Globale Wertschöpfungs- und Lieferketten werden unter dem Druck von Globalisierung und Digitalisierung immer verzweigter, sodass die Beziehungen zu Drittparteien im selben Maß an Bedeutung gewinnen. Lieferanten, Dienstleister, Verkäufer, Produzenten, Verteiler oder Agenten bilden ein komplexes Netz aus Akteuren, deren Funktionieren die Wettbewerbsfähigkeit des Unternehmens sicherstellen. Aber mit der Integration verschiedene Drittparteien gehen auch Risiken einher. Laut einer EY-Studie erlitten 29 Prozent der befragten Unternehmen im letzten Jahr eine Datenpanne durch einen Drittanbieter. Wie Unternehmen Risiken durch Drittparteien richtig erfassen, bewerten und sich effektiv schützen können, erfahren Sie in diesem Artikel!
VRM & TPRM: Was ist Risikomanagement für Drittparteien?
Beziehungen zu Drittparteien sind fester Bestandteil jedes Unternehmens. Sie umfassen alle geschäftlichen Vereinbarungen eines Unternehmens mit anderen Unternehmen, Organisationen oder Personen. Diese Vereinbarung kann die Form deines Vertrags haben – muss sie aber nicht. Zusätzlich komplex werden die Beziehungen zu Drittparteien häufig durch Unterauftragnehmer, die als Viertpartei ebenfalls ein vermitteltes Risiko für das Unternehmen darstellen können. Diese Risiken sind im Zweifel geschäftskritisch und müssen daher effektiv erfasst, bewertet und minimiert werden. Das Lieferantenrisikomanagement (VRM) umfasst die Erfassung, Bewertung und Behebung von Risiken der Geschäftsbeziehungen zu Lieferanten, während das Third Party Risk Management (TPRM) sämtliche Drittparteien bezeichnet.
Das größte Risiko in der Beziehung zu Drittparteien liegt in der Preisgabe sensibler Daten durch eine Panne oder eine Sicherheitslücke. Professionelle Cyber-Angreifer nehmen dabei selten ein Unternehmen gezielt ins Visier, sondern suchen sich einfache Ziele mit großen Schwachstellen. Drittparteien sind eine besonders große Gefahr, weil Unternehmen keine Hoheit über das Sicherheitskonzept und die Strukturen dieser Partei hat. Gleichzeitig steigt die Zahl der Drittanbieter in Unternehmensnetzwerken stetig an – das zeigt eine Studie des Beratungsunternehmens Gartner.
Transparenz, Haftung, Maßnahmen: 3 Herausforderungen eines effektiven Drittpartei-Risikomanagements
VRM und TPRM sind die zentralen Werkzeuge, um das Risiko in der Zusammenarbeit Lieferanten, Verkäufern, Dienstleistern und allen anderen Parteien zu minimieren. Bei der Umsetzung eines effektiven Risikomanagements stehen Unternehmen vor diesen Aufgaben:
● Transparenz schaffen: In einem gewachsenen Unternehmen sind Tools und Prozesse nötig, um die bestehenden Beziehungen zu Drittparteien vollständig zu erfassen.
● Unterschiedliche Haftungsregelungen erfassen: Unterschiedliche Verträge haben möglicherweise unterschiedliche Konsequenzen für Haftungsfragen und die Meldung sicherheitsrelevanter Vorfälle. So könnten Drittparteien eine verpflichtende Meldung eines datenschutzrelevanten Vorfalls vertraglich einschränken oder ausschließen.
● Geeignete Prozesse implementieren: Neben der Kenntnis der konkreten Risiken, die mit einer Beziehung zu einer Drittpartei einhergehen, benötigen Unternehmen geeignete Prozesse, die im Ernstfall den Schaden für das Unternehmen und seine Kunden minimieren.
Third Party Risikomanagement as a Service: Befragung und Selbsteinschätzung nicht ausreichend
Die Komplexität eines effektiven Third-Party-Risk-Managements wächst mit der Anzahl der Drittpartybeziehungen und der Tiefe dieser Beziehungen. Je mehr sensible Bereiche durch die Zusammenarbeit berührt werden, desto mehr Faktoren sind in der Risikobewertung relevant. Die meisten Unternehmen können das Risikomanagement inhouse nicht kosteneffizient abbilden und setzen daher auf externe TPRM-as-a-Service-Dienstleister.
Der typische TPRM-Prozess solcher Dienstleister ist allerdings nicht immer geeignet, Risiken wirklich effektiv zu identifizieren. Häufig beruht die Risikobewertung auf einer Selbsteinschätzung der Unternehmen, die mithilfe eines Fragebogens ermittelt wird.
Die befragten Unternehmen haben allerdings kein Interesse daran, als Risikopartei identifiziert zu werden, weil dem Partner dadurch möglicherweise Kosten und Aufwände entstehen, die eine Zusammenarbeit unattraktiv machen
Gleichzeitig können die zur Einschätzung aufgeforderten Organisationen nur melden, was sie selbst wissen. Die größten Risiken ergeben sich aber aus den blinden Flecken, die der befragten Organisation gerade nicht bekannt sind. Im Rahmen einer Befragung entstehen so schnell unvollständige oder falsche Datensätze, welche die Risikobewertung des TPRM-as-a-Service-Anbieters im ungünstigsten Fall gegenstandslos machen.
Die Bewertung durch den TPRM-Dienstleisters steht bei der Selbsteinschätzung daher auf wackeligen Füssen und sollte immer um eine aktive Überprüfung der Drittpartei durch die Auswertung öffentlich zugänglicher Quellen und der Vertragsdaten ergänzt werden.
In 4 Schritten zum Third-Party-Risk-Management mit TheUnified
Risikomanagement für Drittparteien ist kein vollständig standardisierbarer Prozess, weil Faktoren wie Branche, Geschäftsmodell, Compliance-Anforderungen und Größe des Unternehmens konkret adressiert werden müssen, damit Strategien und Prozesse tatsächlich greifen.
Bei TheUnified setzen wir daher auf einen mehrstufigen Prozess, um Drittpartei-Risiken zuverlässig zu identifizieren, zu bewerten und Ihnen einen systematischen Überblick über die konkreten Risiken zu geben, denen Ihre Organisation gegenübersteht.
1. Risiken ermitteln: Für die Erfassung der Risiken setzen wir sowohl auf eine Befragung der Drittanbieter als auch auf eine eigene Analyse von Unternehmen und bestehende mithilfe moderner ki-gestützter Tools. So entsteht ein genaues Lagebild über das Risikoprofil jeder einzelnen Partei.
2. Risiken priorisieren: Alle ermittelten Risiken werden im Hinblick auf ihre Schwere und ihren Einfluss auf das Geschäft bewertet. Geschäftskritische Anbieter haben ein hohes Risiko, bei einem Vorfall die Geschäftstätigkeit insgesamt zu gefährden. Umgekehrt haben Drittparteien, bei denen ein Vorfall keinen großen Einfluss auf das Geschäft hat, ein niedriges Risiko.
3. Risiken bewerten: Die so ermittelten risikoreichsten Parteien unterziehen wir einer systematischen Bewertung anhand der konkreten Geschäftsbeziehung, wie sie in den Vertragsunterlagen dargestellt sind. Dadurch können wir das Risiko weiter konkretisieren und seine Ursache benennen.
4. Risiken regelmäßig neu bewerten: Sowohl die Partner selbst als auch die Bedingungen der Zusammenarbeit mit einem Drittanbieter unterliegen Veränderungen, die sich auch auf die möglichen Risiken niederschlagen.
Sie wollen durch die Zusammenarbeit mit Lieferanten, Agenten und anderen Drittanbietern das Potenzial ihres Geschäfts voll ausschöpfen – ohne sich und Ihre Kunden blind großen Risiken auszusetzen? Vereinbaren Sie jetzt einen Termin, damit wir über das TPRM und das VRM der Zukunft sprechen können!
