Was ist Management von Drittparteirisiken (TPRM)?

Die Zusammenarbeit mit einer Drittpartei kann ein Risiko für Ihr Unternehmen darstellen. Wenn diese Dritten Zugang zu sensiblen Daten haben, können sie ein Sicherheitsrisiko darstellen; wenn sie eine wesentliche Komponente oder einen Service für Ihr Unternehmen bereitstellen, können sie Betriebsrisiken mit sich bringen; und so weiter. Im Rahmen des TPRM können Unternehmen das von Drittparteien ausgehende Risiko überwachen und bewerten, um festzustellen, wo es den vom Unternehmen festgelegten Schwellenwert überschreitet. Auf diese Weise können Unternehmen risikobasierte Entscheidungen treffen und das von Lieferanten ausgehende Risiko auf ein akzeptables Maß reduzieren.

Der Ruf eines Unternehmens kann auch vom Ruf einer Drittpartei abhängen, mit der es Geschäfte macht. Wenn eine Drittpartei ein Reputationsproblem hat oder es zu einer Datenschutzverletzung kommt, kann hierdurch das Vertrauen der Kunden in Unternehmen, die mit dieser Drittpartei zusammenarbeiten, in Mitleidenschaft gezogen werden.

Mitunter hängt der Betrieb von Anwendungen und Services von Drittparteien ab. Leider besteht immer das Risiko, dass die Drittpartei Opfer eines Cyberangriffs wird oder dass ein Service ausfällt, was zu Betriebsunterbrechungen, Datenverlust oder einer Datenschutzverletzung führen kann. Wenn vierte Parteien beteiligt sind, gelten für sie die gleichen Bedenken.

Im Zusammenhang mit einem Produkt oder der Servicebereitstellung einer Drittpartei kann es zu Problemen bei der Abwicklung von Transaktionen innerhalb eines Unternehmens kommen.

Risiken durch Drittparteien fließen zunehmend in Form von Compliance-Anforderungen in geltende Standards ein, sodass die Risikotoleranz für die Compliance auch auf Drittparteien ausgedehnt werden muss.

Unabhängig von der Form der Daten besteht immer ein gewisses Risiko, wenn Drittparteien die Möglichkeit haben, mit Unternehmensdaten zu interagieren. Dazu zählen unter anderem Risiken durch unbefugten Zugriff, Unterbrechung, Änderung, Aufzeichnung, Einsichtnahme oder Zerstörung von Informationen.

Zur Vermeidung von Unterbrechungen in der Lieferkette ist es wichtig, mit finanzstarken Drittparteien zusammenzuarbeiten. Außerdem sind Drittparteien, die in finanziellen Schwierigkeiten stecken, möglicherweise nicht so intensiv auf Sicherheitsmaßnahmen bedacht, sodass sie unnötigen Risiken ausgesetzt sind.

Wenn Sie die Zusammenarbeit mit einer Drittpartei in Erwägung ziehen, sollten Sie im Rahmen des Entscheidungsprozesses eine erste Risikobewertung durchführen, bevor Sie mit dem Onboarding der Drittpartei beginnen. Anhand externer Daten können Sie sich ein umfassenderes Bild vom Risiko der Drittpartei machen, indem Sie z. B. deren Sicherheitslage anhand von Cybersecurity-Ratings beurteilen. Dadurch verringert sich die Gefahr, unwissentlich unerwünschte Risiken zu übernehmen.

Im Rahmen der anfänglichen Risikobewertung – die idealerweise vor dem Onboarding der Drittpartei durchgeführt wird, oder sobald die Drittpartei in das Unternehmen aufgenommen wurde – sollte auch eine Einstufung durchgeführt werden. Diese Bewertung erfolgt intern und führt dazu, dass die Drittpartei in eine Stufe eingruppiert wird, die die Art und Häufigkeit der Bewertungen dieser Drittpartei bestimmt. Stufe 1, die kritischen Lieferanten, ist die höchste Stufe. Einige Lieferanten können einer Stufe zugeordnet werden, die keine regelmäßigen Bewertungen erfordert (z. B. Drittparteien, die den Rasen mähen). Zur Anpassung der Stufe können gegebenenfalls externe Daten, z. B. von Anbietern für Sicherheitsbewertungen, herangezogen werden.

Für Drittparteien der oberen Stufen sollten regelmäßig Risikobewertungen durchgeführt werden. Diese sollten auf Grundlage des Risikobereichs erfolgen, der von der Drittpartei ausgeht. Für Lieferanten, die eine Komponente herstellen, ergeben sich z. B. Fragen in Bezug auf Mitarbeiter, Gesundheit und Sicherheit, die für Beratungsunternehmen hingegen nicht relevant sind. Fragen zur Sicherheitslage und zur finanziellen Leistungsfähigkeit betreffen jedoch alle Drittparteien. Die Häufigkeit dieser Bewertungen richtet sich nach der jeweiligen Stufe, wobei die höchste Stufe am häufigsten einer Bewertung unterzogen wird.

Die Antworten auf eine Bewertung können unbefriedigend oder unvollständig ausfallen. Zu diesem Zeitpunkt sollten zusätzliche objektive externe Daten über die Finanz- oder Sicherheitslage der Drittpartei gesammelt und auf Probleme hin überprüft werden. Probleme oder Feststellungen können dann zur Beantwortung an die Drittpartei gesendet werden.

Während der Bewertung kann eine intensive Kommunikation erforderlich sein, bei der Aufgaben erstellt, Fragen beantwortet und gegebenenfalls Nachweise erbracht werden. Das alles sollte dokumentiert werden, damit Sie später darauf zurückgreifen können. Am Ende müssen möglicherweise einige Risiken in Kauf genommen werden.

Nachdem Sie das Risiko identifiziert, analysiert und gemindert haben, erstellen Sie Risikoberichte für die zuständigen Stellen. Alle Stakeholder benötigen die für ihre Belange erforderlichen Einblicke.

Wie bereits erläutert, sollte die Bewertung von Drittparteien fortlaufend erfolgen. Im Idealfall bedeutet dies eine Überwachung aller Veränderungen in Bezug auf Risiko und Leistung. Dies kann durch häufigere Bewertungen oder externe Datenquellen, wie z. B. ständig aktualisierte Cybersicherheitsbewertungen, erfolgen. Änderungen sollten automatisch ein Problem, eine Bewertung und/oder eine Änderung der Stufe auslösen. Eine kontinuierliche Überwachung ist unerlässlich, um sicherzustellen, dass alle Drittparteien ihren Verpflichtungen nachkommen und kein unerwünschtes Risiko für das Unternehmen darstellen.

Alle Unternehmen sollten über ein formelles Verfahren verfügen, um Drittparteien und ihren Zugriff zu deaktivieren und sicherzustellen, dass alle Informationen, die nicht gespeichert werden müssen, dauerhaft gelöscht werden.

• Vollständiger Einblick in alle Beziehungen zu Drittparteien
• Eine formelle Bewertung und Sorgfaltsprüfung vor Vertragsabschluss
• Verwendung von standardisierten, risikomindernden Geschäftsbedingungen
• Risikobasierte Überwachung und Kontrolle
• Formelles Offboarding am Ende der Geschäftsbeziehung

• Digitalisieren und integrieren Sie alle Aspekte im Lebenszyklus des Lieferantenmanagements. Die Risikobewertung sollte bereits in der Anfangsphase erfolgen.
• Konsolidieren Sie Lieferanteninformationen und arbeiten Sie mit Drittparteien zusammen. Führen Sie zugleich einen Audit-Pfad für alle Kooperationen ein.
• Gewinnen Sie einen Überblick über die Risiken und Leistungen von Drittparteien, einschließlich Tochtergesellschaften (oder vierten Parteien), und behalten Sie diesen Überblick bei.
• Entwickeln Sie eine detaillierte Bewertung zum Ursprung des Risikos.
• Erstellen Sie Risikobewertungen, um Risiken zu vergleichen, zu priorisieren und zu kommunizieren.
• Nutzen Sie maschinelles Lernen und Automatisierungssysteme, um mehr zu erreichen und gleichzeitig die Kosten zu senken.
• Erstellen Sie einen Ausfallsicherheitsplan und integrieren Sie einen solchen Plan in jeden Aspekt des Lieferantenmanagementsystems.
• Integrieren Sie andere Anwendungen (z. B. Datenfeeds für Cybersicherheitsbewertungen) und Systeme von Drittparteien.

• Verbesserte Kunden-Experience
• Verbesserung der eigenen Sicherheitslage
• Bessere Betriebseffizienz
• Verbesserte Kundenakquise und -bindung
• Stärkung des Kundenvertrauens
• Verbesserung der Umsätze, Prognosen und Rentabilität
• Beständige Leistung der Drittpartei entsprechend den Erwartungen
• Bessere Voraussetzungen für die Umsetzung der Unternehmensziele, sowohl der strategischen Unternehmensziele als auch der Ziele auf Projektebene
• Minimierung von Unterbrechungen des Geschäftsbetriebs
• Schnellere Erholung von Unterbrechungen