Risikomanagement für Dritte 101: Die Grundlagen für den Aufbau eines erfolgreichen TPRM-Programms

Moderator: Hallo und herzlich willkommen. Es ist toll, dass alle dabei sind. Moderator: Ich gebe Ihnen allen eine Minute Zeit, während wir darauf warten, dass sich alle einloggen und einrichten. Moderator: Aber lassen Sie uns zunächst einmal sehen, was Sie zum heutigen Webinar geführt hat. Moderator: Es sieht so aus, als hätten wir heute Morgen ein kleines Problem mit Ashleys Audioverbindung. Moderator: Wir werden versuchen, das Problem zu beheben. Moderator: In der Zwischenzeit starten wir eine Umfrage, während die Teilnehmer heute Morgen nach und nach dazustoßen. Moderator: Also los geht's. Moderator: Ashley, wenn Sie mich hören können, könnten Sie bitte die Umfrage starten? Moderator: Wenn nicht, werde ich versuchen, es selbst zu machen. Moderator: So, das wäre geschafft. Moderator: Mal sehen, ob Ashley wieder dazustoßen kann.

Ashley: Hallo. Moderator: Bitte sehr. Alles klar. Ich glaube, Sie sind bereit. Sind Sie dort, wo Sie aufgehört haben? Ashley: Ja, Scott. Ashley: Ähm, wir haben auch unseren Vizepräsidenten für Produktmarketing, Scott Lang, dabei. Ashley: Und, äh, nur zur Erinnerung: Das Webinar wird aufgezeichnet und wir werden die Aufzeichnung zusammen mit den Präsentationsfolien kurz nach dem Webinar versenden. Ashley: Ähm, Sie sind derzeit alle stummgeschaltet, aber wir freuen uns über Ihre Teilnahme. Ashley: Bitte stellen Sie Ihre Fragen im Q&A-Feld. Ashley: Äh, heute wird Bob die Grundlagen von TPRM erläutern und ein TPRM-Framework vorstellen. Ashley: Also, Bob, ich übergebe jetzt das Wort an Sie.

Bob: Okay. Danke, Ashley. Bob: Äh, herzlich willkommen, alle miteinander. Bob: Äh, heute sprechen wir über, äh, den ersten Teil einer vierteiligen Serie, äh, die ich „Aufbau eines nachhaltigen Risikomanagementprogramms für Dritte” nenne. Bob: Wenn Sie währenddessen Fragen haben, nutzen Sie bitte die Chat-Funktion, äh, ich beantworte gerne Ihre Fragen und, äh, lassen Sie uns loslegen. Bob: Heute konzentrieren wir uns also auf die Einrichtung eines TPRM-Rahmenwerks. Bob: Wir werden über das Reifegradmodell sprechen und über die Rolle der operativen Widerstandsfähigkeit im Risikomanagement der Lieferkette. Bob: Und ich nenne es Lieferkette, weil wir uns wirklich alle Lieferanten ansehen, mit denen Ihr Unternehmen zusammenarbeitet, nicht nur die Drittanbieter, sondern auch deren Drittanbieter, die Subunternehmer, um das Risikobild wirklich zu verstehen und zu erkennen, was angegangen werden muss. Bob: Was haben die folgenden aktuellen Ereignisse gemeinsam? Bob: Wir hatten die Situation, dass ein Schiff im Suezkanal feststeckte und keine anderen Schiffe den Kanal passieren konnten. Bob: Wir hatten Probleme in den kalifornischen Häfen beim Entladen von Schiffen. Bob: Im Jahr 2021 gab es einen Wintersturm in Texas, der das Stromnetz lahmgelegt hat. Bob: Wir hatten Solar Winds, CASA, Log 4J, Octa – die Liste der Softwareprobleme von Drittanbietern ist endlos. Bob: Und ich könnte noch eine Reihe weiterer Probleme nennen. Bob: Ich könnte hier sitzen und den ganzen Tag darüber reden. Bob: Aber der Punkt ist, dass sie alle vor ihrem Eintreten als „Black Swan Events” galten. Bob: Und wenn wir den Begriff „schwarze Schwäne” verwenden, sprechen wir von Dingen, die wir selten erwarten, die aber eine geringe Wahrscheinlichkeit haben, einzutreten. Bob: Und was wir bei unseren Lieferketten festgestellt haben, ist, dass das, was wir zuvor für schwarze Schwäne gehalten haben, tatsächlich viel zu regelmäßig auftritt und dass wir in diesem Prozess unsere Denkweise anpassen müssen. Bob: Schwarze Schwäne sind die neue Norm. Bob: Das haben wir durch COVID gelernt. Bob: Wir haben es gelernt durch die Auswirkungen, unter denen wir in den Lieferketten immer noch leiden, aufgrund von Störungen durch Ereignisse, die wir nicht leicht vorhersehen konnten. Bob: Wie zum Beispiel die Situation in der Ukraine und die vorübergehende Schließung Chinas aufgrund der COVID-Spitzen, die dort auftraten.

Bob: Wir müssen uns also an diese neue Welt anpassen, in der Dinge, die früher als abnormal galten, nun zur neuen Normalität geworden sind. Bob: Heute sprechen wir darüber, wie wir mit der Einrichtung eines Risikomanagementprogramms für Dritte beginnen können. Bob: Wir werden über den Weg zum Risikomanagement für Dritte sprechen und darüber, wie wichtig es ist, zu wissen, wo man startet. Bob: Die Notwendigkeit, einen proaktiven Ansatz beim Management Ihrer Lieferkettenrisiken zu verfolgen, mit dem Ziel, die operative Widerstandsfähigkeit sicherzustellen. Bob: Wer sind Ihre wichtigsten Drittanbieter? Bob: Welche davon halten Sie für kritisch? Bob: Und wie haben Sie sichergestellt, dass diese über ausreichende Kapazitäten verfügen, um Ihre kritischen Geschäftsinitiativen und -funktionen zu unterstützen? Bob: Wir werden einen ganzheitlichen Blick auf das operative Risiko werfen, wie es für das Risikomanagement von Drittanbietern gilt. Bob: Wir werden uns nicht nur auf Cyberrisiken oder Geschäftskontinuität konzentrieren, sondern auch Finanzrisiken, Betriebsrisiken, geografische Konzentrations- und Naturkatastrophenrisiken, Compliance-Risiken und schließlich Umwelt-, Sozial- und Governance-Risiken betrachten. Bob: All diese Faktoren sind wichtig, und jeder einzelne von ihnen könnte dazu führen, dass Ihr Drittanbieter Ihnen eine wichtige Dienstleistung nicht mehr erbringen kann. Bob: Wir werden das Rahmenwerk und den Lebenszyklus des Risikomanagements von Drittanbietern untersuchen und dabei die fünf Phasen dieses Prozesses von der Planung und Ermittlung über die Risikobewertung bis hin zur kontinuierlichen Überwachung und der Behebung von Risiken von Drittanbietern besprechen, einem Bereich, der leider oft vernachlässigt wird. Bob: Bei der Risikobewertung geht es nicht darum, die Risikobewertung abzuschließen. Bob: Der Sinn besteht darin, die im Rahmen der Risikobewertung identifizierten Probleme zu beheben, denn nur durch diese Behebung wird das Risiko tatsächlich verringert und schließlich die Beendigung der Zusammenarbeit mit Drittanbietern erreicht. Bob: Danach werden wir über das Reifegradmodell für das Risikomanagement von Drittanbietern sprechen, darüber, wie wichtig es ist, zu verstehen, wo Sie sich auf Ihrem Weg befinden, wo Sie starten und was ein angemessenes Reifegradziel für Ihr Programm ist. Bob: Dann werde ich damit beginnen, dass ich sage, dass es auf einer Skala von eins bis fünf nicht darum geht, fünf zu erreichen.

Bob: Wir werden also auch darüber sprechen, wie man einen Konsens innerhalb der Organisation und der Lieferkette herstellt und wie wichtig es ist, die Beziehungen zu den Dritten, mit denen man zusammenarbeitet, zu pflegen. Bob: Und wir werden auch darüber sprechen, wie wichtig die verschiedenen Stakeholder sind, mit denen man zusammenarbeiten muss, wenn man ein Risikomanagementprogramm für Dritte aufbaut. Bob: Wenn wir also über das Risikomanagement für Dritte sprechen, sprechen wir über einen Weg, den man beschreitet. Bob: Und wenn man eine solche Geschichte erzählt, muss man wissen, wo man anfängt. Bob: Man muss wissen, wo man hin will, und man muss über Mittel verfügen, um dies den verschiedenen Stakeholdern, mit denen man zusammenarbeitet, zu vermitteln. Bob: Wenn Sie also Ihrem Management oder möglicherweise dem Vorstand Bericht erstatten und ihnen helfen, zu verstehen, warum sie ein Risikomanagementprogramm für Dritte finanzieren sollten. Bob: Der beste Weg, dies zu tun, ist, die Geschichte zu erzählen. Bob: Hier haben wir angefangen. Bob: Hier wollen wir hin, und das ist dafür erforderlich. Bob: Während Sie Ihre Geschichte erzählen, müssen Sie diese auch mit Daten untermauern. Bob: Und während wir diesen Kurs durchlaufen und zu anderen Modulen kommen, werden wir viel über wichtige Leistungs- und Risikoindikatoren sprechen. Bob: Wenn Sie darüber nachdenken, Ihre Geschichte mit Daten zu untermauern, ist es wirklich wichtig zu verstehen, dass diese Daten Trends zeigen. Bob: Sie müssen sich immer fragen, wenn Sie über die Daten nachdenken, die Sie zur Untermauerung Ihrer Geschichte verwenden, und darüber, wohin Sie damit wollen, ob sie etwas über Ihren Trend aussagen. Bob: Die erste Frage, die Sie sich immer zu Daten stellen sollten, lautet: Was sagen sie mir? Bob: Sagen sie mir etwas über einen Trend, auf den ich reagieren muss? Bob: Aber darüber werden wir in einem zukünftigen Kurs noch mehr erfahren. Bob: Denken Sie also daran: Sie müssen Ihren Ausgangspunkt kennen und wissen, wie Sie diesen Ihren Stakeholdern vermitteln können, damit diese Vertrauen in die Nachhaltigkeit Ihres Programms haben. Bob: Proaktives Management von Risiken in der Lieferkette. Bob: Was wir wirklich versuchen, ist sicherzustellen, dass wir bei der Verwaltung unserer Drittanbieter eine ausreichende operative Widerstandsfähigkeit aufbauen, damit unsere kritischen Geschäftsfunktionen weiterhin für unsere Kunden bereitgestellt werden können.

Bob: Und als Teil davon müssen Sie kontinuierlich verstehen, wo Risiken auftreten. Bob: Ich habe vorhin kurz über die „Black Swan“-Ereignisse gesprochen. Bob: Nun, da diese immer häufiger auftreten und wir uns mit ihnen auseinandersetzen müssen, müssen wir sicherstellen, dass wir nicht nur innerhalb unserer Organisation, sondern auch bei unseren wichtigen Geschäftspartnern über die entsprechenden Fähigkeiten verfügen. Bob: Damit sie weiterhin die Dienstleistungen erbringen können, die wir erwarten. Bob: Ich kann den Begriff „operative Resilienz” gar nicht genug betonen oder verwenden. Bob: Das ist der Schlüssel zum Erfolg bei der Erfüllung der Kundenwünsche. Bob: Auf diese Weise können wir Störungen verhindern. Bob: Wir können schnell erkennen, wenn ein Ereignis eingetreten ist, und ebenso schnell wiederherstellen, um unseren Kunden weiterhin diese Dienstleistungen zu liefern. Bob: Nun, eine Sache, die meiner Meinung nach nicht so sehr geschätzt wird, wie sie es verdient hätte, ist die Tatsache, dass über die Hälfte der Sicherheitsvorfälle in unseren Organisationen auf Kompromittierungen bei Dritten zurückzuführen sind. Bob: Noch weniger bekannt ist, dass diese Kompromittierung bei Dritten oft bei einem ihrer Subunternehmer, einem ihrer vierten oder fünften Partner, wie wir sie nennen, ihren Anfang nimmt. Bob: Daher ist es für das Management von Betriebsrisiken und die Gewährleistung der Ausfallsicherheit von entscheidender Bedeutung, die Kontrollen und Prozesse unserer Dritten sowie deren Aufsicht über ihre Subunternehmer zu verstehen und dass sie Ihnen gegenüber klar offenlegen, dass sie insbesondere für die Erbringung kritischer Dienstleistungen Auftragnehmer einsetzen. Bob: Es gibt also verschiedene Arten von operativen Risiken, und jeder konzentriert sich gerne auf Cyberrisiken, auf Disaster Recovery und Geschäftskontinuität, aber jedes dieser Risiken kann sich definitiv auf Ihr Unternehmen auswirken. Bob: Unternehmen. Bob: Wir haben also ein finanzielles Risiko. Bob: Ist das Unternehmen, der Dritte, mit dem Sie zusammenarbeiten, weiterhin solide und profitabel? Bob: Gab es dramatische Veränderungen in der Finanzlage, die darauf hindeuten könnten, dass es Probleme gibt und möglicherweise eine Insolvenz droht? Bob: Und für diejenigen Drittanbieter, die für Ihr Unternehmen von entscheidender Bedeutung sind: Haben Sie einen Notfallplan für den Fall, dass sie finanziell negativ beeinflusst werden und möglicherweise in Konkurs gehen? Bob: Aus betrieblicher Sicht ist es wichtig, die Widerstandsfähigkeit zu betrachten.

Bob: Verfügen sie über die Fähigkeit, sich schnell zu erholen, um Ihnen einen unterbrechungsfreien Service zu gewährleisten? Bob: Verwalten sie ihre Ressourcen effektiv? Bob: Haben sie eine hohe Fluktuationsrate bei ihren Mitarbeitern, was sich auf ihre operative Leistungsfähigkeit auswirken könnte? Bob: War das Unternehmen von einer Übernahme oder Veräußerung betroffen, und hat dies zu einem Verlust des Fokus auf die Erbringung von Dienstleistungen für Sie geführt? Bob: Verfügen sie über ausreichende Infrastrukturkapazitäten, um weiterhin Leistungen erbringen zu können? Bob: Darüber hinaus ist es insbesondere in der heutigen Welt wichtig, die geopolitischen Standort- und Konzentrationsrisiken zu verstehen, denen wir möglicherweise ausgesetzt sind. Bob: Unternehmen haben beispielsweise festgestellt, dass ein Großteil der ausgelagerten Softwareentwicklung in der Ukraine und in Russland stattfindet, die möglicherweise direkt von den aktuellen Ereignissen in diesem Teil der Welt betroffen sind. Bob: Haben Sie herausgefunden, wo sich die Dienstleistungen befinden, die Ihnen von einem Drittanbieter bereitgestellt werden? Bob: Das Unternehmen hat vielleicht seinen Hauptsitz in den USA, aber wenn diese Dienstleistung beispielsweise heute in der Türkei erbracht wird und dort ein Erdbeben stattgefunden hat, könnte dies zu einer Unterbrechung der Dienstleistungen für Sie geführt haben. Bob: Es ist also sehr wichtig zu wissen, von wo aus die Dienstleistung erbracht wird, auf die Sie sich verlassen, nicht wo sich das Unternehmen befindet, mit dem Sie einen Vertrag abgeschlossen haben, sondern wo diese Dienstleistung erbracht wird. Bob: Und schließlich zu diesem Thema: Es ist wichtig zu wissen, wo Sie ein Konzentrationsrisiko haben, und Konzentrationsrisiken können verschiedene Formen annehmen. Bob: Es kann vorkommen, dass eine Reihe Ihrer Geschäftsaktivitäten und Geschäftsbereiche auf denselben Dritten angewiesen sind, um ihnen Dienstleistungen zu erbringen, und dass es zu einer Unterbrechung dieser Dienstleistungen kommen könnte. Bob: Im weiteren Sinne ist beispielsweise die Bankenbranche auf bestimmte wichtige Akteure in bestimmten Teilen der Welt angewiesen, und sollten diese Unternehmen oder dieser physische Standort beeinträchtigt werden, könnte dies aus cybertechnischer Sicht Auswirkungen auf die gesamte Bankenbranche haben. Bob: Die Angriffe werden immer komplizierter und ausgefeilter, was wir als „Advanced Persistent Threats“ und Angriffe auf Organisationen bezeichnen.

Bob: Wir sehen sogar mittelständische und kleinere Unternehmen, die Opfer organisierter krimineller oder sogar staatlicher Angriffe werden. Bob: Daher wird es umso wichtiger, dass im Hinblick auf Cyberangriffe und die Häufigkeit neuer Angriffe angemessene Sicherheitsmaßnahmen getroffen werden. Bob: In diesem Zusammenhang möchte ich insbesondere auf Software eingehen. Bob: Wenn Sie Software von Drittanbietern verwenden, müssen Sie sich darüber im Klaren sein, welche Software von Drittanbietern in Ihrem Unternehmen verwendet wird. Bob: So wie wir gleich darüber sprechen werden, wie Sie eine Bestandsaufnahme Ihrer Drittanbieter erstellen, ist es ebenso wichtig, einen Überblick über die Software von Drittanbietern zu haben, die in Ihrem Unternehmen verwendet wird, denn wie wir bei Solar Winds, CASA und Log 4J gesehen haben, haben diese Dinge echte Auswirkungen auf Ihr Unternehmen. Bob: Und wenn es ein Problem mit dieser Software gibt, müssen die Mitarbeiter in Ihrem Unternehmen alles stehen und liegen lassen, eine Notfallübung durchführen und herausfinden, ob Sie diese Software nutzen. Bob: Als Nächstes haben wir ESG und Umwelt- und Sozialthemen, die von Tag zu Tag wichtiger werden. Bob: Ich denke, jeder versteht, dass der Fokus auf Umweltfragen liegt. Bob: Unternehmen müssen sich also bewusst sein, dass die Menschen, mit denen sie zusammenarbeiten, und die Umweltpraktiken dieser Dritten, die sie nutzen, auf angemessene und verantwortungsvolle Weise umgesetzt werden. Bob: Aus sozialer Sicht möchten Sie sicher sein, dass die Unternehmen, mit denen Sie zusammenarbeiten, ihre Mitarbeiter fair behandeln, keine Kinderarbeit ausnutzen und eine Reihe anderer Themen berücksichtigen, wie Vielfalt und Inklusion, ihre Geschäftsmethoden und damit verbundene Themen. Bob: Und schließlich, was das Thema Compliance angeht, dass die Dritten, mit denen wir zusammenarbeiten, die erforderlichen Gesetze und Vorschriften einhalten, denn wenn sie die Gesetze und Vorschriften, denen Sie unterliegen, nicht einhalten, sind Sie potenziell haftbar und haben dadurch einen sehr negativen Einfluss auf Ihren Ruf. Bob: Das ist also wirklich der Rahmen, in dem wir uns bewegen. Bob: Wenn wir nun über den Lebenszyklus des Risikomanagements für Dritte sprechen, beginnt dieser mit der Planung und Ermittlung.

Bob: Und was uns dabei interessiert, ist herauszufinden, wie unser Lieferkettenbestand aussieht. Bob: Natürlich wollen wir wissen, mit welchen Drittanbietern wir zusammenarbeiten. Bob: Natürlich wollen wir uns auf die Drittanbieter konzentrieren, die unsere kritischen Geschäftsaktivitäten beeinflussen. Bob: Und es gibt mehrere Möglichkeiten, wie Sie in diesem Bereich beginnen können, wenn Sie versuchen, Ihren Lieferkettenbestand zu identifizieren. Bob: Sie können sich auf konzentrieren, und das ist etwas, das besonders nützlich ist. Bob: Das sind meine kritischen Drittanbieter. Bob: Und eine der besten Möglichkeiten, dies herauszufinden, ist ein Gespräch mit Ihrer IT-Abteilung, also den Personen, die für die Geschäftskontinuität und die Notfallwiederherstellung verantwortlich sind, da diese in der Regel sehr gut wissen, welche kritischen Anbieter sie benötigen, um ihre Dienstleistungen weiterhin erbringen zu können. Bob: Das ist also eine Möglichkeit, dies zu tun. Bob: Wenn Sie überprüfen möchten, ob Sie über ein vollständiges Bestandsverzeichnis Ihrer Lieferkette verfügen, ist es sehr hilfreich, sich an Ihre Mitarbeiter in der Kreditorenbuchhaltung zu wenden und zu fragen, an wen wir in den letzten zwei Jahren Zahlungen geleistet haben. Denn wenn Sie einen Lieferanten haben, der bezahlt wird, werden Sie dies über Ihren Kreditorenbuchhaltungsprozess herausfinden. Bob: Ein weiterer Aspekt ist die Sicherstellung, dass Verträge existieren und dass diese Verträge Risiken angemessen berücksichtigen. Bob: Viele Beziehungen, die Unternehmen unterhalten, bestehen schon seit vielen Jahren. Bob: Aber wenn man sie bittet, eine Kopie des Vertrags zu suchen, sagen sie: „Oh, wir arbeiten schon seit 20 Jahren mit ihnen zusammen, und niemand kann den Vertrag finden.“ Bob: Das ist problematisch. Bob: Als Nächstes kommen wir zur Risikobewertung, bei der wir uns damit befassen, wie wir unsere Sorgfaltspflicht erfüllen, und uns auf die Einarbeitung konzentrieren. Bob: Eines der größten Probleme, das wir bei Risiken durch Dritte feststellen, ist, dass der Prozess für die Aufnahme neuer Dritter zu umständlich ist und sich zu lange hinzieht. Bob: Und wenn man mit seinen Geschäftspartnern spricht, sind sie bereit, eine Marktchance zu nutzen oder sicherzustellen, dass sie ihre Dienstleistungen weiterhin sehr schnell erbringen können, und wir müssen bei der Durchführung dieses Risikobewertungsprozesses sehr effizient sein.

Bob: Ich kenne große Unternehmen, bei denen es drei Monate oder länger dauern kann, einen wichtigen Lieferanten oder Dienstleister zu integrieren, und das ist aus geschäftlicher Sicht einfach zu lang, um Dinge zu erledigen. Bob: Auch das ist ein Thema, über das wir in einem zukünftigen Webinar sprechen werden. Bob: Wichtig ist, dass Sie Ihre Due-Diligence-Prüfung und Ihren Onboarding-Prozess effizienter gestalten und ernsthaft darüber nachdenken, wie Sie diese Prozesse automatisieren können, um erfolgreich zu sein. Bob: Als Nächstes haben wir die kontinuierliche Überwachung. Bob: Aus meiner Sicht ist die kontinuierliche Überwachung für das Risikomanagement von Drittanbietern absolut entscheidend. Bob: Bei einer Risikobewertung nehmen Sie eine punktuelle Bewertung der Kontrollen vor, die Ihr Drittanbieter eingerichtet hat. Bob: Das ist gut für den Tag, an dem die Bewertung durchgeführt wird, aber es gibt noch 364 weitere Tage im Jahr, an denen Sie einen Überblick über die Leistung Ihrer Drittanbieter haben müssen. Bob: Sie können also mit einer Risikobewertung beginnen, aber insbesondere bei Ihren kritischen Drittanbietern müssen Sie kontinuierlich alle operativen Risiken überwachen, denen Ihre Drittanbieter in der gesamten Lieferkette ausgesetzt sind, und sicherstellen, dass diese ordnungsgemäß gemanagt werden, um Ihr Geschäft zu unterstützen. Bob: Von dort aus kommen wir zum Thema Abhilfemaßnahmen und Problemmanagement. Bob: Und für mich ist dies vielleicht das frustrierendste aller Themen, weil ich viele Fälle gesehen habe, in denen Unternehmen dies nicht gut machen. Bob: Wenn Sie sich die Zeit nehmen, eine Risikobewertung durchzuführen, und dabei Probleme identifiziert werden, dann nehmen Sie sich auch die Zeit, um sicherzustellen, dass die Probleme ausreichend behoben und validiert werden. Bob: Andernfalls sollten Sie sich, ganz ehrlich gesagt, die Risikobewertung sparen. Bob: Wenn Sie die identifizierten Probleme nicht beheben, denn genau dort findet die eigentliche Risikominderung statt. Bob: Entschuldigung. Bob: Und wenn Sie Probleme identifizieren, haben Sie drei Möglichkeiten, damit umzugehen. Bob: Sie können das Problem beheben, Sie können das Problem akzeptieren oder Sie können das Problem, das damit verbundene Risiko, übertragen. Bob: Nun, die Risikoübertragung erfolgt in der Regel durch eine sogenannte Cyberversicherung.

Bob: Wenn Sie beispielsweise viele Kunden haben und sich Sorgen über eine Datenpanne bei Ihren Kunden machen, können Sie eine Cyberversicherung abschließen, die Ihnen hilft, das Risiko einer möglichen Gefährdung Ihrer Kunden auszugleichen. Bob: Aber die einzige Möglichkeit, eine Cyberversicherung abzuschließen, ist ein solides Risikomanagementprogramm. Bob: Wenn es darum geht, Risiken zu akzeptieren, ist es wichtig, dass das Unternehmen nicht einfach sagt: „Okay, ich akzeptiere das Risiko.“ Das Unternehmen hat einen Dritten beauftragt und ist für dessen Handlungen verantwortlich. Wenn es Probleme gibt, die nicht behoben werden können, müssen Ausgleichskontrollen eingerichtet werden, um das Risiko auszugleichen. Wenn ein Unternehmen einfach nur Risiken akzeptiert, akzeptiert es diese möglicherweise nicht im Namen seiner Geschäftseinheit, sondern im Namen des gesamten Unternehmens, und das bringt uns in eine inakzeptable Lage. Bob: Also beheben Sie das Problem mit kompensierenden Kontrollen und übertragen Sie das Risiko beispielsweise durch eine Cyberversicherung, wenn dies eine Option ist. Der letzte Teil des Lebenszyklus ist dann die Beendigung, und einer der Schwerpunkte dabei ist, sicherzustellen, dass Sie die Daten, die von dem Dritten verarbeitet wurden, ordnungsgemäß erhalten oder dass sie vernichtet werden und dass der Zugriff aller Mitarbeiter des Dritten, die Zugang zu Ihrer Umgebung hatten, ordnungsgemäß behoben wird. Bob: Das TPRM-Reifegradmodell ist nur eines von vielen Modellen, die es in diesem Bereich gibt, aber es vermittelt die entscheidenden Punkte. Bob: Also, fünf Stufen. Bob: Auf Stufe eins ist Ihr Risikomanagementprozess für Dritte sehr ad hoc und Sie verfügen möglicherweise nicht über die richtigen Ressourcen. Bob: Sie haben keine dokumentierten Verfahren. Bob: Sie wissen nicht, wie Ihr Bestand an Dritten aussieht, und Sie versuchen herauszufinden, wie Sie anfangen sollen. Bob: Und aus Sicht des TPRM ist das der Punkt, an dem viele Menschen beginnen. Bob: Aber die bestehenden Risiken sind ziemlich groß. Bob: Von dort aus gehen wir zu Stufe zwei über, wo zumindest Ressourcen zugewiesen wurden, Ihre Prozesse aber immer noch nicht gut dokumentiert sind und Sie in erster Linie auf Ereignisse reagieren, die eintreten. Bob: Auf Stufe zwei versuchen Sie also herauszufinden, was Sie tun müssen. Bob: Wie bekomme ich die Ressourcen zusammen? Bob: Wie strukturiere ich mein Programm?

Bob: Und diese Dinge sind für den Erfolg Ihres Programms von entscheidender Bedeutung, darunter auch die Frage, wie Sie Sponsoren aus wichtigen Interessengruppen gewinnen können. Bob: Auf Stufe drei verfügen Sie über einen dokumentierten Plan und einen Fahrplan. Bob: Sie wissen, wo Sie hinwollen und was Sie erreichen möchten. Bob: Sie haben nun eine Organisationsstruktur für Ihr Programm. Bob: Und Sie haben einige Governance-Prozesse eingerichtet und begonnen, Dialoge mit den verschiedenen Stakeholdern in Ihrer Organisation zu führen. Bob: Dabei beginnen Sie, einige der identifizierten Probleme anzugehen und sicherzustellen, dass Ihr Programm allmählich ausgereift ist. Bob: Viele Organisationen stellen fest, dass sie weit genug gekommen sind, sobald sie diese Schritte für Stufe drei für ihr Unternehmen umgesetzt haben. Bob: Es gibt jedoch noch einiges zu tun und andere Dinge zu berücksichtigen. Bob: Und damit kommen wir zu Stufe vier, in der ein Risikomanagementprogramm für Dritte implementiert wurde. Bob: Möglicherweise verfügen Sie über Richtlinien und Standards. Bob: Sie verstehen die Risiken, verfolgen diese aktiv und haben begonnen, die Integrität Ihrer kritischen Dritten in gewissem Umfang kontinuierlich zu überwachen. Bob: Auf Stufe fünf, die wir im Allgemeinen als Optimierungsstufe bezeichnen, verbessern Sie Ihr Risikoprogramm für Dritte kontinuierlich. Bob: Sie gehen Risiken proaktiv an. Bob: Sie untersuchen die Risiken Ihrer Subunternehmer genauer. Bob: Und Sie geben viel Geld aus. Bob: Für viele Unternehmen ist es daher mehr, als Ihr Unternehmen benötigt und vielleicht mehr, als Ihr Budget verkraften kann, Stufe fünf, also diesen optimierten Zustand, zu erreichen. Bob: Wenn Sie also am Ende des Tages irgendwo zwischen Stufe drei und Stufe vier landen und Ihr Programm auf diese Weise ausreifen lassen, stellen Sie sicher, dass Sie sowohl die von Ihnen identifizierten kritischen Risiken als auch die neu aufgetretenen Risiken kontinuierlich angehen. Bob: Also den Konsens innerhalb der Organisation und der Lieferkette für den Erfolg des Risikoprogramms für Dritte aufbauen. Bob: Es gibt also eine Reihe von geschäftlichen Gründen, warum wir widerstandsfähige Lieferketten aufbauen müssen. Bob: Dazu gehören Wettbewerbsvorteile, die Fähigkeit eines Unternehmens, schnell in neue Märkte einzutreten, und die Verbesserung der Abhängigkeit des Unternehmens von der Lieferkette, da immer mehr Unternehmen ständig Aktivitäten auslagern.

Bob: Das ist also ein wichtiger Antrieb für unser Handeln und wahrscheinlich auch der Grund, warum viele von Ihnen heute hier sind, denn wenn wir die Abhängigkeit unseres Geschäfts von Lieferketten erhöhen, müssen wir auch sicherstellen, dass wir Maßnahmen ergreifen, um dieses Risiko auszugleichen. Bob: Wir haben es mit Black-Swan-Ereignissen zu tun, die, wie ich bereits sagte, keine schwarzen Schwäne mehr sind, sondern alltägliche Ereignisse, und wir müssen besser auf dieses Risiko vorbereitet sein. In Bereichen wie dem Gesundheitswesen und den Finanzdienstleistungen müssen wir zudem immer strengere regulatorische Anforderungen erfüllen. Unterm Strich versuchen wir also, Vertrauen in unseren Lieferketten aufzubauen. Die Dritten, mit denen wir zusammenarbeiten, sind unsere Partner, sie sind nicht der Feind. Bob: Sie sind nicht nur jemand, den wir einer Sorgfaltsprüfung unterziehen müssen, sondern jemand, zu dem wir eine Beziehung aufbauen müssen, denn unsere Drittanbieter können uns viel darüber lehren, wie unser Unternehmen läuft und wie es wahrgenommen wird. Bob: Und wenn wir Vertrauen zu ihnen aufbauen – und dieses Vertrauen muss zu jedem einzelnen Drittanbieter aufgebaut werden –, können wir uns in einem positiven Kreislauf wiederfinden, der sich letztendlich für uns alle auszahlt. Bob: Vertrauen in der gesamten Lieferkette ist also ein Schlüsselkonzept, auf das wir uns stärker konzentrieren müssen, ebenso wie auf die Bedeutung der Stakeholder im Risikomanagement von Drittanbietern. Bob: Für mich ist es entscheidend für den Erfolg, zu verstehen, wer die Stakeholder in jedem Unternehmen sind, mit dem ich zusammenarbeite. Bob: Wie wir diese Beziehungen pflegen, wer unsere logischen Partner auf diesem Weg sind. Bob: Der Weg, den wir mit TPRM eingeschlagen haben. Bob: Wie können diese Stakeholder uns helfen, unseren Erfolg sicherzustellen? Bob: Ich habe hier eine Reihe verschiedener Stakeholder aufgelistet. Bob: Ich werde nicht unbedingt in der Reihenfolge sprechen, in der sie hier aufgeführt sind, sondern in der Reihenfolge ihrer Wichtigkeit. Bob: Eine der wichtigsten Organisationen, auf die wir uns konzentrieren und mit denen wir Beziehungen aufbauen müssen, ist unsere Beschaffungs- und Sourcing-Organisation. Bob: Sie haben den besten Überblick darüber, was die verschiedenen Geschäftsbereiche in unserem Unternehmen vorhaben, und stehen unter großem Druck, neue Drittanbieter zu gewinnen. Im Rahmen des Onboarding-Prozesses ist eine der wichtigsten Maßnahmen die Durchführung einer Risikobewertung für Drittanbieter. Bob: Die Pflege der Beziehungen zur Beschaffungsabteilung hilft also dabei, wichtige Trends im Unternehmen zu verstehen.

Bob: Wenn Unternehmen nach neuen Drittanbietern suchen, ist es oft die Beschaffungsabteilung, die davon zuerst erfährt, lange bevor Sie gebeten werden, eine Risikobewertung für Drittanbieter durchzuführen. Bob: Indem Sie diese Beziehung aufbauen und sie unterstützen, wenn sie zu Ihnen kommen und Risikobewertungen durchführen müssen, um die Einarbeitung abzuschließen, bauen Sie eine gesunde Beziehung auf und verschaffen sich einen Überblick darüber, was tatsächlich vor sich geht und wie Ihre Unternehmen den Aufbau ihrer Beziehungen zu Drittanbietern angehen. Bob: Wenn Sie in Ihrem Unternehmen einen Schwerpunkt auf Unternehmens- oder operatives Risikomanagement legen und eine Funktion haben, die dafür verantwortlich ist, können diese Personen großartige Partner für Sie sein, da ihre Aufgabe in einem Modell liegt, das wir als drei Verteidigungslinien bezeichnen, wobei die erste Verteidigungslinie die operativen Einheiten sind, die tatsächlich täglich daran arbeiten, verschiedene Funktionen zu verwalten. Bob: Die zweite Verteidigungslinie, die Teams für Unternehmens- und Betriebsrisikomanagement, hat die Aufgabe, zu überwachen und zu überprüfen, ob die Kontrollen, die die Mitarbeiter der ersten Verteidigungslinie eingerichtet haben, effektiv angewendet werden. Bob: Pflegen Sie eine Beziehung zu Ihren Mitarbeitern im Unternehmensrisikomanagement und bieten Sie ihnen Transparenz darüber, was Sie mit TPR tun. Bob: Wenn Sie ihnen zeigen, wie Sie die Risiken und auftretenden Probleme handhaben, können sie effektiver mit der ersten Linie und dem Unternehmen zusammenarbeiten, um sie dazu zu bewegen, die Maßnahmen zur Risikominderung und zum besseren Risikomanagement zu ergreifen, die Ihr Unternehmen benötigt. Bob: Eine weitere wichtige Beziehung ist die zu den Relationship Managern für Dritte. Bob: Geschäftsbereiche sollten, auch wenn sie dies nicht immer tun, jemanden im Geschäftsbereich benennen, der für die Pflege der Beziehung und die Überwachung der Leistung des Dritten verantwortlich ist. Bob: Dies sind aus Sicht des TPRM wichtige Personen, mit denen Sie zusammenarbeiten können, um sicherzustellen, dass Dritte Ihre Anforderungen an die Risikobewertung kennen, dass sie verantwortlich sind, wenn Probleme identifiziert werden, um dieses Risiko zu mindern, und dass sie Sie bei diesen allgemeinen Bemühungen unterstützen, Risiken mit Dritten besser zu managen.

Bob: Die Informationssicherheit ist ein wichtiger Stakeholder, da sie viele Funktionen hat, die direkt mit dem Risikomanagement von Drittanbietern zusammenhängen, und in den meisten Fällen sind Risikomanagementprogramme für Drittanbieter Teil der Informationssicherheitsorganisation. Bob: Wenn also bei einem Drittanbieter ein Vorfall auftritt, wird in der Regel das Unternehmen benachrichtigt, das Sie dann möglicherweise informiert, oder es wird Ihrem Security Operations Center oder SOCK, wie es manchmal genannt wird, gemeldet. Bob: Und wenn SOCKS von Sicherheitsvorfällen bei Dritten, die Ihr Unternehmen möglicherweise nutzt, Kenntnis erlangt, benötigt es Informationen darüber. Bob: Es wird sich an das Team des Dritten wenden, oder das Team des Dritten wird sich proaktiv an das SOCK wenden, um bei der Bewältigung eines Vorfalls zu helfen. Bob: Ebenso kann die Cyber-Intelligence-Funktion in Ihrem Informationssicherheitsteam, die nach potenziellen zukünftigen Schwachstellen sucht, proaktiver nach Risiken Ausschau halten, die sich in Bezug auf diese Drittanbieter ergeben oder entwickeln könnten, wenn sie über die kritischen Beziehungen Ihres Unternehmens zu Drittanbietern informiert ist. Bob: Was nun den Vorstand und die Geschäftsleitung betrifft, die ganz oben auf der Liste stehen. Bob: Der Vorstand muss sich über die Risiken im Klaren sein, die mit der Entscheidung von Unternehmen verbunden sind, Beziehungen zu Dritten auszulagern. Bob: Tatsächlich sollte der Vorstand vor wichtigen Outsourcing-Entscheidungen zu der Art der Beziehung konsultiert werden und zustimmen, dass es sich um eine für das Unternehmen angemessene Beziehung handelt. Bob: Ist das immer der Fall? Bob: Nein, das ist es nicht. Bob: Aber wenn man sich die Vorschriften ansieht, insbesondere im Bereich der Finanzdienstleistungen, wird vom Vorstand erwartet, dass er über Risiken durch Dritte informiert ist und eine aktive Rolle bei der Überwachung des Risikoprogramms für Dritte spielt. Bob: Außerdem ist er dafür verantwortlich, der Geschäftsleitung seine Risikobereitschaft in Bezug auf das Outsourcing an Dritte mitzuteilen. Bob: Die Geschäftsleitung ist dafür verantwortlich, die Risikobereitschaft des Vorstands an die Geschäftsbereiche und alle Funktionen innerhalb des Unternehmens weiterzugeben, damit durch Outsourcing keine unangemessenen Risiken eingegangen werden. Bob: an Dritte.

Bob: Das Management der Geschäftseinheiten ist der wichtigste Entscheidungsträger, wenn es darum geht, Bedürfnisse und Möglichkeiten für die Auslagerung an Dritte zu identifizieren. Bob: Das Management der Geschäftseinheiten sollte in diesem Zusammenhang eine sehr klare Definition dessen haben, was es erreichen will, sowie ein Verständnis für Risiken, und jemanden innerhalb der Geschäftseinheit benennen, der für das Management dieser Risiken durch Dritte verantwortlich ist. Bob: Und das war es, was ich als Relationship Manager bezeichnet habe. Bob: Je nach Art des Geschäfts und den Informationen oder Zugriffen, die mit einem Dritten geteilt werden, besteht bei der Offenlegung von Finanzinformationen das potenzielle Risiko von Betrug. Bob: Daher kann es wichtig sein, zu wissen, wer für das Betrugsrisikomanagement zuständig ist, insbesondere in einer Organisation, in der Finanztransaktionen stattfinden, da zunehmend Dritte ausgenutzt werden, um an diese Finanzinformationen zu gelangen und Betrug zu begehen. Bob: Die Rechtsabteilung hat ein starkes Interesse an Vertragsmanagement und daran, zu verstehen, welche Risiken bei der Aufnahme von Beziehungen zu Dritten entstehen können. Bob: Das Thema Verträge ist also wirklich wichtig. Bob: Und eine der Maßnahmen, die Unternehmen ergreifen, ist, dass sie zusätzlich zu dem Rahmenvertrag, den sie mit einem Unternehmen abschließen, oft einen Sicherheitsanhang zum Vertrag hinzufügen. Bob: Und wenn solche Verträge mit Dritten unterzeichnet werden, müssen drei wichtige Punkte enthalten sein. Bob: Das sind das Recht auf Benachrichtigung, die Verpflichtung des Dritten, Ihr Unternehmen über jede Datenverletzung zu informieren, und schließlich die Verpflichtung, alle festgestellten Probleme zu beheben. Bob: Dieser Sicherheitszusatz wird also zu einem wichtigen Aspekt der Beziehung zu Dritten und erfordert oft Gespräche mit Ihren Juristen, die sich nicht nur mit rechtlichen Fragen befassen, sondern auch mit Compliance, beispielsweise im Falle einer Datenverletzung oder eines anderen Sicherheitsvorfalls aus Compliance-Sicht. Bob: Wenn Sie mit einem Dritten zusammenarbeiten, möchten Sie keine negativen Nachrichten über diesen Dritten sehen, die seine Arbeitspraktiken, sein Engagement für die Umwelt oder andere Probleme, die auftreten könnten, in Frage stellen.

Bob: Die Zusammenarbeit mit der Compliance-Abteilung, um ihr zu helfen, negative Nachrichten oder andere ungewöhnliche Verhaltensweisen bei einem Drittanbieter zu erkennen, ist daher eine wichtige Beziehung für die Geschäftskontinuität und die Notfallwiederherstellung. Bob: Wie ich bereits sagte, sind sie ein großartiger Partner auf diesem Weg und haben ein sehr gutes Verständnis dafür, wer die kritischen Drittanbieter sind, die man gut kennen muss, um Ihr Unternehmen kontinuierlich zu unterstützen. Bob: Wenn Sie also anfangen, sollten Sie als Erstes bei der Erstellung Ihres Inventars ermitteln, wer diese kritischen Dritten sind. Bob: Und der beste Weg, um dies zu erreichen, ist die Zusammenarbeit mit Ihren Mitarbeitern für Geschäftskontinuität und Notfallwiederherstellung. Bob: Der Datenschutz ist ein wichtiger Aspekt, wenn Sie Informationen an Dritte weitergeben. Bob: Wenn ich nun darüber nachdenke, wer meine kritischen Lieferanten sind, meine kritischen Dritten. Bob: Ich denke dabei an zwei Dinge. Bob: Mit wem teile ich Informationen und wem gewähre ich Zugriff auf meine Infrastruktur und mein Netzwerk? Bob: Das bestimmt für mich maßgeblich, wer meine kritischen Dritten sind. Bob: Wenn man also über Informationen nachdenkt, über den Austausch vertraulicher Informationen mit Dritten, ist der Datenschutz definitiv ein kritisches Thema. Bob: Finanzen natürlich, weil man eine Möglichkeit haben muss, die finanzielle Gesundheit von Dritten und dann auch von den tatsächlichen Dritten, Vierten und Fünften zu überprüfen. Bob: Um zu verstehen, was die Lieferkette ist, sagen die Leute: „Nun, ich fange gerade erst mit meinem Programm an und identifiziere Dritte.“ Bob: Wie komme ich zu meinen vierten, fünften und sechsten Parteien? Bob: Beginnen Sie mit den dritten, vierten und fünften Parteien, die mit den kritischen Geschäftsaktivitäten verbunden sind, an denen Dritte beteiligt sind. Bob: Den Rest können Sie später angehen. Bob: Und wenn Sie in einem Bereich arbeiten, in dem Vorschriften eine wichtige Rolle spielen, sollten Sie natürlich einen offenen Dialog mit Ihren Aufsichtsbehörden führen, gut kommunizieren und die Vorschriften weiterhin beobachten, da sich diese weiterentwickeln und viele neue Vorschriften in Aussicht stehen. Bob: In Veröffentlichungen und je nach dem Land, in dem Sie geschäftlich tätig sind, gelten unterschiedliche Vorschriften. Bob: Das war's auch schon mit der Präsentation.

Bob: Wenn Sie Fragen haben, bin ich gerne bereit, diese zu beantworten, und würde mich freuen, von Ihnen zu hören. Bob: Und wenn Sie nach diesem Webinar noch Fragen haben, finden Sie hier meine Kontaktdaten: bobcyms.net und meine Handynummer. Bob: Sie können sich gerne an mich wenden. Bob: Ich mache das sehr gerne. Bob: Ich freue mich also auf ein Gespräch mit jedem von Ihnen. Bob: Okay, an dieser Stelle werde ich meine Präsentation beenden und das Wort an Scott Lang übergeben. Bob: Scott, bitte übernehmen Sie.

Scott Lang: Super. Vielen Dank, Bob. Scott Lang: Äh, nur kurz, um sicherzugehen, dass mich alle hören können. Scott Lang: Okay. Scott Lang: Können Sie mich hören? Scott Lang: Okay, Ashley, können Sie mich hören? Scott Lang: Okay. Ashley: Ja, Sir.

Scott Lang: Großartig. Scott Lang: Gut. Scott Lang: Äh, nun, vielen Dank, dass Sie sich heute eine Stunde Zeit genommen haben, um sich einige ziemlich unglaubliche Best Practices anzuhören, die Bob aufgrund seiner Erfahrungen und einiger grundlegender Elemente zum Aufbau eines TPM-Programms mit Ihnen teilen möchte. Scott Lang: Heute möchte ich Ihnen nur ein paar Dinge erklären, wie Sie ziemlich schnell loslegen können und wie wir das Ganze aus unserer Sicht sehen. Scott Lang: Überlegen Sie sich also schon einmal Ihre Fragen an Bob, falls Sie diese noch nicht im Q&A-Tab in Zoom gestellt haben, während ich meine Präsentation durchgehe. Scott Lang: Wenn wir mit unseren Kunden sprechen, sagen sie uns überwiegend, dass sie mit ihrem Programm zum Management von Risiken durch Dritte drei Dinge erreichen wollen. Scott Lang: Scott Lang: Erstens möchten sie die Daten erhalten, die sie benötigen, um bessere Geschäftsentscheidungen über Lieferanten zu treffen, um Dritte zu bewerten und um zu beurteilen, wie und nach welchen Kriterien ein Lieferant möglicherweise ausgemustert werden sollte. Scott Lang: Drittens möchten sie die Effizienz bei der Bewertung, Überwachung und Behebung von Problemen steigern, indem sie die Informationssilos, Tools und Systeme aufbrechen, die in fast jedem Unternehmen vorhanden sind, und drittens möchten sie ihre Programme im Laufe der Zeit weiterentwickeln und skalieren, da die Anzahl der Dritten, mit denen sie zusammenarbeiten, zunimmt. Scott Lang: Ähm, wissen Sie, wie sie sich effektiv positionieren können, um die zusätzliche Ebene der Bewertungs- und Abhilfemaßnahmen zu bewältigen, die entsprechend durchgeführt werden müssen. Scott Lang: Das Problem ist jedoch, dass die manuelle Durchführung von Risikobewertungen für Dritte oder das manuelle Risikomanagement für Dritte am Ende viel Zeit und Geld kostet, ohne dass dabei nennenswerte Ergebnisse erzielt werden. Scott Lang: Ein Beweis dafür ist, dass wir jedes Jahr eine Umfrage in der Branche durchführen und eine der Fragen lautet, wie viel Prozent der Unternehmen noch immer Tabellenkalkulationen verwenden, um ihre Risikobewertungen von Lieferanten durchzuführen. Scott Lang: Nun, in den letzten drei Jahren ist dieser Trend ziemlich gleich geblieben. Scott Lang: Es waren 42 %, dann 45 %, dann 46 % und wieder 42 %.

Scott Lang: Etwas weniger als 50 % der Leute da draußen verwenden immer noch Tabellenkalkulationen, um ihre Drittanbieter zu bewerten, ihre Ergebnisse mit akzeptablen Kontrollschwellenwerten zu vergleichen und dann irgendwelche Abhilfemaßnahmen oder Berichte zu erstellen, und wir alle wissen, dass man das mit Tabellenkalkulationen einfach nicht effektiv machen kann. Scott Lang: Zweitens haben sie es mit veralteten Informationen zu tun. Scott Lang: Etwa 46 % der Leute, mit denen wir sprechen, sagen, dass sie keine Echtzeit-Informationen über das Risiko von Lieferanten haben. Scott Lang: Und wie Bob vorhin erwähnt hat. Scott Lang: Das zu tun, wissen Sie, ist wertvoll, wenn man es hin und wieder macht. Scott Lang: Es gibt Ihnen eine gute Ausgangsbasis, aber zwischen diesen Risikobewertungen passiert eine Menge. Scott Lang: Und ohne diesen konsistenten Informationsfluss über Cyberrisiken, geschäftliche oder negative Nachrichten, Reputationsprobleme, finanzielle Probleme, ESG-Ergebnisse oder was auch immer von Dritten, setzen Sie sich wirklich vielen zusätzlichen Risiken aus. Scott Lang: Und drittens, und das knüpft an die vorherige Folie an, haben viele Unternehmen viele verschiedene Mitarbeiter, die sich um diese Aufgaben kümmern. Scott Lang: Bei etwa 50 % der Unternehmen, die wir kennen, sind die IT- und Infosc-Teams für das Risiko durch Dritte zuständig, während die anderen 50 % auf etwa vier andere Abteilungen verteilt sind, und das ist wahrscheinlich ähnlich wie bei vielen Teilnehmern dieser Telefonkonferenz heute, etwa 50/50 Sicherheit und Nicht-Sicherheit. Ich würde vermuten, dass das Problem darin besteht, dass jede dieser Abteilungen dort aufgeführt ist und dann die Zahlen, die wir hier nicht einmal aufgeführt haben, die Abteilungen, die wir hier nicht aufgeführt haben, jede in gewisser Weise an Drittanbieterrisiken beteiligt ist. Scott Lang: Es kommen also viele verschiedene Tools zum Einsatz, viele davon manuell, nur sehr wenige bieten Echtzeit-Informationen. Scott Lang: Das sorgt nur für viel Verwirrung und Überschneidungen im Unternehmen. Scott Lang: Unser Ansatz zur Lösung des Problems besteht also darin, Ihnen viel mehr Vorgaben zu machen, und zwar abteilungsübergreifend in den Bereichen Beschaffung, Lieferantenmanagement, IT-Sicherheit, Datenschutz, Rechtskonformität und so weiter. Scott Lang: Und um die Risiken in jedem Schritt des Lebenszyklus eines Drittanbieters einzeln zu betrachten, sehen wir in jedem dieser Schritte Herausforderungen, aber wir sehen auch Lösungen und Bedürfnisse und Wünsche in jedem dieser Schritte.

Scott Lang: Wissen Sie, Automatisierung und Intelligenz sind wichtig, wenn man Anbieter bewertet. Scott Lang: Wissen Sie, herauszufinden, ob ein Anbieter für den Zweck oder die Verwendung geeignet ist, ist zwar gut für das Unternehmen, aber auch schlecht für das Unternehmen, weil man nicht weiß, ob er zu Ihrem Risiko passt. Scott Lang: Schwellenwert. Scott Lang: Ähm, die Schaffung einer einzigen Quelle der Wahrheit in Bezug auf Lieferantenrisikoprofile, Aufnahmeprozesse, Vertragsabschlüsse und Onboarding-Workflows ist für viele Unternehmen eine Herausforderung. Scott Lang: Wissen Sie, verschiedene Tools und Prozesse tragen eher noch zum Problem bei. Scott Lang: Und drittens, wenn man keine gute, ähm, ähm, inhärente Risikobewertung hat, damit man eine Grundlage hat, auf der man den Rest seiner Bewertungsstrategie aufbauen kann, wissen Sie. Scott Lang: Als Nächstes gibt es noch eine weitere große Herausforderung für Unternehmen, bei deren Bewältigung wir helfen: die Rationalisierung des laufenden Bewertungsprozesses im Hinblick auf verschiedene Anforderungen, denn es geht nicht nur um IT-Sicherheit und Datenschutz und bestimmte Compliance-Anforderungen, obwohl dies den größten Teil ausmacht, sondern auch um das Verständnis ihrer finanziellen Lage oder bestimmter ESG-Kennzahlen oder der Bekämpfung von Bestechung und Korruption oder der Bekämpfung von-Geldwäschebekämpfung, also solche Dinge. Wie bringt man das alles in einer Lösung zusammen? Als Nächstes geht es um die kontinuierliche Überwachung und Validierung dieser Ergebnisse. Scott Lang: Wie wir bereits gesagt haben, ist eine Momentaufnahme der internen Kontrollen eines Unternehmens, beispielsweise in Bezug auf IT-Sicherheitsrisiken, nur an dem Tag gültig, an dem diese Kontrollen erfasst wurden. Scott Lang: Als Nächstes geht es um die Messung der Leistung im Zeitverlauf. Scott Lang: Ob ein Anbieter, Lieferant oder Dritter Ihre vertraglichen Anforderungen erfüllt, ist notwendig, um Ihre KPIs und KIS einzusehen und diese anhand der Service-Levels zu messen. Scott Lang: Und schließlich die Kündigung und Aufnahme von Organisationen.

Scott Lang: Wissen Sie, man sieht hier gewisse Parallelen zu dem, was Bob in seiner Präsentation über den Lebenszyklus von Drittanbietern und Lieferanten vorgestellt hat, aber man muss sicherstellen, dass bei der Beendigung einer Geschäftsbeziehung, einer Lieferantenbeziehung, die Richtlinien zur Datenvernichtung eingehalten werden, die Vertragsbedingungen eingehalten werden, die letzten Zahlungen geleistet werden und vieles mehr. Scott Lang: Wir sehen also viele Herausforderungen in diesem Lebenszyklus, aber wir sehen auch Lösungen. Scott Lang: Und letztendlich geht es darum, drei Dinge zu erreichen. Scott Lang: Die Onboarding-Prozesse zu vereinfachen und zu beschleunigen, indem man eine einzige Informationsquelle und einen einzigen Prozesssatz nutzt, um diesen Prozess zu optimieren und Lücken in der Risikodeckung zu schließen, von denen uns viele Unternehmen berichten. Scott Lang: Sie sagen, dass sie Daten nur in regelmäßigen Abständen überprüfen. Scott Lang: Und schließlich die Teams über den gesamten Lebenszyklus von Drittanbietern hinweg zu vereinheitlichen. Scott Lang: Das ist die Grundlage dessen, was wir Ihnen im Bereich des Drittanbieterrisikos helfen möchten zu erreichen. Scott Lang: Und um das zu erreichen, stellen wir Ihnen eine einzigartige Kombination von Experten zur Verfügung, die die schwierige Arbeit im Bereich der Risiken durch Dritte für Sie übernehmen, angefangen bei der Einbindung von Lieferanten über deren Bewertung bis hin zur Behebung der Ergebnisse, was ein wichtiger Punkt ist, den Bob angesprochen hat, und schließlich die laufende Verwaltung, wodurch Sie die umfangreichsten Datenintelligenz-Inputs für Ihre Lieferantenprofile erhalten, die Ihnen helfen, gute risikobasierte Entscheidungen in einer Vielzahl von Bereichen der Lieferantenrisiken zu treffen. Scott Lang: Dies geschieht über eine Plattform, die den Prozess für alle Abteilungen im gesamten Unternehmen automatisiert, verwaltet und zentralisiert. Scott Lang: Das ist es, was wir Ihnen bieten, um Ihnen zu helfen, schnell durchzustarten und Ihr Programm zur Automatisierung von Risiken durch Dritte sehr schnell in Gang zu bringen. Scott Lang: Ähm, wissen Sie, wir befassen uns mit verschiedenen Arten von Risikobereichen. Scott Lang: Anstatt also sechs oder acht verschiedene Tools zu kaufen, um verschiedene Arten von Risiken zu bewerten und zu überwachen, denen Ihr Unternehmen durch die Nutzung von Drittanbietern ausgesetzt sein könnte, hat sich Prevalent darauf spezialisiert, all das in einer Lösung zusammenzufassen. Scott Lang: Und das Ergebnis ist wirklich dreifach.

Scott Lang: Und erstens, um Ihnen dabei zu helfen, klügere, risikobasierte Entscheidungen zu treffen, mit guten rollenbasierten Berichtsanalysen und umfassenden Risikoanalysen, um Prozesse, Profilbewertungen und den Lebenszyklus vom Onboarding bis zum Offboarding zu vereinheitlichen, und dann mit integrierten intelligenten Workflows und dem gesamten dahinterstehenden Fachwissen sehr präskriptiv zu sein, um Sie auf Ihrem Weg zum Risikomanagement für Dritte zu unterstützen. Scott Lang: Apropos Weg: Ein guter erster Schritt ist die Durchführung einer Reifegradbewertung. Scott Lang: Bob hat in seinem Teil der Präsentation eine Reifegradbewertung erwähnt. Scott Lang: Wir bieten eine Reifegradbewertung an, die das, worüber Bob gesprochen hat, wirklich operationalisiert. Dabei handelt es sich um eine ziemlich schnelle 45-minütige Bewertung mit 45 Multiple-Choice-Fragen auf unserer Plattform, die dann einen Bericht erstellt, der Ihnen sagt, wo sich Ihr Unternehmen auf dieser Reifeskala befindet, und Ihnen einige sehr spezifische Anleitungen gibt, was Sie als Nächstes tun sollten, je nachdem, was Ihr Unternehmen erreichen möchte. Scott Lang: Als Teil des Folgeprozesses zu diesem heutigen Webinar erhalten Sie die Aufzeichnung, die Folien und einen Link zur Reifegradbewertung. Scott Lang: Sie können einen Termin mit unserem Team vereinbaren, und wir werden Sie durch diesen Prozess begleiten. Scott Lang: Ein großartiger erster Schritt, um festzustellen, wo Sie derzeit stehen und wo Sie hin möchten. Scott Lang: Okay, das ist alles, was ich Ihnen heute mitteilen wollte. Scott Lang: Ich gebe nun zurück an Ashley. Scott Lang: Ashley, ich denke, wir können nun die Fragerunde eröffnen.

Ashley: Vielen Dank. Ashley: Aber zuerst werde ich unsere zweite Umfrage starten. Ashley: Wir sind einfach neugierig, ob Sie innerhalb dieses Jahres ein Programm zum Management von Risiken durch Dritte einführen oder ausbauen möchten. Ashley: Und bitte seien Sie ehrlich, denn wir werden bei Ihnen nachhaken. Ashley: Aber lassen Sie uns zunächst einige dieser Fragen durchgehen. Ashley: Ich freue mich über die rege Beteiligung. Ashley: Und wir haben ziemlich viele Fragen. Ashley: Also, Bob, warum suchst du nicht ein paar aus, die deiner Meinung nach für unser Publikum am wertvollsten sind. Bob: Okay. Bob: Dann gehe ich mal zum Chat. Bob: Äh, ich werde hier einfach so viele wie möglich der Reihe nach durchgehen. Bob: Okay, die erste Frage. Bob: Mein Kunde hat mindestens einen Anbieter erlebt, der einen externen Cybersicherheitsdienstleister beauftragt, der die Überwachung seiner Firewall-Ereignisse auslagert. Bob: Okay. Bob: Gibt es eine Möglichkeit, wie die Rechtsabteilung meines Kunden einen Vertrag mit dem Hauptanbieter so gestalten kann, dass das Risiko gegenüber allen anderen Anbietern und Dritten minimiert wird? Bob: Nun, im Allgemeinen gilt, wenn Sie mit einem Drittanbieter und einem Drittanbietervertrag zu tun haben, dass die Vertragsbedingungen mit dem Drittanbieter gleichermaßen für alle vierten, fünften oder sechsten Parteien gelten, die dieser Drittanbieter möglicherweise einsetzt. Bob: Mit anderen Worten, die Vertragsbedingungen, die Sie mit dem Drittanbieter vereinbart haben, gelten auch für alle Drittanbieter, die dieser einsetzt. Bob: Und dass der Drittanbieter für die Due Diligence gegenüber diesen vierten, fünften und sechsten Parteien verantwortlich ist. So wird das in der Regel gehandhabt. Bob: Denn letztendlich sind die Ressourcen begrenzt, die man selbst einsetzen kann. Bob: In Ordnung. Bob: Nächste Frage. Bob: Mal sehen. Bob: Äh, wie schnell, äh, wird erwartet, dass ein TPRM-Programm ESG-Standards mit den neuen Regeln und Vorschriften, die in Aussicht stehen, einbettet? Bob: Was ESG angeht, gibt es noch nicht viele spezifische Vorschriften. Bob: Nun, das hängt von der Branche ab, in der Sie tätig sind. Bob: Es hängt von der Position Ihres Unternehmens in Bezug auf ESG ab. Bob: Wenn Sie beispielsweise im Bankwesen tätig sind, erwägt die OC derzeit die Veröffentlichung einer Richtlinie oder Leitlinie zu den Auswirkungen auf die Umwelt für Finanzdienstleistungsunternehmen. Bob: Das müssen Sie beachten. Bob: Vieles hängt also speziell von der Branche ab, in der Sie tätig sind. Bob: Wenn Sie Vermögensverwalter sind und den Vorschriften der SEC unterliegen. Bob: ESG-Investitionen sind derzeit ein sehr heißes Thema. Bob: Es gab eine Reihe von Geldstrafen für Unternehmen. Bob: Das ist ein Bereich, auf den Sie achten müssen. Bob: Aber Sie müssen immer berücksichtigen, welches Reputationsrisiko für Ihr Unternehmen in Bezug auf Umwelt-, Sozial- und Governance-Themen besteht. Bob: Okay. Bob: Schauen wir uns als Nächstes die nächste Frage an. Bob: Äh, erhalten die Teilnehmer sowohl Bob als auch Scotts Präsentation? Bob: Ich überlasse das der Mehrheit. Bob: Ich glaube, das tun Sie.

Ashley: Ja, das tun wir. Ashley: Ja, das tun Sie. Bob: Also, das müssen Sie durchgehen. Bob: Ähm, in Ordnung. Bob: Jetzt kommen wir zu Scotts Frage. Bob: Scott, fallen für die Reifegradbewertung Kosten an? Scott Lang: Äh, nein. Scott Lang: Äh, wenn Sie daran interessiert sind, werden wir uns entweder an Ashley oder Melissa wenden, oder einer von uns wird sich im Anschluss an dieses Webinar mit Ihnen in Verbindung setzen, wenn Sie daran interessiert sind. Scott Lang: Äh, wir werden einen Termin für ein Gespräch mit einem unserer Spezialisten vereinbaren. Scott Lang: Sie werden Sie durch den Prozess begleiten. Scott Lang: Ähm, und wissen Sie, diese Bewertung lässt sich ziemlich schnell durchführen. Scott Lang: Äh, die einzige Voraussetzung ist, dass, ähm, wir möchten, dass, ähm, Führungskräfte bei der Präsentation der Ergebnisse dabei sind, um sicherzustellen, dass alle im Unternehmen die Tiefe und Breite des Problems verstehen und wissen, wie eine mögliche Lösung aussehen könnte.

Ashley: In Ordnung. Ashley: Ich habe noch ein paar Fragen. Ashley: Ähm, wie sehen Sie Probleme im Vergleich zu Erkenntnissen? Bob: Ähm, Probleme und Erkenntnisse sind aus meiner Sicht dasselbe. Bob: Also, lassen Sie mich klarstellen: Wenn Sie eine Erkenntnis haben, müssen Sie diese überprüfen, um festzustellen, ob es sich um ein Problem handelt. Bob: Probleme müssen behoben werden. Bob: Ähm, als ich von Software gesprochen habe, war die Frage, ob Sie damit lizenzierte On-Prem-Software meinen? Bob: Im Gegensatz zu SAS. Bob: Ich spreche davon, dass Unternehmen eine Bestandsaufnahme aller von ihnen verwendeten Softwareprogramme benötigen, da all diese Software potenziell das Ziel eines Angriffs sein kann und Sie möglicherweise über eine vollständige Bestandsaufnahme aller in Ihrem Unternehmen verwendeten Softwareprogramme verfügen. Bob: Und Sie müssen mit Ihrer Softwareentwicklungsorganisation sprechen und herausfinden, ob sie es tatsächlich geschafft hat, ein Inventar zu erstellen. Bob: Aber wissen Sie, Bob: Ob es sich um lizenzierte On-Prem-Software oder um SAS-Software handelt, beide können Opfer eines Angriffs werden, und Sie müssen wissen, was das ist, wenn es passiert. Bob: Ähm

Ashley: Bob, warum suchst du nicht noch eine Frage aus? Ashley: Die Stunde ist fast vorbei. Bob: Okay. Bob: Okay. Bob: Was passiert, wenn ein TPRM-Analyst einen Anbieter ablehnt, das Unternehmen diesen Anbieter aber trotzdem einbindet? Bob: Ja, die endgültige Entscheidung liegt meist beim Unternehmen. Bob: Die Frage dreht sich um kompensierende Kontrollen. Bob: Wenn das Unternehmen also bereit ist, das Risiko zu akzeptieren, und keine kompensierenden Kontrollen auferlegen will, ist das die ungünstigste Situation, aber in diesem Fall ist TPRM verpflichtet, dies zu eskalieren und für Transparenz zu sorgen. Bob: Der Schlüssel zu all dem ist Transparenz und Offenheit innerhalb der Organisation. Bob: Und das ist ein Fall, in dem die Dinge eskaliert werden müssen. Bob: Das war's dann auch schon. Bob: Zurück zu Ihnen, Ashley. Bob: Und wenn jemand noch weitere Fragen hat, nur zu. Bob: Sie haben meine E-Mail-Adresse, meine Kontaktdaten, meine Telefonnummer. Bob: Ich werde Ihnen antworten, wenn Sie sich melden.

Ashley: Großartig. Ashley: Vielen Dank, Bob, und vielen Dank an alle für Ihre Fragen. Ashley: Bob und Scott haben uns heute einige großartige Informationen gegeben, und ich hoffe, wir sehen uns alle entweder in Ihrem Posteingang oder bei einem zukünftigen Prevalent-Webinar wieder. Ashley: Prost, alle zusammen.