Beschreibung
Fast die Hälfte der Unternehmen, die an der Prevalent-Studie 2023 zum Risikomanagement von Drittanbietern teilgenommen haben, gaben an, manuelle Prozesse für das Risikomanagement zu verwenden. Und bei einem so hohen Anteil an manuellen Prozessen kann es eine Herausforderung sein, mit der Kommunikation der Anbieter Schritt zu halten - woher wissen Sie also, ob Ihre Anbieter Ihre Risikobewertung tatsächlich abschließen?
Bryan Littlefair, ehemaliger Global CISO der Vodafone Group und Aviva, teilt seine Tipps und Best Practices mit, wie Sie Ihre Drittparteien dazu bringen können, an Risikobewertungen von Anbietern teilzunehmen.
Nehmen Sie mit Bryan an diesem On-Demand-Webinar teil und erfahren Sie mehr:
- Wie man mit Anbietern kommuniziert, um eine höhere Rücklaufquote zu erreichen
- Wann man realistischerweise Antworten erwarten kann
- Was ist zu tun, wenn Sie nicht den richtigen Ansprechpartner haben oder keine Antwort erhalten können?
- Wer kann Ihnen helfen, Antworten zu finden und Ihr Risiko zu analysieren?
- Wo man Informationen über die Risiken von Anbietern erhält, ohne auf eine Antwort zu warten
Eine reaktionsfähige Lieferantenkommunikation ist ein Muss für jedes TPRM-Programm. Melden Sie sich für dieses Webinar an, um praktische Ratschläge zu erhalten, wie Sie Ihre Lieferanten in Risikobewertungen einbeziehen können.
Redner
Bryan Littlefair
ehemaliger Global CISO der Vodafone Group und Aviva
Abschrift
Ashley: Mein Name ist Ashley und ich arbeite in der Geschäftsentwicklung hier bei Prevalent. Und bei uns ist ein ganz besonderer Gast, Brian Littlefair, ehemaliger CISO der Vodafone Group. Hallo Brian.
Brian Littlefair: Hey, wie geht es allen?
Ashley: Und unser eigener Vizepräsident für Produktmarketing, Scott Lang. Wie geht's, Scott?
Scott Lang: Hey, Ashley.
Ashley: Heute wird Brian darüber sprechen, wie Sie Ihre Drittparteien dazu bringen können, an Ihren Risikobewertungen teilzunehmen. Also, Brian, ich übergebe an Sie.
Brian Littlefair: Großartig. Danke, Ashley. Und hallo, alle zusammen. Es ist großartig, wieder mit, Sie wissen schon, potenziellen und aktuellen Kunden sprechen zu können und, Sie wissen schon, mit denen, die nur hier sind, um das Thema zu hören. Ich denke, das ist heute ein wirklich interessantes Thema. Sie wissen schon, wie reaktionsschnell sind Ihre Anbieter? Das ist eine besondere Herausforderung, mit der viele von uns konfrontiert sind, je nachdem, wo wir uns auf dem Reifegrad unserer individuellen TPRM-Initiativen befinden, und ich bin mir bewusst, dass einige Teilnehmer ganz am Anfang dieser Reise stehen und andere schon sehr weit fortgeschritten sind. Ich habe also versucht, bei den einzelnen Botschaften ziemlich ganzheitlich vorzugehen. Ich werde mich entschuldigen. Ich habe eine leichte Brustentzündung, aber ich bin sicher, dass wir das gut überstehen werden. Aber wenn die Stimme gelegentlich bricht, dann ist das der Grund. Also, ohne viel Aufhebens, was werden wir heute behandeln? Also, ein bisschen was zur Einstimmung von mir. Also, wo sind wir und worüber reden wir und was ist der Kontext, in dem wir versuchen, etwas zu erreichen. Also, wissen Sie, alle Organisationen oder sicherlich alle Organisationen, die meiner Meinung nach ein effektives Risikomanagement und den Schutz von Kundendaten ernst nehmen, betreiben in irgendeiner Form ein Risikomanagementprogramm für Dritte. Und natürlich wird das je nach Branche, geografischem Gebiet und Art der Interaktion mit den Kunden unterschiedlich aussehen und sich unterschiedlich anfühlen. Aber egal, wir versuchen alle, das Richtige zu tun. Und natürlich hängt die Höhe des Budgets und der Ressourcen, die wir haben, davon ab, wie effektiv wir sein können. Ich denke, wir müssen uns die Bedrohung ansehen und warum wir uns alle auf diese Initiative konzentrieren. Ich denke, unabhängig davon, wo auf der Welt man sich befindet, beraten Regierungsbehörden ihre Bürger und die Organisationen, die in ihrem Zuständigkeitsbereich tätig sind. Dies ist eine der größten strategischen Bedrohungen, denen wir gegenüberstehen. Wir brauchen uns nur die vielen Tausend Zulieferer anzusehen, die einzelne Organisationen haben können, und den Grad der Interaktion, den sie möglicherweise mit unseren Organisationen haben.
Brian Littlefair: Ob es nun darum geht, dass sie möglicherweise unsere Rechenzentren verwalten oder Zugang zu unseren Netzwerken oder unseren Anwendungen haben, aber es gibt ein gewisses Maß an Interaktion und Integration, das wir mit unserer Lieferantenbasis brauchen, damit wir unseren Kunden unsere Produkte und Dienstleistungen liefern können, und zwar für große globale mittelständische Unternehmen. Wir müssen also diese Bedrohung ernst nehmen und in der Lage sein, den Fußabdruck unserer Lieferanten zu bewerten und zu beurteilen. Dann müssen wir den Reifeprozess verstehen. Das habe ich bereits angesprochen. Also, wo stehen wir? Und ich sehe, wissen Sie, zahlreiche verschiedene Organisationen. Ich betreibe selbst ein Beratungsunternehmen. Ich habe viel mit Private Equity zu tun und arbeite mit vielen verschiedenen Branchen rund um den Globus zusammen. Ich erlebe also die unterschiedlichsten Arten und Ansätze von Unternehmen, wenn es um das Risikomanagement für Dritte geht. Und einige nehmen es wirklich extrem. extrem ernst. Sie sind sich des Risikos bewusst, aber sie erkennen auch die Chancen und den Wert, den dies für das Unternehmen haben kann. Einige, das kann man mit Sicherheit sagen, erkennen, dass sie es aus Gründen der Compliance tun müssen. Sie sehen es ein wenig als eine Übung zum Ankreuzen. Sie wissen, dass sie dem Unternehmen nicht wirklich einen Nutzen bringen. Aber ich glaube, dass die Regulierung und die Einhaltung von Vorschriften dazu führen, dass diese Kästchen nicht mehr so oft angekreuzt werden. Und die Unternehmen nehmen das wirklich ernst und treiben es voran. Und dann haben wir noch die Herausforderung, wo Sie auf Ihrer Tooling-Reise stehen. Und darüber werde ich heute noch ein paar Mal sprechen. Wissen Sie, ich sollte erklären, dass ich natürlich ein unabhängiger Berater bin, aber als ich Sicherheitsorganisationen auf der ganzen Welt geleitet habe, war ich ein sehr aktiver Nutzer der gängigen Tools. Ich spreche also aus Erfahrung, ich spreche aus der Sicht von jemandem, der Excel verwendet hat, um das Risiko von Dritten zu verwalten, weil es mir immer zur Verfügung stand.
Brian Littlefair: Und dann spreche ich aus der Tatsache, dass ich, Sie wissen schon, spezielle Werkzeuge übernommen und eingesetzt habe, die speziell dafür entwickelt wurden, um ausgereifte TPRM-Programme voranzutreiben. Wir sind uns also alle einig, oder hoffentlich sind wir uns alle einig, dass die Bewertung des Risikos entscheidend ist, um die Dinge voranzubringen. Also, warten Sie zwei Sekunden. Mein Computer ist ein bisschen langsam, wenn es darum geht, die Folien vorzuschieben, also hoffe ich, dass er nicht zu viele überspringt. Sie wissen also, wie Sie sich für den Erfolg rüsten. Wenn Sie ein großes multinationales Unternehmen sind, ist es nicht ungewöhnlich, dass Sie drei 4.000 Lieferanten haben. Und selbst wenn Sie in einem mittelgroßen Unternehmen 100, 150 oder 200 Zulieferer haben, ist das immer noch eine ganze Menge. Also, wo fangen wir eigentlich an? Und wie kann man sich für den Erfolg rüsten? Und wie ich schon sagte, gibt es viele verschiedene Organisationen und viele verschiedene Reifegrade, unterschiedliche Schwerpunkte, unterschiedliche Ansätze. Es ist wirklich wichtig, dass wir verstehen, wie ein gutes Programm aussieht und welche Komponenten zusammen ein erfolgreiches Programm ausmachen, um die gewünschten Ergebnisse im Hinblick auf eine effektive Risikobewertung und -verwaltung zu erzielen. Wie sehen sie also aus? An erster Stelle steht immer das Budget. Ohne Budget kann man nicht viel tun. Sie brauchen das Budget, um Ihre Ressourcen einzubringen. Sie brauchen das Budget, um Werkzeuge zu erwerben. Sie müssen also oft sicherstellen, dass Sie die Höhe des Risikos, das Sie in dieser Funktion zu verwalten haben, abschätzen können. Das Gleiche gilt für die Ressourcen. Und leider habe ich in den Organisationen, die ich gesehen habe, das ganze Spektrum gesehen. Ich habe zwei oder drei Leute gesehen, die die Verantwortung für die Verwaltung von mehreren tausend Lieferanten mit Hilfe einer Excel-Tabelle hatten, und das ist nicht wirklich nachhaltig. Aber ich habe auch Organisationen gesehen, die den Prozess optimiert haben und ein Tool wie das vorherrschende verwenden. Und wenn man einen vollständig optimierten globalen Prozess hat, braucht man eigentlich nicht mehr so viele Leute, um diesen globalen Prozess zu führen, weil man, Sie wissen schon, alle Effizienzen mit einkalkuliert hat.
Brian Littlefair: Aber egal, wir brauchen das richtige Budget. Wir brauchen das richtige Maß an Ressourcen und wir brauchen die richtige Plattform, um in der Lage zu sein, effektiv zu interagieren und all unsere Antworten von unseren Lieferanten zu speichern. Sie sind also wirklich die Voraussetzung. Das sind also die Grundlagen, die wir brauchen. brauchen. Teing ist wirklich wichtig, aber dazu habe ich später noch eine Folie. Ich werde das also auslassen, denn darauf werden wir uns auf einer späteren Folie konzentrieren. Und dann kommen wir zur Kommunikation, richtig? Das ist der Grund, warum wir heute alle hier sind. Wir brauchen also eine effektive Kommunikation. Wir können den besten Prozess haben. Wir können die besten Plattformen der Welt haben, aber wenn wir nicht effektiv kommunizieren und die Leute nicht auf unsere Mitteilungen reagieren, haben wir eine unterbrochene Feedbackschleife, und dann werden wir keine Fortschritte machen. Wir müssen uns also überlegen, was unsere Prioritäten sind. Wir wollen also das Risiko in unserer gesamten Lieferkette bewerten. Das ist ganz klar unsere oberste Priorität, zumindest für die Leute, die in der Risikomanagementfunktion für Dritte arbeiten, und ebenso für die Leute in der Rechtsabteilung, die für den Datenschutz zuständig sind. Wir alle haben das gemeinsame Ziel, die Geschäftskontinuität aufrechtzuerhalten. Wir wollen in der Lage sein, Katastrophen abzufedern. Wir wollen sicherstellen, dass wir unsere rechtlichen und regulatorischen Anforderungen erfüllen und das Richtige für unsere Kunden tun. Es gibt gemeinsame Ziele, aber wir müssen den Tatsachen ins Auge sehen, dass dies vielleicht nicht für alle unsere Zulieferer Priorität hat. Wissen Sie, wir sagen, dass wir Sie unbedingt brauchen, um diese Fragebögen auszufüllen. Sie bekommen vielleicht eine Menge davon und wir werden später darauf zurückkommen.
Brian Littlefair: Wir könnten also dieses Ungleichgewicht haben, dass wir hier unsere Priorität sehen, aber die Leute, die sie erhalten, sehen keine Priorität, und dann enden wir in einer Situation, in der wir vielleicht 500.000 oder 20.000 Fragebögen verschickt haben und auf die Antwort warten, damit wir sie entweder durch unsere Analyseplattformen schicken können, oder, wenn Sie nicht in einer guten Situation sind und viele Excel-Dateien erhalten, dann müssen Sie natürlich durch Analysten gehen und all diese Informationen, die reinkommen, sortieren. Aber wie auch immer, wir müssen dieses Ungleichgewicht irgendwie ausgleichen und sicherstellen, dass wir den Mitteilungen, die wir von unseren Lieferanten erhalten, Priorität einräumen können. Und genau darüber werden wir heute sprechen. Richtig. Also, weiter vorwärts. Also, wie kommunizieren wir mit unseren Zulieferern? Wir müssen erkennen, dass die Kommunikation in beide Richtungen geht. Also, äh, für die Techniker über Ihnen, Sie wissen schon, unter Ihnen, sorry, wir sind vielleicht auf UDP, richtig? Wir senden also, aber es gibt keine Rückkopplungsschleife. Wir wissen nicht, ob unsere Kommunikation auf taube Ohren stößt oder ob sie tatsächlich ankommt, es sei denn, sie sind sehr reaktionsschnell und sagen: "Hey, ich habe deine Nachricht erhalten." Ob das nun über das Portal oder über die E-Mail-Plattformen geschieht, wir haben es in der Hand, das für Sie zu ändern. Ehrlich gesagt, ist das eine ziemlich seltene Reaktion, oder? Es geht also darum, zu verstehen, wie wir unseren Ansatz reifen lassen können, indem wir einige der Tools nutzen, die wir heute besprochen haben, damit wir erkennen können, wann unsere Antwort aufgegriffen wurde. Wir können den Fortschritt des Ausfüllens des Fragebogens nachvollziehen. Wir können also sehen, ob er überhaupt abgeholt wurde, ob er zu 5, 10, 15 oder 20 % ausgefüllt ist. Und das kann man mit E-Mail und Excel einfach nicht machen. Aber natürlich ist das mit einigen der TPRM-Plattformen, die es heute gibt, durchaus möglich und auch machbar. Lassen Sie uns also ein wenig über die Tarierung sprechen und darüber, wie Sie Ihre Lieferanten mit einem T-Stück versehen und warum die Tarierung für die Kommunikation wichtig ist.
Brian Littlefair: Ähm, wissen Sie, ich habe einige ziemlich große Unternehmen und einige ziemlich kleine Unternehmen für kritische nationale Infrastrukturen geleitet, und trotzdem spielt es keine Rolle. Man kann nicht die gleiche Zeit wie für jedes einzelne Angebot aufwenden, das man hat. Man muss irgendwie Prioritäten setzen und verstehen, worauf man seine persönliche Zeit, aber auch die Zeit des TPRM-Teams und die Zeit der Beschaffungsfunktionen konzentrieren will. So ordnen wir unsere Lieferanten typischerweise in zwei Stufen ein und verstehen dann innerhalb dieser Stufe, worauf wir unsere Zeit und Aufmerksamkeit konzentrieren, und bei diesem Fokus geht es darum, wie wir Beziehungen aufbauen. Wie können wir diese Beziehung von einem Lieferanten in eine strategische Partnerschaft oder eine strategische Beziehung umwandeln, aber auch das können wir nicht mit allen unseren Tier-1-Lieferanten gleichermaßen tun. Wenn wir, Sie wissen schon, 100 bis 150 haben, ist das einfach unrealistisch. Jedes Unternehmen wird also eine kritische Anzahl von Lieferanten haben, die zusammen konstruieren, wie sie effektiv Produkte und Dienstleistungen an ihre Lieferanten, sorry, an ihre Kunden auf der ganzen Welt liefern. Sobald wir sie identifiziert haben, können wir verstehen, dass wir die meiste Zeit mit ihnen verbringen müssen, um sicherzustellen, dass das Risiko, das sie darstellen, Sie wissen schon, wenn es sich verwirklicht, keine Auswirkungen auf den Service oder die Produkte hat, die wir an unsere Kundenbasis liefern. Das ist es also, was wir letztlich aus der Perspektive der Wasserwirtschaft tun müssen. Ich werde ein wenig darauf eingehen, wie einige dieser Beziehungen aussehen und welche Taktiken wir anwenden können, um sie voranzutreiben. Eine Kommunikationsstrategie ist also auch sehr wichtig. Was ich natürlich nicht befürworte, ist, wenn Sie Lieferanten in der zweiten und dritten Ebene haben, was der Fall sein wird, Sie werden mehr Lieferungen in der zweiten Ebene haben als in der ersten und höchstwahrscheinlich werden Sie mehr Lieferungen in der dritten Ebene haben als in den anderen zusammen. Ich will damit nicht sagen, dass wir die Vorräte in den beiden unteren Ebenen ignorieren sollen.
Brian Littlefair: Was ich damit sagen will, ist, dass wir eine wirksame Kommunikationsstrategie entwickelt haben, die erkennt, wie die Einteilung in verschiedene Stufen aussieht und wie wir mit den verschiedenen Lieferanten kommunizieren müssen. Was sind also die Schlüsselbotschaften, die wir einem kritischen Lieferanten schicken müssen, und was sind die Botschaften, die wir jemandem auf Stufe drei schicken müssen, und jemand auf Stufe drei könnte jemand sein, der die Kantine oder die Toiletten oder das Briefpapier für die Organisation liefert, aber wir können auf keinen Fall das Sicherheitsrisiko ignorieren, das Organisationen auf Stufe 2 und Stufe drei darstellen. Ich habe schon so manchen Einbruch bei einem Tier-2- und Tier-3-Lieferanten erlebt, weil sie möglicherweise Altsysteme in den Küchen oder Altsysteme in den Schreibwarenabteilungen usw. haben, auf die sie zugreifen können, um die Lagerbestände zu prüfen usw. Wir dürfen also nicht selbstgefällig sein und müssen sicherstellen, dass unsere Kommunikationsstrategie unsere Ziele erreicht, d. h. wir wollen, dass sie die Schlüsselbotschaften, die wir ihnen übermitteln wollen, auch verstehen. Lassen Sie mich also ein wenig darüber sprechen, was einige dieser Botschaften sein könnten. Meiner Erfahrung nach geht es darum, dass wir sicherstellen wollen, dass sie die richtigen Informationen zur richtigen Zeit erhalten, aber es hilft uns dabei, unsere strategischen Ziele voranzutreiben, nämlich eine tiefere und stärkere Beziehung zu ihnen zu entwickeln, aber auch in der Lage zu sein, voranzukommen und unsere Antworten so schnell wie möglich zu erhalten, denn wenn man eine effektive Beziehung zu jemandem hat, ist es wie mit unseren Freundschaften im Leben. Wenn man eine gute Beziehung zu jemandem hat, spricht man sehr regelmäßig mit ihm. Wenn du keine gute Beziehung zu jemandem hast, sprichst du selten mit ihm. Das gilt auch für die Geschäftswelt. Wenn Sie eine gute Beziehung zu jemandem haben und ihm einen TPRM-Fragebogen schicken, erkennt er Sie als strategischen Lieferanten an. Sie erkennen, wie wichtig Sie für das Unternehmen sind, und sie werden das schnell für Sie ändern.
Brian Littlefair: Wenn es sie kalt erwischt und sie nicht verstehen, wer Sie sind und welchen Wert Sie für ihr Unternehmen haben, dann wissen Sie, dass es keine schnelle Reaktion sein wird und dass es einige Zeit dauern kann, bis Sie diese Informationen zurückbekommen. Was brauchen wir also von einem Newsletter? Es geht um das, was ich das Wer, Was, Warum, Wo und Wann nenne. Es geht also darum, aufzuschlüsseln: Wer sind Sie? Weshalb sind Sie hier? Warum kommunizieren Sie eigentlich mit ihnen? Was sollen sie in Ihrem Namen tun? Es geht also um eine ziemlich hohe Ebene, um eine Übertragung. Das geht also typischerweise an alle Ebenen, und es geht eigentlich nur darum, wichtige strategische Änderungen in Ihrer Organisation vorzustellen, alles, was sie wissen müssen. Und das ist eigentlich der typische Eisbrecher. Es wird, Sie wissen schon, in die Organisation gebracht, Es wird von den Lieferantenmanagern und den Relationship Managern verteilt, aber es zeigt ihnen, dass Sie ein wichtiger Kunde sind, und es zeigt ihnen, dass Sie in TPRM-Meetings usw. Fragebögen verschicken werden, und es ist wichtig, dass sie darauf antworten. Wenn Sie dann die Ebenen aufsteigen, habe ich immer ein paar virtuelle Meetings eingeführt. Das ist ein bisschen zwischenmenschliche Beziehung, gemischt mit Geschäftlichem. Es geht also ein bisschen darum, wie es der Familie geht, wie es den Kindern geht, um die Entwicklung dieser zwischenmenschlichen Beziehung. Es geht auch um übergeordnete Botschaften, die Sie vielleicht einbringen wollen, um zu erfahren, was gut funktioniert und was nicht gut funktioniert. Die Pausensitzungen sind das, was sie bedeuten. Sie wissen, dass Sie durchatmen, innehalten und die Beziehung auswerten. Man setzt sich hin, geht vielleicht die KPIs durch, geht die Metriken durch, versucht zu verstehen, wie die Beziehung funktioniert.
Brian Littlefair: Äh, wissen Sie, Sie wollen nie wirklich den Vertrag mit einem Lieferanten abschließen, aber Sie sollten sich vielleicht ansehen, wie die Leistung ist, wie das Feedback in Bezug auf die SLAs ist. Und eines der Dinge, die wir mit zunehmender Reife sehen, ist die Festlegung von Erwartungen für Dinge wie die effektive Reaktionszeit auf Daten- oder Informationsanfragen von beiden Seiten in der Anfangsphase. Wir sehen diese Dinge also in den Verträgen, aber wir wollen sie nicht herausstellen. Wir wollen in der Lage sein, sie im Laufe der Beziehung effektiv zu verwalten. Diese beiden Treffen finde ich also wirklich sehr effektiv. Und bei neuen Lieferanten und und und und Tier-1-Lieferanten kann man diese persönliche Interaktion gar nicht hoch genug einschätzen. Durch die Zusammenarbeit haben wir uns sehr daran gewöhnt, aus der Ferne zu arbeiten. Ich bin der festen Überzeugung, dass es viel einfacher ist, eine Beziehung aufrechtzuerhalten, die ein gewisses Maß an persönlicher Interaktion hatte, als sie noch aufgebaut wurde. Und ich denke, wenn wir als Unternehmen diese Interaktion einrichten, wenn wir diese Dienstleistung oder dieses Produkt einrichten und eine wichtige strategische Beziehung aufbauen, dann sind das in der Regel diese persönlichen Interaktionen.Ich denke, es ist wichtig, dass man sich mit dem Lieferanten persönlich trifft und ihm erklärt, wie dieser Prozess aussieht und wie er sich anfühlt. Ich bin mir bewusst, dass nicht jeder das tun kann, aber es muss nicht unbedingt eine große Messe-Konferenz sein, man kann sie auch virtuell abhalten, aber ich habe gesehen, dass sehr reife Unternehmen Lieferantenkonferenzen abhalten. Es ist buchstäblich so, dass man das Management beider Organisationen zusammenbringt. Es kommen die Leute zusammen, die für den Betrieb des Dienstes und die Beziehungen zwischen den beiden Organisationen verantwortlich und rechenschaftspflichtig sind. Und wir sprechen über die Strategie.
Brian Littlefair: Wir sprechen darüber, wie die Dinge gelaufen sind, wohin sie sich entwickeln, über alle wichtigen Veränderungen und Beziehungen. Aber das kann auch für alle Ihre Lieferanten gelten, oder? Es bringt sie auf Ihre Seite. Es hilft ihnen, Ihre Erwartungen zu verstehen. Es hilft ihnen zu verstehen, wohin das Unternehmen geht, wo es war, was die kurzfristigen Ziele sind und was die strategischen Ziele sind. Und hier können Sie Ihre Erwartungen an die Zusammenarbeit mit Ihren Lieferanten darlegen. Sie wissen also, welche Sicherheitsanforderungen Sie stellen, und zwar auf einem sehr hohen Niveau, aber Sie wissen, dass sie dadurch verstehen, dass Sie Sicherheit ernst nehmen und dass es sich dabei um einen Prozess handelt, auf den sie sich einlassen müssen, um Sie auch in Zukunft als Kunden zu behalten. Ich denke, es ist wirklich wichtig, dass wir uns in die Lage unserer Lieferanten versetzen. Allzu oft betrachten wir alles aus der Sicht unseres Unternehmens und wie das aussieht. Ich glaube aber, dass es wirklich wichtig ist, dass wir uns in ihre Lage versetzen und überlegen, wie wir ihnen das Leben ein bisschen leichter machen können. Was wir also haben, ist, dass wir offensichtlich eine Menge Leute in dieser Runde haben, die einen unterschiedlichen Reifegrad haben werden. Einige von Ihnen werden eine Excel-Tabelle haben und einen Fragebogen verschicken. Einige von Ihnen werden Tools wie Prevalent verwenden, und einige von Ihnen werden sich in der Mitte der Reifekurve befinden. Unabhängig davon haben wir natürlich alle eine bestimmte Anzahl von Lieferanten und Kunden. Je nach Größe und Umfang unserer Lieferanten erhalten einige von ihnen täglich über tausend dieser Fragebögen. Wenn Sie sich Microsoft, AWS, Salesforce.com usw. ansehen. Wir müssen also verstehen, wie sie uns sehen und wie wichtig ihnen die Beantwortung unserer individuellen Fragebögen ist. Und was können wir tun, um unsere Chancen zu erhöhen, die benötigten Informationen zu erhalten, sei es durch die Nutzung von Präventivmaßnahmen, um diese schneller zu finden - dazu habe ich später noch eine Folie -, oder indem wir sie beeinflussen und unseren Prozess verbessern, um sicherzustellen, dass wir diese Antworten erhalten.
Brian Littlefair: Es gibt also einige Dinge, die wir tun können: Wir können für sie als individueller Lieferant wichtiger werden. Das bedeutet, dass wir sorgfältig mit dem Beschaffungsunternehmen zusammenarbeiten müssen. Einer meiner wichtigsten Leitsprüche lautet : Komplexität ist der Feind der Sicherheit. Wenn wir also einen sehr komplexen Lieferantenstamm haben, wenn wir uns die einzelnen Bereiche unseres Unternehmens ansehen und wenn wir uns die ganze Welt ansehen, wenn wir 20 bis 30 Lieferanten haben, die mit unserem Unternehmen für ein sehr ähnliches Produkt und eine sehr ähnliche Dienstleistung interagieren, muss das dann immer so sein? Vielleicht haben wir das für die Geschäftskontinuität und die Notfallwiederherstellung gewählt. Vielleicht haben wir uns aus Gründen der globalen Agilität so entschieden. Es könnte also die großartige Antwort sein. Aber dort, wo wir Synergieeffekte erzielen können, wo wir rationalisieren können, zahlt sich das auf jeden Fall aus. Und warum? Weil wir dadurch für sie wichtiger werden. Wir werden zu einem größeren Kunden. Es ist wahrscheinlicher, dass sie unsere Fragebögen beantworten und auf unsere Informationen reagieren, wenn sie uns als strategischen Lieferanten betrachten und wir sie als solchen. Dann geht es natürlich darum, diese Beziehung zu entwickeln. Wir bewegen uns also in der Wertschöpfungskette nach oben. Die Lieferanten wollen tatsächlich Partner sein. Sie wollen strategisch arbeiten. Sie wollen sich nicht jedes Jahr um einen Auftrag bewerben. Sie ziehen es vor, eine strategische Beziehung zu ihrem Kundenstamm aufzubauen und die Garantie zu haben, dass der Vertrag Jahr für Jahr verlängert wird, solange sie ein Qualitätsprodukt oder eine Dienstleistung liefern. Normalerweise klopfen Sie also an eine offene Tür, um zu sagen: "Hören Sie, wir möchten die Beziehung zu Ihnen wirklich vertiefen. Wir wollen unsere Erwartungen festlegen. Wir wollen verstehen, wie Sie arbeiten. Und auch aus der Sicht der Regulierungsbehörden müssen Sie alle Beziehungen zu Dritten, Vierten oder Dritten verstehen, die sie aus der Datenperspektive eingehen. Sie müssen sich also wirklich mit dem Informationsfluss bei Ihren Tier-1-Lieferanten auseinandersetzen. Und dann muss man überlegen, was man getan hat, um ihnen das Leben leichter zu machen. Haben Sie diesen Prozess so weit wie möglich rationalisiert?
Brian Littlefair: Wenn Sie, wie gesagt, immer noch Excel verschicken, wenn Sie vielleicht Ihren TPRM-Prozess nicht globalisiert haben und als Unternehmen denselben Lieferanten Fragebögen aus Großbritannien, aus den USA oder aus Asien schicken, und selbst die Excel-Tabellen, die Sie verwenden, sehen nicht gleich aus. Der Anbieter überlegt sich also: Welche Informationen wollen Sie? Wohin sollen wir sie schicken? Das ist alles sehr unterschiedlich. Es gibt also durchaus Optimierungsmöglichkeiten, die wir erkennen können, um diesen Prozess zu straffen und unseren Lieferanten zu helfen. Wird Ihr Fragebogen von ihnen erwartet, richtig? Also, Wegweiser, Hinweise, und Sie wissen, da können die Newsletter ins Spiel kommen. Das ist der Punkt, an dem die Lieferantenkonferenz, die Impuls- und die Pausentreffen ansetzen, um zu sagen, wie dieser Prozess aussehen wird. Hier ist der Stand des Vertragszyklus mit Ihnen als individuellem Lieferanten, und hier ist der Stand der Beziehung aus der Sicht der Gesundheit. Sagen wir mal so: Die Dinge laufen gut. Sie erfüllen Ihre SLAs oder Ihre KPIs, oder aber wir bleiben deutlich hinter den Erwartungen zurück, und es ist völlig in Ordnung, mit den Anbietern und Lieferanten transparent zu sein, aber wir müssen ihnen mitteilen, was auf sie zukommt. Es hängt also davon ab, wie häufig Sie tatsächlich eine Art von Zusicherung an Ihre individuelle Lieferkette senden, aber natürlich können Sie mit Tools wie prevalent auch Dinge wie das Bedrohungsmodul nutzen, so dass Sie einen aktiveren Blick auf Ihre Lieferkette haben. Man wartet nicht darauf, dass ein einzelner Fragebogen eintrifft. Es geht darum, die Beziehung zu vertiefen und sicherzustellen, dass Sie in Zukunft effektiv interagieren können. Und dann, wissen Sie, sind Sie irgendwie realistisch?
Brian Littlefair: Wissen Sie, selbst wenn Sie ein großes multinationales Unternehmen sind und einen Fragebogen an Amazon Web Services und Microsoft schicken, in dem steht, dass Sie deren Rechenzentren überprüfen wollen oder ein physisches Audit von salesforce.com durchführen wollen, dann sind solche Dinge nicht realistisch. Und wir müssen sicherstellen, dass wir uns nicht nur für den Erfolg rüsten, sondern auch realistisch sind, und wir müssen uns durch andere Mechanismen absichern, z. B. durch ihr Sicherheitsprogramm Sock 2 Sock 3 ISO und andere Akkreditierungen, die sie durchlaufen haben, damit wir wissen, dass sie so sicher sind, wie sie sein können. Lassen Sie uns also überlegen, wie wir diesen Prozess optimieren können, um die von uns angestrebte effektive Kommunikationsschleife zu erreichen. Ich denke, Sie wissen hoffentlich, dass Sie mit einer optimierten Plattform eher eine Antwort auf Ihre TPRM-Anfragen erhalten werden als mit einem manuellen Prozess. Und der Grund dafür ist, dass Ihr manuelles Excel sehr individuell ist. Es wurde höchstwahrscheinlich von Ihnen erstellt. Es enthält Fragen, die für Sie als Unternehmen sehr relevant sind, aber sie sind sehr speziell für Sie formuliert. Sie sind speziell für Sie strukturiert. Es ist also das erste Mal, dass sie etwas in diesem Format sehen, und sie müssen tatsächlich Zeit und Mühe investieren, um zu verstehen, wonach Sie suchen. Was müssen sie Ihnen eigentlich anbieten? Und das kostet sie eine Menge Zeit. Wenn Sie ein Tool wie Prevalent verwenden, ist vieles davon eine Standardvorlage, und Sie können viele dieser Antworten übernehmen. Aus der Sicht der Lieferanten können sie ihre Antworten automatisch auf viele der Fragen kodifizieren, die ihnen typischerweise in den Tausenden von Lieferantenfragebögen gestellt werden, die eingehen. Das macht ihr Leben einfacher, was natürlich eine gute Sache ist.
Brian Littlefair: Aber es bedeutet auch, dass wir schneller eine Antwort bekommen, und dazu werde ich gleich noch eine Folie zeigen. Meiner persönlichen Meinung nach wollen die meisten Anbieter so schnell wie möglich antworten. Es geht nicht darum, dass sie aus den eben genannten Gründen ungeschickt oder schwierig sind. Wenn Sie einen manuellen Prozess durchführen, haben sie nur eine begrenzte Anzahl von Mitarbeitern, die in der Lage sind, auf diese Initiativen zu reagieren. Wenn es also nur ein paar Mausklicks sind, um die benötigten Informationen zu erhalten, dann ist die Bearbeitungszeit natürlich viel kürzer. Wenn es darum geht, eine Excel-Tabelle zu öffnen, die sie noch nie gesehen haben, drei 400 verschiedene Fragen zu lesen und den Text in eine Excel-Tabelle einzutippen, dann dauert die Bearbeitung natürlich viel länger. Wir müssen uns also die Frage stellen, wie einfach wir es ihnen gemacht haben, das zu tun und auch hier zu automatisieren.
Brian Littlefair: Es gibt viele Organisationen, mit denen ich zu tun habe, die die Reifekurve bei der weitgehenden Automatisierung des TPRM-Prozesses anheben und dabei nicht nur die Plattformen nutzen, sondern auch automatisierte Workflows einbauen, und das kann die GRC-Plattformen oder die Automatisierung der Compliance-Berichterstattung und die Einführung von Robotik in den Workflow beinhalten. und auch maschinelles Lernen und KI, aber das ist wahrscheinlich ein ganz anderes Webinar in Bezug darauf, wie das potenziell aussieht, aber wir haben einen langen Weg zurückgelegt und wir müssen auch erkennen, dass dies ein ziemlich intensiver Prozess sein kann, der einen großen Wert für die Organisation und das Unternehmen darstellt, aber wenn wir das automatisieren können, dann können wir die Aber wenn wir das automatisieren können, so dass wir die Informationen so schnell wie möglich an die Entscheidungsträger weitergeben können, dann sollten wir uns dafür einsetzen. Und wie wir auf der letzten Folie bereits erwähnt haben, führen wir einen globalen Prozess durch, oder bekommen sie von uns mehrere Fragebögen rund um den Globus... Ich sehe das auch oft. Ich sehe das auch oft, also müssen wir erkennen, dass in einem großen multinationalen Unternehmen mit 50 bis 60 Ländern ein Zulieferer in einem Land vielleicht nicht strategisch ist, in einem anderen aber sehr wohl, und wir müssen auch erkennen, dass es nicht immer im Interesse eines Zulieferers ist, sich aus seiner Sicht an einen globalen Prozess anzupassen. Manchmal können sie eine Organisation zerschneiden und zerlegen. Ich behaupte nicht, dass sie das tun, aber ich habe es sicherlich schon erlebt, dass die Preisgestaltung in verschiedenen Regionen unterschiedlich ist. Sie wissen, dass die SLAs in verschiedenen Regionen unterschiedlich sind. Aus unserer Sicht ist es also sinnvoll, dass wir unsere Interaktion mit den einzelnen Lieferanten verstehen, unabhängig davon, in welchen Regionen dies der Fall ist. Und dann verwenden wir natürlich so viele Vorlagen wie möglich. Verwenden wir die besprochenen Standardvorlagen? Und natürlich ist die Abkehr von den Excel-Tabellen der Schlüssel. Aber was tun wir, wenn wir keine Antwort erhalten?
Brian Littlefair: Was tun wir, wenn wir all diese Dinge getan haben und effektiv mit dem Unternehmen zusammengearbeitet haben? Wir haben alles getan, was wir konnten. Wir haben uns sozusagen für den Erfolg vorbereitet. Wir schaffen es nur nicht, dieses Engagement in unser Risikomanagementverfahren für Dritte einzubringen. Auch hier kommt es darauf an, ob wir ignoriert werden. Sehen sie dies tatsächlich als einen wichtigen Prozess an? Wenn sie es als wichtig und kritisch ansehen würden, dann glaube ich nicht, dass sie den Prozess ignorieren oder verzögern würden. Vielleicht haben wir also den Prozess nicht so effektiv gestaltet, wie wir es eigentlich müssten. Es gibt ein paar "must wins", die ich immer in meinen TPRM-Prozess einbaue. Er muss global sein, und darüber haben wir schon gesprochen. Sie wissen, dass er nicht effektiv lokal durchgeführt werden kann. Wenn man es lokal macht. Es braucht, Sie wissen schon, mehr Budget. Es braucht mehr Leute. Es ist hochkomplex und man kann keinen globalen Überblick bekommen. Versuchen Sie also auf keinen Fall, das zu tun. Es muss in Auftrag gegeben werden. Es kann also nicht optional sein. Wissen Sie, ich habe in zahlreichen Organisationen gearbeitet, und wie ich schon sagte, gibt es immer Leute, die diesen Prozess umgehen wollen. Es gibt immer Leute, die denken, dass ihre Initiative wirklich, wirklich kritisch ist und nicht durch den TPRM-Prozess gehen kann. Das muss absolut ausgeschlossen werden. Es muss ein vorgeschriebener globaler Entscheidungsprozess sein, bei dem die Sicherheitsbehörden ein Veto einlegen können, je nachdem, was die Ergebnisse dieses Prozesses ergeben. Wenn dies effektiv umgesetzt wird und Sie eine Regel haben, dass kein Geld zwischen Organisationen transferiert wird und kein Dienst beginnen kann, bis dieser Prozess abgeschlossen ist. Dann werden Sie feststellen, dass es auf beiden Seiten Interessengruppen gibt, die sich dafür einsetzen, die Dinge so schnell wie möglich voranzutreiben, um eine Antwort zu erhalten, damit die Dienstleistung beginnen kann. Die internen Stakeholder wollen die Dinge unbedingt vorantreiben, denn sie wissen, dass dies für das Unternehmen das Richtige ist. Die Lieferanten wollen die Einnahmen verbuchen und den Service in Betrieb nehmen können. Sie werden also alles tun, um Ihnen die Informationen zukommen zu lassen.
Brian Littlefair: Aber die Einschränkung ist, dass, wenn Sie dieses Mandat einrichten, Sie wissen schon, wenn Sie diese Entscheidung und dieses Veto usw. haben, Ihr Prozess von Anfang bis Ende höchst effizient sein muss, und ich werde auf dieser Folie ein wenig darüber sprechen. Wenn Sie sich also auf der linken Seite dieser Folie befinden und ein Veto einlegen und den vorgeschriebenen Prozess durchführen, können Sie nicht in dieser Welt leben, weil Sie letztendlich zu einem massiven Engpass für die Organisation werden. Jeder wird sich über Ihren Prozess beschweren und versuchen, ihn in jeder Phase oder Form zu umgehen. Diese Folie hat also mehrere Facetten. Die eine ist, dass wir in der Lage sein sollten, zu optimieren und voranzukommen. Worauf müssen wir achten? Und dann geht es auch darum, was man tun kann, wenn man keine Antwort von einem Lieferanten erhält oder wenn man in der Lage sein möchte, sehr schnell Informationen von einem Lieferanten zu erhalten. Wie ich schon sagte, habe ich in beiden Welten gearbeitet. Natürlich habe ich früher Sicherheitsfunktionen ausgeübt. Wir hatten den Vorteil von Tools wie Prevalent und wir mussten Excel-Tabellen verwenden. Wenn Sie sich also in dieser Welt befinden, oder wenn Sie sich jetzt noch in dieser Welt befinden, dann kennen wir die Situation. Eine neue Kundenbeziehung wird mit dem Unternehmen oder einem Lieferanten aufgebaut. Am ersten Tag wissen wir nur sehr wenig über das Unternehmen in der Welt von Excel. Sie wissen, dass Sie ein paar Informationen über die Dienstleistung haben, Sie senden eine E-Mail an den Lieferantenkontakt, den Sie erhalten haben. Sie wissen, dass sie sich durch Ihre sehr komplexe Excel-Tabelle arbeiten müssen. Sie müssen sie ausfüllen. In der Regel dauert es 4 bis 8 Wochen, bis Sie eine Antwort erhalten. Diese Antwort landet dann wieder in Ihrem Team. Sie haben ein Team von drei oder vier Analysten, die sich mit dieser Antwort befassen müssen. Und je nachdem, ob diese Excel-Tabelle an Analyst A, B, C oder D geht, werden Sie ein anderes Ergebnis erhalten, weil sie alle unterschiedliche Ansichten über Sicherheit haben. Sie alle gehen an diese Verträge oder Fragebögen mit unterschiedlichen Vorurteilen, unterschiedlichen Präferenzen usw. heran.
Brian Littlefair: Wir werden also keine einheitliche Sicherheitsüberprüfung für alle unsere Analysten bekommen, auch wenn wir das gerne glauben würden. Wenn man also all das zusammennimmt, kann es sein, dass man 10 bis 12 Wochen braucht, um einen neuen Lieferanten für die Zusammenarbeit mit dem Unternehmen zu genehmigen. Und das kann für Ihr Unternehmen völlig unvorteilhaft sein. Und Sie können verstehen, wenn Sie Beschwerden über Ihren Prozess erhalten, dann ist das in dieser Hinsicht ziemlich gerechtfertigt. Und ich bin sicherlich in Organisationen gegangen, als ich als neuer Sicherheitsleiter angefangen habe, und ich habe solche Prozesse in Betrieb gesehen. Aber das muss nicht so sein. Und ich habe sicherlich Fähigkeiten entwickelt, um in eine Welt zu gelangen, in der es möglich ist, mit einem Tool wie Prevalent zu arbeiten. Für diejenigen unter Ihnen, die Prevalent nicht kennen, lassen Sie uns über die Situation sprechen, wie es aussieht, wenn man eine Plattform wie diese benutzt. Die neue Lieferantenbeziehung wird gestartet. Sie erhalten den Namen des Lieferanten. Am ersten Tag können Sie zu prevalent gehen. Sie geben den Lieferantennamen ein. Sie können alle Fragebögen der verschiedenen Kunden sehen, die sie möglicherweise für andere Kunden beantwortet haben. Natürlich sehen Sie die Namen nicht, aber Sie können alle Informationen sehen, die für diesen Lieferanten vorausgefüllt wurden. So erhalten Sie vom ersten Tag an Zugang zu einer ganzen Reihe von Informationen über diesen Lieferanten. Wenn man sich die Fragebögen anschaut, die von den Kunden an ihre Lieferanten verschickt werden, gibt es eine große Überschneidung bei den Fragen. Die Fragen können unterschiedlich formuliert sein, und natürlich hat man versucht, sie zu strukturieren und zu standardisieren. Aber es gibt eine große Überschneidung. Es kann also sein, dass 85-90% der Details, nach denen Sie in Ihrem Fragebogen suchen, bereits in dem Tool enthalten sind. Sie könnten also einige Nischenfragen haben, die Sie stellen möchten, die ziemlich genau auf Ihre einzelnen Organisationen zugeschnitten sind, aber Sie werden etwas über deren Patching wissen wollen. Sie werden wissen wollen, wie sie sofort reagieren. Sie werden etwas über ihre Richtlinien, ihre BC, ihre DR und ihre Compliance wissen wollen.
Brian Littlefair: All das werden standardisierte Fragen sein, die sie gewohnt sind, zu beantworten. Diese Informationen werden also bereits in dem Tool offen und transparent sein. Sie werden in der Lage sein, einige der Analysen zu sehen, die für sie durchgeführt werden, und wie ihre Risikoposition aus einer vorherrschenden Perspektive aussieht, basierend auf all den Kunden, die diese Informationen auf ihrer Plattform zuvor genutzt haben. So erhalten Sie bereits am ersten Tag einige dieser Informationen und Risikoinformationen, die Sie in Ihr Unternehmen zurückbringen möchten. Sie können also damit beginnen, einige dieser informierten Gespräche mit Ihrem Unternehmen zu führen, was Sie ja in Zukunft erreichen wollen. Sie können also hoffentlich sehen, dass dies ein Unterschied wie Tag und Nacht ist. Je nachdem, wo Sie sich auf Ihrer Reifungsreise befinden, und ich weiß, dass alle Sicherheitsexperten, alle Beschaffungsexperten, alle Rechtsexperten und Datenschützer, je nachdem, wo Sie sich im Kern befinden, wollen wir den Service, den wir dem Unternehmen bieten, optimieren. Lassen Sie uns also alle damit beginnen, auf diesem Reifeprozess voranzukommen. Genau. Ich werde in einer Minute an Scott übergeben. Ich möchte nur kurz ein paar Dinge zusammenfassen, über die wir gesprochen haben. Wir wollen also eine effektive Kommunikation. Das ist uns klar. Wir müssen also erkennen, dass die Kommunikation in beide Richtungen geht. Wir müssen also dafür sorgen, dass wir die Beziehung zu unseren Lieferanten aufbauen und sie auf der strategischen Lebenskurve nach oben bringen. Wir müssen sicherstellen, dass wir alles getan haben, um dies so einfach wie möglich zu machen, und das bedeutet, dass wir Ineffizienzen in unserem Prozess beseitigen. Ineffizienzen bedeuten mehr Ressourcen. Das bedeutet mehr Budget. Es ist also auch für unsere Organisation das Richtige zu tun. Wenn wir eine schnelle Abwicklung erreichen wollen, müssen wir eine gute Beziehung haben. Wir müssen also verstehen, wie wir diese Beziehung aufbauen und entwickeln können. Das reicht vom Newsletter bis hin zu Lieferantenkonferenzen und dem Verständnis dafür, was man in der eigenen Organisation tun kann, um diese Interaktion zu verbessern. Wir wollen das Tooling rationalisieren, was wir gerade getan haben.
Brian Littlefair: Wissen Sie, es macht absolut Sinn, strategisch zu investieren, wenn man bedenkt, wie viele Ressourcen in einer Organisation für einen 10- bis 12-wöchigen Prozess verbraucht werden, im Gegensatz zu etwas, das man im Wesentlichen zu 90 % an einem einzigen Tag durchführen kann. Ich denke also, dass sich der Business Case für so etwas von selbst ergibt. Und wir wollen auf jeden Fall in der Lage sein, diese risikobasierten Entscheidungen so schnell wie möglich zu treffen, denn darum geht es uns in der Sicherheitsbranche. Also Scott, überlassen Sie es sich selbst.
Scott Lang: Vielen Dank, Brian. Ich weiß das zu schätzen. Ähm, wissen Sie, entschuldigen Sie mich. So wie Brian vor ein paar Minuten sagte, dass er an einer Brustinfektion leidet, leide ich an einem seltsamen Niesanfall. Das muss am Herbst und den ganzen Pollen in der Luft liegen, kurz bevor ich stumm und aus der Kamera war. Ich wette, ich habe innerhalb von 10 Sekunden fünfmal geniest. Wie auch immer, ähm, danke an alle, die heute am Webinar teilgenommen haben. Ich denke, Brian hat einige ziemlich prägnante und beeindruckende Anleitungen dazu geliefert, wie man die Aufmerksamkeit des Verkäufers gewinnt, wie man ihn bei der Stange hält und wie man während des gesamten Risikobewertungsprozesses mit ihm in Kontakt bleibt. Ich möchte in wenigen Minuten mit Ihnen teilen, was Sie tun können, um Ihr Risikoprogramm für Dritte zu automatisieren und umzugestalten. Wir helfen Ihnen dabei, jede Phase des Lebenszyklus zu automatisieren, angefangen bei der Auswahl eines Anbieters bis hin zur Beendigung der Vereinbarung. Nächste Folie bitte Brian. Sehen Sie, unser Ziel ist eigentlich ein dreifaches für Ihr TPR-Programm. Das erste ist, Ihnen zu helfen, die Daten zu bekommen, die Sie brauchen, um bessere Entscheidungen zu treffen, und das kann in vielen Formen geschehen. Das kann in Form von guten, kontinuierlichen Risikoinformationen aus verschiedenen Quellen geschehen, wie z. B. Cybersicherheits-Scores, Datenverletzungen, operative und geschäftliche Aktualisierungen von Finanzinformationen über Ihre Lieferanten, Reputations-Scores, ESG-Scores, was auch immer, um Ihnen zu helfen, gute Entscheidungen zu treffen. Wenn wir über Daten sprechen, um gute Entscheidungen zu treffen, bedeutet das manchmal, die Kontakte bei Ihren Anbietern zu finden, von denen Sie glauben, dass sie auf die Bewertung, die Sie ihnen geschickt haben, reagieren werden. Das zweite Ziel unseres TPRM-Programms, an dem wir mit Ihnen arbeiten, ist es, die Effizienz Ihres Teams zu steigern und Silos abzubauen. Sie wissen, dass Brian darüber gesprochen hat, wie man eine Lieferantenbeziehung über den gesamten Lebenszyklus hinweg verwaltet, und Sie wissen, dass die Beschaffungsabteilung immer diejenige ist, die wahrscheinlich auf einer gewissen Ebene für die Beziehung verantwortlich ist.
Scott Lang: Die Finanzen sind involviert. Das Sicherheitsteam ist wahrscheinlich dasjenige, das häufiger als andere Abteilungen Bewertungen durchführt. Die Audit Compliance muss einbezogen werden. Das Risikomanagement muss mit einbezogen werden. In einem Unternehmen jeder Größenordnung kann es ein halbes Dutzend verschiedener Abteilungen geben, die an einer Entscheidung über das Risiko Dritter oder an der Verwaltung einer Lieferantenbeziehung beteiligt sind. Und jede dieser verschiedenen Abteilungen wird ihre eigenen Ziele, ihre eigenen Bedürfnisse, ihre eigenen Anforderungen an die Risikoberichterstattung und ihre eigenen Risiken haben, die sie managen möchte. Und sie wollen sich die Anbieter auf ihre Weise ansehen, und das ist auch gut so. Man kann das in sechs bis acht verschiedenen Systemen oder in einer Tabellenkalkulation tun, oder man kann es in einem einzigen System betrachten, das die Bedürfnisse all dieser verschiedenen Bestandteile und Interessengruppen im Unternehmen erfüllt. Genau dabei wollen wir Ihnen helfen. Und drittens können Sie Ihr Programm weiterentwickeln und skalieren, wenn die Zahl der zu bewertenden Anbieter steigt oder sinkt, wenn das Unternehmen Verträge abschließt oder wächst, wenn Sie ein neues Projekt beginnen, neue Anbieter hinzuziehen, wenn Sie vielleicht jemanden übernehmen oder ein Unternehmen veräußern, Sie müssen in der Lage sein, das Programm im Laufe der Zeit weiterzuentwickeln, um nicht nur den unterschiedlichen Anforderungen an das Risiko und die Nachverfolgung gerecht zu werden, sondern auch den betrieblichen Veränderungen im Unternehmen. Wir haben diese Kapazität in unsere Plattform eingebaut, nicht nur, weil sie so elastisch ist, sondern auch, weil wir sie mit professionellen und verwalteten Diensten erweitern, um Ihnen zu helfen, sie an Ihre Bedürfnisse anzupassen. Nächste Folie bitte Brian. Ähm, Sie wissen, dass ich es erwähnt habe, und Sie können es noch ein paar Mal ausbauen, bis Sie das äh, da haben Sie es. Wir haben bereits erwähnt, dass wir das Risiko in jeder Phase einer Verkäufer- oder Lieferantenbeziehung betrachten, und das ist kein Scherz. Ich meine, das ist, Sie wissen schon, legitim, wir haben Fähigkeiten in die Plattform eingebaut. Wir schulen unsere Kunden in Bezug auf Prozesse, Menschen und Technologie in jeder dieser Phasen, damit Sie verstehen, dass es Risiken gibt und dass es Lösungen gibt, um diese Herausforderungen in jeder Phase zu bewältigen.
Scott Lang: Aus der Perspektive der Beschaffung und Auswahl stellen wir oft fest, dass die Kunden mit einigen Dingen zu kämpfen haben. Erstens wissen sie nicht wirklich, wer die richtigen Kontakte bei diesen Anbietern und Lieferanten sind, um eine Art Due-Diligence-Prüfung vor Vertragsabschluss durchzuführen. Um zu verstehen, wer sie sind, was ihre Unternehmensgrundlagen sind, ähm, Grafiken, ähm, Sie wissen schon, Datenverletzungen, Finanzen, Sie wissen schon, was auch immer. Vieles davon erledigen wir für Sie. Wir automatisieren diesen Prozess. Wir fassen die Informationen in einem Anbieterprofil zusammen, mit dessen Hilfe Sie sehr schnell sehen können, wie der Anbieter oder Lieferant in Bezug auf eine dieser verschiedenen Metriken abschneidet. Das hilft Ihnen, Vertrauen zu schaffen und zu sagen: "Okay, diese Leute sind nicht nur für den Zweck geeignet, für den Sie sie einsetzen wollen, sondern sie passen auch zu Ihrem Risikoprofil." Zweitens sehen wir, dass Unternehmen bei der Aufnahme und dem Onboarding mit verschiedenen Teams, verschiedenen Prozessen und verschiedenen Tools zu kämpfen haben . Wir automatisieren einen Onboarding-Prozess mit einem sehr diskreten, sehr spezifischen Arbeitsablauf, der auf Ihre geschäftlichen Bedürfnisse abgestimmt ist, was auch immer Ihr Arbeitsablauf ist, und helfen Ihnen, eine einzige Quelle der Wahrheit zu schaffen, nicht nur für Risikoinformationen, wie wir es in der ersten Phase tun, sondern auch einen einzigen Satz von Prozessen für das Onboarding und für das Bewegen des Anbieters durch eine Genehmigungsphase, um ihn in die BAU zu bringen. Drittens die Bewertung der inhärenten Risiken. Wir stellen fest, dass viele Unternehmen dies nicht mit der nötigen Disziplin tun, aber mit einer sehr schnellen Bewertung des inhärenten Risikos mit acht bis zehn Fragen, die intern verwaltet werden können, erhalten Sie eine ziemlich gute Punktzahl, die Ihnen hilft, festzustellen, wie ich diese Leute in Zukunft bewerten muss, basierend auf Kriterien wie der Exposition gegenüber kundenorientierten Prozessen oder der Berührung von geschützten Daten, um nur ein Beispiel zu nennen. Der nächste Punkt ist das Herzstück der Plattform, nämlich die Bewertungs- und Sanierungsfunktion.
Scott Lang: Wir haben in der Plattform sehr spezifische Fragebogenvorlagen für Risiken erstellt, die Dutzende verschiedener Risikotypen abdecken, z. B. Sicherheit, ESG, Datenschutz, finanzielle Solidität und mehr. Und dann geben wir Ihnen die Möglichkeit, Ihre Anbieter sehr flexibel nach jeder dieser verschiedenen Bewertungsarten zu bewerten, mit eingebauten Anleitungen zur Abhilfe. Richtig? Jeder Inhalt, den wir in die Plattform laden, jeder Fragebogen hat eine eingebaute Anleitung zur Abhilfe für so ziemlich jede Frage, die auf den Antworten des Anbieters basiert. Das hilft Ihnen wirklich dabei, Ihren Risikomanagementprozess und Ihren Risikominderungsprozess zu automatisieren und letztendlich zu einem Punkt zu gelangen, an dem sich jeder sicher ist, dass er mit dem Anbieter während des gesamten Lebenszyklus der Geschäftsbeziehung weiterarbeiten kann, wenn er, Sie wissen schon, kompensierende Kontrollen empfiehlt oder Ihre Empfehlungen zur Abhilfe annimmt. Der nächste Schritt ist die Überwachung und Validierung. Wie ich bereits erwähnt habe, besteht unser Ansatz darin, verschiedene Risikoinformationen von Dritten aus unterschiedlichen Quellen zu konsolidieren und diese dann in Ihr zentrales Risikoregister einzuspeisen, damit Sie diese Erkenntnisse mit den Angaben des Anbieters oder Lieferanten in seiner Risikobewertung abgleichen können. Dieses Maß an Validierung von Kontrollen und Prozessen und dergleichen, das durch kontinuierliche Überwachung erreicht wird, schließt die Lücken zwischen den Bewertungen, gibt Ihnen aber gleichzeitig einen kontinuierlichen Informationsfluss, damit Sie wissen, was dazwischen passiert, z. B. Entscheidungen über Vertragserneuerungen oder andere geschäftliche Aktualisierungen. Als Nächstes geht es um die Messung von SLAs und Leistung und damit meine ich die Festlegung von KPIs und das Laden von KRIS in das System. Unsere Plattform ist auch in der Lage, mithilfe von ML-Technologie API-KRI-Sätze aus Verträgen zu extrahieren und automatisch ein Dashboard und die Plattform zu befüllen, das es Ihnen ermöglicht, Eigentümer zuzuweisen und den Fortschritt bei diesen KPIs und KISS zu verfolgen. Übrigens hat Brian für uns in der Vergangenheit ein wirklich ausgezeichnetes Webinar über die Messung der richtigen Metriken, der richtigen KPIs und KI gehalten.
Scott Lang: Wenn Sie also die Möglichkeit haben, äh, sehen Sie sich das an, und dann schließlich Offboarding und Beendigung ähm, wissen Sie, wir stellen fest, dass Unternehmen wirklich mit den Endphasen einer Beziehung kämpfen. Ähm, und mit Schwierigkeiten meine ich, dass man ohne eine Art Vorschrift oder einen definierten Prozess zur Beendigung einer Beziehung mit einem Anbieter nicht genau weiß, ob er Zugang zu den Daten hat oder nicht, ob sein gesamter Systemzugang beendet wurde, ob er die Daten vernichtet hat, wenn das im Vertrag vereinbart war, oder ob alle abschließenden Zahlungen und so weiter abgeschlossen wurden. Das Ziel ist also auch hier, das Onboarding zu vereinfachen und zu beschleunigen, Ihnen einen Prozess zu geben, mit dem Sie Anbieter in Ihrem gesamten Unternehmen bewerten können, und dann Teams über den gesamten Lebenszyklus hinweg zusammenzubringen. Nächste Folie bitte Ryan. Äh, und nur ganz kurz, ähm, Sie können wahrscheinlich sogar noch eine weitere Folie äh, nach äh, nach dieser Folie nehmen. Wir haben das schon mal angesprochen. Dies ist nur eine Darstellung der Arten von Risiken, die wir in der gängigen Plattform verwalten oder überwachen. Und wir haben sie in diese sechs Kategorien eingeteilt. Jeder dieser Aufzählungspunkte stellt einen Fragebogen oder einen kontinuierlichen Überwachungsfeed dar, der Ihnen das Maß an Risikoinformationen für diesen Lieferanten liefert, das Sie wahrscheinlich mit einem unzusammenhängenden Tool-Set-Ansatz oder einer Tabellenkalkulation erreichen. Nächste Folie, bitte, Brian. Um ehrlich zu sein, am Ende des Tages hoffen wir, für Sie drei Dinge in Ihrem TPR-Programm zu erreichen. Erstens helfen sie Ihnen, durch eine gute Berichterstattung klügere, besser informierte Entscheidungen zu treffen. Sie bieten eine sehr umfassende Schnittstelle für das Management von Risiken und Leistungsereignissen. Zweitens bieten sie Ihnen eine einzige Quelle der Wahrheit für Ihr gesamtes Unternehmen, um Bewertungen für die Überwachung und den Lebenszyklus vorzunehmen. Und drittens können Sie mit den Ergebnissen der Risikobewertungen der Anbieter sehr genau umgehen. Wenn die Antworten in einem bestimmten Bereich unter Ihren Erwartungen liegen, was tun Sie dann?
Scott Lang: Wissen Sie, unser Ansatz besteht darin, diesen Prozess so weit wie möglich zu automatisieren, so dass Sie den Kreislauf des Risikos entweder durch kompensierende Kontrollen oder durch Anleitungen zur Behebung des Problems von dort aus schließen können. Letzten Endes haben wir eine großartige Plattform, aber wir bieten auch verwaltete Dienste an, um dies in Ihrem Namen zu tun, wenn Sie sich dafür entscheiden. Dazu gehören das Aufspüren von Anbieterkontakten, das Einbinden von Anbietern, die Durchführung des Bewertungs-, Analyse- und Sanierungsprozesses und die Überwachung des Vertrags und der Anbieterbeziehung während des gesamten Lebenszyklus. Wir sind also gerne bereit, Ihnen aus jeder dieser Perspektiven zu helfen. Ich beende das Gespräch an dieser Stelle und übergebe es wieder an Sie, wenn Sie Fragen stellen möchten.
Ashley: Danke, Scott. Ähm, ich mache jetzt weiter und "Hoppla". Ich starte jetzt unsere zweite Umfrage, damit wir uns mit Ihnen über eventuelle Initiativen oder Projekte austauschen können, die Sie haben. Wir möchten wissen, ob Sie innerhalb des nächsten Jahres ein TPRO-TPRM-Programm einrichten oder erweitern möchten. U, bitte seien Sie ehrlich, denn wir werden uns mit Ihnen in Verbindung setzen. Aber wir haben noch etwa 10 Minuten Zeit. Warum machen wir also nicht weiter und gehen einige dieser Fragen durch. In Ordnung, Brian. Jemand fragte: "Was empfehlen Sie den Unternehmen, um die Lieferanten zu motivieren, jährliche Überprüfungen durchzuführen, nachdem der Vertrag unterzeichnet und der Lieferant bezahlt wurde?"
Brian Littlefair: Ja, das ist eine wirklich gute Frage, und wissen Sie, wir sehen das oft, wissen Sie, wenn man einen sehr kooperativen Anbieter hat, und dann bekommen sie das Geld, und dann werden sie offensichtlich weniger kooperativ. Wissen Sie, sie haben bekommen, wonach sie gesucht haben. Ich denke, es kommt darauf an, wie man sich für den Erfolg rüstet, indem man erkennt, dass eine solche Situation eintreten kann. Es geht ein bisschen um das Zuckerbrot und die Peitsche, richtig? Es geht also darum, wie man seine Verträge von Anfang an formuliert und wie man die Beziehungen formuliert und festlegt, wie die Dinge in Zukunft funktionieren sollen. In vielen Organisationen haben wir natürlich Verträge für unsere Lieferanten, aber wir haben auch eine Arbeitsweise festgelegt, die wir zwischen unseren verschiedenen Organisationen mitunterzeichnen, und es gibt natürlich Strafen, wenn man dagegen verstößt. Wie Sie wissen, geht es dabei um die rechtzeitige Weitergabe von Informationen. Es wäre also ein ziemlich, Sie wissen schon, naiver oder kurzsichtiger Lieferant, der denkt, ich hole nur ein Jahr aus diesem Unternehmen heraus und ziehe dann weiter. In der Regel geht es also darum, im Vertrag zu verankern, dass man erwartet, dass dies etwas ist, das passieren wird. Dies ist Teil unseres Risikoprozesses. Wir müssen also unbedingt interagieren. Wir müssen Ihnen diese Informationen zukommen lassen. Und wenn Sie das nicht tun, besteht die Strafe darin, dass Sie den Auftrag im nächsten Jahr nicht erhalten und wir uns einen anderen Lieferanten suchen, der es dann tut, und das müssen Sie sich wirklich klarmachen, sonst werden Sie viel Zeit damit verbringen, Lieferanten zu jagen. Sie haben natürlich die Situation, dass einzelne Lieferanten eine Nische darstellen und einzigartig sind, und sie erkennen, dass sie für Ihr Unternehmen wichtig sind, und sie müssen etwas anders behandelt werden, weil Sie offensichtlich nicht den Stock herausholen können, weil Sie sie brauchen. Letztendlich geht es aber nur darum, die Beziehung zu entwickeln und die Dinge durchzuarbeiten. Leider hilft der Vertrag dabei, aber Sie wissen, dass es zunächst über die Beziehung abgewickelt werden sollte.
Ashley: Danke, Brian. Wir haben noch eine weitere Frage: "Wenn Fragebögen an Lieferanten verschickt werden, welche Empfänger beim Lieferanten sind am reaktionsfreudigsten beim Ausfüllen und Zurücksenden dieser Fragebögen?"
Brian Littlefair: Ja, ich denke, es ist, Sie wissen schon, hoffentlich ist es eine Sicherheitsfunktion, weil, Sie wissen schon, äh, offensichtlich habe ich diesen Prozess innerhalb der Sicherheitsfunktionen oft durchgeführt und ich denke, dass, Sie wissen schon, wir in eine Position kommen, in der wir, äh, 90% der Informationen kennen, die zurückgehen müssen. Es gibt natürlich viele Tools, die wir aus der Sicht der Zulieferer sehr schätzen, weil sie uns eine schnelle Rückmeldung ermöglichen. Aber in der Regel werden alle Antworten selbst in einem Prevalent-Tool aus der Lieferantenperspektive hochgeladen oder zumindest von der Sicherheitsfunktion validiert. Natürlich hängt es von der Art des Geschäfts ab, in dem Sie tätig sind, aber meiner Erfahrung nach sind die Antworten der Sicherheitsfunktion typischerweise hier.
Ashley: Danke, Brian. Und noch eine Frage hier. Jemand hat gefragt, was die beste Praxis ist, um die Finanzdaten eines Anbieters zu erhalten, um seine Solvenz während der Due-Diligence-Prüfung und des Überprüfungsprozesses zur Bewertung der finanziellen Risiken sicherzustellen?
Brian Littlefair: Das ist eine gute Frage. Richtig. Wenn man also einen manuellen Prozess durchführt, ist das eine wirklich schwierige Sache. Wenn ich zurückkehre und Sie unter "Finanzielles Risiko" nachsehen, wissen Sie, dass die meisten Unternehmen einige der Bereiche, die sie vom ersten Tag an ansprechen und kommunizieren, oder Dinge, die sie aus organisatorischer Sicht verfolgen, wirklich durchdacht haben. In der Excel-Welt, über die wir gesprochen haben, ist das eine wirklich komplexe Sache, denn je nachdem, wo man sich in Großbritannien befindet, muss jeder, der über eine Ein-Personen-Organisation hinausgeht, seine Geschäftsbücher öffentlich einreichen, aber das sagt einem nicht, wie gut ich meine Rechnungen bezahle. Das sagt mir nicht, dass ich meine Lieferanten in der Regel innerhalb von 120 statt 30 Tagen bezahle. Diese Informationen zu erhalten und Dinge wie meine Kreditwürdigkeit vom ersten Tag an zu verstehen, ist also wirklich entscheidend. Und wissen Sie, Sie werden nicht jeden einzelnen Lieferanten Ihres Unternehmens auf Prevalent finden, aber je mehr von uns es nutzen und je mehr von uns die Informationen dort eintragen, desto allgegenwärtiger und nützlicher wird es für andere Unternehmen, die sich anschließen, und wir profitieren natürlich von der Geschwindigkeit und dem Tempo, indem wir es nutzen. Wie auch immer,
Ashley: Danke Brian. Es sieht so aus, als hätten wir noch eine weitere Frage im Chat. Frederick fragte: "Wie stellen Sie sicher, dass die Sicherheitsanforderungen im Budget enthalten und im Vertrag explizit aufgeführt sind? Er sieht oft, dass die Sicherheit nicht einmal im Budget enthalten ist."
Brian Littlefair: Ja. Und weißt du, ich habe auch schon in dieser Welt gelebt, Patrick, wo ein neuer Dienst unterzeichnet wird und du weißt schon, Vielleicht hat die IT-Abteilung und die Infrastruktur durchdacht, was die Preise für die Server angeht, aber sie haben die Sicherheitsanforderungen, die eingebaut sind, nicht mit eingepreist, und darum geht es bei der Einbindung und der engen Zusammenarbeit, und sehen Sie sich eines meiner anderen Webinare an, in denen ich über die Beziehung zwischen Sicherheit und Beschaffung gesprochen habe, weil ich sehe, dass diese Beziehung absolut entscheidend ist, wenn man einen globalen TPRM-Prozess durchführen will. Ich habe ein ganzes Webinar darüber gemacht, wie das aussieht, und ich denke, das wird Ihre Frage beantworten, aber kurz gesagt, wissen Sie, dass diese Beziehung effektiv sein muss, sie müssen verstehen, was Sie zu erreichen versuchen, so dass kein Vertrag unterzeichnet werden kann, ohne dass die vollständig kalkulierten Sicherheitsanforderungen darin enthalten sind, sonst setzen wir die Organisation einem Risiko aus, aber ich gehe in diesem anderen, weit verbreiteten Webinar sehr ins Detail.
Ashley: Ausgezeichnet. Vielen Dank an Brian Scott und alle anderen für ihre Fragen. Sie geben uns einige großartige Informationen, die wir heute mitnehmen können. Ich hoffe, ich sehe Sie alle entweder in Ihren Postfächern oder bei einem zukünftigen Webinar. Vielen Dank an alle. Genießen Sie den Rest Ihres Mittwochs.
Scott Lang: Vielen Dank an alle.
©2025 Mitratech, Inc. Alle Rechte vorbehalten.
©2025 Mitratech, Inc. Alle Rechte vorbehalten.