Risikomanagement für Drittparteien: Inhärentes Risiko vs. Restrisiko

Ashley: Hallo und herzlich willkommen, liebe Teilnehmer. Wir freuen uns sehr, Sie alle hier zu haben. Ich gebe Ihnen eine Minute Zeit, damit sich alle einrichten und einwählen können. In der Zwischenzeit werde ich unsere erste Umfrage starten, denn wir sind neugierig, was Sie zu unserem heutigen Webinar geführt hat. Ist es aus Bildungsgründen? Befinden Sie sich in der Anfangsphase des TPRM-Programms? Sind Sie bereits Kunde? Sind Sie einfach nur gelangweilt und hören gerne die Stimmen von Scott und Romney? Wenn ja, kann ich Ihnen das nicht verübeln. Aber lassen Sie es mich auf jeden Fall wissen. Und ich darf die Vorstellungsrunde nicht vergessen. Mein Name ist Ashley. Ich arbeite hier bei Prevalent in der Geschäftsentwicklung. Und wir haben einen ganz besonderen Gast, den Senior Vice President und Leiter des Third-Party-Risikomanagements bei der Valley National Bank, Rodney Campbell. Hallo, Rodney.

Rodney: Hallo.

Ashley: Und ich darf natürlich auch Scott Lang nicht vergessen, unseren Vizepräsidenten für Produktmarketing. Hallo, Scott.

Scott: Hey, Ashley.

Ashley: Nur zur Erinnerung: Dieses Webinar wird aufgezeichnet und wir werden Ihnen die Aufzeichnung zusammen mit den Präsentationsfolien kurz nach dem Webinar zusenden. Derzeit sind alle Teilnehmer stummgeschaltet, aber wir freuen uns über Ihre Teilnahme. Bitte geben Sie Ihre Fragen in unser Q&A-Feld ein, damit wir sie am Ende des Webinars besprechen können. Heute wird Rodney über die Beziehung zwischen inhärentem und Restrisiko sprechen. Also, Rodney, ich übergebe jetzt das Wort an dich.

Rodney: Thank you Ashley and thanks to everyone for joining us. So today we’re going to talk about the true stories of a third party risk management professional um with a different twist on inherent risk and residual risk. Really, I want to focus on the disconnect between people, process, and technology and how that impacts the relationship between inherent and residual risk. Next slide. So, I want to make sure that everyone’s aware. I know that we’ve spoken a lot about inherent risk, residual risk from the technical perspective and also using technical terms, but I want to make sure that this particular message speaks to everyone. Um the individuals who work within TPRM, but also the individuals who are not within TPRM. Um the individuals who are uplifting a program for the first time. You’re trying to wrap your head around what should I do and what can I do. I want to make sure that we understand the relationship between inherent and residual risk. And as you see on screen, TPRM is an ecosystem of interconnected processes, tasks, and activities that together work to identify, assess, and mitigate risk posed by third party relationships. So the overall success of your program, third party risk management and the individuals that are stakeholders and contributors to the TPRM process. It requires business collaboration and organizational alignment. So again going back to what I mentioned originally, I want to discuss organizational factors that can prevent appropriate identification and mific mitigation of third party risk. Next slide. Now this is really interesting because I can tell you that many of us here today who are on this call, as I stated, you’re probably building a program and you’re trying to figure out where do I start? How do I look at this? So, I will say consider this. This is a learning opportunity for all of us. I think we’re all learners um in the making or subject matter experts in the making. So, consider this. If you were purchasing a home or a vehicle, you would verify all claims made by the seller before signing the agreement and issuing a payment. You would? Cuz I know that I would. So, why should you handle any other business transaction that you enter? Not be handled differently. So, imagine signing a contract for a new home or a new car. You’re going to make sure that you do your due diligence to make sure that that new home or new car is exactly as the seller stated it. So, why would you handle any other business transaction that you’re entering in differently? You would want to raise and position the same level of due diligence as you would if you were purchasing your own home or vehicle. Next slide, please. Your organizational role and responsibility in third party risk management. Now, this is really important because Again, you are more than likely a part of this process in your organization. Um, now whether or not you’ve been included in that process is another story, but I want to make sure that we understand for all of you here on the call, you’re probably a stakeholder, and a stakeholder can be many things within your business units. A stakeholder may be someone from your control function, a person who has a part or a role to play in your process. Are you engaged? Are you involved? Are you aware of what’s going on within the TPR process within your organization? You may be a vendor relationship manager. Now, I know many people are probably on this call cringing a bit because we know that a relationship management term has been dee has been deemed administrative processes in the past. We want to make sure that if you are the owner of a relationship, are you responsible for the relationship that you’re managing? Are you aware? Do you know what your supplier risk is? Do you know the impacts of your supplier risk? Are you utilizing your supplier engagement the way that it should be utilized? Are you engage with the supplier so that in the event of an issue or a risk event I would say can you contact them do you know who to contact so I think the vendor relationship manager role is very important is extremely important you’re part of the first line of defense and I think if you have no awareness as to what your role and responsibility is if you’re part of the first line of defense that’s probably something that you should discuss with your GPR team assuming that it’s centralized now internal audit internal audit again you’re probably pinching again but they are friends they help us get better so internal audit um have a role and responsibility in your TPR and program. Um they act as an effective challenge. They are the third line of defense. It’s important that you partner with internal audit because the goal is maturity. It’s evolution. You want to make sure that what you’re doing as an organization, you’re moving in the right direction, but you can’t do that alone. So no matter how smart you think you are, no matter how great and talented your team may be, you need to partner with their line of defense. It’s incredibly and crucially important. And then you think about senior leadership. This is really important because I want to say if you are part of senior leadership. You want to make sure that you understand what are the products and services that you’re utilizing to make your day-to-day business operations run as they should or run as expected. If something occurs within your business line, within your business function, are you aware? Are you aware of the number of products and services that you do utilize to operate as a business? And are you aware of the impacts and the risk? If you’re not aware, you should be. And I think engaging with your TPR team is critically important. I believe your TPR team should also engage with you. Remember collaboration is key. I also want to mention board of directors. Often times we do not mention the board of directors in TPRM. I think high level at the policy we do we talk about it in other calls. I see that other presentations and webinars mention the same thing. But I do believe board engagement and board awareness is important. It’s important because you are responsible for providing governance and oversight or management oversight for products and services that are supplying and supporting your organization. Many of these are critical core. Now, you want to make sure that if there are any if there any risk, anything that you identify that could potentially impact your organization, you want to make your board aware. Now, again, this is at a high level, but I do think that situational awareness, their engagement is critically important. Sourcing and procurement, you may or may not have a sourcing and procurement department. It may be integrated within your GPRM program as many are, but that relationship with GPRM is critically important. You are sourcing suppliers that your organization may potentially to use. If you’re disconnected, what you essentially do is overlook or probably bypass some of the processes that are required by TPRM. So, you want to make sure that sourcing and procurement are heavily engaged. They’re actively engaged. And TPRM is a department or as a function that can that can consist of many roles. So, not just the TPRM as a centralized unit, but also the control functions, the individuals that help support your business’s operations to make sure they run it sufficiently. Next slide. Whoa. An organizational issue. I tell you, this is a real organizational issue. And this is why I said I want to talk about inherent risk. I want to talk about the relationship between her risk and residuals from a different perspective. Not just getting into the semantics of risk categories. Not getting into this is what inherent risk assessment means for your organization. I want to talk about an organizational issue that prevents the complete accuracy of an inherent risk assessment. The identification of risk. in the mi in the mitigation of risk that you identify in that inherent risk assessment. Now look at this screen here. We see there are key organizational issues that prevent the proper identification and mitigation of third party inherent risk. Now some of these things and terms may be uh something that you’re well aware of and some of these may be terms that you’re unaware of. But think about what these means. Lack of corporate governance. What does that mean in your organization? You’re onboarding a supplier, a potential third party, critical or not. It’s important you have a process. If you don’t have a process in place, who knows who does what? What are the roles and responsibilities? How are they delineated throughout your process? At what point should this department or this function be involved? Who’s the stakeholder? What is the approval process? Do you all understand what is point A from point Z? When you don’t have corporate governance, processes are run all over the place. I can tell you that it isn’t repeatable. It isn’t reportable. It’s probably done many ways uh for many different things or many ways for some of the same things. Uh the next point is organizational silos and fragmentation that never happens. Of course it does. So organizational silos and fragmentation that is one of the biggest threats to onboarding any particular supplier. I say that because the silos the decisioning that is made within business departments need to be jointed not disjointed. But often times the ideas or the ideation the planning and identification of suppliers they’re done separately. So the greatest idea that one business function may have another business function who is an interdependent or interconnected department or maybe a shared service is completely unaware that will pose great risk to your organization. Fragmentation is often important too. You have business units that are probably working day-to-day side by side in parallel but they’re not communicating. So again you got to have that collaboration. You got to communicate. I think whenever there’s a third party engagement consider all of the risk consider all of the shared services and the shared responsib ility throughout your organization. So for example, if I’m a business function and I am looking to onboard a supplier, if that supplier has access to confidential information or confidential data, who should I involve? Exactly. I need to make sure I have the right people involved because if I don’t involve in the right people, the right departments, I’m going to make a decision solely based off of what I think and what I know. Now, keep in mind, I’m not in privacy. I’m not in information security, but I will make decision that a stakeholder within privacy and information security should be made aware of and should also participate in the uninformed independent decision makers that never happens. Of course it does. The uninformed and independent decision makers these are what I find to be the biggest threat to your organization whenever you’re dealing with third parties and products and services. The uninformed independent decision makers are individuals who are they’re they’re probably bright and brilliant at what they do. But the decisions that they’re making aren’t factbased. They’re decisions that are being based off of interpretation. Their perspective or perhaps their strategic goal or what their view of value is from dealing with a potential third party product or service engagement. I I think many times you see an organization you have a stakeholder or I would say business champion. Then the business champion wants to get this done. We need to get it done. That’s the individual who is kind of waving the flag of this particular third party product or service engagement. They’re telling you the reason why it needs to get done but they do not know how it’s getting done. They do not know the impacts. They do not understand the risk. They don’t understand the overall value and strategic purpose of third party products in service engagement. And this is critically important because that uninformed independent decision maker more than often times will be responsible for engaging suppliers and probably miser say misassessing but inaccurately assessing the inherent risk and also misidentifying the mitigation for the inherent risk as well. Internal misalignment Does that ever happen to you? It does. I’m going tell you why it happens. Internal misalignment is when you get a bunch of individuals, not in the room, but a bunch of individuals who are working toward the same common goal. You have the same purpose. Again, the product and service engagement make sense for your organization. The problem is this. When decisions are made that are disjointed, they’re not made together. We’re not connected. We are not all equally and collaboratively in agreement that this product and service engagement meets the same risk profile, meet the same measurements, the same goals. We we are in alignment with the impact. We understand the level of risk. We understand the holistic value. Then I can tell you that often times the actual product or service engagement as you intended it to be initially will not play out as originally planned. And another one which is probably most important now again take in mind these are not in any particular order. This isn’t a chronological order. This is justformational for all of you. Insufficient vendor betting practice. Vendor vetting is important. Often times we do not distinguish between vetting and onboarding. During that planning and identification process, are you verifying that the supplier is who they say they are? Are you looking at the infrastructure or corporate entity holistically? Are you asking for due diligence at the OnStar? Are you running old checks on your suppliers? What are you doing at the beginning to make sure that at the baseline level that these suppliers can pass stage one and get to stage two? I can tell you why it’s an organizational issue because often times you’re probably bypassing vetting or you’re consolidating vetting while contracting. So you presumably already selected as fire, but you haven’t the vetting process is to identify the impacts, identify the risk and discuss that internally with your group. Next slide please. Now here this is really important. An organizational recommendation and I have that in caps you see drive business value. value, quality service, and appropriate third party risk management practices. Now, everything that I just mentioned on the previous slide, here’s a way to address those things. Now, again, you have to make sure that you apply these techniques to your organization because it isn’t a one-sizefits-all. Everything is different. So, this is why I didn’t want to approach inherent risk and residual risk from the typical methodological perspective of this is what you do, this is the question that’s asked, and this is what you respond by. I think it’s important that we understand the people risk, the people element of how these process this can go wrong with the onstart. So when we talk about an organizational recommendation, I want to make sure that we address the concerns that I initially stated in the previous slide. So establish corporate governance, accountability, transpar transparency, fairness, responsibility, and risk management. Corporate governance is extremely important. How can you continue to source suppliers without a social strategy? Um has your strategy been operationalized? Do you have policies? Do you have rules? What is your governance? What is your framework? What is the process guidance? It’s easy. point a finger at a business function or an individual who isn’t doing the right thing. But if you don’t have process guidance to show them or point them in the right direction, then who’s at fault? I think that’s a shared responsibility. So if you are responsible for any TPR and program, you want to make sure that you provide effective process guidance. You want to make sure that you provide effective governance so that the individuals who play a role in a responsibility in this process have direction as to what needs to be done. Encourage crossunctional collaboration and stakeholder engagement. Be for engaging prospective third parties. Again, it goes back to the collaboration. You need cross functional collaboration. You need stakeholder engagement. It would be unwise and unfair of you to position or propose a potential product or service engagement to a stakeholder for sign off and not make them fully aware. So again, if you are a stakeholder, you want to make sure that before you are approving, before you are giving the two thumbs up to move forward with a product or service engagement, you have full awareness and transparency as to what the engagement tells not just the value, not just the cost savings, but the risks and the impact. And you want to make sure that your organization from a shared service perspective, they’re aligned and not unaligned. The understanding should be understood and not misunderstood. The next one, facilitate decision-m based on facts, not interpretation. This goes back to that uh uninformed and independent decision maker. And sometimes it’s not just one, it can be many. And many can be together or displaced or dispersed throughout the organization. You want to make sure that your decisions are fact-based. We’re moving forward with this supplier for these reasons. Your due diligence should be substantiated with actual work. Again, your decision making, the decisions that you’re making to onboard a supplier, not just simply because you need a product and service, but you need to make sure that you show true transparency, accountability, and due diligence for why you decided or determined to on board or engage this vendor. That needs to be fact-based. You cannot select or I would say you should not select a supplier based off of what you think. you should select a supplier based off of what you know and what you know may not be all the way good. I can tell you oftent times in in my previous life onboarding suppliers have not always been the greatest but those onboarding activities and processes were done with factbased decision-m not interpretation or what I think I knew simply because I have awareness of supply from a previous life and established internal business alignment on strategic goals purpose risks impacts and value before engaging. I mentioned this a few times again it goes back to that internal alignment. You need to make sure that the individuals who will play a role and responsibility in your process, they are align they’re aligned. If they’re unaligned, then that means you will have the perspective or idea of value with one group or one person and that can potentially raise or pose risk thereafter. So, how can you identify an inherent risk if individuals who are part of your risk function or individuals who are stakeholders in this shared collaborative process or shared service are not a part of the conversation or there are complet disagreement or have a complete misunderstanding of the product and service engagement that may be detrimental to your organization. So again, you need to make sure that your business functions are aligned, make fact-based decisions, but you do that cross functional collaboration and inclusivity of the groups that are a part of the shared service in the shared collaborative moment. Next slide, please. The ecosystem of third party risk management. So everything that we just talked about, we talked about the inherent risk, we talked about criticality and criticality we really didn’t talk about, but I want to be sure that criticality cannot be distinguished or just simply aligned by one person. It needs to be a collaborative moment. If you do not have all the groups, all the risk functions involved. Whose decision is it to be critical or non-critical? Whose decision is it that the inherent risk is high? Why is it high? Is it low? Is it medium? I think this is a collaborative moment. The engagement by your business functions. The engagement by the stakeholders is critically important to understand what the nature of the engagement is in the risk pose of your organization. So you want to make sure that you establish internal alignment so that you can establish an accurate inherent risk assessment for due diligence. We talk about that all the time. I think most of us on this call I can tell you me I’ve been on so many due diligence uh webinars. I’ve been a part of due diligence discussions. What should I collect? Can I collect it? If I don’t collect it, what can I or will I do? Those are all important questions. But I can tell you now, you will never know what to collect if you are not engaged at the OnStar. Remember, your inherent risk dictates a due diligence. Due diligence that’s collected is based off of the inherent risk posed to your pro by the product or service engagement and the inherent risk posed to your organization. But if you don’t have the right people involved to help identify that risk, then that would be a problem in itself. So you will miscalculate and probably unfortunately mischaracterize the inherent risk and unfortunately not collect the proper due diligence to mitate that inherent risk and the residual risk assessment as well. We talk about it, we pair due diligence, residual risk assessments together. We do. But here is the problem. A residual risk assessment is a point in time. It’s point in time assessment. It’s a moment in time where you collect a document. It can be a sock report. It can be a SIG, but is it is a document that is dated. The document isn’t up to date. Right now, me, you, all of your call, we’re looking to move forward with this product and service engagement, but your stock report and all of the other applicable due diligence material are not materials that reflect today. They may be materials that reflect last year. They may be materials that can reflect longer. So you want to make sure that you make informed fact-based decisions because for a sock report and again a stock report is really good, it is a control audit report, but I do want to make sure that we’re well aware that point in time assessments while they are efficient, I I do not find them to be entirely effective. So I do think you need to have other measures. Um continuous monitoring I believe is where you create strength is but h how are you continuously monitoring a supplier if you’ve misidentified the inherent risk and misidentified what should be done in the beginning so what I’m trying to show you is how these processes as an ecosystem are interconnected if you don’t if you don’t accurately assess the vendor at the onstar then your due diligence will be incorrect your residual risk assessment will be incorrect the residual risk profile will be incorrect selecting and contracting the supplier will be entirely incorrect because how can you memorialize the risk to do negligence anything that you found during the inherent risk assessment up into that residual risk assessment will be incorrect. So you can’t memorialize the right things as far as provisions are concerned in SLAs in your contract because everything was done incorrectly and your continuous monitoring is risk based. But how can you continuously monitor a vendor if you inaccurately um risk assess and have an inaccurate risk profile of the supplier? So what you’re seeing here is how all of these processes are connected but it’s really important that the people the people who are a part of these shared services are equally and actively involved and engaged in these processes because if you’re not then every subsequent step and every subsequent activity will be managed correctly. So again going back to that collaboration that internal business alignment make sure that you get your stakeholders involved. Make sure that you get them actively engaged. Let’s not present just the value of the contract at the cost of the proposition level. Let’s show a holistic view of what the contract is or the product or service engagement is. That includes the risk not including the risk simply because you may believe it’ll be a bottleneck or simply because you believe the stakeholders or the powers that be may decide to not move forward with your engagement again may be detrimental to your organization. So you need to be as transparent as you possibly can so that all of the right people who are in the room can make fact-based decisions. Next slide. Now before I say thank you, I I do want to make sure that we address any questions um that may be in Q. So, I’ll let Ashley or Scott to let me know if there’s any questions and we can talk through that. So, before handing it off to Scott,

Ashley: Ja, hallo Rodney. Wie ich sehe, haben wir einige Fragen in der Warteschlange. Eine davon stammt von Ed, der gefragt hat: „Wie kann man internen Stakeholdern erfolgreich vermitteln, wie wichtig es ist, das inhärente Risiko Ihrer Drittparteien zu berechnen?“

Rodney: Wie kann man das erfolgreich hervorheben? Ich gehe davon aus, dass Sie vierteljährliche Vorstandsberichte vorlegen, denn ich bin der Meinung, dass Ihre leitenden Stakeholder von entscheidender Bedeutung sind. Wenn sie sich der Risiken Ihres Produkts oder Ihrer Dienstleistung nicht bewusst sind, können sie Ihnen leider nicht helfenIhnen nicht helfen und nicht das tun oder sein, was Sie von ihnen erwarten. Daher halte ich vierteljährliche Berichte an den Vorstand für wichtig. Sie bieten die Gelegenheit, mit den Führungskräften in Ihrem Unternehmen zu kommunizieren, sie über die aktuelle Situation Ihres Unternehmens auf TPR-Ebene zu informieren, sie über die Risiken aufzuklären und ihnen die Möglichkeiten für Reifung und Verbesserung aufzuzeigen. Wenn Sie das tun, besteht meiner Meinung nach eine gute Chance, dass Ihr Programm nicht nur angenommen, sondern auch verbessert und weiterentwickelt wird.

Ashley: Ausgezeichnet. Ähm, wir haben noch ein paar Fragen im Chat, aber Scott, ich werde jetzt zu Ihnen übergehen, und wir können die restlichen Fragen am Ende beantworten.

Scott: Awesome. Thank you, Ashley. Uh, hi everybody. My name is Scott Lang. BP product marketing here at Prevalent. Uh, I just wanted to share a couple things about Prevalent, uh, here. to draft off of Rodney’s presentation regarding inherent residual risk. Uh just to touch on on a few ways that you preing can help you simplify that process of calculating inherent risk. Uh trans translating findings into action to ultimately reduce your risk profile and get down to an acceptable level of residual risk uh over time. Uh and really it all comes down from our perspective. What our customers tell us is that they want to accomplish any one of three things. The first in their TPR program. Anyway, the first thing uh they want to accomplish is getting the data they need to make better decisions. And from an onboarding or inherent risk perspective, that includes getting the right set of intelligence and the right people involved in the process to understand uh you know the company’s initial risk exposure and then identifying what types of due diligence is required uh based on the results of of kind of that very very baseline assessment. A second is increasing efficiency and and breaking down silos as Rodney mentioned. you know, there are awful lot of people in organizations involved in third party risk and um you know, I I grew up on a farm and the analogy we always used was if you have a lot of people’s hands on the plow, that plow’s not really going to go in a straight line. So, you know, who’s you know, who’s responsible, who’s accountable uh for third party risk, who contributes to it, who needs to be consulted and informed about it, and bring those people together under a single source of the truth of data and processes so that you can, you know, accomplish your organizational goals. Uh and then finally evolving and scaling uh their third party risk management programs uh over time. Chances are that program is going to change not necessarily from a scope creep perspective but you’re going to bring on new vendors and suppliers. Uh new third parties are going to be introduced to deliver goods uh goods and services to your to your enterprise to help you deliver on your expectations to your customers. Uh so how do you adjust and be agile uh over time and account for any any of those types of changes that uh that happen as as the or organization evolves. You know, our approach to addressing the third party risk man uh third-party risk management challenge and you know those three objectives that you saw on the on the previous screen are to look at risk at every stage of the third party risk management life cycle. You know, so often we take a look at risk on some level during the sourcing and selection phase or making sure that that company matches you know your company’s risk profile. uh in addition to the good or service that you’re going to be, you know, purchasing from them or utilizing being fed for purpose. Uh and then maybe we do some assessments or we look at on a contract renewal, but you know, how often is the that level of discipline and rigor carried out throughout the rest of that relationship life cycle? We see that problem happen uh pretty frequently and it involves a lot of different teams in the business, whether it be the procurement, vendor, supplier management teams, IT security teams, legal compliance, data privacy uh and many others. So we see these you know unique and distinct challenges at every one of these u phases of the relationship and our approach is to deliver a prescriptive process that helps you to um recognize and mitigate those risks at every stage. So that as that relationship progresses from the point that you source and select a vendor to the point where you offboard and terminate uh that vendor when the relationship ends you have the assurance that you’ve got visibility into the risks that you’ve got an action plan to mitigate risk down to an acceptable level and have the documentation and memorialization of evidence to prove it to the auditors. Um, and from our perspective, it really comes down to three things. Uh, that is simplifying and speeding up onboarding with a single source of the truth and a process that the entire enterprise can leverage. Second, streamlining that ongoing assessment process and closing gaps in risk coverage that often happens when different teams are involved in managing thirdparty risk and maybe using different tools. and different sources of intelligence and insights to get a picture of of whether that that third party um you know brings risk to the business and then finally unifying teams across the life cycle which I addressed. So starting in the lower left uh off to the uh to the uh to the lower right I guess in our in our half moon shape here you know what we can help you accomplish at the sourcing and the selection phase is adding automation and intelligence to RFX processes RFP RFI processes, you know, so often those things are done in silos, they’re done in spreadsheets, there isn’t a lot of automation involved, and there effectively isn’t a lot of risk visibility involved in whether or not um or in a in a new vendor or supplier that you’re looking to onboard. Um second, at the intake and onboarding phase, we can, you know, give you that single source of supplier truth, one supplier profile, uh one set of intake processes, one set of contracting and onboarding process that is extensible throughout the enterprise. So you’re ing and from the same himnil so to speak. And third, scoring inherent risks, something very close to our topic today. Um, you know, we give you the ability to score and categorize suppliers, you know, based on datadriven insights. It’s a combination of an eight question internal survey that you and other members of the team collaborate on answering as well as incorporating outside intelligence on potential compliance problems, financial risks that this meers might uh expose you to. Uh, a history of data breaches and cyber for security problems uh you know governance issues and and more all to give you a score to help you then uh prescribe a path to a more complete due diligence uh once onboarding is completed. Um fourth you know our specialty is in um streamlining and automating the ongoing risk management uh process and we deliver specific capabilities in our platform that enable you to do that across multiple different risk types. Now historically you know it vendor manage agement third party risk management was the domain of the security team and largely is is still today um because of the sensitivity of the data and systems and processes that you know you’re ultimately exposed to um or uh as a result of doing business with a third party. Um but you know our for example the prevalent platform has more than 200 builtin assessment templates uh that enable you to u you know question and and pose to um um uh to uh uh to to vendors specific risk based issues that you know are that matter to your business or matter to the board. Next is monitoring and validation um or validating the results of those assessments with continuous cyber security business reputational and financial insights. You know a lot can happen in between the time that you make an onboarding decision and that you finish your due diligence and and contract renewal happens. So we help you fill the gaps between those different um uh you know this you know those different types of assessments with the intelligence to to you know keep the team ab breast of any challenges that that that vendor might be facing and because not all risks are dedicated to um uh you know cyber or you know ESG risks or compliance risks or operational risks. Sometimes a risk is a performance-based risk. And we give you the ability to measure and manage your supplier effectiveness with built-in KPIs and KIS. And then finally, inevitably, uh, you know, like Neil Saddaka said, breaking up is hard to do. Um, so when it comes time for that vendor relationship to end and and that contract to terminate, you know, so often we see, you know, companies don’t have the rigor and the discipline built into the process to properly properly offboard the vendor and mitigate, you know, the long tail risk that you can be exposed to to. So we give you the, you know, the checklists and the document management and the compliance reporting uh to close that process off. You know, we address multiple different types of risks or risk areas um uh with our our platform and that helps you to give uh helps give you a good view of your inherent risk, measure the progression of that risk over time and then get you down to a level of of residual risk that’s acceptable to the business. And these are the kind of the general six categories that that we deliver uh risk insights into whether it’s an assessment built in the platform or whether it’s uh the result of continuous monitoring insights and intelligence uh that um uh you know that we consume uh and then correlate against those assessment results you know on your behalf and I won’t uh belabor the point read the fine fine print there you know how do we deliver it we deliver it um in a way that leverages the three great strengths of Prevalent and that is number one the people the experts that we have that help you um that do the hard work on on on your behalf if you desire that excuse me and that’s onboarding vendors managing them uh remediating executing assessments uh and then incorporating a tremendous amount of intelligence and data from a half a million different sources uh and putting that into a format that can help you make good decisions housing it in the platform with all the workflow and the automation and more uh to help you ultimately get down to that that level of residual risk that satisfies you know your board requirements. Look at the end of the day we want three things for you not three things from you and those three things for you are number one um to help your organization your third party risk management program uh be much smarter in its approach and that’s delivering you the comprehensive insights uh datadriven analytics and role-based reporting for multiple different teams throughout the enterprise. The second to give you a single source of the truth uh to combine assessments and monitoring together and then look at uh risk throughout the entire life cycle from onboarding to offboarding in a much more unified fashion that you might be doing it with spreadsheets or maybe with some disparate tools that really don’t talk to one another. And then finally, as I mentioned before, it’s a very prescriptive uh intelligentbased approach that gives you built-in recommendations uh remediations and more to extend out to your vendors and uh third parties and other suppliers um that ultimately you know can help you get down to the to the level that that you’re willing to accept. So you know from prevalent perspective that’s what our approach is to addressing the the problem of thirdparty risk management. Um and I think it ties in very closely to kind of what Rodney talked about today in terms of the big challenges that organizations face in thirdparty risk and um you know you know what the overriding issues are to get from an inherent to a proper residual risk score. So you So, at that point, I’ll stop talking. I’ll open it back up to Ashley. Ashley, if we have any other questions uh for either Rodney or myself, I’m happy to uh to take those now.

Ashley: Hallo Scott, vielen Dank. Ich werde jetzt unsere zweite Umfrage starten, damit wir uns mit Ihnen über Ihre möglichen Projekte austauschen können. Wir würden gerne wissen, ob Sie innerhalb dieses Jahres ein Programm zum Management von Risiken durch Dritte einführen oder ausbauen möchten. Bitte seien Sie ehrlich, denn wir werden uns mit Ihnen in Verbindung setzen. Aber in der Zwischenzeit, Ron, lassen Sie uns einige dieser Fragen durchgehen. Ich freue mich über die rege Beteiligung und weiß, dass Sie auf Eds Frage zurückkommen wollten, wie Sie Ihren internen Stakeholdern erfolgreich die Bedeutung der Berechnung des inhärenten Risikos Ihrer Drittparteienpopulation verdeutlichen können.

Rodney: Ja, diese Frage wollte ich auch noch einmal aufgreifen, denn ich stelle mir vor, dass ED möglicherweise dort ist, wo ich vor vielen Jahren war. Wie beziehen Sie Ihre Stakeholder mit ein? Und ich spreche nicht nur vom Vorstand, denn ich denke, dass es schrittweise Maßnahmen geben muss, um diesen Punkt zu erreichen. Möglicherweise haben Sie bereits Zugang oder Beteiligung oder sogar Engagement auf dieser Ebene der vierteljährlichen Berichterstattung, möglicherweise aber auch nicht. Ihre Stakeholder, also die Geschäftsleitung und die Führungskräfte, sind jetzt von entscheidender Bedeutung. Ich bin der Meinung, dass Sie für jede Beziehung zu Dritten eine inhärente Risikobewertung vornehmen sollten. Ich halte es für wichtig, zwischen inhärentem und Restrisiko zu unterscheiden, da ich immer häufiger feststelle, dass Unternehmen ausschließlich über das Restrisiko berichten. Sie überwachen und verwalten ausschließlich das Restrisiko und haben keine echte Transparenz oder Einblick in das inhärente Risiko, das ihre Produkt- oder Dienstleistungsengagements mit sich bringen. Daher halte ich es für wichtig, das inhärente Risiko des Produkts oder der Dienstleistung zu betonen und nicht nur das Risiko nach der Einführung von Kontrollen, egal ob intern oder extern. Sie sollten sicherstellen, dass Ihre Geschäftsleitung und Ihre Führungskräfte – und ich denke, das ist das von mir erwähnte Kooperationsmodell – sich häufig engagieren. Wir konzentrieren uns oft auf das interne Beziehungsmanagement. Das bedeutet also die Organisation und unsere externen Beziehungen zum Lieferanten. Aber ich denke, dass dasselbe Modell auch intern wichtig ist. Wenn Sie also im Bereich TPRM tätig sind, ist es wichtig, dass Sie Teil dieser TPRM-Funktion sind. Dies ist ein Prozess miteinander verbundener Prozesse und Aktivitäten. Ihre Zusammenarbeit und Ihr Engagement mit all diesen Personen ist also nicht nur eine gute Sache, sondern möglicherweise sogar eine Voraussetzung. Und ich denke, dass diese Zusammenarbeit und der Aufbau eines grundlegenden Verständnisses dazu beitragen werden, dass die Geschäftsleitung Ihre Bemühungen in ihren Organisationen unterstützt und sogar fördert.

Ashley: Ausgezeichnet. Und dann, Scott, haben wir eine Frage von Mary an Sie: „Wie hilft Prevalent einer Organisation bei der Durchführung der jährlichen Überprüfung der Sock-Berichte?“

Scott: Gute Frage. Unsere Herangehensweise an Sock-Berichte ist folgende: Wenn Sie einen Bericht von einem externen Audit-Anbieter erhalten haben, helfen wir Ihnen bei der Interpretation dieses Berichts. Wir bieten einen Service an, bei dem wir den Bericht gemeinsam mit Ihnen durchgehen. Wir extrahieren die wichtigsten Risiken und Kontrollen und übertragen diese dann in unsere Plattform als Risiken, die Sie im Laufe der Zeit verfolgen können, um eine Schlussfolgerung zu ziehen, indem Sie Abhilfemaßnahmen oder mehr anwenden. Wir erstellen also nicht unbedingt den Sock-2-Bericht oder füllen ihn in Ihrem Namen aus, aber sobald er fertig ist, können wir Ihnen helfen, ihn in eine Plattform zu übertragen, damit Sie die Risiken tatsächlich verwalten können, anstatt das PDF in der Hand zu halten und zu fragen: „Oh, was mache ich jetzt?“

Ashley: Danke, Scott. Und dann haben wir noch eine Frage an Rodney. Jemand hat gefragt: „Für welchen Prozentsatz der Lieferanten sollten Sie aktive Risikominderungsmaßnahmen ergreifen, wenn man bedenkt, dass das Inventar in drei Stufen unterteilt ist: hoch, mittel und niedrig? Dabei ist zu berücksichtigen, dass die meisten TPRM-Programme von kleinen Teams durchgeführt werden.“

Rodney: Okay. Wenn wir also fragen, für welchen Prozentsatz der Lieferanten Sie aktive Risikominderung betreiben sollten, dann denke ich, dass Sie Risiken aktiv mindern sollten, wenn sie identifiziert werden. Nun, auch hier gilt wieder, dass es darauf ankommt, auf welcher Ebene Sie dies tun. Natürlich werden Sie einen Lieferanten mit geringem Risiko nicht so verwalten und überwachen wie einen Lieferanten mit kritischem oder hohem Risiko oder sogar mittlerem Risiko, aber das hängt von der Risikobereitschaft Ihres Unternehmens ab. Es hängt auch von dem Risiko ab, das Sie von Natur aus identifizieren. Das ist wichtig, weil ich oft gehört habe, dass viele Unternehmen oder sogar einige TPRM-Programme oder Fachleute sagen, dass ein Lieferant mit geringem Risiko überhaupt keine Risikominderung erfordert. Wir haben ihn also von Natur aus als risikoarm identifiziert und müssen nichts unternehmen. Nun, ich bin anderer Meinung, denn was heute aus unvorhergesehenen Gründen von Natur aus gering ist, könnte morgen von Natur aus hoch oder moderat sein. Und das kann aus vielen Gründen passieren. Vielleicht handelt es sich um eine wesentliche Änderung des tatsächlichen Produkts oder der Dienstleistung. Heute beauftragen Sie vielleicht einen Anbieter für ein bestimmtes Produkt oder eine bestimmte Dienstleistung, morgen beauftragen Sie denselben Anbieter für ein anderes Produkt oder eine andere Dienstleistung. Ich habe festgestellt, dass die meisten oder viele Unternehmen – nicht alle – wenn sie einen Lieferanten haben, der mehrere Produkte oder Dienstleistungen liefert, eine Diskrepanz besteht. Wenn Sie also von Natur aus oder ursprünglich eine niedrige Bewertung abgegeben haben, dann bewerten Sie nachfolgende Produkte und Dienstleistungen auf die gleiche Weise oder Sie messen oder bewerten sie. Ich halte das für falsch und ungenau. Ich halte das nicht für den richtigen Ansatz. Sie müssen sicherstellen, dass jedes Produkt und jede Dienstleistung bewertet und einer Risikobewertung unterzogen wird. Nicht nur die Beziehung, sondern auch das Produkt und die Dienstleistung, und Sie müssen sicherstellen, dass Sie das inhärente Risiko so bewerten, wie Sie es verwalten und überwachen möchten. Ich bin daher der Meinung, dass Sie Maßnahmen zur Risikominderung ergreifen müssen. Wenn es sich um ein geringes Risiko handelt, sollten Sie es zumindest mit der für dieses geringe Risiko angemessenen Häufigkeit verwalten und überwachen.

Ashley: Ausgezeichnet, danke, Rodney. Und dann haben wir noch eine weitere Frage von Scott. Jemand hat gefragt, ob es innerhalb der gängigen Plattform externe Schnittstellen gibt, um regelmäßig effizient die erforderlichen Daten zu erfassen.

Scott: Ja, unsere Plattform umfasst tatsächlich eine offene REST-API, die Ihnen die Integration mit externen Informationsquellen ermöglicht, die zusätzliche Kontextinformationen zu Ihrer Lieferantenbewertung oder Ihren Lieferantenbeurteilungen liefern. Wie Sie wissen, bieten wir auch unsere eigene Lösung zur kontinuierlichen Überwachung an, die Cyber-, Finanz-, Geschäfts- und Reputationsdaten sowie ESG-Daten umfasst, also Daten zu Datenschutzverletzungen, die Sie nutzen können, um diesen Kontext hinzuzufügen. Außerdem verfügen wir über eine offene API, die Ihnen die Integration mit anderen Tools ermöglicht, die Sie möglicherweise bereits einsetzen.

Ashley: Danke, Scott, und nun zurück zu Ihnen, Rodney. Tony hat gefragt, was meiner Meinung nach einer der schwierigsten Aspekte des Risikomanagements ist, nämlich der Aufbau und die Aufrechterhaltung eines effektiven Modells zur Einbindung von Stakeholdern. Was sind Ihre wichtigsten Tipps für den Aufbau eines solchen Modells, um Law Risk Manager besser auf Herausforderungen vorbereiten zu können?

Rodney: Sehen Sie, ich liebe diese Frage, weil sie zum ursprünglichen Punkt und Zweck der heutigen Präsentation zurückführt. Ähm, jedes Risiko ist wichtig, aber ich denke, dass das Risiko durch Menschen aus vielen Gründen in vielen verschiedenen Bereichen ein kritischer Faktor ist, aber ich denke auch, dass Ihr Engagement und das Ihrer anderen Funktionen wichtig ist. Ich möchte glauben, dass Sie sich gerade in der Anfangsphase befinden, vielleicht auf der ersten Stufe des Aufbaus Ihres Programms. Wie können Sie die zirkuläre Verteidigungslinie einbinden? Haben Sie zunächst einmal ermittelt, wer in Ihrem Unternehmen die zweite Verteidigungslinie bildet? Und haben Sie eine Richtlinie oder eine Art Governance-Struktur, die festlegt, welche Funktionen oder Gruppen innerhalb Ihres Unternehmens tatsächlich die zweite Verteidigungslinie bilden? Ich halte das für wichtig. Und nicht nur auf der Ebene der Richtlinien, sondern auch außerhalb dessen, was auf dem Papier steht, müssen Sie sich aktiv mit Ihrer zweiten Verteidigungslinie auseinandersetzen. Ich halte das für wichtig. Was ich in einigen Unternehmen gesehen habe, ist, dass Sie vielleicht eine billige PR-Abteilung und eine Gruppe mit mehreren Risikofunktionen haben, weil Sie mehrere Risikobereiche abdecken, aber keiner von Ihnen tatsächlich kommuniziert oder sich vernetzt. Das ist ein grundlegendes Problem, das ich Ihnen jetzt sagen kann, denn gemeinsam schützen Sie das Unternehmen, das Ihr Unternehmen ist. Daher ist die Inklusivität in der Zusammenarbeit obligatorisch, sie ist erforderlich, es ist wichtig, dass Sie als Risikokontrollfunktion mit Ihrer benachbarten Risikokontrollfunktion kommunizieren und vielleicht ist das Risiko, das SieSie überprüfen, möglicherweise nicht miteinander in Zusammenhang stehen, aber dennoch über Produkte und Dienstleistungen von Dritten sprechen. Denken Sie an miteinander verbundene, voneinander abhängige Prozesse und Aktivitäten, sodass Sie auf einer bestimmten Ebene zumindest ein Situationsbewusstsein haben sollten, auch wenn Sie in diesem Moment nicht aktiv daran beteiligt sind, ein gewisses Maß an Risiko zu beheben oder zu mindern. Daher halte ich es für wichtig, eine Ecke mit Ihren internen Risikofunktionen mit einer zweiten Verteidigungslinie einzurichten, um zu überprüfen, welche Produkte oder Dienstleistungen kritisch, hochriskant oder moderat sind, und um zu überprüfen, wo es Probleme, Eskalationen oder möglicherweise Bereiche für Abhilfemaßnahmen auftreten könnten. Stellen Sie sicher, dass Sie sich alle darüber einig sind, wie Sie Risiken extern betrachten und was Sie intern tun, um diese Risiken oder die potenziellen Auswirkungen dieser externen Risiken anzugehen.

Ashley: Danke, Rodney. Und dann haben wir noch eine weitere Frage von Christina, die ebenfalls an dich gerichtet ist, Rodney. Sie fragt: „Wie geht man vor, wenn zwei Unternehmen fusionieren und zwei TPRs zusammengeführt werden sollen?“

Rodney: Zwei TPRM-Pro-Programme. Ist das die Frage? Wie geht man vor, um zwei TPRMs zusammenzuführen? Ich nehme an.

Ashley: Okay.

Rodney: Ja.

Ashley: Mir gefällt, dass Christina schnell war. Ja.

Rodney: Interessant. Wenn wir also über Fusionen und Übernahmen sprechen, ist es wichtig, dass Sie eine klare Vorstellung davon haben, um welche Produkte und Dienstleistungen es sich handelt, und zwar eine transparente, klare Vorstellung. Ich gehe davon aus, dass Sie Teil des Käufers sind. Ist das richtig? Oder sind Sie der Käufer? Wenn Sie diese Frage beantworten können. Sie ist wahrscheinlich vom Typ „noch zu bestimmen“. Okay. Danke. Okay. Nun, diese Entscheidung wird vielschichtig sein, da ich die Perspektive von TPR und Fachleuten einnehmen werde. Ich denke, diese Entscheidung ist auch eher eine Frage der Führungsspitze und der Stakeholder, weil Sie TPR und Programme bewerten müssen und ich ganz ehrlich bin, welches TPR und welches Programm für Ihre Organisation am effektivsten wäre. Das ist wichtig. Die Effektivität. Nun, vielleicht gibt es eine Konsolidierung, weil Sie die Produkte und Dienstleistungen haben, die die Ressourcen erfordern, und diese Kapazität verfügbar ist. Aber Sie müssen die Effektivität des TPRM-Programms messen, nicht nur im aktuellen Zustand, sondern auch im zukünftigen Zustand. Ich denke, hier geht es um Entwicklung und Reife. Wenn Sie also an einem TPRN-Programm teilnehmen oder ein TPR-Programm verwalten, muss Ihre Organisation feststellen, ob die Effektivität Ihres TPRN-Programms nicht nur heute, sondern auch morgen, also im zukünftigen Zustand, beeinträchtigt wird. Das ist wichtig. Ich sage jetzt, dass ich diese Frage unter Berücksichtigung der Tatsache beantworte, dass ich nicht weiß, ob es konsolidiert oder aufgeteilt wird. Aber eine Entscheidung muss getroffen werden, denn Sie werden nicht zwei TPR-Programme in einer Organisation haben. Entweder wird konsolidiert oder ein TPR-Programm muss das Wayne-Programm sein, würde ich sagen.

Ashley: Danke, Rodney. Und dann gebe ich das Wort wieder an dich zurück, Scott. Jemand hat gefragt, ob Prevalent Cyberrisiken und Compliance-Risiken überwacht. Geschieht dies in Echtzeit, also wenn Datenverstöße oder Cybervorfälle bei Dritten auftreten? Werden wir von der Überwachungsseite von Prevalent darüber benachrichtigt?

Scott: Ja, die kurze Antwort lautet ja. Äh, es ist so zeitnah wie die Ankündigungen oder die Bekanntgabe der Sicherheitsverletzungen. Die meisten SLAs oder Cyber-Monitoring-Tools geben Ihnen ein Zeitfenster von 20 bis 4 Stunden zwischen dem Zeitpunkt, an dem ein Vorfall entdeckt wird oder beispielsweise die CVE veröffentlicht oder eine Datenverletzung bekannt gegeben wird, und dem Zeitpunkt, an dem Sie darüber informiert werden. Wir halten uns an diesen Branchenstandard-SLA, der innerhalb von 24 Stunden über Ihre Instanz der gängigen Plattform übertragen wird und Ihnen ermöglicht, auf dieser Grundlage Entscheidungen zu treffen.

Ashley: Danke, Scott Rodney. Jemand hat gefragt, ob Sie glauben, dass Sock-Dokumente wertvoller sind als ein ungeprüftes SIG-Dokument?

Rodney: Oh Gott, wie oft wurde mir diese Frage schon gestellt? Ähm, ich denke, das kommt darauf an. Ich glaube nicht, dass sie per se wertvoller sind. Ich bin zwar der Meinung, dass ein ungeprüftes SIG-Dokument sehr nützliche Informationen enthält, die angewendet werden können. Aber ich berücksichtige dabei die Kritikalität des Anbieters, das Risiko, die Risikobewertung des Anbieters, ähm, das Produkt und die Dienstleistung im Allgemeinen. Ich würde sagen, dass Sock-Berichte extrem gut sind. Ich mag die Sock-Berichte, aber ich kann Ihnen auch sagen, dass sie, genau wie viele andere Dokumente, die wir von Anbietern oder Dritten erhalten, nur einen bestimmten Zeitpunkt widerspiegeln. Ichbin ich mehr an der Gegenwart interessiert und nicht daran, was letztes Jahr von einem Wirtschaftsprüfer geprüft wurde, denn ich möchte diesen potenziellen Dritten heute beauftragen, ich möchte heute eine Vereinbarung abschließen und ich schaue mir Unterlagen an, die die Angemessenheit der externen Kontrollen vor einem Jahr bestätigt haben, sodass meine Entscheidung, meine faktenbasierte Entscheidung, auf Informationen und Materialien basiert, die vor einem Jahr bereitgestellt wurden. Das ist also ein Glücksspiel. Ich bin der Meinung, dass man so viele relevante Informationen wie möglich einholen sollte, um zu beurteilen, ob es sich um die richtige SA handelt oder ob es sich um eine Sig handelt, um so viele Substanzen und so viele Dokumentationsinformationen wie möglich zu erhalten, um dies zu untermauern und zu unterstützen, denn ich bin der Meinung, dass kompensierende Kontrollen notwendig sind, wenn man es mit punktuellen Bewertungen und punktuellen Dokumentationen zu tun hat. Und ich werde es einfach beenden. Ich beende es nicht, aber ich möchte allen Teilnehmern des Telefonats sagen, dass ich die Bedeutung der Restrisikobewertung verstehe. Wir alle wissen, was die Bewertungen bedeuten, nicht nur für Organisationen. Wir wissen, was sie für Auditoren bedeuten. Wir wissen, was sie für Regulierungsbehörden bedeuten. Aber bitte lassen Sie in Ihrer kontinuierlichen Überwachung nicht nach und verlieren Sie sie nicht aus den Augen. Ich glaube, dass ein Großteil Ihres Wertes in den aufkommenden Risiken liegt, nicht in den aktuellen oder derzeit auftretenden Risiken, sondern in den aufkommenden Risiken, also den Dingen, die Ihrer Organisation potenziell schaden oder sie beeinträchtigen könnten. Sie müssen sich dessen bewusst sein. Holen Sie sich also Informationen, die für heute relevant sind, und nutzen Sie auch die Informationen, die für gestern relevant sein könnten, wenden Sie sie gemeinsam an und treffen Sie faktenbasierte Entscheidungen.

Ashley: Danke, Rodney. Und dann fragte Julia: „Wenn sich eine Organisation dafür entscheidet, konservativer vorzugehen und nur inhärente Risiken zu managen, was wäre Ihrer Meinung nach der Vorteil, wenn man auch Restrisiken einbezieht?“

Rodney: Okay, diese Frage habe ich auch schon oft gehört. Ich denke, das ist eine Frage des Glücks. Es hängt zu 50 % von der Organisation ab. Es hängt vom Risikoprofil ab. Einige dieser Fragen oder die Antworten darauf, die ich von anderen gehört habe, sind sehr ganzheitlich. Ich sehe das so: Wie hoch ist die Risikobereitschaft Ihrer Organisation? Ich denke, Sie müssen diese Dinge berücksichtigen, wenn Sie entscheiden, ob es angemessen ist, das inhärente Risiko einzugehen, einen konservativen Ansatz zu verfolgen und nur das inhärente Risiko zu managen. Ich bin nicht dagegen. Wir wissen, dass dies das inhärente Risiko ist. Ich würde sagen, dass das inhärente Risiko und das Restrisikoprofil zwar wichtig sind, aber ich halte es auch für wichtig, das inhärente Risiko erneut zu überprüfen. Viele Unternehmen, die sich wieder auf das Restrisiko konzentrieren, nutzen dieses nur für Management- und Überwachungsaktivitäten. Nachdem Sie also Ihre Restrisikobewertung durchgeführt haben, werden Sie wahrscheinlich auf der Grundlage des Restrisikos verwalten und überwachen. Ich würde sagen: Nein. Sie sollten immer wieder auf das inhärente Risiko zurückkommen. Sie sollten immer wieder überprüfen, ob sich die Beziehung wesentlich verändert hat, da sich Ihr Risikoprofil ändern kann. Vertraglich kann sich etwas geändert haben. Möglicherweise gab es Ergänzungen oder Änderungen, die mehr Risikomanagementaktivitäten erfordern, oder es gab Änderungen, die den Umfang der Risikomanagementaktivitäten reduzieren. Aber ich halte es für ebenso wichtig, immer wieder auf das inhärente Risiko zurückzukommen. Ich denke, dass alle Organisationen in diesem Bereich TPRM dies tun sollten und sich nicht nur auf die Bewertung des Restrisikos konzentrieren sollten. Ich muss also sagen, dass diese Frage eine Münzwurfentscheidung ist. Es hängt von der Risikobereitschaft ab. Es hängt von der Größe Ihres TPR und der Kapazität Ihres Programms ab. Es hängt auch von der Größe Ihres Bestands an Drittanbietern ab.

Ashley: Danke, Romney. Und dann noch eine letzte Frage an Sie. Jemand hat gefragt: „Wie groß ist Ihr Mitarbeiterstab und wie viele Lieferanten verwalten Sie?“

Rodney: Und deshalb ist diese Person die anonyme Frage?

Ashley: Ja.

Rodney: Okay. Nun, ich sage Ihnen Folgendes: Ich habe ein Team von 7 bis 10 Mitarbeitern und einen anonym großen Bestand. Ich werde bestimmte Dinge für mich behalten. Das müssen Sie mir zugestehen.

Ashley: Oder sagen Sie mir offline Bescheid. Natürlich. Natürlich. Vielen Dank, Rodney, Scott und allen anderen für Ihre Fragen. Beide haben uns heute einige großartige Informationen geliefert, und ich hoffe, Sie alle entweder in Ihren Posteingängen oder bei einem zukünftigen Pre-Link-Webinar wiederzusehen. Ich wünsche Ihnen allen einen schönen Mittwoch.

Scott: Tschüss, alle zusammen.

Ashley: Danke, Rodney. Tschüss. Tschüss, alle zusammen.