenda Ferraro: Ja, der letzte Punkt, den wir im Rahmen der Vorbereitung von Safe haben, betrifft Verträge, und mir ist aufgefallen, dass viele Unternehmen den Stress von Redlining durchlaufen, und in einigen Fällen steht in diesen Verträgen vielleicht, dass sie nur einmal pro Jahr das Recht auf eine Prüfung haben, aber man muss wissen, dass eine Prüfung etwas anderes ist als eine Bewertung. Ja, man kann einmal pro Jahr jemanden kommen lassen, der eine Prüfung durchführt, aber eine Bewertung ist ein fortlaufender Prozess.Es handelt sich um eine fortlaufende Bewertung, die darauf basiert, ob Vorfälle auftreten, ob eine Abhilfe nicht rechtzeitig erfolgt oder ob ein Risiko besteht, das überprüft werden muss. Aber was ist Ihnen aus vertraglicher Sicht aufgefallen, als Sie Ihr Programm eingeführt haben? Keith Walter: Ja, es ist schwierig, die Anzahl der Verträge usw. zu verwalten und dann wirklich Einfluss auf Ihre Beschaffungs- und Rechtsabteilung zu nehmen, damit diese wirklich Nachträge auf der Grundlage der erforderlichen Kontrollen erstellt, sodasses einen Nachtrag gibt, wenn es sich um einen Vertrag im Zusammenhang mit dem Datenschutz handelt, im Gegensatz zu keinem Nachtrag für Cybersicherheitsmaßnahmen usw., und diese in einem Nachtrag zu halten, damit Sie sagen können: „Lassen Sie uns die richtigen Nachträge in den Vertrag aufnehmen und keine Rechtszeit auf unserer Seite und ihrer Seite für Dokumente aufwenden, die offensichtlich nicht anwendbar sind. Wenn sich der Service ändern wird, möchten Sie sicherstellen, dass Sie diese hinzufügen.
Und das ist sicherlich ein Teil des Risikos, das Sie managen müssen, aber manchmal geben Sie viel mehr Geld aus, um Teile und Komponenten zu beschaffen, wenn Sie alles zusammenfügen. Es ist also wahrscheinlich entscheidend für den Erfolg, dass Sie es einfach und unkompliziert halten, versuchen, das zusammenzubekommen, und mit der Beschaffung und der Rechtsabteilung zusammenarbeiten, um sicherzustellen, dass Sie die Gleichgewichtspunkte der Cybersicherheit wirklich bewerten. Bei Pfizer sind natürlich auch die Datenschutzbeauftragten einer unserer wichtigsten Partner. Brenda Ferraro: Nun, jetzt sind wir in Phase zwei der Datenerhebung, also nähern wir uns dem Ende. Wir haben nur noch etwa 15 Minuten Zeit, also werden wir versuchen, die nächsten paar Folien im Detail durchzugehen. Aber was sind einige der Lektionen, die Sie gelernt haben und die Sie anderen mitteilen möchten, damit sie bei der Datenerhebung entsprechend planen können? Keith Walter: Ja, ich habe diese Liste auf der rechten Seite erstellt und ich glaube, ich habe viele dieser Punkte bereits angesprochen, als wir die Sammlung durchgegangen sind. Stellen Sie sicher, dass Sie den richtigen Lieferanten auswählen und wenden Sie ihn an. Stellen Sie sicher, dass Sie auf Hindernisse vorbereitet sind. Die Auswirkungen von Fusionen und Übernahmen haben uns immer frustriert, daimmer die Frage aufkam, ob etwa 10 % unserer Lieferanten im Laufe eines Jahres buchstäblich Teil einer M&A-Situation sein könnten, und dann muss man sich wirklich die Frage stellen, welches Unternehmen – das, mit dem man zusammengearbeitet hat, oder das, das es übernommen hat – tatsächlich die Kontrolle ausübt, denn das ist es, was man wirklich beurteilen möchte. Man muss also sicherstellen, dass man den Prozess dafür versteht. Das ist definitiv eine Lektion, die man lernen muss.
Unterschätzen Sie nicht, wie wichtig es ist, die richtigen Meilensteine zu verfolgen. Sammeln Sie weiterhinUnterschätzen Sie nicht, wie wichtig es ist, die richtigen Meilensteine zu verfolgen. Erfassen Sie weiterhin die richtigen Daten, überlegen Sie sich, welche Daten Sie während Ihres gesamten Lebenszyklus benötigen, und sammeln Sie diese im Voraus, bevor Sie das Produkt auf den Markt bringen. Denn zu diesem Zeitpunkt konzentriert sich das Unternehmen darauf, den Fragebogen zu veröffentlichen und voranzutreiben. Ein weiterer wichtiger Punkt ist, dass Sie diese Daten für Ihre Planung benötigen. Stellen Sie sicher, dass Sie einen Primärschlüssel haben, um die Daten später zu verwenden und weiterzugeben. Bender-Namen sind ein gefährlicher Bereich, Ihr Primärschlüssel. Es ist entscheidend, dass Sie sich überlegen, was Ihnen zusätzlich dazu noch nützt, oder einen verketteten Schlüssel verwenden, da sich die Bender-Namen ändern und Sie dann den Primärschlüssel ändern müssen, was alles sehr schwierig und verwirrend sein kann, wenn Sie Dinge miteinander verknüpfen wollen, insbesondere wenn Sieversuchen, Ihre Daten mit Beschaffungsdaten oder Daten der Datenschutzbehörde abzugleichen, wo man dort nicht einmal über die Änderung des Lieferantennamens informiert ist, Sie aber schon. Die Entwicklung interner Schlüssel, die Entwicklung eines internen Primärschlüssels und die Verwendung desselben Schlüssels durch Ihre wichtigsten Partner ist ein weiterer Bereich, in den wir definitiv Zeit investieren, um ihn weiterhin zu lösen. Tourette Brenda Ferraro: Und mir ist aufgefallen, dass viele Unternehmen sagen, sie hätten Bewertungen angefordert, diese aber in einem schwarzen Loch verschwinden und sie nicht wissen, wann sie die Inhalte zurückbekommen. Daher ist es wirklich wichtig, wo meine Anfrage bleibt. Mit der vorherrschenden Plattform haben wir einen Aufschwung und eine Verbesserung festgestellt. Früher dauerte es etwa 45 Tage, bis eine Anfrage bearbeitet und die Inhalte für die Risikoidentifizierung verfügbar waren.ist unser Hauptanliegen, auf das wir uns jetzt konzentrieren wollen. Jetzt dauert es durchschnittlich nur noch neun Tage, was phänomenal ist, und die Inhalte sind wiederverwendbar und können geteilt werden. Ich bin froh, dass Sie uns dabei helfen.
Oh, hier ist die Einstufung, von der Sie während des gesamten Webinars gesprochen haben. Lassen Sie uns also mit ihnen darüber sprechen, was das genau für die Bewertung bedeutet. Keith Walter: Ja, in der Bewertungsphase finde ich es angesichts des Umfangs, den wir bewältigt haben, und allem anderen wirklich interessant, dass wir statistisch gesehen definitiv feststellen, dass bei einem risikobasierten Banding-Ansatz etwa ein Drittel der Antworten keine unserer Schlüsselkontrollen verfehlen, und wir haben wirklich die Haltung eingenommen, unsere Energie auf den unteren Bereich zu konzentrieren, wo wir immer noch etwa 25 % haben.
Bei den hundert, die wir durchgeführt haben, stellen wir fest, dass die Schlüsselkontrollen bei diesem bestimmten Anbieter tatsächlich sieben oder mehr der Fragen zur Risikolage nicht erfüllen. Die Schlüsselkontrollen müssen Fragen zur Risikokontrolle enthalten, die definitiv auf ein Problem mit dem Kontrollpaket des Anbieters hinweisen. Wir wollen uns darauf konzentrieren und das Unternehmen wirklich dazu bringen, zu sagen, dass ein Anbieter, deraufgrund der Fragen, die uns als Metadaten über diesen Anbieter vorgelegt wurden, auf einem kritischen Niveau bewertet wurde und außerdem sieben oder mehr Fragen zu diesen Schlüsselkontrollen nicht erfüllt, dann ist das eine wirklich sehr riskante Situation, auf die wir unsere Energie konzentrieren wollen. Das bedeutet also, dass wir einige der weniger kritischen Fälle ein wenig aufgebenWir sagen dem Unternehmen einfach: „Hey, ich habe hier nichts gefunden, bitte besprechen Sie das mit dem Lieferanten in angemessener Weise und mit den Dokumenten zu Risikoreaktionen, damit sie das effizienter und effektiver tun können, aber das ist definitiv ihre Entscheidung auf der linken Seite. Möchte ich bei jedem einzelnen davon Perfektion erreichen und nur so viele in einem Jahr schaffen, oder möchte ich eine gute Bewertung und möchte ich alle Lieferanten in meiner Flotte erreichen?Ich tendiere eher zum zweiten Teil. Wie kann ich mich dazu bringen, einen umfassenderen Blick auf meine Flotte zu werfen? Nein, mein schlimmster Fall ist, mich darauf zu konzentrieren, dieses Risiko zu senken, und dann wissen Sie, dass wir vielleicht unseren Fokus ändern und die Kriterien ein wenig anpassen und noch mehr finden, aber die Antwort ist, dass ich immer noch denke, dass ich den größten Teil des Risikos auf der Investitionsebene, die ich mache, ausschalte, und dasist wirklich das, was von mir verlangt wird, um eine Rendite auf diese Investition zu erzielen, und wir konzentrieren uns darauf, das Risiko zu reduzieren, mit dem wir jeden Tag arbeiten. Brenda Ferraro: Richtig, und da die regulatorischen Anforderungen nun vorschreiben, dass wir das Risiko identifizieren, erstellen wir Risikominderungspläne für diejenigen, die wir akzeptieren und/oder über kompensierende Kontrollen verfügen, und dann verfolgen wir diese bis zum Abschluss mit dieser Position. Mir gefällt also wirklich, wie Sie das zusammengestellt haben.
Wir verwenden diese Folie normalerweise bei unseren Präsentationen innerhalb von Prevelant, um den ganzheitlichen Ansatz für alles zu veranschaulichen, was im Rahmen des Amateur-Governance-Programms für Risiken durch Dritte erforderlich ist. Können Sie also kurz auf jede der vier Komponenten eingehen und erläutern, wie Pfizer diese angegangen ist? Keith Walter: Sicher, meine Philosophie zu einigen dieser Punkte stimmt damit überein, und sie hat auch einige Besonderheiten. Zunächst einmal halte ich Bewertungen für eine gute Methode, um Dinge zu betrachten. Sie sind hilfreich in logischen Situationen, aber sie vermitteln nicht wirklich ein vollständiges Bild. Daher konzentriere ich mich eher auf die Kontrollen als nur auf die reine Bewertung.
Bei geringem Risiko ist dies jedoch eine schnelle Methode, aber jedes Bewertungsmodell ist anders, und wenn der jeweilige Anbieter, der die Bewertung vornimmt, sich nicht ausreichend mit großem und mittlerem Maßstab auseinandergesetzt hat, kann es etwas heikel werden, aber es ist ein guter Indikator und sollte berücksichtigt werden. Ich denke, es ist entscheidend, dass wirwir es heute hier tun: Lernen Sie von Ihren Kollegen, lernen Sie von dem, was die Menschen um Sie herum tun, nehmen Sie an Veranstaltungen wie dieser teil, und hoffentlich nimmt jeder ein paar Ideen mit, um sein Programm anhand dessen, was wir gesagt haben und was ich geteilt habe, zu überdenken. Ich bin mir sicher, dass ich, wenn ich weiterhin herumreise und mit anderen spreche, wie ich immer gesagt habe, niemals ein Meeting haben werde, bei dem ichnicht weggehen würde, ohne über mich selbst nachzudenken, wo ich etwas besser machen könnte, oder ohne einen Kommentar von der Person oder dem Unternehmen zu hören, mit der/dem ich spreche, und daraus eine Reflexion über einen Punkt zu gewinnen, den ich nicht durchdacht habe. Das Letzte, worüber ich wirklich sprechen wollte, waren die Veranstaltungen für eine Sekunde, dieWir hatten hier einen Aha-Moment, bei dem ich wirklich den Wert davon erkannt habe, natürlich mit einer kurzen Benachrichtigung und der Anzahl der Anbieter, die wir haben, bekommen wir diese regelmäßig und wir haben wirklich einen Namen
Wir haben uns mit diesen Tools und dem Risikomanagement für Lieferanten getäuscht, um uns wirklich darauf einzulassen, wenn wir über eine Sicherheitsverletzung informiert werden und Maßnahmen ergreifen wollen. Was tun wir? Trennen wir unsere Verbindungen, was so ziemlich zum Standardverfahren gehört, um eine Partnerverbindung zu kappen, bis wir sicher sind, dass eine Zusammenarbeit sicher ist? Wenn wir solche Dinge tun, nutzen wir Ihre Tools und Ihre Bewertungen wirklich als Teil dieses Prozesses, um den normalen Geschäftsbetrieb wiederherzustellen und sicherzustellen, dass diesTeil Ihrer Aktivitäten ist. Wir haben uns jetzt darauf eingelassen und sehen viele wirklich gute Vorteile darin, dass die Reaktion auf Vorfälle mit einer Toolbox für das Risikomanagement von Lieferanten und Dritten verbunden ist, was die Standardreaktionsverfahren angeht. Wir hatten sogar einen Fall, in dem wir ziemlich genau mitteilen und vorhersagen konnten, wie es unserer Meinung nach zu der Sicherheitsverletzung gekommen war, und es war erstaunlich, wie genau wir damit lagen, und zu dem Sai, mit dem ich gesprochen habe, alsoist es wirklich gut, eine solche Toolbox zu haben und sie in Ihren Geschäftsanwendungsfällen zu prüfen, auch wenn Sie vielleicht nicht direkt denken, dass sie angemessen ist, nicht nur bei Vertragsunterzeichnungen, sondern auch bei Ereignissen, die auslösen können, dass Sie diese Toolbox und die von Ihnen entwickelten Plattformen nutzen sollten, um wirklich sicherzustellen, dass die Anbieter, die Ihr Unternehmen nutzt, sicher sind. Brenda Ferraro: Und ich denke, mit allem, was hier draufsteht, ist es sehr umständlich, es gibt so viel, das verfolgt und gemindert und überprüft werden muss und in unser Governance-Programm einfließt, und dann sehe ich, dass ich mir wünsche, dass jeder mitnehmen kann, können Sie darüber sprechen, welche wichtigen Erkenntnisse Sie auf Ihrer Reise gewonnen haben, die wichtig sind, um sie der Community mitzuteilen? Keith Walter: Sicher, wir haben diese Folie intern erstellt und in Gesprächen festgestellt, dass dies die Dinge sind, die uns unserer Meinung nach erfolgreich machen und die wir wirklich nutzen, um uns selbst voranzutreiben. Wir haben im Laufe der Jahre gelernt, dass ein risikobasiertes Programm unserer Meinung nach der richtige Weg ist, um sicherzustellen, dass sich unsere Investitionen auszahlen. Wir stellen sicher, dass wir alle Daten, die wir finden können, nutzen und sie kreativ einsetzen, wie ich bereits sagte, indem wir Firewall-Regeln verwenden, um das Risikoniveau festzulegen.
Ich bin mir sicher, dass die Fragen Frühindikatoren für Probleme sind, anstatt zu versuchen zu sagen, dass ichjede Frage überprüfen werde, in der Ihre erwarteten Schlüsselkontrollen und Ihre Risikokontrollen den Schlüsselkontrollfragen zugeordnet werden, die für die Herausforderungen und Eskalationen vorbereitet wurden. Je mehr Sie im Voraus vorbereiten können, desto besser. Ich komme noch einmal darauf zurück, welche Daten ich im Voraus benötige, um diese im Voraus zu sammeln, damit ich angemessen reagieren und eskalieren kann. Es ist sehr wichtig, einfach nur zu wissen, welcher Geschäftsbereich sozusagen der Hauptabnehmer dieser Dienstleistung des Anbieters ist. Das macht es einfach zu sagen: Okay, das ist der VizepräsidentVizepräsident ist, an den ich die Eskalation weiterleiten muss. Die Automatisierung von Arbeitsabläufen hat unsere Fähigkeit, mit denselben Vollzeitkräften mehr zu bewerten, wirklich verbessert. Wir rechnen mit einer Verdopplung unserer Kapazität pro Vollzeitkraft, und das ist für uns wirklich wichtig, um auf das von uns gewünschte Volumen zu skalieren. Ich tue
Planung Ihrer Dispositionsverfolgung Stellen Sie sicher, dass Sie genau wissen, welche wichtigen Lieferanten Sie verfolgen und kontrollieren möchten und wo Sie darauf vertrauen können, dass das Unternehmen die richtigen Maßnahmen ergreift, aber stellen Sie sicher, dass Siesie in einer Geschäftsterminologie schulen, damit sie verantwortungsbewusst mit dem umgehen können, was Sie identifiziert haben, und dann natürlich sicherstellen, dass Ihre Daten während des gesamten Prozesses, Ihr SaaS und alles andere wirklich zu einer Reihe von Metriken und KPIs führen, die Ihre Eskalation unterstützen und Ihre Reife fördern. Finden Sie heraus, wo es in Ihrem Prozess zu Verzögerungen kommt, wissen Sie, worum es sich handelt, und handeln Sie dann entsprechend, um zu verhindern, dass diese immer wieder auftreten. Brenda Ferraro: Ich danke Ihnen sehr für all Ihre Beiträge heute, Keith, und gebe nun zurück an Peter, damit wir hören können, ob es noch Fragen gibt, und er eine abschließende Umfrage durchführt. Nochmals vielen Dank im Voraus. Danke, Brenda.
Peter Schumacher: Ich starte gerade diese letzte Umfrage, in der wir Sie fragen, ob Sie an einer Nachverfolgung interessiert sind. Bitte antworten Sie ehrlich, ob Sie einen Rückruf von einem unserer Vertriebsmitarbeiter wünschen.. Wenn ja, sagen Sie bitte „Ja”. Wenn die Antwort „Nein” lautet, werde ich mich nicht so gut fühlen, also antworten Sie bitte ehrlich. Wir haben hier noch ein paar Fragen in der Warteschlange und etwa fünf Minuten Zeit, um sie zu beantworten. Lassen Sie mich also mit der ersten Frage beginnen: Was sind Ihrer Meinung nach die wichtigsten Leistungskennzahlen, die Sie aus Ihren Tools ziehen können? Der zweite Teil dieser Frage lautet: Was war am effektivsten bei der Kommunikation mit Unternehmen und anderen Risikostakeholdern? Keith Walter: Sicher, wenn Sie möchten, nein, ich denke, ich werde zuerst einen Kommentar abgeben und dann versuchen, die Frage zu beantworten. Der erste Kommentar ist, dass ich denke, dass jeder, der glaubt, seine Dashboards und Kennzahlen seien einsatzbereit und perfekt, ich habe noch nie einen führenden Risikomanager oder einen Seufzer oder etwas in der Art gefunden, der sich dieser Aussage wirklich sicher war, also ist es ein Lernprozess, aber im Moment sind einige der Dinge, die ich als unschätzbar wertvoll empfinde, zu beobachten, wieich in einem SLA bin und diese Zeitachse zu beobachten und insbesondere den Fortschritt der Sammlung zu sehen. Ich persönlich liebe es, einen Anbieter anzusprechen, der sagt: „Ja, wir sind fast fertig mit dem Fragebogen.“ Ich sagte: „Nun, wenn Sie nur 20 % der Fragen zeigen, die Sie beantwortet haben ...“
Wie kann es sein, dass Sie fast fertig sind und sich in der letzten Woche nichts getan hat, dass Sie wirklich Bluffen können, wenn Sie wirklich wollen, dass sie sich engagieren und es zu einer Priorität machen, was nur mit geeigneten KPIs und Kennzahlen möglich ist, die für Sie sichtbar sind, und das sind einige der Dinge, von denen ich viel mehr Nutzen sehe, und ich konzentriere mich darauf, natürlich dieses Banding-Konzept umzusetzen, das ich vorhin kurz erwähnt habe, das ist das dritte, was ich hervorheben möchte – dass wir den Führungskräften wirklich vermitteln können, dass wir so viele Bewertungen vornehmen, dass sie hier in die Risikobewertung nach ihrem Risikograd und der Anzahl der von uns festgestellten Probleme einfließen, sodass sie wirklich sehen, wo das Schlimmste vom Schlimmsten ist, und indem wir das hervorheben und ihnen diese Namen zeigen und sagen, dass dies diejenigen sind, die ich verfolgen möchte, und dass ichwerde den Abschluss verfolgen. Das hilft ihnen wirklich zu verstehen, dass wir fokussiert sind und keine Puristen, die versuchen, den Hunger in der Welt zu bekämpfen, sondern dass wir die Daten wirklich nutzen, um ihre wertvollen Ressourcen in ihrer eigenen Organisation sowie in meiner zu nutzen, um sicherzustellen, dass wir
die bestmögliche Rendite für diese wertvolle Investition zu erzielen, um das Gesamtrisiko zu reduzieren Peter Schumacher: Sehr gut, danke Keith. Es sieht so aus, als gäbe es noch ein paar weitere Fragen, auf die wir noch eingehen werden, aber ich denke, unsere Umfrage verläuft gut. 56 % abgestimmt. Ich verstehe, dass Sie, wenn Sie über den Webbrowser zugeschaltet sind, möglicherweise nicht an der Umfrage teilnehmen können, was der Grund für unsere geringe Beteiligung sein könnte, nur zur Information. Die nächste Frage scheint eher an Brenda gerichtet zu sein: Wie sieht der Trend bei der Bewertung und dem Risikoranging aus und wie hilft der Ansatz von Cisors dabei, die Risikotoleranz zu ermitteln? Brenda Ferraro: Ja, wir haben darüber gesprochen.
Ja, wir haben darüber bereits vorhin gesprochen, aber bei der Wiederherstellung muss man sehr genau darauf achten, wenn man sich die einzelnen Engagements ansieht. Auf der vorherrschenden Plattform haben wir die Möglichkeit, Pfizer dabei zu helfen, zu konfigurieren, welche Art von Engagement welche Art von Sorgfaltspflicht erfordert, die dann ihrer Risikotoleranz in Bezug auf die von ihnen für diese Engagements ausgewählten Schlüsselkontrollen zugeordnet wird. Anschließend können wir ihnen dabei helfen, anhand der regulatorischen Anforderungen und Perspektiven zu bestimmen, wie diese Zuordnung, wie sie sich auf ISO auswirkt oder wie sie sich auf ihre Schlüsselkontrollen auswirkt, indem man einfach auf einen Filterknopf drückt. Es ist wirklich spannend zu sehen, wie sie alle ihre Inhalte für ihre entsprechende Konfiguration voreingestellt und vorbereitet haben, um die Bewertung und Einstufung zu betrachten und dann kontinuierlich auf der Grundlage der Risikobewertungen zu bewerten, die sie innerhalb der Lösung realisieren können. Auf diese Weise hilft die vorherrschende Lösung Pfizer heute. Keith Walter: Ja, und noch etwas: Eine unserer Kernanforderungen war, dass das Bewertungsmodell konfigurierbar sein muss, damit wir die Lösung auswählen können, die für uns geeignet ist. Denn wir halten es für entscheidend, dass wir das System so einstellen können, dass es unserem Unternehmen und unseren Aktivitäten wirklich zugute kommt. Die Plattform von Prevalent ermöglicht es mir, die Bewertungsmethodik mit NRI-Einfachheit anzupassen und meine Schlüsselkontrollen wirklich zu nutzen.
Die Fragen zeigen, dass es vor allem um die Top-Scorer geht, und das war sehr wertvoll, um die Berichte aus dem System wirklich so zu fokussieren, wie ich es mir wünsche, um meinem Unternehmen zu helfen. Peter Schumacher: Vielen Dank. Ich glaube, wir haben jetzt Zeit für eine letzte Frage. Ich habe mich bisher hauptsächlich auf meine Marketing-Expertise konzentriert und die meisten technischen Fragen für Sie beantwortet, Keith, aber eine habe ich noch übrig: Haben Sie Empfehlungen, wie man mit Cu EC umgehen soll, wie es im Sock to Report aufgeführt ist? Sie können das gerne auch offline beantworten, Keith. Walter: Ja, ich meine, es geht nicht darum, einen Bericht zu erstellen.
Das ist ziemlich detailliert, aber meine Antwort lautet: SOCK ist eine alternative Bewertungsmethode, die es in manchen Fällen je nach Risiko wirklich unnötig machen kann, einen vollständigen Fragebogen auszufüllen. Der Haken, den ich bei jedem Teil von SOCK sehen würde , ist, dass man sich im Voraus sehr genau mit den Metadaten vertraut macht und bereit ist, das Engagement zu verstehen und sicherzustellen, dass der Umfang der tatsächlichen Sock mit dem übereinstimmt, was man vorhatte. Wenn man das im Hinterkopf behält, wenn man solche Entscheidungen trifft, ist das meiner Meinung nach absolut entscheidend für den Erfolg, wenn man eine alternative Methode wie diese spezifischen Abschnitte und so weiter und die Enddienste der Sock verwenden will – Brenda Ferraro: Genau das wollte ich auch sagen. Danke, Keith, ja.
Peter Schumacher: Vielen Dank an alle, die heute dabei waren. Keith, ein besonderer Dank geht an dich. Ich weiß es sehr zu schätzen, dass du heute dabei warst. Und Brenda, ich wünsche allen noch eine schöne Woche und freue mich auf das nächste Webinar. Vielen Dank, vielen Dank.
©2026 Mitratech, Inc. Alle Rechte vorbehalten.
©2026 Mitratech, Inc. Alle Rechte vorbehalten.