Unternehmen sind heute miteinander vernetzte Netzwerke von Drittanbietern, zu denen nicht nur Ihre direkten Lieferanten, sondern auch die Lieferanten Ihrer Lieferanten und sogar die Lieferanten Ihrer Lieferanten gehören. Wenn Sie nicht aufpassen, kann ein Problem mit einem dieser Lieferanten Ihrem Unternehmen schaden. Tatsächlich hat eine kürzlich durchgeführte Umfrage ergeben, dass fast die Hälfte (44%) der Befragten einen erheblichen, geschäftsverändernden Datenverlust durch einen Dritten erlebt haben. Den Kunden ist es egal, ob ein Problem wie eine Datenpanne bei Ihnen oder bei einem Lieferanten entstanden ist. In ihren Augen ist das alles dasselbe – und Sie bekommen die Schuld dafür. Um das Risiko von Drittanbietern effektiv zu managen, müssen Sie Ihre Risiken ganzheitlich verstehen und Ihr Risiko im gesamten Unternehmen mit einer soliden Strategie für das Risikomanagement von Drittanbietern (TPRM) verwalten.

Hier sind fünf Säulen eines starken TPRM, die Ihnen helfen, Ihr Unternehmen zu schützen.

  1. Identifizieren Sie Ihre Anbieter.
    Der erste Schritt zu einem erfolgreichen TPRM-Programm besteht darin, dass Sie wissen, wer Ihre Lieferanten sind, welche Dienste sie anbieten und auf welche Informationen sie Zugriff haben. Führen Sie im Vorfeld eine Due Diligence-Prüfung durch und schließen Sie Verträge mit Drittanbietern ab, die Ihre Standards und Anforderungen erfüllen – und die auf eine Weise arbeiten, die mit Ihrer Geschäftspraxis übereinstimmt. Halten Sie Ihre Liste der Anbieter und Auftragnehmer auf dem neuesten Stand. Sie können sich nicht vor Dritten schützen, von denen Sie nichts wissen.
  2. Bewerten Sie die Risiken.
    Die Bewertung des Status – finanziell, betrieblich, sicherheitstechnisch, regulatorisch usw. – eines jeden Anbieters, mit dem Sie zusammenarbeiten, ist für eine gute TPRM-Strategie absolut entscheidend. Sie müssen wissen, wo deren Schwächen liegen, damit Sie nicht unvorbereitet getroffen werden.
    Senden Sie maßgeschneiderte Fragebögen an jeden Anbieter, um wichtige Daten zu sammeln, darunter Vereinbarungen, Kontakte, Richtlinien, Zugangsdaten und mehr. Die Software kann dann automatisch die Antworten bewerten, ausstehende Probleme nachverfolgen und die Lösung überprüfen. Sie können die von den Anbietern selbst bereitgestellten Informationen auch durch Daten von externen Experten für die Bewertung von Risiken wie Finanz- und Cyberrisiken ergänzen. Durch den Einsatz verschiedener Bewertungsmethoden erhalten Sie einen klaren 360-Grad-Blick auf das Risiko, dem jede Beziehung zu einem Dritten ausgesetzt ist. So vermeiden Sie beispielsweise, dass Sie einen neuen Lieferanten unter Vertrag nehmen, nur um dann festzustellen, dass dieser nicht über die finanziellen Ressourcen verfügt, um eine versprochene wichtige Komponente zu liefern.
  3. Setzen Sie Prioritäten für Ihre Aktionen.
    Sobald Sie die Risiken Ihrer Drittanbieter bewertet und eingestuft haben, teilen Sie sie in Kategorien ein – z.B. hohes, mittleres und geringes Risiko -, damit Sie Ihre Bemühungen entsprechend den Risiken, die sie für Ihr Unternehmen darstellen, priorisieren können.
    Drittanbieter, die Zugang zu sensiblen Informationen haben, Finanztransaktionen abwickeln oder kritische Funktionen für Ihren Betrieb ausführen, werden in der Regel als hohes Risiko eingestuft. Zu den Anbietern mit mittlerem Risiko gehören diejenigen, die nur begrenzten Zugriff auf Ihre Systeme haben, und zu den Anbietern mit geringem Risiko zählen diejenigen, die nicht mit kritischen Systemen oder Daten interagieren.
    Je höher die Risikostufe, desto häufiger sollten Sie die Fähigkeit Ihrer Drittanbieter, ihren vertraglichen Verpflichtungen nachzukommen, neu bewerten. Vergewissern Sie sich, dass Sie von allen Anbietern, die als hochriskant oder höher eingestuft sind, vollständige Geschäftskontinuitätspläne haben.
  4. Klären Sie offene Fragen – und bestehen Sie auf Dokumentation.
    Sie könnten zur Rechenschaft gezogen werden, wenn ein Anbieter gegen staatliche oder branchenspezifische Gesetze, Regeln oder Vorschriften verstößt. Stellen Sie sicher, dass Sie über die richtigen Prozesse verfügen, um die laufende Einhaltung der entsprechenden gesetzlichen Vorschriften zu bewerten und zu überwachen. Und führen Sie einen detaillierten Prüfpfad für die gesamte Dokumentation. Um dringende Probleme leichter zu erkennen und Prioritäten für Abhilfestrategien festzulegen, sollten Sie Probleme von Drittanbietern in Kategorien wie kritisch (maximal 3 Tage bis zur Lösung), hoch (maximal 30 Tage bis zur Lösung), mittel (maximal 120 Tage bis zur Lösung) und niedrig (maximal 160 Tage bis zur Lösung) einteilen.
    Die TPRM-Software kann auch automatisch Warnmeldungen für ablaufende Dokumente senden. Auf diese Weise erfahren Sie sofort, wenn etwas nicht mehr den Vorschriften entspricht, und können schnell handeln.
  5. Überwachen Sie auf Veränderungen.
    Ein gutes Risikomanagement für Drittanbieter endet nicht mit der Aufnahme der Geschäftsbeziehung. Es erfordert eine kontinuierliche Überwachung während der gesamten Geschäftsbeziehung, um mit den sich ändernden Bedingungen bei den einzelnen Anbietern, Ihren eigenen Prioritäten und der Welt im Allgemeinen Schritt zu halten. Überprüfen Sie die Drittanbieter regelmäßig, um festzustellen, ob sie ihre vertraglichen Verpflichtungen nicht erfüllen können, und um sicherzustellen, dass die Partnerschaft weiterhin mit den Zielen Ihres Unternehmens übereinstimmt. Natürlich geht die Überwachung nur so weit. Erstellen Sie einen Plan zur Behebung aller kritischen Risiken und Schwachstellen, die auftreten.

Probleme mit Lieferanten werden letztendlich zu Ihren Problemen – aber mit einer effektiven TPRM-Strategie, Prozessen und Software haben Sie eine starke Grundlage, um Ihr Unternehmen vor Fehltritten Dritter zu schützen

Einen praktischen Einblick in ein effektives Risikomanagement für Dritte erhalten Sie, wenn Sie sich ansehen, wie Stanley Steemer sein TPRM-Programm aktualisiert hat, um seinen Umsatz zu steigern.

Wenn Sie bereit sind, eine Ausschreibung für eine Drittanbieter-Risikomanagementlösung zu verfassen, laden Sie diese Liste mit den wichtigsten TPRM-bezogenen Fragen herunter, die Sie leicht an Ihre Bedürfnisse anpassen können.