Was ist Management von Drittparteirisiken (TPRM)?

Drittparteien sind wichtig für den Geschäftserfolg, können aber auch diverse Risiken mit sich bringen. Beim Management von Drittparteirisiken (Third-Party Risk Management, TPRM) geht es um den Umgang mit diesen Risiken.

Die Zusammenarbeit mit einer Drittpartei kann ein Risiko für Ihr Unternehmen darstellen. Wenn diese Dritten Zugang zu sensiblen Daten haben, können sie ein Sicherheitsrisiko darstellen; wenn sie eine wesentliche Komponente oder einen Service für Ihr Unternehmen bereitstellen, können sie Betriebsrisiken mit sich bringen; und so weiter. Im Rahmen des TPRM können Unternehmen das von Drittparteien ausgehende Risiko überwachen und bewerten, um festzustellen, wo es den vom Unternehmen festgelegten Schwellenwert überschreitet. Auf diese Weise können Unternehmen risikobasierte Entscheidungen treffen und das von Lieferanten ausgehende Risiko auf ein akzeptables Maß reduzieren.

Drittparteien sind ein wichtiger Schlüssel für den geschäftlichen Erfolg. Unternehmen aller Größenordnungen sind im Hinblick auf Innovation, Wachstum und digitale Transformation immer stärker auf Drittparteien angewiesen.

Eine starke Abhängigkeit von Drittparteien kann allerdings riskant sein. Die Risikoposition einer Drittpartei wirkt sich entscheidend auf die Risikoposition, die Resilienz und den Ruf des Unternehmens aus, das diese Partei einsetzt. Die Bewältigung eines Incidents bei einer Drittpartei kann sehr kostspielig und schwierig sein, mit Folgen wie behördlichen Maßnahmen, Rufschädigung und Umsatzeinbußen. Unternehmen müssen Drittparteien sorgfältig überprüfen und laufend Risikobewertungen durchführen, damit ihre Sicherheit und ihr Schutz gewährleistet sind.

Bisher war das Management des Lieferantenrisikos zeitaufwändig und fehleranfällig, nicht zuletzt, weil es auf manuellen Prozessen mit E-Mails, Tabellen und isolierten Tools beruhte. Diese Prozesse und Tools sind schlichtweg unzureichend – weder sie noch die Teams können mit der wachsenden Zahl von Drittparteien Schritt halten. Unternehmen, denen es an modernen und umfassenden Lösungen mangelt, stehen häufig vor folgenden Herausforderungen:

  • Manuelle Prozesse: Geringe Effizienz bei der Überwachung von Drittparteien und größerer Zeitaufwand für das Auffinden und Beheben von Problemen.
  • Mangelnde Skalierbarkeit: Teams können mit dem Management von Drittparteien nicht Schritt halten, wenn sie mit einem Tool arbeiten, das sich nicht skalieren lässt. Dies kann zu einer Erhöhung des Risikos führen.
  • Silos: Zu viele Silos erschweren den Zugriff auf Risikoinformationen innerhalb des Unternehmens.
  • Entkopplung: Der fehlende Unternehmenskontext erschwert die Priorisierung der Risiken von Drittparteien während des Lieferanten-Lebenszyklus oder bei geänderten Anforderungen.

Nachfolgend sind einige wesentliche Fragen aufgeführt, die bei der Auswahl einer Drittpartei berücksichtigt werden müssen. Die Antworten bestimmen den Grad des Risikos, das sie für das Unternehmen darstellt:

  • Auf welche Art von Daten wird zugegriffen? Welche Art des Zugriffs wurde gewährt?
  • Arbeitet die Drittpartei mit Viertparteien zusammen, die im Hinblick auf die zu erbringenden Leistungen problematisch sein könnten?
  • Hat die dritte Partei ihren Sitz in einem instabilen Teil der Welt?
  • Liefert die Drittpartei ein kritisches Produkt oder erbringt sie einen kritischen Service? Wenn ja, brauchen Sie einen alternativen Lieferanten?
  • Wie sieht die Sicherheitsbilanz aus, welche Best Practices wurden implementiert und werden befolgt (grundlegende Sicherheitshygiene, Patching-SLAs, bisherige Sicherheitsverletzungen usw.)?
  • Verfügt die Drittpartei über einen Geschäftskontinuitätsplan zur Aufrechterhaltung des Betriebs?
  • Werden die von Ihrem Unternehmen vorgegebenen Vorschriften eingehalten?
  • Wie sieht die finanzielle Lage aus?

Strategisches Risiko

Die Strategie kann bedroht sein, wenn Unternehmen und ihre Drittparteien hinsichtlich ihrer Entscheidungen und Ziele nicht konform gehen. Die Überwachung von Drittparteien ist von entscheidender Bedeutung, damit strategische Risiken nicht zu einer mangelnden Compliance oder zu finanziellen Risiken führen.

Grafik, die die verschiedenen Arten von Drittparteirisiken veranschaulicht

Reputationsrisiko

Der Ruf eines Unternehmens kann auch vom Ruf einer Drittpartei abhängen, mit der es Geschäfte macht. Wenn eine Drittpartei ein Reputationsproblem hat oder es zu einer Datenschutzverletzung kommt, kann hierdurch das Vertrauen der Kunden in Unternehmen, die mit dieser Drittpartei zusammenarbeiten, in Mitleidenschaft gezogen werden.

Betriebsrisiko

Mitunter hängt der Betrieb von Anwendungen und Services von Drittparteien ab. Leider besteht immer das Risiko, dass die Drittpartei Opfer eines Cyberangriffs wird oder dass ein Service ausfällt, was zu Betriebsunterbrechungen, Datenverlust oder einer Datenschutzverletzung führen kann. Wenn vierte Parteien beteiligt sind, gelten für sie die gleichen Bedenken.

Transaktionsrisiko

Im Zusammenhang mit einem Produkt oder der Servicebereitstellung einer Drittpartei kann es zu Problemen bei der Abwicklung von Transaktionen innerhalb eines Unternehmens kommen.

Compliance-Risiko

Risiken durch Drittparteien fließen zunehmend in Form von Compliance-Anforderungen in geltende Standards ein, sodass die Risikotoleranz für die Compliance auch auf Drittparteien ausgedehnt werden muss.

Informationssicherheitsrisiko

Unabhängig von der Form der Daten besteht immer ein gewisses Risiko, wenn Drittparteien die Möglichkeit haben, mit Unternehmensdaten zu interagieren. Dazu zählen unter anderem Risiken durch unbefugten Zugriff, Unterbrechung, Änderung, Aufzeichnung, Einsichtnahme oder Zerstörung von Informationen.

Finanzielles Risiko

Zur Vermeidung von Unterbrechungen in der Lieferkette ist es wichtig, mit finanzstarken Drittparteien zusammenzuarbeiten. Außerdem sind Drittparteien, die in finanziellen Schwierigkeiten stecken, möglicherweise nicht so intensiv auf Sicherheitsmaßnahmen bedacht, sodass sie unnötigen Risiken ausgesetzt sind.

Die wichtigsten Schritte für das Management von Drittparteirisiken lauten:

Onboarding

Wenn Sie die Zusammenarbeit mit einer Drittpartei in Erwägung ziehen, sollten Sie im Rahmen des Entscheidungsprozesses eine erste Risikobewertung durchführen, bevor Sie mit dem Onboarding der Drittpartei beginnen. Anhand externer Daten können Sie sich ein umfassenderes Bild vom Risiko der Drittpartei machen, indem Sie z. B. deren Sicherheitslage anhand von Cybersecurity-Ratings beurteilen. Dadurch verringert sich die Gefahr, unwissentlich unerwünschte Risiken zu übernehmen.

Einstufung

Im Rahmen der anfänglichen Risikobewertung – die idealerweise vor dem Onboarding der Drittpartei durchgeführt wird, oder sobald die Drittpartei in das Unternehmen aufgenommen wurde – sollte auch eine Einstufung durchgeführt werden. Diese Bewertung erfolgt intern und führt dazu, dass die Drittpartei in eine Stufe eingruppiert wird, die die Art und Häufigkeit der Bewertungen dieser Drittpartei bestimmt. Stufe 1, die kritischen Lieferanten, ist die höchste Stufe. Einige Lieferanten können einer Stufe zugeordnet werden, die keine regelmäßigen Bewertungen erfordert (z. B. Drittparteien, die den Rasen mähen). Zur Anpassung der Stufe können gegebenenfalls externe Daten, z. B. von Anbietern für Sicherheitsbewertungen, herangezogen werden.

Bewertung

Für Drittparteien der oberen Stufen sollten regelmäßig Risikobewertungen durchgeführt werden. Diese sollten auf Grundlage des Risikobereichs erfolgen, der von der Drittpartei ausgeht. Für Lieferanten, die eine Komponente herstellen, ergeben sich z. B. Fragen in Bezug auf Mitarbeiter, Gesundheit und Sicherheit, die für Beratungsunternehmen hingegen nicht relevant sind. Fragen zur Sicherheitslage und zur finanziellen Leistungsfähigkeit betreffen jedoch alle Drittparteien. Die Häufigkeit dieser Bewertungen richtet sich nach der jeweiligen Stufe, wobei die höchste Stufe am häufigsten einer Bewertung unterzogen wird.

Ergebnisse generieren

Die Antworten auf eine Bewertung können unbefriedigend oder unvollständig ausfallen. Zu diesem Zeitpunkt sollten zusätzliche objektive externe Daten über die Finanz- oder Sicherheitslage der Drittpartei gesammelt und auf Probleme hin überprüft werden. Probleme oder Feststellungen können dann zur Beantwortung an die Drittpartei gesendet werden.

Probleme beheben

Während der Bewertung kann eine intensive Kommunikation erforderlich sein, bei der Aufgaben erstellt, Fragen beantwortet und gegebenenfalls Nachweise erbracht werden. Das alles sollte dokumentiert werden, damit Sie später darauf zurückgreifen können. Am Ende müssen möglicherweise einige Risiken in Kauf genommen werden.

Risikobericht

Nachdem Sie das Risiko identifiziert, analysiert und gemindert haben, erstellen Sie Risikoberichte für die zuständigen Stellen. Alle Stakeholder benötigen die für ihre Belange erforderlichen Einblicke.

Überwachung

Wie bereits erläutert, sollte die Bewertung von Drittparteien fortlaufend erfolgen. Im Idealfall bedeutet dies eine Überwachung aller Veränderungen in Bezug auf Risiko und Leistung. Dies kann durch häufigere Bewertungen oder externe Datenquellen, wie z. B. ständig aktualisierte Cybersicherheitsbewertungen, erfolgen. Änderungen sollten automatisch ein Problem, eine Bewertung und/oder eine Änderung der Stufe auslösen. Eine kontinuierliche Überwachung ist unerlässlich, um sicherzustellen, dass alle Drittparteien ihren Verpflichtungen nachkommen und kein unerwünschtes Risiko für das Unternehmen darstellen.

Deaktivieren

Alle Unternehmen sollten über ein formelles Verfahren verfügen, um Drittparteien und ihren Zugriff zu deaktivieren und sicherzustellen, dass alle Informationen, die nicht gespeichert werden müssen, dauerhaft gelöscht werden.

  • Vollständiger Einblick in alle Beziehungen zu Drittparteien
  • Eine formelle Bewertung und Sorgfaltsprüfung vor Vertragsabschluss
  • Verwendung von standardisierten, risikomindernden Geschäftsbedingungen
  • Risikobasierte Überwachung und Kontrolle
  • Formelles Offboarding am Ende der Geschäftsbeziehung

  • Digitalisieren und integrieren Sie alle Aspekte im Lebenszyklus des Lieferantenmanagements. Die Risikobewertung sollte bereits in der Anfangsphase erfolgen.
  • Konsolidieren Sie Lieferanteninformationen und arbeiten Sie mit Drittparteien zusammen. Führen Sie zugleich einen Audit-Pfad für alle Kooperationen ein.
  • Gewinnen Sie einen Überblick über die Risiken und Leistungen von Drittparteien, einschließlich Tochtergesellschaften (oder vierten Parteien), und behalten Sie diesen Überblick bei.
  • Entwickeln Sie eine detaillierte Bewertung zum Ursprung des Risikos.
  • Erstellen Sie Risikobewertungen, um Risiken zu vergleichen, zu priorisieren und zu kommunizieren.
  • Nutzen Sie maschinelles Lernen und Automatisierungssysteme, um mehr zu erreichen und gleichzeitig die Kosten zu senken.
  • Erstellen Sie einen Ausfallsicherheitsplan und integrieren Sie einen solchen Plan in jeden Aspekt des Lieferantenmanagementsystems.
  • Integrieren Sie andere Anwendungen (z. B. Datenfeeds für Cybersicherheitsbewertungen) und Systeme von Drittparteien.

  • Verbesserte Kunden-Experience
  • Verbesserung der eigenen Sicherheitslage
  • Bessere Betriebseffizienz
  • Verbesserte Kundenakquise und -bindung
  • Stärkung des Kundenvertrauens
  • Verbesserung der Umsätze, Prognosen und Rentabilität
  • Beständige Leistung der Drittpartei entsprechend den Erwartungen
  • Bessere Voraussetzungen für die Umsetzung der Unternehmensziele, sowohl der strategischen Unternehmensziele als auch der Ziele auf Projektebene
  • Minimierung von Unterbrechungen des Geschäftsbetriebs
  • Schnellere Erholung von Unterbrechungen

Erste Schritte mit ServiceNow Governance, Risk, and Compliance

Verwalten Sie Risiken und Resilienz in Echtzeit mit ServiceNow.