Was bringt das Jahr 2024 für Risiken durch Dritte?

Melissa: Beginnen wir mit einer kurzen Vorstellungsrunde. Mein Name ist Melissa und ich arbeite hier bei Prevalent im Bereich Geschäftsentwicklung. Heute haben wir einige Gäste zu Besuch. Wir begrüßen Alistair Parr, unseren Senior Vice President für globale Produkte und Dienstleistungen. Willkommen zurück, Alistair.

Alistair Parr: Vielen Dank für die Einladung.

Melissa: Und zu guter Letzt haben wir noch Scott Lang. Er ist heute bei uns. Scott ist unser Vizepräsident für Produktmarketing und wird am Ende der Sitzung näher darauf eingehen, wie wir Ihnen dabei helfen können, Ihr TPR und Ihr Programm weiterzuentwickeln. Hoffentlich haben wir dafür noch Zeit. Hallo, Scott.

Scott Lang: Hallo, Melissa. Nur eine kleine Anmerkung: Dieses Webinar wird aufgezeichnet, Sie erhalten also eine Kopie davon. Sie brauchen sich also keine Notizen zu machen. Die Folien werden Ihnen kurz nach dem Webinar zur Verfügung gestellt. Sie sind alle stummgeschaltet. Wenn Sie Fragen haben, nutzen Sie bitte das Q&A-Feld. Sie können Ihre Fragen anonym stellen, wenn Ihnen das lieber ist. Und nun ohne weitere Umstände wird Alistair einen Rückblick auf das Jahr im Bereich Third-Party-Risiko geben und die neuen Trends untersuchen, die TPR und Programme im Jahr 2024 vorantreiben werden. Bitte, Alistair.

Alistair Parr: Wunderbar. Vielen Dank, Vanessa. Guten Morgen, guten Tag, guten Abend, wo auch immer Sie sich gerade auf der Welt befinden. Vielen Dank, dass Sie heute dabei sind. Was werden wir heute behandeln? Meiner Meinung nach sind diese Webinare, die wir etwa einmal im Jahr veranstalten, immer sehr unterhaltsam. Hier versammeln wir alle klugen Köpfe von Prevalent in einem Raum, und ich darf dann voller Ehrfurcht dasitzen oder -stehen und ihnen zuhören, wenn sie darüber sprechen, was sie sehen, welche Bedrohungen es gibt und welche Trends sich abzeichnen. Wir führen die Informationen aller Analysten, mit denen wir sprechen, zusammen, und das Ergebnis sind im Wesentlichen unsere Top-10-Prognosen. Die gute Nachricht für diejenigen unter Ihnen, die vielleicht schon an unseren früheren Webinaren zu diesem Thema teilgenommen haben, ist, dass viele unserer Vorhersagen eingetroffen sind. In dieser Hinsicht dürfte sich der heutige Tag also lohnen. Zunächst einmal hallo an alle. Alistister Par. Damals sah ich noch etwas jünger und frischer aus, aber warum bin ich heute eigentlich hier, um mit Ihnen zu sprechen? Ich bin Senior Vice President für Produkte und Dienstleistungen hier bei Prevalent. Und ich habe das Glück, den Segen und den Fluch, mit Hunderten von verschiedenen Kunden zu sprechen, insbesondere zum Thema Risikomanagement bei Drittanbietern. Ich sehe das Gute, das Schlechte und das Hässliche in Bezug auf die Funktionsweise und Schnittstellen ihrer Programme. Und ich habe das Glück, mit einigen von ihnen an aktiven Verbesserungen arbeiten zu können, um die Reife anzugehen und sie zu einem Punkt zu bringen, an dem sie hoffentlich zufrieden sind, wenn es um ihr Risikomanagement bei Drittanbietern und ihr Lebenszyklusmanagement geht. Im Laufe des heutigen Tages möchte ich Sie erneut nachdrücklich ermutigen, wenn Sie selbst Kommentare haben. Wenn Sie Vorhersagen treffen möchten oder Gedanken haben, können Sie diese gerne in den Q&A- und Chat-Bereichen hinterlassen. Wir werden unser Bestes tun, um einige Antworten in den allgemeinen Diskurs einzuflechten, während wir den heutigen Tag insgesamt durchlaufen. Sollte dies nicht möglich sein, werden wir natürlich versuchen, am Ende etwas Zeit für Fragen und Antworten einzuplanen. Ich werde etwa 10 zentrale Prognosen für das kommende Jahr vorstellen. Und ohne weitere Umschweife komme ich gleich zur ersten. Unsere allererste Beobachtung und Prognose bezieht sich auf die Finanzierung des Risikomanagements von Drittanbietern.

Letztes Jahr haben wir darüber gesprochen, dass bis 2023 zusätzlicher Druck auf Programme ausgeübt werden würde, was zu einer Fokussierung auf Aspekte wie Effizienz und Automatisierung und sogar bis zu einem gewissen Grad auf Outsourcing im gesamten Lebenszyklus von Drittanbietern führen würde. Aus unserer Sicht ist es sehr interessant, dass wir in den letzten sechs Monaten einen Trend beobachtet haben, der sich voraussichtlich auch im nächsten Jahr fortsetzen wird, nämlich dass das Risikomanagement von Drittanbietern als Programm sehr stark erwartet wird. Ich würde daher sagen, dass wir nun am Höhepunkt jahrelanger Arbeit angelangt sind, in der TPRM eine Erwartung ist. Es ist ausgereift. Es ist fast schon ein Muss, wenn man sich die Positionierung von Unternehmen ansieht. So sehr wir auch wirtschaftliche Unsicherheit, Inflation in verschiedenen Ländern und sogar Fachkräftemangel zu Beginn des Jahres 2023 erlebt haben, so haben wir doch gewisse Erwartungen für 2024, dass die Investitionen bis 2024 konstant bleiben werden. Das ist eine Selbstverständlichkeit, und daran wird sich nichts ändern. Wir sehen, dass sich Vorstände, Führungskräfte und Investoren mit TPRM beschäftigen. Wenn wir auf das Jahr 2023 zurückblicken, gab es Zeiten, in denen es schwierig war, erfahrene TPRM-Fachleute zu finden. Das wird sich voraussichtlich auch im nächsten Jahr nicht ändern. Es gibt immer noch eine Situation, in der es meiner Meinung nach zu viel Arbeit für die Fachleute gibt, die da draußen in der Praxis tätig sind. Aber wir gehen davon aus, dass die Programme weiterhin effizienter und effektiver werden, was zum Teil auf die Konvergenz von Dingen wie generativer KI, maschinellem Lernen, der Auswertung von Datensätzen und besseren Automatisierungen zurückzuführen ist. Und auf die Integration verschiedener Systeme, die es weniger Menschen ermöglichen, mehr zu leisten. Äh, und wir gehen davon aus, dass sich das fortsetzen und bis 2024 wahrscheinlich noch beschleunigen wird. Aus Sicht der Reife erwarten wir für das nächste Jahr keine wirklichen Veränderungen. Wir gehen davon aus, dass die Erwartungen an die Mindestanforderungen bestehen bleiben werden. Und leider werden wir wahrscheinlich noch einige Zero Days und Probleme erleben, die die Menschen dazu veranlassen werden, sich weiterhin zu konzentrieren und zu verstehen, was wir alle in unseren Programmen tun. Letztes Jahr haben wir über Outsourcing gesprochen.

Wir haben aufgrund des Mangels an qualifizierten Fachkräften und des Kostenmanagements bis 2023 mit einer Zunahme des Outsourcings gerechnet. Wir gehen davon aus, dass bis 2024, obwohl wir diese neuen Automatisierungsfunktionen auf den Markt kommen sehen, diese noch nicht so ausgereift sein werden, dass sie Menschen ersetzen können. Und aus dieser Perspektive werden sie auch Budget beanspruchen. Wir werden diese Automatisierungen, Fähigkeiten, maschinelles Lernen, NLP und KI immer als Ergänzung betrachten. Wir werden weiterhin Menschen brauchen, um die Ergebnisse zu validieren. Es wird also weiterhin notwendig sein, Dinge wie Outsourcing-Modelle für Managed Services anzuwenden oder den Aufwand entsprechend den Ressourcen, über die wir im Unternehmen verfügen, angemessen anzupassen. Zusammenfassend lässt sich also sagen, dass die erste Beobachtung lautet: Die Finanzierung ist ein wichtiger Faktor und wird dies auch bis 2024 bleiben. Wir erwarten also keine Budgetkürzungen bis 2024. Stattdessen gehen wir davon aus, dass die Menschen mit dem gleichen Budget mehr erreichen wollen. Unsere zweite Prognose und Beobachtung betrifft die Programmkonvergenz. Das ist eine sehr allgemeine und offene Aussage. Programmkonvergenz klingt schön. Aber was meinen wir damit eigentlich? Wir haben dies in der Vergangenheit bereits zum Ausdruck gebracht und halten weiterhin daran fest: Das Risikomanagement von Drittanbietern entwickelt sich zum Lebenszyklusmanagement von Drittanbietern. Der entscheidende Unterschied besteht darin, dass Sie einen Lebenszyklus der Anbieter haben, der vom Onboarding bis zum Offboarding reicht und mit dem verschiedene Personen und Gruppen verbunden sind. Um Ihnen ein Beispiel zu geben: Wenn Sie die Beschaffung und Auswahl durchlaufen, das Onboarding, das inhärente Risikomanagement, unabhängig von der Art des Risikos, die Ergebnisse bewerten und Maßnahmen wie Abhilfemaßnahmen vorantreiben. Dann benötigen Sie kontinuierliche Überwachungsfunktionen, SLA-Leistungsmanagement und schließlich das Offboarding und die Beendigung. Es ist ein Lebenszyklus. Es wird weiterhin ein Lebenszyklus sein, und wir beobachten, dass verschiedene Personen involviert sind und sich stärker in die Landschaft der Drittanbieter einbringen. Wir beobachten und erwarten einen Anstieg und einen Trend, dass die Beschaffung ein Treiber für den Lebenszyklus von Drittanbietern ist.

Ob es sich nun um KYC oder KYS handelt, also „Know Your Customers” (Kenne deine Kunden) und „Know Your Suppliers” (Kenne deine Lieferanten), es besteht die Erwartung, dass sie verstehen wollen, mit wem sie zu tun haben, ob sie Maßnahmen gegenKorruptions- und moderne Sklaverei-Prüfungen durchgeführt haben. Es gibt offensichtlich mehr Vorschriften, insbesondere in Europa in Bezug auf ABC, die im Laufe des Jahres und im nächsten Jahr in Kraft treten werden, und sie möchten im Allgemeinen einen Überblick über die Überwachung haben, um zu verstehen, ob der Anbieter gut ist. Gibt es wichtige Punkte, die wir beachten müssen, und wie geht es nun weiter? Wir werden weiterhin beobachten, wie sich die Rechtsabteilung in den Prozess einbringt. Derzeit ist die Rechtsabteilung eher segmentiert und befasst sich mehr mit Vertragsmanagement und Klauseln. Wir beobachten, dass die Rechtsabteilung sich zunehmend für Möglichkeiten interessiert, die Erkennung von Klauseln und die vergleichende Analyse zwischen Dingen wie MSAs und Bedingungen zu automatisieren. Und dann werden sie dies im weiteren Verlauf des Lebenszyklus nutzen, um Fehler zu identifizieren. Das führt natürlich zum Risikomanagement. Wenn man sich mit Risikomanagement insgesamt befasst, ist das relativ etabliert, wenn es um das Risikomanagement von Dritten geht, aber sie bleiben ein wichtiger Akteur im Lebenszyklusmanagement von Dritten. Wir beobachten, dass Unternehmen die Datensätze aus den Bereichen Beschaffung, Recht und Risiko nutzen, um beispielsweise die operative Widerstandsfähigkeit und das Management von Drittanbietern sowie die Qualität und die Sicherstellung der Qualität zu verbessern, indem sie überprüfen, ob diese auch das tun, was sie versprechen. Und schließlich bleibt die allgegenwärtige und immerwährende Anforderung der Prüfung bestehen. Wir sprechen mit vielen verschiedenen Kunden und Einzelpersonen, und im Allgemeinen wird die überwiegende Mehrheit in irgendeiner Form geprüft. Das muss nicht unbedingt extern sein, es kann auch intern sein, aber wir sehen keine Veränderung, da die Compliance- und Regulierungsauflagen, die den USA auferlegt werden, weiter zunehmen und komplexer werden. Wir gehen davon aus, dass dieses Niveau an Audits und Kontrollen bis 2024 bestehen bleibt und erwarten kontinuierliche Audits unserer TPRM-Programme. Das bedeutet also einen breiteren Lebenszyklus und die Dinge, die wir in einem Lebenszyklus tun.

Ich möchte jedoch auf einige Materialien verweisen, die tatsächlich erstellt wurden. Einige von Ihnen, die in der Vergangenheit an unseren Webinaren teilgenommen haben, sind möglicherweise bereits mit einigen dieser Kennzahlen vertraut. Aber ich werde natürlich Scott bitten, später auf diese von uns durchgeführte Studie einzugehen. Aus den Gesprächen mit unserem Publikum geht jedoch eindeutig hervor, dass immer mehr Komponenten des gesamten Lebenszyklus in das TPRM einbezogen werden. Im Bereich Informationssicherheit sind 70 % stärker involviert. Im Bereich Risikomanagement sind 51 % stärker involviert. Im Bereich Compliance und Audit sind 45 % stärker involviert. Im Bereich Beschaffung und Zahlung sind 44 % der Geschäftsinhaber, 34 % der Führungskräfte und 33 % der leitenden Angestellten stärker involviert. Um die Statistiken zu relativieren, möchte ich darauf hinweisen, dass es Personen gibt, die stärker involviert sind, im Gegensatz zu denen, die durchgehend involviert sind. Sie sehen also sicherlich einen Trend, von dem wir erwarten, dass er sich bis 2024 fortsetzen wird, wobei diese unterschiedlichen Geschäftsbereiche zunehmend in den Lebenszyklus und den Risikomanagementprozess von Drittanbietern eingebunden sind. Wir gehen also nicht davon aus, dass sich daran etwas ändern wird. Und wenn Sie unsere Studie zum Risikomanagement von Drittanbietern noch nicht gesehen haben, wenden Sie sich bitte an uns. Wir würden uns sehr freuen, sie Ihnen zur Verfügung zu stellen, und wir werden gegen Ende darauf eingehen, wie Sie Zugang dazu erhalten können. Und um das noch einmal zu unterstreichen: Wenn Sie diese Kennzahlen tatsächlich aufschlüsseln, wenn Sie sich tatsächlich ansehen, wie sie derzeit beteiligt sind, dass sie stärker beteiligt sind, dann treibt Infosc natürlich die Programme voran, da sie, wie Sie sehen können, an der Strategieentwicklung, der Durchführung von Bewertungen und der Überwachung mithilfe der Berichterstattung beteiligt sind. Sie sehen, dass Risikomanagement, Compliance, Beschaffung, Geschäftsinhaber und Führungskräfte in der Regel Nutzer von Daten sind. Es gibt einen starken Trend, dass es Nutzer gibt, die durch den violetten Balken dargestellt werden. Wir gehen davon aus, dass dieser Balken weiter zunehmen wird, insbesondere der violette Balken, der Nutzer von Informationen Dritter darstellt, während Infosc oder Beschaffung in der Regel oder das Risikomanagement in der Regel die Maßnahmen durchführen, um Daten zu erhalten. Wie lautet also unsere Prognose in Bezug auf diese Datenkonvergenz?

Äh, und diese Programmkonvergenz bedeutet, dass Sie eine Zunahme der Beschaffungsstrategiegestaltung und -planung für Programme zum Management von Drittanbietern sehen werden, und Sie werden eine Zunahme der Nutzung von Informationen und Berichten von Drittanbietern durch Geschäftsanwender, äh, Geschäftsinhaber, sorry, und, ähm, Beschaffungsabteilungen im Laufe der Zeit sehen, und natürlich werden auch Führungskräfte dieser Kurve folgen. Kommen wir nun zu unserer dritten Vorhersage, und um es klar zu sagen: Wir haben gerade über Programmkonvergenz gesprochen. Nun unterscheiden wir zwischen Punkt Nummer zwei, der Programmkonvergenz, und Vorhersage Nummer drei, der Datenkonvergenz. Und worin besteht dieser Unterschied, nachdem ich mich gerade rechtzeitig abgehustet habe? Datenkonvergenz bedeutet für uns alle verschiedenen Komponenten, aus denen sich das Profil eines Anbieters zusammensetzt. In der Vergangenheit neigten die Menschen dazu, sich auf Dinge wie die Cyber-Sicherheit eines Anbieters zu fixieren. Sie konzentrierten sich vielleicht darauf, welche Bewertungsdaten wir für sie zusammenführen können. Was wir beobachtet haben und was unserer Meinung nach weiter zunehmen wird, ist die Anzahl der Nicht-IT-Risikobereiche, die in diese Anbieterprofile einfließen, die wir in diesen Programmen sehen. Das liegt natürlich daran, dass Prognose und Beobachtung Nummer zwei besagen, dass Beschaffung, IT, Compliance usw. alle Daten über die Anbieter nutzen wollen und unterschiedliche Sichtweisen haben. Diese Informationen wahrzunehmen. Das wird sich nicht ändern, und wir haben dies sicherlich bis ins Jahr 2023 hinein beobachtet, wo wir Programme haben, die ursprünglich von der Informationssicherheit vorangetrieben wurden, aber auch Beschaffungslebenszyklen und Workflows einbeziehen. Das wird sich nicht ändern. Während Bewertungen also weiterhin im Mittelpunkt stehen werden und wir nicht glauben, dass Bewertungen verschwinden werden, da sie der beste Weg sind, um validierte Daten von Dritten selbst zu erhalten, wird sich der Inhalt der Bewertungen ändern. Sie werden also Bewertungsinhalte sehen, die die gesamte Bandbreite der Dinge abdecken, nach denen Beschaffung, IT, Sicherheit und Compliance suchen, und diese werden durch zusätzliche Datenströme ergänzt werden. Cyber wird natürlich weitergehen. Ich glaube nicht, dass das eine Vorhersage ist. Ich denke, das ist eine feststehende Tatsache, die wir heute sehen. Business Intelligence wird immer wichtiger, was zum Teil durch die Beschaffung vorangetrieben wird.

Und mit „Geschäft“ meine ich hier, dass man sich Dinge wie die operative Ausrichtung des Unternehmens ansieht. Bringt es neue Produkte auf den Markt? Strebt es bestimmte Fusionen und Übernahmen an, die man im Auge behalten sollte? Diese Art von Daten. Es geht um den Zeitgeist des Unternehmens. Was macht es und wer steht dahinter? Finanzdaten werden in der Regel separat im Beschaffungszyklus erfasst. Tatsächlich werden sie mittlerweile sogar häufiger erfasst. Wir gehen davon aus, dass sich dieser Trend auch im nächsten Jahr regelmäßig fortsetzen wird. Gibt es Veränderungen bei den Finanzkennzahlen? Wer ist der wirtschaftliche Eigentümer, der mit diesem Unternehmen in Verbindung steht? Das sind die Daten, die zunehmend in diese umfassenderen Lieferantenprofile einfließen. Wir beobachten eine zunehmende Fokussierung auf geografische Ereignisse und erwarten, dass sich dieser Trend bis 2024 noch verstärken wird. Was meine ich damit? Wir sprechen hier von Dingen wie bestimmten Naturkatastrophen an bestimmten Orten oder bestimmten Streiks oder beispielsweise politischen Problemen in bestimmten Gebieten oder Kriegen. Das sind die Arten von geografischen Ereignissen, die aus Sicht der operativen Resilienz zunehmend in den Fokus rücken. Zertifizierungen bleiben ein Häkchen, fast schon ein Kontrollpunkt und ein Häkchen für den Beschaffungszyklus, und die Leute erwarten von den Anbietern mittlerweile, dass sie diese Zertifizierung fast schon regelmäßig vorlegen, und das wird sich bis 2024 fortsetzen, da die Analyse dieser Zertifizierungen einfacher wird und die Interpretation automatisiert wird. Und dann die n-te Partei. Für diejenigen, die es nicht wissen, zur Verdeutlichung: Die n-te Partei sind die Anbieter Ihrer Anbieter. Wir werden später heute noch auf eine konkrete Prognose zu End-Parteien eingehen. Was wir jedoch bei End-Parteien beobachten, ist, dass die Menschen auf der Suche sind, und wir gehen davon aus, dass sich dies bis 2024 fortsetzen wird. Sie suchen nach Einblicken in kritische Anbieter. Sie sind vielleicht nicht in der Lage, diese zu bewerten, aber sie wollen wissen, wer sie sind. Und was noch wichtiger ist: Sie wollen überprüfen, ob die Drittpartei ihre Sorgfaltspflicht gegenüber ihnen erfüllt, auch wenn sie dies nicht selbst tun.

Wenn Sie also all diese Datenpunkte zusammenführen – Bewertung, Cyber, Besuche usw. –, erhalten Sie einen sehr klaren kontextuellen Einblick und ein umfassenderes Bild Ihrer Drittanbieter. Dies wird immer wertvoller, da wir diese verschiedenen Personas haben, die die Daten über die Programmkonvergenz konsumieren. Ich möchte mich kurz näher mit einem dieser Bereiche befassen, da er mit einer unserer Prognosen zusammenhängt, nämlich den von mir erwähnten geografischen und politischen Erkenntnissen. In der Vergangenheit stand dies sicherlich aus Sicht der operativen Widerstandsfähigkeit nicht wirklich im Mittelpunkt eines TPRM-Prozesses, aber COVID hat vielen Unternehmen die Augen dafür geöffnet, dass sie auf Pandemien usw. vorbereitet sein müssen. Um Ihnen ein Beispiel dafür zu geben: Tatsächlich haben in meinem früheren Leben als Auditor, als wir Inhalte für Dinge wie die Schweinegrippe, reaktive Prozesse usw. erstellen mussten, viele Organisationen mit den Augen gerollt und gedacht: Okay, wir legen das auf Eis und werden es nie verwenden. Dann kam COVID und Pandemien rückten in den Vordergrund, und plötzlich wurde uns klar, dass die meisten dieser Anbieter wirklich nichts dagegen unternahmen. Seitdem haben wir eine Zunahme der Schwerpunkte im Bereich der operativen Resilienz beobachtet, und wir gehen davon aus, dass bis 2024 Dinge wie die geopolitische und ökologische Lage in bestimmten Regionen zu den erwarteten Datenpunkten gehören werden, die wir verfolgen und auf die wir gegenüber unseren Dritten reagieren. Nun gibt es damit verbundene Probleme, da es sehr schwierig ist, alle lokalen Standorte, an denen ein Drittanbieter tätig ist, vorherzusagen oder zu identifizieren, während die Hauptniederlassung in der Regel relativ offensichtlich ist, wenn man sich die Finanzberichte, UBOS oder was auch immer ansieht. Die lokalen Standorte sind in einigen Fällen eher Geschäftsgeheimnisse, oder es handelt sich nur um kleine Büros, die über das Land verteilt sind, und nicht unbedingt um Produktionsstätten, die sie nutzen, usw. oder um vierte Parteien.

Das ist also eine Herausforderung, aber die Leute werden sich darauf aus einer eher pragmatischen Perspektive konzentrieren, nämlich indem sie sich unsere tatsächlichen Lieferanten ansehen, die zumindest angeben, dass sie in bestimmten Gebieten tätig sind, und sich auf Dinge konzentrieren, die konkrete Auswirkungen haben könnten. Wenn es also in Regionen zu anhaltenden Kriegsstörungen kommt, sei es durch Überschwemmungen, Streiks oder was auch immer, werden die Leute durch eine Benachrichtigung sehen wollen, dass Sie 74 Lieferanten in diesem geografisch begrenzten Gebiet haben, damit sie reagieren können, wenn dies Ihre Lieferkette beeinträchtigt oder die Ausfallsicherheit Ihrer Rechenzentren beeinträchtigt. Sie möchten in der Lage sein, Führungskräften und Ihren Kunden eine Antwort zu geben, bevor dies allgemein bekannt wird. Und wie werden die Menschen das tun? Sie werden eine Kombination aus Überwachungslösungen einsetzen, die ihnen diesen Einblick verschaffen. Das wird nicht in jedem Fall genau sein, da nicht alle Unterwebsites abgedeckt werden, aber dennoch ist es der erste Schritt in Richtung 2025, 2026 und so weiter, wo wir sehen werden, dass die Menschen beginnen, diese geopolitischen Ereignisse besser zu kontrollieren und darauf reagieren zu können. Und auch das hängt wieder mit dieser umfassenderen Denkweise der Datenkonvergenz zusammen. Die Branche wird weiterhin hungrig nach Daten sein. Sie wird weiterhin hungrig nach der Erstellung dieser umfassenden Profile sein, weil diese unterschiedlichen Teile des Geschäfts danach verlangen und darin einen Wert sehen. Das wird sich nicht ändern. Beobachtung Nummer vier, übergehend zu den drei A's in diesem Fall, fortgeschrittene und aggregierte Analyse. Was ich hier eigentlich meine, ist, dass die Menschen immer vielseitigere Berichtsfunktionen für einen ständig wachsenden Datensatz entwickeln. Das bedeutet, dass all diese Daten, die mit einer erweiterten Drittanbieterlandschaft konvergiert werden, großartig sind, weil wir dadurch reichhaltigere und bessere Analysedaten erhalten können. Bis 2024 erwarten wir daher, dass personenbezogene Berichte an Bedeutung gewinnen werden, und damit meinen wir, dass wir beginnen, sie wirklich nach drei Kernbereichen zu segmentieren.

Darüber hinaus gibt es noch einige weitere Akteure, wie beispielsweise die Anbieter selbst oder natürlich die Praktiker, aber die drei Kernzielgruppen für die Berichterstattung auf höchster Ebene sind in vielen Fällen der CISO, der das Programm vorantreibt, natürlich das Unternehmen, also die Führungskräfte des Unternehmens, und dann natürlich der Vorstand. Das sind die treibenden Kräfte bis Ende 2023, aber wir gehen davon aus, dass sich dies ändern und weiterentwickeln wird, sodass weitere Personen hinzukommen werden. Und die Dinge, die die Menschen betrachten und weiterhin betrachten werden, sind natürlich die Risiken. Wie sieht meine Risikolandschaft bei meinen Drittanbietern aus? Okay, das ist einfach genug. Äh, die Bedrohungen, insbesondere die externen Bedrohungen, die mit diesen Risiken verbunden sind. Wie wirkt sich das auf meine Compliance-Situation aus? Und schließlich, welche Art von Absicherung habe ich tatsächlich gegen diese Risiken? Wenn man beginnt, diese vier Faktoren zusammenzufassen, und das sind nur Möglichkeiten, einen breiteren Datensatz zu interpretieren, dann beginnt man damit, echte Risikomanagementprogramme für Dritte aufzubauen. Und wir gehen davon aus, dass sich dieser Trend fortsetzen und noch stärker auf den Menschen ausrichten wird. Die Interpretation durch den Vorstand wird sich stark von der Ihres Einkaufsleiters, Ihres Rechtsberaters oder wem auch immer unterscheiden. Und das wird durch die Reife ergänzt. Wir beobachten also eine Zunahme der Erwartungen der Menschen, dass sie den Prozess ihres Programms verfolgen werden und nicht nur die Anbieter. Früher war diese Denkweise eher lieferantenorientiert. Aber wir beobachten, dass die Menschen beginnen, über die Abdeckung, Inhalte, Rollen und Verantwortlichkeiten, Abhilfemaßnahmen und Governance in ihrem gesamten Prozess nachzudenken. Wenn wir in der Vergangenheit Reifegradbewertungen durchgeführt haben, lag ein First-Beret-Kunde zu Beginn in der Regel bei etwa 1,7. Ein reifer Kunde bewegt sich in der Regel um den unteren Wert. Es war sehr selten, dass jemand aus prozessualer Sicht einen Wert von vier erreichte. Wir gehen davon aus, dass wir bis 2024 tatsächlich einen allgemeinen Anstieg von etwa 0,3 oder 0,4 Punkten auf den Reifegradkurven bis zum Ende des Jahres sehen werden. Das ist ein ziemlicher Sprung, wenn man bedenkt, dass es immer schwieriger wird, Fortschritte zu erzielen.

Der Grund dafür ist, dass die verfügbaren Tools und Funktionen es den Menschen ermöglichen, mit Anbietern in großem Umfang zu interagieren, umfangreichere Datensätze zu analysieren und diese zu segmentieren, um mithilfe von Automatisierungen und ähnlichen Mitteln fundiertere und intelligentere Entscheidungen zu treffen. Ein weiterer Bereich, in dem dies unserer Meinung nach an Bedeutung gewinnen wird, sind Verhaltensanalysen. Lassen Sie uns also über fortgeschrittene Analysen sprechen. Wir gehen davon aus, dass bis 2024 immer mehr Menschen die Möglichkeit haben werden, Verhaltensdaten als Teil ihrer Berichtsmetriken zu betrachten. Was meine ich hier mit Verhaltensmetriken? Ich spreche davon, wie ihre Anbieter interagieren, wie das Unternehmen interagiert, also von dem menschlichen Faktor. Ich weiß, dass der Begriff „menschliche Komponente” im Risikomanagement als Denkweise sicherlich überstrapaziert wird, aber letztendlich können wir über die passive Überwachung hinaus, wenn wir mit einem Anbieter sprechen, sei es in Bezug auf die Frage, wie Sie das Problem beheben werden, wie der aktuelle Stand ist oder sogar wie Sie unsere vereinbarten KPIs KISS verwalten, viele nützliche Informationen darüber gewinnen, wie sie reagieren, und wirWir gehen davon aus, dass dies weniger lokal auf Anbieterbasis geschehen wird, sondern dass bis 2024 Dinge wie die Analysemodelle, die wir derzeit sehen, den Menschen reichhaltige Daten liefern werden, um Vorhersagen und Interpretationen auf der Grundlage des Nutzerverhaltens in diesen Programmen zu sehen, was aus unserer Sicht sehr spannend wäre. Ich möchte noch einmal auf unsere Bewertungsdaten für 2023 zurückkommen. Um einige der Probleme zu verdeutlichen, die diese Veränderung bis 2024 vorantreiben, möchte ich darauf hinweisen, dass 50 % der Menschen, wenn man sich die allgemeine Wahrnehmung der Programme ansieht, nicht das Gefühl haben, dass ihr TPR-Programm alle Anforderungen der Abteilung erfüllt. Das ist eine ziemlich hohe Zahl. 40 % sind der Meinung, dass das Risiko nicht effektiv bewertet wird und im Lebenszyklus nicht berücksichtigt wird.

Wenn man diese Liste durchgeht, ohne zu sehr ins Detail zu gehen, kann man im Allgemeinen feststellen, dass es in den meisten Fällen eine Mehrheit gibt, die der Meinung ist, dass ihre Programme nicht effektiv genug sind. Einer der Hauptgründe dafür ist die Möglichkeit, Daten effektiv auszuwerten, um Risikoeinblicke zu gewinnen und die Risikobereiche in ihren Prozessen zu identifizieren. Ich möchte Ihre Aufmerksamkeit auf die Kennzahl ganz unten rechts lenken, die besagt, dass 43 % der Befragten der Meinung sind, dass sie den Informationsbedarf in Bezug auf Risiken durch Dritte zufriedenstellend decken. Diese Denkweise wird sich bis 2024 fortsetzen, wenn alle diese Personas Dinge wie Verhaltensanalysen oder umfassendere Analysen der reichhaltigeren Datensätze nutzen werden, um bessere Schlussfolgerungen zu ziehen und ihre Programme und deren Reife entsprechend zu verbessern. Aus unserer Sicht sind wir sehr gespannt, wie sich das weiterentwickeln wird. Beobachtung Nummer fünf: NLP, natürliche Sprachverarbeitung. Wenn man sich ansieht, wie NLP seit einigen Jahren im Risikomanagement von Dritten eingesetzt wird, erwarten wir bis 2024 einige Veränderungen. Für diejenigen, die nicht unbedingt wissen, was das ist, möchte ich noch einmal wiederholen, dass es im Wesentlichen darum geht, aus der Perspektive des Risikomanagements von Dritten Dokumente, Word-Dokumente, PDF-Dateien oder was auch immer zu interpretieren, zu analysieren und dann etwas damit zu tun. Ganz einfach. Bislang konzentrierte man sich dabei in der Regel auf relativ einfache Arbeitsabläufe, bei denen man bestimmte Schlüsselwörter suchte und Dinge wie die Stimmung in bestimmten Dokumenten, Absätzen, Phrasen, Klauseln usw. nicht berücksichtigte. Aber wir erreichen endlich einen Reifegrad, bei dem sich dies im Jahr 2024 ändern wird. Wir werden erleben, dass NLP zunehmend genutzt wird, um Daten aus den von Anbietern bereitgestellten Dokumentationen konsistent zu extrahieren. Wir werden erleben, dass damit Dokumente übersetzt werden, die möglicherweise in anderen Sprachen verfasst sind. Das ist endlich der Punkt, an dem es einen Reifegrad erreicht hat, bei dem wir einigen der Ausgabedaten vertrauen können. Wir werden sogar erleben, dass damit Bewertungen erstellt werden, indem die Stimmung bestimmter Informationssatzrichtlinien, Klauseln usw. erfasst wird.

und diese dann in Bewertungsinhalte, strukturierte Bewertungsinhalte, einfließen zu lassen. Und ich denke, das ist der entscheidende Punkt, den man daraus mitnehmen sollte: Was uns NLP bis 2024 ermöglichen wird, ist die Anwendung von Strukturen. Wir werden diese unstrukturierten Dokumente nehmen. Wir werden in der Lage sein, sie zu interpretieren und nach Bedarf zu übersetzen. Und was wir bis 2024 sehen werden, ist, dass immer mehr Menschen darauf basierende Maßnahmen ergreifen. Es ist schön und gut, Daten aus einem Dokument zu extrahieren, aber wenn wir diese nicht tatsächlich in Maßnahmen und Automatisierungen umsetzen, sind sie weniger nützlich. Nun hat es endlich einen Reifegrad erreicht, an dem wir dies erkennen werden und es bis 2024 eher zur Norm als zur Ausnahme werden wird. Ein paar Beispiele dafür sind, dass Ihnen jemand einen SOCK-2-Bericht, eine ISO-Norm oder seine Informationssicherheitsrichtlinie zur Verfügung stellt und Sie daraus Dinge wie Kontrollversagen und die damit verbundenen Risiken extrahieren können. Sie können den Umfangsbestandteil davon nehmen und eine inhärente Risikobewertung oder Profilerstellung und Tearing-Bewertung auf der Grundlage der Antworten erstellen oder ein Dokument, das mir auf Japanisch hochgeladen wurde, das ich nicht so gut beherrsche, für mich übersetzen lassen, umDas sind konkrete Vorteile für mein Drittanbieterprogramm, und wenn ich das tun kann, ohne es selbst tun zu müssen, und ich die Hausaufgaben überprüfe, dann sind das einige der Dinge, die diese NLP-Einführung vorantreiben werden. Wir gehen davon aus, dass bis 2024 immer mehr Drittanbieter und Lieferanten ihre Selbstzertifizierungsunterlagen zur Verfügung stellen werden. Diese könnten extern ratifiziert sein. Es könnte sich um Sock 2 handeln, es könnte sich um High Trust handeln, was auch immer es sein mag. Aber immer mehr wehren sich dagegen. Daher erwarten wir, dass diese Dokumente analysiert werden. Die Herausforderung, vor der die Menschen natürlich stehen, ist die Tatsache, dass all diese Dokumente selbst in sehr unterschiedlichen Formaten vorliegen. Ein Sock-2-Dokument kann 100 Seiten lang sein. Es kann aber auch 20 Seiten lang sein. Der Umfang kann sehr unterschiedlich sein. Und bis vor relativ kurzer Zeit musste man jemanden haben, der sich wirklich bemühte, das Material zu verstehen und in konkrete Risiken zu übersetzen.

Bis 2024 wird es fast schon selbstverständlich sein, dass dies keine Notwendigkeit mehr ist. Wir werden also zunächst beobachten, wie Menschen es nutzen, um Probleme, Kontrollfehler und Risiken zu identifizieren. Und dann wird sich das im Laufe des Jahres schließlich zu Bewertungsinhalten und Plattforminhalten entwickeln. NLP geht also in einigen Fällen Hand in Hand mit unserer sechsten Beobachtung und Vorhersage, die mit generativer KI zusammenhängt. Ich bin fast ein wenig nervös, wenn ich anfange, über generative KI als Prognose zu sprechen, weil sie in der allgemeinen Diskussion über Risiken durch Dritte und generell weltweit derzeit so weit verbreitet und prominent ist, dass es fast so klingt, als würde jeder auf den Zug aufspringen, um darauf Bezug zu nehmen. Aber ich möchte zunächst einmal eine sehr interessante Gartner-Kurve illustrieren, die damit zusammenhängt, nämlich dass es viele verschiedene Komponenten gibt, die in die künstliche Intelligenz einfließen. Und generative KI befindet sich in der Regel in dem Bereich, den sie als Höhepunkt überhöhter Erwartungen klassifizieren. Man wird sehr schnell feststellen, dass sich dies im Laufe der Zeit zu dem entwickelt, was sie als Tal der Enttäuschung bezeichnen, bevor man schließlich ein gewisses Maß an Produktivität erreicht. Dies trifft definitiv zu, wenn man sich generative KI ansieht, die sehr umfangreich ist. Viele Menschen konzentrieren sich auf Dinge wie große Sprachmodelle und finden das großartig, sind aber nicht unbedingt damit einverstanden, dass diese in einem Risikomanagementprogramm für Dritte verwendet werden. Es ist sicherlich besser, in dieser Frage ein umsichtiger Nachzügler zu sein, als einfach das Erste zu übernehmen, was man 2024 sieht. Wir gehen davon aus, dass die Menschen sich letztendlich mit generativer KI arrangieren und einige ihrer Komponenten in ihren Programmen für Dritte erwarten werden, wenn das Jahr 2023 langsam zu Ende geht. Wir sind uns sehr bewusst, dass die Menschen in den meisten Fällen über drei Kernbereiche besorgt sind. Erstens ist KI-Halluzination, wenn die KI mir selbstbewusst etwas erzählt, das offensichtlich falsch ist, und das ist natürlich eine negative Sache, wenn es um Risikomanagement geht. Kognitive Verzerrung ist, wenn die KI mir dies erzählt, weil sie auf einem Datenmodell trainiert wurde, das für meine Bedürfnisse eigentlich nicht geeignet ist. In diesem Fall handelt es sich möglicherweise nicht um eine Halluzination.

Vielleicht wird das nur gesagt, weil es so gelehrt wurde. Insbesondere beginnen wir damit, KI auf große Datensätze wie das Internet anzuwenden. Ich glaube zum Glück nicht alles, was ich im Internet lese. Und wahrscheinlich ist das, worüber wir 2023 am häufigsten hören, die Datensicherheit. Die Menschen sind besorgt über all diese KI-Technologien, aber letztendlich werde ich ihnen meine Daten nicht geben, was ein sehr, sehr berechtigter Ausgangspunkt ist. Wir gehen davon aus, dass die Menschen bis 2024 mit diesen drei Kriterien vertrauter werden, da Unternehmen, Anbieter und Technologien beginnen, große Sprachmodelle und generative KI wirklich aufzuschlüsseln und etwas zu entwickeln, das tatsächlich angemessen ist. Und das wird so funktionieren, dass Sie Dinge wie die gleichen Kontrollen und Erwartungen sehen werden, die wir bei jeder anderen Technologie im Technologie-Stack sehen, die auf generative KI-Fähigkeiten angewendet werden. Wir sprechen also von automatisierten Schwachstellenscans auf den LLMs, Anomalieerkennung anhand des Datensatzes, Sicherheitsanalysen auf der Grundlage der Ergebnisse, Bug-Bounties für Prompt-Injection usw. Schulungen für Mitarbeiter dazu, wie und wo dies genutzt werden kann. Und dann natürlich forensische Rekonstruktion, wenn etwas schiefgeht. Das unterscheidet sich nicht wesentlich von dem, was Sie letztendlich auf jede Technologie in Ihrem Technologie-Stack anwenden würden. Das erwarten wir bis 2024. Eine Erkenntnis, die wir daraus gewinnen, ist die Tatsache, dass die Menschen, wenn sie sich mit den Möglichkeiten der generativen KI vertraut gemacht haben, beginnen können, sich darauf zu konzentrieren, die Vorteile wirklich zu verstehen, und dann sieht man, wie sich das bis 2024 weiterentwickelt. Einige der Dinge, die wir aus unserer Sicht bis 2024 bei Genai erwarten, variieren tendenziell je nachdem, über wen wir sprechen. Was Dritte angeht, so sind sie natürlich immer da, um uns zu helfen und uns das Leben ein bisschen zu erleichtern. Wir erwarten auch, dass Dokumenten-Mapping-Bewertungen verstärkt mit Hilfe von NLP durchgeführt werden. Ihnen Trendberichte zu geben, in denen sie erfahren, wie sie im Vergleich zu ihren Mitbewerbern abschneiden, ist sicherlich eine nützliche Sache, die sie dazu ermutigt, sich überhaupt erst einmal zu beteiligen. Und dann wäre da noch die Sprachübersetzung.

Eine Kombination aus generativer KI und NLP wird diese konkreten Fähigkeiten in unseren Drittanbieterprogrammen bis 2024 ermöglichen. Wenn wir uns nun einer anderen Personengruppe zuwenden, beispielsweise einigen Praktikern, werden diese etwas andere Erwartungen haben. Bis 2024 werden die Praktiker Dinge wie die Stimmungsanalyse nutzen. Okay, was sagt mir dieser Anbieter eigentlich? Was sagt mir dieser Bericht? Widerspruchserkennung. Gibt es irgendetwas, das im Widerspruch zu dem großen, umfassenden Profil steht, das wir erstellt haben, wenn wir über unsere vorherige Vorhersage sprechen, dass es sich um Datenkonvergenzmodelle und Chatbots handelt? Wie können KI und generative KI mir also tatsächlich dabei helfen, meine Prozesse zu automatisieren, Schritte zu reduzieren und schließlich Dinge wie Sentiment-Analysen zu nutzen, um beispielsweise Risikoberichte zu erstellen? Sie alle konzentrieren sich also auf Effizienz und Konsistenz in den Programmaktivitäten. Workflows, die sie ausführen. Und wenn wir zu diesem sehr zufriedenen Manager hier im Jahr 2024 übergehen, warum werden sie dann zufrieden sein? Wir werden immer mehr Dinge wie Programmberatung sehen. Ein bisschen so, wie wir Trendberatung für Dritte haben. Wir werden sehen, wie Führungskräfte versuchen zu verstehen, wie ihr Programm im Vergleich zu anderen abschneidet. Ein bisschen wie bei den Reifegradbewertungen. Wir werden proaktive Ereigniserkennung sehen. Wir haben dieses geografische Problem bei der Betrachtung Ihres Datensatzes gesehen. Kümmern Sie sich um diese 70 bis 80 Anbieter. Lassen Sie sie reagieren. Compliance-Mapping, natürlich, wie sie im Vergleich zu ihrer Compliance- und Regulierungslandschaft abschneiden, darauf werde ich zu gegebener Zeit ebenfalls eingehen, sowie umfassendere Einblicke von Kollegen, ebenso wie Programmberatungen, die sich auf ihre Arbeitsabläufe und Prozesse konzentrieren, um ihnen bessere Einblicke von Kollegen zu geben, basierend auf ihrer vertikalen Demografie, was auch immer das sein mag, um ihnen zu helfen zu verstehen, ob sie im Mittelfeld liegen, und das ist ein immer wiederkehrendes Thema in der Geschichte, nämlich dass Führungskräfte nicht hinten liegen wollen, nicht unbedingt an der Spitze, je nach ihrer Branche. Ja. Sie wollen gesund in der Mitte sein und gute Praktiken anwenden, nicht die besten Praktiken, aber im Großen und Ganzen gute Praktiken.

Und generative KI wird dies durch die Unterstützung bei der Benchmarking-Erstellung ermöglichen. Wir gehen daher davon aus, dass Gen AI bis 2024 einen Großteil dieser Technologien einführen wird. Zunächst wird der Schwerpunkt voraussichtlich auf externen großen Sprachmodellen liegen, die Daten letztendlich nach außen senden. Dies hat gewisse Auswirkungen auf die Datensicherheit, aber im Laufe des Jahres werden wir voraussichtlich immer mehr lokalisierte Modelle sehen. Dies könnte unter Verwendung von AWS Azure usw. geschehen und in diesen Umgebungen lokalisiert und gespeichert werden, aber wir werden die Einführung besserer generativer KI-Verarbeitungsprozesse und -Aktivitäten in Kontrollumgebungen mit kontrollierten Datensätzen erleben. Und das ist der Punkt in unserer Denkweise, an dem wir beginnen werden, uns von diesen Erwartungen und Enttäuschungen hin zu einer allmählichen Stabilisierung der Produktivität zu entwickeln. Und wir gehen davon aus, dass dies wahrscheinlich in der zweiten Hälfte des Jahres 2024 der Fall sein wird, wenn wir uns unsere Prognosen hier ansehen. Über die generative KI hinaus, die unsere sechste Prognose ist, kommen wir nun zu unserer siebten Prognose, nämlich den Vorschriften. Dies ist ein wiederkehrendes Thema für uns und sicherlich auch für Sie, da wir jedes Jahr die Prognose abgeben, dass es mehr Vorschriften geben wird. Das ist eine sichere Wette. Ich glaube nicht, dass das etwas ist, worüber sich irgendjemand in dieser Telefonkonferenz freuen würde. Was wir jedoch erwarten, ist ein intelligenteres Management von Vorschriften. Das ist die Veränderung, die sich wirklich dynamisch auf einen TPRM-Prozess oder ein TPRM-Programm auswirken wird. Was ich damit meine, ist, dass es relativ deprimierend ist. Es gibt einige Leute, die das lieben, aber ich finde es relativ niederschmetternd. Aber wenn man sich die Akronyme und Abkürzungen ansieht, die mit den Vorschriften verbunden sind und die sich im Laufe des Jahres und im nächsten Jahr weiterentwickeln werden, wie ich bereits erwähnt habe, mit Dingen wie Anti-Bestechungs- und Korruptionsvorschriften, die aus Europa kommen, dann erwarten wir, dass die Leute die Anwendung dieser Vorschriften vereinfachen wollen, und das tun sie, indem sie entweder passive Überwachung oder ihre eigenen Bewertungen einsetzen, um neue Vorschriften einfach und unkompliziert abgleichen zu können.

Eine der häufigsten Fragen, die uns und unserem Content-Team im Jahr 2023 gestellt wurden, war: „Hey, dieses neue Gesetz kommt in Kraft, was macht ihr dagegen?“ Die Leute wollen nicht proaktiv nachfragen müssen. Sie suchen nach Quellen, nach einer Community, die sie im Grunde genommen berät und ihnen sagt, dass in drei Monaten eine neue Version der Anti-Bestechungs- und Korruptionsvorschriften in Kraft tritt. Das müssen Sie beachten, und so wird Ihr Programm konform sein oder nicht. Und bis 2024 wird es proaktivere Mechanismen geben, um diese Vorschriften rückwirkend auf Ihren Datensatz anzuwenden. Die neue Verordnung kommt morgen heraus. Wir wissen, dass es 47 einzigartige Kriterien gibt, die wir mithilfe einiger der Mechanismen, über die wir heute bereits gesprochen haben, nachverfolgen müssen. Die Menschen werden rückwirkend schnell überprüfen, wie ihre Situation derzeit im Vergleich dazu aussieht. Sie sollten keine Neubewertungen versenden oder neue passive Überwachungsmaßnahmen durchführen müssen. Sie sollten nicht dasitzen und größtenteils fleißig neue Kontrollen in ihre Rahmenwerke einbauen müssen. Es besteht die Erwartung, dass sie letztendlich einen Teil dieses Prozesses automatisieren können, und die Automatisierung der Einhaltung von Vorschriften aus der Perspektive der Identifizierung von Compliance oder Non-Compliance wird bis 2024 sicherlich immer mehr an Bedeutung gewinnen. Wenn nicht, dann kommen Sie nächstes Jahr wieder und schreiben Sie einen Kommentar im Chat. Also, nur ein Hinweis für diejenigen, die sich offensichtlich auch für den regulatorischen Aspekt interessieren. Prevalent verfügt tatsächlich über ein Handbuch zur Einhaltung von Risikomanagementvorschriften durch Dritte. Dabei handelt es sich um einen Leitfaden, der einige der gängigsten Rahmenwerke und Vorschriften umfasst, die derzeit existieren. Falls Sie es noch nicht gesehen haben: Es ist ein ziemlich umfangreiches Material. Bitte zögern Sie nicht, sich an uns zu wenden. Wir stellen es Ihnen gerne zur Verfügung und besprechen es ausführlicher mit Ihnen. Es ist ein großartiges Nachschlagewerk, das wir natürlich ständig weiterentwickeln, sobald neue Vorschriften in Kraft treten. Vorschriften sind also eine allgegenwärtige, unverzichtbare Anforderung in unserem Leben.

Äh, aber das hängt mit einem Teil des umfassenderen Lebenszyklus zusammen, da wir verschiedene Personen haben, die uns bitten, diese Vorschriften im selben Programm nachverfolgen zu können. Und das hängt mit unserer achten Vorhersage hier zusammen. Und unsere achte Vorhersage befasst sich mit Integration und Synchronizität. Als ich das zuvor geübt habe, habe ich mehrere Versuche gebraucht, um „Synchronizität” zu sagen. Die Tatsache, dass ich es beim ersten Mal geschafft habe, macht mich sehr stolz auf mich. Vielen Dank, dass Sie das bemerkt haben. Aber Integration und Synchronizität werden in dieser Perspektive von diesem Lebenszyklus bestimmt. Wir haben einen Lebenszyklus aus Beschaffung und Auswahl, Aufnahme, inhärentem Risiko usw. Wir müssen die Punkte zwischen diesen verschiedenen Komponenten verbinden. Das wird immer schwieriger, denn wenn man sich tatsächlich Standard-Workflows ansieht, dann handelt es sich hier um einen ganz bestimmten Standard-Workflow, der für einen Anbieter wichtig ist. Was tun wir? Wir überwachen. Wir betrachten die Ergebnisse. Wir versenden Bewertungen. Wir besprechen die Ergebnisse mit dem Unternehmen. Wir analysieren diese Ergebnisse. Wir erstellen Berichte. Wir validieren die Berichte. Wir führen sogar Audits vor Ort durch usw. Ja, das ist nur ein Teilbereich dieses umfassenderen Lebenszyklus. Wissen Sie, es ist ein relativ intensiver Bestandteil, aber nur ein Teil davon. Wenn wir uns diese Art von Arbeitsabläufen ansehen, wenn man sie alle miteinander verbindet, alle Punkte miteinander verbindet, sieht man in einigen Fällen mehrere Technologien, die unterschiedliche Aufgaben für verschiedene Bereiche des Unternehmens übernehmen. Sei es die Beschaffungssoftware oder die Finanzabteilung für die Rechnungsstellung oder die Leistungs-SLA und die Komponenten für die operative Ausfallsicherheit. Wir erwarten eine steigende Nachfrage nach Integration zwischen benachbarten Systemen, und ein Treiber dafür ist die Tatsache, dass der Markt reifer wird. Technologien reifen, da sie Dinge wie Automatisierungen einführen, und die Menschen haben begonnen, Dinge wie ihre Anbieteruniversen und -landschaften in bestimmten Technologien aufzubauen. Sie möchten dies auf alle anderen übertragen können, damit sie den besten Wert für den gesamten Stack erzielen.

Wir haben persönlich einen ziemlich starken Anstieg der Nachfrage nach Integrationen und Verbindungen zwischen Systemen festgestellt. Wir gehen nicht davon aus, dass sich dies ändern wird. In den vergangenen Jahren haben wir über die Konvergenz von Technologien zu einzelnen Systemen gesprochen, und für weniger definierte Programme ist dies sicherlich ein logischer Schritt. Aber bei großen Unternehmen mit multidisziplinären, ziemlich etablierten Arbeitsabläufen und Prozessen sehen wir immer mehr Erwartungen, dass der TPRM-Lebenszyklus technologieübergreifend eingebettet wird. Ich möchte nun zu unserer neunten Beobachtung und Prognose übergehen, nämlich der kontinuierlichen Leistungsfähigkeit. Ich habe bereits einige Male die passive Überwachung erwähnt, und wenn man sich mit passiver Überwachung befasst, kann man sie in verschiedene Bereiche unterteilen, wie z. B. den IT-Sicherheitsbereich, die von uns erwähnten Geschäftsüberwachungsdatensätze und natürlich die finanziellen und rechtlichen Datensätze als Untergruppe. In einigen Fällen gibt es hier fast tägliche Iterationen. Hoffentlich kommen Dinge wie Insolvenzen nicht täglich vor, aber wenn man sich diese Bereiche ansieht, gibt es bestimmte Erkenntnisse, von denen man eine tägliche Zusammenfassung haben möchte. Was wir beobachten, ist eine steigende Nachfrage im Beschaffungswesen nach möglichst zeitnahen Einblicken in Dinge wie Verstöße oder Probleme, die in der Lieferantenlandschaft auftreten. Früher lag der Schwerpunkt in dieser Hinsicht auf Cyber-Themen. Bis 2024 erwarten wir jedoch eine zunehmende Fokussierung auf kontinuierliche Einblicke in geschäftliche, finanzielle und rechtliche Aspekte, angetrieben durch die Nachfrage im Beschaffungswesen. Und etwas, das wir damit verbunden sehen, ist, dass Sie damit beginnen, diese sehr, sehr tiefgreifenden kontinuierlichen Überwachungsfunktionen aufzubauen. Nehmen wir hier als Beispiel Prevalent: Mit 500 Millionen Profilen, 84 Milliarden verschiedenen Geschäftsüberwachungsereignissen und tatsächlich 900.000 verschiedenen Websites, die zu jedem Zeitpunkt verfolgt werden, bauen Sie aus dieser kontinuierlichen Funktion eine Fülle von Daten auf. Als wir zuvor über unsere Prognose für erweiterte und aggregierte Analysen gesprochen haben, wird dies dazu beitragen, dass wir durch diese kontinuierliche Fähigkeit immer mehr Datenpunkte einführen, was wiederum zu immer erweiterten Analysen führen wird. Es handelt sich also fast um eine sich selbst erfüllende Prophezeiung.

Die Menschen wollen täglich neue Einblicke. Das bedeutet, dass sie mehr Ereignisse und eine breitere Berichterstattung erhalten, was sich im Laufe der Zeit auch auf unsere anderen Prognosen auswirken wird. Kommen wir nun zu unserer zehnten und letzten Prognose für heute, nämlich dem Kontext. Der Kontext war schon immer sehr wichtig, aber sehr schwer über die gesamte Bandbreite der Drittanbieterlandschaft hinweg zu erfassen. In diesem Fall bedeutet Kontext für uns in der Regel mehrere Dinge. Es geht darum, inhärente Risiken zu verstehen oder Profile zu erstellen und zu analysieren, wer der Anbieter ist, was er tut, warum er es tut, wie er es tut – all diese Kriterien helfen uns letztendlich dabei, unsere Drittanbieter entsprechend einzustufen und zu bewerten. Die Menschen erwarten zunehmend eine bessere Struktur im Beschaffungszyklus, um dies im Voraus zu erfassen. Damit meine ich, dass es viele Daten, äh, sorry, Drittanbieter-Landschaften und Bestände gibt, denen diese Informationen fehlen. Immer mehr Beschaffungsfunktionen erfassen diese Daten im Beschaffungszyklus oder bei der Verlängerung, um sie zu speisen, und das liegt daran, dass sie Daten verbrauchen. Bis 2024 werden also immer mehr Menschen diese Daten nutzen, und wir werden sehen, dass die Beschaffung die Erfassung dieser Daten vorantreibt, was wiederum zu einer Prognose für 2024 führt, die mehr Pragmatismus beim Management dieser Landschaften vorsieht. Nehmen wir zum Beispiel an, wir haben 15.000 Lieferanten in unserem Ökosystem. Dann müssten wir 15.000 Profilierungs- und Tarierungsübungen durchführen. Dadurch sollte sich die Anzahl auf etwa 4.000 reduzieren. Das könnte daran liegen, dass kritische Lieferanten interaktive Bewertungen benötigen. Es könnte eine kleinere Untergruppe geben, die auf der Grundlage der Ergebnisse eine kontinuierliche Überwachung erfordert. Diese könnte sich wiederum verringern, wenn man diejenigen berücksichtigt, die ein iteratives Risikomanagement benötigen. Und dann gibt es noch eine kleinere Untergruppe, die ein konsistentes, regelmäßiges Ereignismanagement erfordert, weil sie für uns wirklich kritisch ist. Das setzt sich fort bis hin zu Dingen wie Validierungsschritten und in einigen Fällen sogar bis hin zu Vor-Ort-Audits am Ende und einer bestimmten Anzahl von Ad-hoc-Zero-Days, mit denen wir uns befassen müssen. Aber wir sollten diese Art von Pyramide bei unseren Lieferantenbeständen sehen.

Sie wissen, dass die Tage von 15.000 bedeuten, dass 15.000 bis 2024 verschwinden sollten. Wir gehen davon aus, dass wir durch die Profilerstellung und das Tearing im Laufe der Zeit damit beginnen können, diese eher pyramidenförmige, äh, TP, sorry, Drittanbieter-Landschaft, äh, und Bestände aufzubauen, und dies trägt tatsächlich zu Nth-Parteien und Fourth-Parteien bei, wie ich bereits erwähnt habe, was seit einigen Jahren erwartet wird, nämlich dass ich mich mit Nth-Parteien befassen werde. Wir glauben nicht, dass im Jahr 2024 Endparteien vollständig indexiert und bis hinunter zu mehreren Ebenen bewertet sein werden. Das ist einfach nicht pragmatisch. Aber wir werden sehen, dass die Leute erkennen, dass das ein Problem ist, und sich auf bestimmte vierte Parteien konzentrieren werden. Damit meinen wir: Was sind unsere wirklich kritischen Lieferanten? Gibt es bestimmte vierte Parteien mit Konzentrationsrisiken, die wir berücksichtigen müssen, und gibt es solche, die sich auf unsere Datenschutzrichtlinien auswirken? Und Sie werden möglicherweise eine Ebene tiefer sehen, wenn ein Teil der vierten Parteien einer grundlegenden Sorgfaltsprüfung unterzogen wird. In einigen Fällen werden wir nur Dritte sehen, äh, die Erwartung, dass Dritte dies in unserem Namen tun, was eher dem aktuellen Stand entspricht, aber wir sollten bis 2024 gezieltere Arbeit mit vierten Parteien sehen. Zusammenfassend lässt sich sagen, dass dies bisher eine Menge Informationen in 51 Minuten sind, aber einige der wichtigsten Vorhersagen, die wir hier treffen, sind, dass die Finanzierung von TPRM weiterhin eine wichtige Rolle spielen wird. Wir werden eine Konvergenz der Programme erleben, bei der mehrere multidisziplinäre Unternehmer zusammenarbeiten werden. Sie werden diese Datenkonvergenz sehen, wenn die Datensätze erweitert werden. Wir werden sehen, wie diese Datensätze erweitert werden und in fortgeschrittene und aggregierte Analysen einfließen, und dazu wird auch die Verhaltensanalyse gegen Ende des Jahres gehören. NLP wird zu einem gemeinsamen Faktor für unsere Automatisierungs- und Standardisierungsprozesse werden.

Und wir werden Dinge sehen wie die Einbindung von KI in unsere Automatisierungen, proaktivere Vorschriften zur Anpassung an unsere bestehende Landschaft, die Fortsetzung der Integration in benachbarte Technologien, die Möglichkeit, diese Anbieter so nah wie möglich an Echtzeit zu überwachen, und die Fähigkeit, bei unserer Anbieteranalyse und -verwaltung pragmatisch vorzugehen. Das bedeutet im Grunde genommen, dass wir sehen werden, wie sich die gute Grundlage, die in den vergangenen Jahren geschaffen wurde, weiterentwickelt. Mit dem Aufkommen von Dingen wie dieser verstärkten Automatisierung, größeren Datensätzen für eine bessere Echtzeit-Berichterstattung und weniger Arbeit an den Dingen, die nicht wichtig sind, werden wir ins Jahr 2024 gehen. Das bedeutet, dass wir unsere Lieferantenpopulation richtig dimensionieren und den richtigen Personen die personenbezogenen Dashboards und Berichte zur Verfügung stellen, die für sie wirklich wichtig sind. Ich werde meine Stimme jetzt für eine Minute schonen und wir werden zu einem sehr kurzen Überblick von dem lieben Scott Lang über einige der Komponenten übergehen, die hier vielleicht helfen könnten. Scott.

Scott Lang: Vielen Dank, Alistair. Ich werde jetzt meinen Bildschirm freigeben. So, das wäre geschafft. Super. So, das wäre geschafft. Äh, Leute, danke, dass ihr bisher 53 Minuten lang dabei geblieben seid, denn Alistair hat wirklich eine ganze Menge, äh, ihr wisst schon, hervorragende Best Practices, Prognosen und Gedanken präsentiert, die wir nutzen können, um unsere TPR-Pläne für das neue Jahr zu formulieren. Ich weiß, dass jetzt die Zeit der Budgetplanung vor der Verifizierungsphase ist. Vielleicht sind wir sogar schon darüber hinaus. Sie beginnen gerade, Projekte aufzustellen. Es ist gut, ein solches Verständnis der wichtigsten Trends und Entwicklungen auf dem Markt zu haben, um diesen Prozess für Sie zu unterstützen. Ich dachte, ich nehme mir kurz Zeit, um Ihnen aus unserer Sicht zu zeigen, wie hilfreich das sein kann, und dann können wir uns den Fragen zuwenden. Aus unserer Sicht gibt es drei Dinge, die Sie mit Ihrem Risikomanagementprogramm für Dritte erreichen sollten. Das erste ist, die Daten zu erhalten, die Sie benötigen, um bessere Entscheidungen zu treffen.

Wahrscheinlich haben Sie Informationssilos, verschiedene Abteilungen, verschiedene Tools, vielleicht verwenden Sie Tabellenkalkulationen oder andere minderwertige manuelle Prozesse, um Informationen über die internen Kontrollen Ihrer Drittanbieter und Lieferanten zu sammeln. Sobald Sie diese Informationen gesammelt haben, sind sie bereits veraltet, da Sie sie zwischen den Bewertungen nicht wirklich auf dem neuesten Stand halten können. Und das ist eine ziemliche Herausforderung. Ich verstehe, dass ein zweites großes Ziel, das Unternehmen im Bereich des Drittanbieterrisikos erreichen wollen, darin besteht, diese Silos abzubauen und die Teameffizienz zu verbessern. Sie haben ganz am Anfang eine Folie gesehen, die Alistister in der Präsentation gezeigt hat und auf der stand, dass zwar das Informationssicherheitsteam in der Regel für die Durchführung von Risikobewertungen von Drittanbietern zuständig ist, wenn Cybersicherheit der Haupttreiber ist. Ähm, wir sehen jedoch, dass das Beschaffungsteam für die Beziehungen verantwortlich ist. Wenn also die Führungskraft und der Eigentümer vielleicht miteinander im Konflikt stehen, weil sie unterschiedliche Tools, unterschiedliche Prozesse und unterschiedliche Systeme verwenden, nicht miteinander kommunizieren und nicht interagieren, dann ist das kein Rezept für zukünftigen Erfolg. Dieses Maß an Integration und Konsistenz innerhalb des Unternehmens ist das gewünschte Ergebnis und hilft Ihnen, das dritte Ergebnis zu erreichen, nämlich Ihr Programm im Laufe der Zeit weiterzuentwickeln und zu skalieren. Es geht also darum, gute Daten zu erhalten, Silos zwischen Teams abzubauen, damit diese effizienter zusammenarbeiten können, und Programme im Laufe der Zeit weiterzuentwickeln und zu skalieren. Genau das hoffen wir mit Ihrem Risikomanagementprogramm für Dritte zu erreichen, wenn Sie wissen, dass wir Ihnen helfen können, eine Lösung anzubieten. Unsere Sichtweise auf Risiken durch Dritte ist, dass wir in jeder Phase des Lebenszyklus eines Dritten einzigartige Risiken sehen. Es geht nicht nur darum, eine Bewertung zu versenden, eine Art Risikobewertung zurückzubekommen, eine Triage durchzuführen, Abhilfemaßnahmen zu ergreifen und dann irgendwie weiterzumachen. Und es ist mehr als nur eine Due Diligence vor Vertragsabschluss. Es ist ein konsistenter Prozess, der von dem Zeitpunkt, an dem Sie einen neuen Lieferanten suchen und auswählen, bis zu dem Zeitpunkt, an dem Sie diese Beziehung beenden, besteht.

Auch hier sehen wir in jeder dieser Phasen einzigartige Risiken, und wir können Ihnen dabei helfen, den Prozess der Erkennung dieser Risiken zu automatisieren, Maßnahmen zu ergreifen, sie zu beseitigen und letztendlich das Restrisiko für Ihr Unternehmen zu reduzieren. Letztendlich geht es für Sie um drei Dinge. Nummer eins ist, Ihnen einen einfacheren und schnelleren Prozess für die Einbindung eines neuen Lieferanten zu bieten. Ihnen eine einzige Quelle der Wahrheit und einen Prozess zur Verwaltung dieses Lieferanten in Ihrem gesamten Unternehmen zu bieten. Optimieren Sie den Prozess, schließen Sie Lücken und decken Sie Risiken ab, wo Sie derzeit möglicherweise Lücken haben, und vereinheitlichen Sie Ihr Team über den gesamten Lebenszyklus hinweg. Ich werde nicht weiter darauf eingehen. Dies sind nur sechs Kategorien von Risiken, die Prevalent Ihnen hilft, auf der Plattform zu erfassen und zu verwalten, sei es durch eine vor Ort durchgeführte Bewertung auf einer Plattform oder durch die Verwendung von Risikomonitoring-Daten von Drittanbietern, die mit den Bewertungsergebnissen korrelieren. Letztendlich liefern wir eine Kombination aus drei Dingen. Nummer eins ist die Hilfe von Experten. Die Menschen, richtig? Wenn Sie sich dafür entscheiden, kann unsere Managed-Services-Gruppe die harte Arbeit für Sie übernehmen, von der Einbindung von Lieferanten über die Durchführung von Bewertungen und Abhilfemaßnahmen bis hin zur Verwaltung während des gesamten Lebenszyklus. Sie können die Plattform aber auch selbst nutzen. Die zweite Schlüsselkomponente unserer Lösung ist natürlich die Fülle der Daten. Wir verfügen über mehr als eine halbe Million individualisierte Informationsquellen und eine halbe Million verschiedener Profile, die in das System integriert sind und auf die Sie sofort über mehrere verschiedene Risikotypen zugreifen können. Und drittens ist all das in der Plattform untergebracht, um Ihnen zu helfen, erstklassige Analysen, Berichte und Workflows durchzuführen und letztendlich ein gewisses Maß an Abhilfemaßnahmen für Ihre Kunden oder Ihre Lieferanten zu erreichen. Also, ganz kurz, ich wollte nur diesen Überblick geben. Ich gebe nun zurück an Melissa, die Fragen entgegennehmen wird, und dann werden wir die Veranstaltung beenden. Bitte, Melissa.

Melissa: Perfekt. Danke, Scott. Ähm, ich werde jetzt unsere zweite und letzte Umfrage starten. Sie wird in zwei Sekunden erscheinen. Ähm, ich bin gespannt, ob Sie auch dabei sind, dieses TPR und Programm einzuführen. Ich weiß, dass Scott über die Budgetierung gesprochen hat. Jetzt legen die Leute das für nächstes Jahr fest. Vielleicht sind Sie das ja. Seien Sie bitte ehrlich. Wir melden uns wahrscheinlich innerhalb der nächsten 24 Stunden bei Ihnen, wenn nicht sogar früher. Wir haben noch ein paar Fragen. Ich weiß, dass einige davon im Chat stehen, die ich nach und nach beantworten möchte, aber es gibt auch noch ein paar in der Q&A-Box. Alistister, möchten Sie die wichtigste Frage auswählen? Ich weiß, dass wir nur noch eine Minute Zeit haben.

Alistair Parr: Ja, sicher. Es gibt einige Punkte, die meiner Meinung nach mit den Kommentaren zum Risikomanagement von Drittanbietern zusammenhängen, das sich zu einem Lebenszyklusmanagement von Drittanbietern entwickelt. Ich habe mir einige davon angesehen, und es gibt sicherlich einige, also vielen Dank an alle. Aber sehen Sie den TPRM-Workflow als gleichbedeutend mit dem Lieferantenmanagement? Zum Teil ja, ich würde sagen, dass es Überschneidungen zwischen beiden gibt. Bis 2024 wird also eine Weiterentwicklung erwartet. Sie werden mehr Lebenszyklus-Lieferantenmanagement als Komponente sehen. Das Risikomanagement wird weiterhin bestehen bleiben, was nicht unbedingt bedeutet, dass die Infosc-Teams und das Risikomanagement den gesamten Prozess übernehmen werden. Es bedeutet lediglich, dass Sie ein gewisses Maß an Synchronität zwischen den Teams sehen werden, die den zu diesem Zeitpunkt am besten funktionierenden Mechanismus nutzen. Die Risikomanagement-Teams benötigen in der Regel ein höheres Maß an Detailgenauigkeit als einige der anderen Teams, was die Risikoeinstufung und die kontinuierliche Nachverfolgung in dieser Hinsicht angeht. Aber Sie werden sehen, dass das Risikomanagement von Drittanbietern immer mehr zum Lebenszyklusmanagement von Drittanbietern wird und die beiden Bereiche mit der Zeit immer mehr verschwimmen. Das beobachten wir auf jeden Fall und gehen davon aus, dass sich dieser Trend fortsetzen wird. Das sind großartige Fragen. Ich weiß, dass unsere Zeit um ist, daher gebe ich zurück an Sie, Melissa.

Melissa: Okay, perfektes Timing. Ähm, es ist für alle die volle Stunde. Also, ähm, ich wollte mich natürlich bei Alistar bedanken, dass er wieder dabei war, und bei Scott für seine Rede am Ende, wie immer. Wenn ihr Fragen habt, werde ich meine E-Mail-Adresse im Chat hinterlassen. Sie steht also dort. Ihr könnt auch die Chat-Funktion auf unserer Website nutzen, die direkt zu mir führt. Ich hoffe, wir sehen einige von euch in unseren Posteingängen und vielleicht beim Webinar nächste Woche. Macht's gut, Leute. Danke. Tschüss.