Die Zusammenarbeit mit einer Drittpartei kann ein Risiko für Ihr Unternehmen darstellen.  Wenn diese Dritten Zugang zu sensiblen Daten haben, könnten sie ein Sicherheitsrisiko darstellen, wenn sie eine wesentliche Komponente oder einen Service für Ihr Unternehmen bereitstellen, können sie Betriebsrisiken mit sich bringen, und so weiter. Im Rahmen des Managements von Drittparteirisiken können Unternehmen das von Drittparteien ausgehende Risiko überwachen und bewerten, um festzustellen, wo es den vom Unternehmen festgelegten Schwellenwert überschreitet. Auf diese Weise können Unternehmen risikobasierte Entscheidungen treffen und das von Lieferanten ausgehende Risiko auf ein akzeptables Maß reduzieren.

Drittparteien sind ein wichtiger Schlüssel für den geschäftlichen Erfolg. Unternehmen aller Größenordnungen sind im Hinblick auf Innovation, Wachstum und digitale Transformation immer stärker auf Drittparteien angewiesen.

Eine starke Abhängigkeit von Drittparteien kann allerdings riskant sein. Die Risikoposition einer Drittpartei wirkt sich entscheidend auf die Risikoposition, die Resilienz und den Ruf des Unternehmens aus, das eine Drittpartei einsetzt. Die Bewältigung eines Incidents bei einer Drittpartei kann sehr kostspielig und schwierig sein, mit Folgen wie behördlichen Maßnahmen, Rufschädigung und Umsatzeinbußen. Unternehmen müssen Drittparteien sorgfältig überprüfen und laufend Risikobewertungen durchführen, damit ihre Sicherheit und ihr Schutz gewährleistet sind.

Bisher war das Management des Lieferantenrisikos zeitaufwändig und fehleranfällig, nicht zuletzt, weil es auf manuellen Prozessen mit E-Mails, Tabellenkalkulationen und isolierten Tools beruhte. Diese Prozesse und Tools sind schlichtweg unzureichend – weder die Tools noch die Teams können mit der wachsenden Zahl von Drittparteien Schritt halten. Unternehmen, denen es an modernen und umfassenden Lösungen mangelt, stehen häufig vor folgenden Herausforderungen:

• Manuelle Prozesse: Geringe Effizienz beim Monitoring von Drittparteien und größerer Zeitaufwand für das Auffinden und Beheben von Problemen.
• Mangelnde Skalierbarkeit: Teams können mit dem Management von Drittparteien nicht Schritt halten, wenn sie mit einem Tool arbeiten, das sich nicht skalieren lässt. Dies kann zu einer Erhöhung des Risikos führen.
• Silos: Zu viele Silos erschweren den Zugriff auf Risikoinformationen innerhalb des Unternehmens.
• Entkopplung: Der fehlende Unternehmenskontext erschwert die Priorisierung der Risiken von Drittparteien während des Lebenszyklus des Lieferanten oder bei Change der Anforderungen.

Nachfolgend sind einige wesentliche Aspekte aufgeführt, die bei der Auswahl einer Drittpartei berücksichtigt werden müssen. Die Antworten bestimmen den Grad des Risikos, das sie für das Unternehmen darstellen:

• Auf welche Art von Daten wird zugegriffen? Welche Art des Zugriffs wurde gewährt?
• Arbeitet die Drittpartei mit 4. Parteien zusammen, die im Hinblick auf die zu erbringenden Leistungen problematisch sein könnten?
• Hat die dritte Partei ihren Sitz einem instabilen Teil der Welt?
• Liefert die Drittpartei ein kritisches Produkt oder erbringt sie einen kritischen Service? Wenn ja, brauchen wir einen alternativen Lieferanten?
• Wie sieht die Sicherheitsbilanz aus, welche Best Practices sind implementiert und werden befolgt? (Grundlegende Sorgfalt, Patch-SLAs, bisherige Sicherheitsverletzungen usw.)
• Verfügt die Drittpartei über einen Geschäftskontinuitätsplan zur Aufrechterhaltung des Betriebs?
• Werden die von Ihrem Unternehmen vorgegebenen Vorschriften eingehalten?
• Wie sieht die finanzielle Lage aus?

Strategisches Risiko

Die Strategie kann bedroht sein, wenn Drittparteien und Einrichtungen hinsichtlich ihrer Entscheidungen und Ziele nicht konform gehen. Das Monitoring von Drittparteien ist von entscheidender Bedeutung, damit strategische Risiken nicht zu einer mangelnden Compliance oder zu finanziellen Risiken führen.

Reputationsrisiko

Der Ruf eines Unternehmens kann auch vom Ruf einer Drittpartei abhängen, mit der es Geschäfte macht. Wenn eine Drittpartei ein Reputationsproblem hat oder es zu einer Datenschutzverletzung kommt, kann dies das Vertrauen der Kunden in ein Unternehmen, das mit dieser Drittpartei zusammenarbeitet, in Mitleidenschaft ziehen.

Betriebsrisiko

Mitunter hängt der Betrieb von Anwendungen und Services von Drittparteien ab, und es besteht immer das Risiko, dass die Drittpartei Opfer eines Cyberangriffs wird oder dass ein Service ausfällt, was zu Betriebsunterbrechungen, Datenverlust oder einer Datenschutzverletzung führen kann. Wenn vierte Parteien beteiligt sind, gelten für sie die gleichen Bedenken.

Transaktionsrisiko

Im Zusammenhang mit einem Produkt oder der Servicebereitstellung durch eine Drittpartei kann es zu Problemen bei der Abwicklung von Transaktionen innerhalb eines Unternehmens kommen.

Compliancerisiko

Risiken durch Drittparteien fließen zunehmend in die Standards als Anforderung an die Compliance ein, sodass die Risikotoleranz für die Compliance auch auf Drittparteien ausgedehnt werden muss.

Informationssicherheitsrisiko

Unabhängig von der Form der Daten besteht immer ein gewisses Risiko, wenn Drittparteien die Möglichkeit haben, mit den Daten zu interagieren. Dazu zählen unter anderem Risiken durch unbefugten Zugriff, Unterbrechung, Änderung, Aufzeichnung, Einsichtnahme oder Zerstörung von Informationen.

Finanzielles Risiko

Zur Vermeidung von Unterbrechungen in der Lieferkette ist es wichtig, mit finanzstarken Drittparteien zusammenzuarbeiten.  Außerdem sind Drittparteien, die in finanziellen Schwierigkeiten stecken, möglicherweise nicht so intensiv auf Sicherheitsmaßnahmen bedacht, sodass sie unnötigen Risiken ausgesetzt sind.

Die wichtigsten Schritte für das Management von Drittparteirisiken sind:

Onboarding

Wenn Sie die Zusammenarbeit mit einer Drittpartei in Erwägung ziehen, sollten Sie im Rahmen des Entscheidungsprozesses eine erste Risikobewertung durchführen, bevor Sie mit dem Onboarding der Drittpartei beginnen. Anhand externer Daten können Sie sich ein umfassenderes Bild vom Risiko der Drittpartei machen, indem Sie z. B. deren Sicherheitslage anhand von Cybersecurity-Ratings beurteilen.  Dadurch verringert sich die Gefahr, unwissentlich unerwünschte Risiken zu übernehmen.

Einstufung

Im Rahmen der anfänglichen Risikobewertung, die idealerweise vor dem Onboarding der Drittpartei durchgeführt wird, oder sobald die Drittpartei in das Unternehmen aufgenommen wurde, sollte eine Einstufung durchgeführt werden. Diese Bewertung wird intern durchgeführt und führt dazu, dass die Drittpartei in eine Stufe eingruppiert wird, die die Art und Häufigkeit der Bewertungen der Drittpartei bestimmt. Stufe 1 oder kritische Lieferanten sind die höchste Stufe.  Einige Lieferanten können einer Stufe zugeordnet werden, die keine regelmäßigen Bewertungen erfordert (z. B. Drittparteien, die den Rasen mähen). Zur Anpassung der Stufe können gegebenenfalls externe Daten, z. B. von Providern für Sicherheitsbewertungen, herangezogen werden.

Bewertungen

Für Drittparteien der oberen Stufen sollten regelmäßig Risikobewertungen durchgeführt werden.  Diese sollten auf der Grundlage des von der Drittpartei ausgehenden Risikobereichs erfolgen. Für Lieferanten, die eine Komponente herstellen, ergeben sich z. B. Fragen in Bezug auf Mitarbeiter, Gesundheit und Sicherheit, die für Beratungsunternehmen hingegen nicht relevant sind.  Fragen zur Sicherheitslage und zur finanziellen Leistungsfähigkeit betreffen jedoch alle Drittparteien. Die Häufigkeit dieser Bewertungen richtet sich nach der jeweiligen Stufe, wobei die höchste Stufe am häufigsten einer Bewertung unterzogen wird.

Ergebnisse generieren

Die Antworten auf eine Bewertung können unbefriedigend oder unvollständig ausfallen. Zu diesem Zeitpunkt sollten zusätzliche objektive externe Daten über die Finanz- oder Sicherheitslage der Drittpartei gesammelt und auf Probleme hin überprüft werden. Probleme oder Feststellungen können dann an die Drittpartei zur Beantwortung zurückgesandt werden.

Probleme beheben

Während der Bewertung kann eine intensive Kommunikation erforderlich sein, bei der Aufgaben erstellt, Fragen beantwortet und gegebenenfalls Nachweise erbracht werden.  Das alles sollte dokumentiert werden, damit man später darauf zurückgreifen kann. Am Ende müssen möglicherweise einige Risiken in Kauf genommen werden.

Risikobericht

Nachdem Sie das Risiko identifiziert, analysiert und gemindert haben, erstellen Sie Risikoberichte für die zuständigen Stellen. Alle Stakeholder brauchen für ihre Belange erforderlichen Einblick.

Monitoring

Wie bereits erläutert, sollte die Bewertung von Drittparteien fortlaufend erfolgen. Im Idealfall bedeutet dies ein Monitoring aller Veränderungen in Bezug auf Risiko und Leistung. Dies kann durch häufigere Bewertungen oder externe Datenquellen, wie z. B. ständig aktualisierte Cybersicherheitsbewertungen, erfolgen.  Änderungen sollten automatisch ein Problem, eine Bewertung und/oder eine Änderung der Stufe auslösen. Ein kontinuierliches Monitoring ist unerlässlich, um sicherzustellen, dass alle Drittparteien ihren Verpflichtungen nachkommen und kein unerwünschtes Risiko für das Unternehmen darstellen.

Außerkraftsetzen

Alle Unternehmen sollten über ein formelles Verfahren verfügen, um Drittparteien außer Kraft zu setzen und sicherzustellen, dass alle Informationen, die nicht gespeichert werden müssen, dauerhaft gelöscht werden.

• Vollständiger Einblick in alle Beziehungen zu Drittparteien
• Eine formelle Bewertung und Due-Diligence-Prüfung vor Vertragsabschluss
• Verwendung von standardisierten, risikomindernden Geschäftsbedingungen
• Risikobasiertes Monitoring und entsprechende Aufsicht
• Formelles Offboarding am Ende der Geschäftsbeziehung

• Digitalisieren und integrieren Sie alle Aspekte des Lebenszyklus des Lieferantenmanagements. Die Risikobewertung sollte bereits in der Anfangsphase erfolgen.
• Konsolidieren Sie Lieferanteninformationen und arbeiten Sie mit Drittparteien zusammen. Führen Sie zugleich einen Audit-Pfad für alle Kooperationen ein.
• Gewinnen Sie einen Überblick über die Risiken und Leistungen von Drittparteien, einschließlich Tochtergesellschaften (oder vierte Parteien), und behalten Sie diesen Überblick bei.
• Entwickeln Sie eine detaillierte Bewertung des Ursprungs des Risikos.
• Erstellen Sie Risikobewertungen, um Risiken zu vergleichen, zu priorisieren und zu kommunizieren.
• Nutzen Sie maschinelles Lernen und Automatisierungssysteme, um mehr zu erreichen und gleichzeitig die Kosten zu senken.
• Erstellen Sie einen Ausfallsicherheitsplan und integrieren Sie einen Plan in jeden Aspekt des Lieferantenmanagementsystems.
• Integrieren Sie andere Anwendungen (z. B. Datenfeeds für Cybersicherheitsbewertungen) und Systeme von Drittparteien.

• Verbesserte Kunden-Experience
• Verbesserung der eigenen Sicherheitslage
• Bessere Betriebseffizienz
• Verbesserte Kundenakquise und -bindung
• Stärkung des Kundenvertrauens
• Verbesserung der Umsätze, Prognosen und Rentabilität
• Konsistente Leistung der Drittpartei entsprechend den Erwartungen
• Bessere Voraussetzungen für die Umsetzung der Unternehmensziele, sowohl der strategischen Unternehmensziele als auch der Ziele auf Projektebene
• Minimierung der Unterbrechung des Geschäftsbetriebs
• Schnellere Erholung von Unterbrechungen