Unbekannte beim Third Party Risikomanagement einbeziehen

Galvanize

Das Third Party Risikomanagement ist mit großer Verantwortung verbunden, mit Bedrohungen und Herausforderungen aus allen Richtungen. Und das sind lediglich die Gefahren, die Sie kennen! Anstatt sich vor den unbekannten Gefahren zu fürchten, sollten Sie lernen, wo und wie Sie diese finden können.

Im Grunde können moderne Unternehmen das Outsourcing an Drittparteien nicht vermeiden. Aber neben den Vorteilen und der Kostensenkung geht mit dem Outsourcing eine große Verantwortung einher. Um Risiken zu vermeiden, die zu finanziellen und zu Reputationsschäden führen, müssen Sie insbesondere bei den Unternehmen, mit denen Sie Geschäfte machen, besonders achtsam sein.

Laut der 2018 vom Ponemon Institute durchgeführten Studie über das Datenrisiko haben 59 % der Unternehmen einen Datensicherheits- bzw. Datenschutzverstoß erlebt, der auf einen Drittanbieter oder einen Partner zurückzuführen war. 22% der Unternehmen gestanden ein, dass Sie nichts über einen in den vergangenen zwölf Monaten erfolgten Datensicherheits- bzw. Datenschutzverstoß wussten. Welche unbekannten Risiken fliegen also unter Ihrem Radar?

Damit Sie diese Frage beantworten können, werden wir nunmehr auf die Gründe eingehen, aus denen Risiken verborgen bleiben und wie Sie sie aufspüren und zu einem Bestandteil Ihres Risikomanagementprogramms machen können.

Es gibt zahlreiche wertvolle—aber oft nicht genutzte—Datenquellen, die Fehlverhalten von Dritten ans Licht bringen.

Der Ursprung der "unbekannten Unbekannten"

Sie erinnern sich vielleicht an die Äußerungen des damaligen US-amerikanischen Verteidigungsministers Donald Rumsfeld zu den Grenzen von Geheimdienstberichten. Während einer Pressekonferenz im Jahr 2002 sagte er: “Es gibt bekanntes Bekanntes, also Dinge, von denen wir wissen, dass wir sie wissen. Wir wissen auch, dass es bekannte Unbekannte gibt. Das heißt, wir wissen, es gibt Dinge, die wir nicht wissen Aber es gibt auch unbekannte Unbekannte - Dinge also, von denen wir nicht wissen, dass wir sie nicht wissen."

Wie also gelangt man von einem Zustand der Unsicherheit zu einem Zustand des Wissens? Indem man sich im Klaren darüber ist, was man nicht weiß, und es akzeptiert.

Rumsfelds zungenbrecherischen Überlegungen können auf viele Aspekte des Lebens angewandt werden, auch auf das Third Party Risikomanagement, das in den letzten Jahren aufgrund folgender Faktoren immer undurchdringlicher geworden ist:

  • Die Globalisierung, die die Ursache dafür ist, dass Unternehmen auf Zulieferer an entfernten Standorten zurückgreifen. Es gibt zahlreiche neue Risikofaktoren: von Gesetzen zur Bekämpfung von Bestechung und Korruption bis hin zu möglichen Unterbrechungen der Lieferkette durch politische Unruhen.
  • Neu entstehende Technologien wie das Internet der Dinge (IoT) und maschinelles Lernen, beides Entwicklungen, die von vielen Unternehmen noch nicht gut verstanden (und auch noch nicht streng reguliert) werden.
  • Ein Anstieg bei den Cyberangriffen, von Phishing bis zur Ransomware.
  • Sich ständig ändernde Vorschriften wie die DSGVO, die 2018 in Kraft trat und die Datenschutzverpflichtungen von Unternehmen festlegt, die mit personenbezogenen Daten von EU-Bürgern arbeiten.
  • Fourth-Party-Risiken, wenn Ihre Drittparteien ihrerseits an Dritte outsourcen. Dies ist eine zusätzliche Risikoebene, die es zu beachten gilt.

Sie müssen außerhalb der gängigen Lösungsansätze denken, um ein wirklich leistungsfähiges Third Party Risk-Management zu etablieren. Beginnen Sie damit, sich intensiv mit den "unbekannten Unbekannten" zu befassen.

Lernen Sie die Dinge kennen, von denen Sie nichts wissen.

Eine der größten Herausforderungen beim Third Party Risk-Management liegt darin, dass die meisten Unternehmen tendenziell nur die "bekannten Bekannten" managen. Das sind Faktoren wie Ihr:

  • Lieferantenstammdatei
  • Onbaordinganfragen Dritter
  • Kreditorendatei
  • Third Party Risk-Management im Rahmen des GRC-Programms.

Diese Aspekte sind zwar wichtig, trotzdem müssen Sie auch außerhalb der gängigen Lösungsansätze denken, um ein wirklich leistungsfähiges Third Party Risk-Management zu etablieren. Es folgt eine Beschreibung, wie Ihnen das gelingen kann, indem Sie sich intensiv mit den "unbekannten Unbekannten" befassen.

1. Identifizieren Sie Ihre Stakeholder.

Suchen Sie im gesamten Unternehmen nach wichtigen Stakeholdern und überzeugen Sie diese, den laufenden Erfolg des Programms zu unterstützen. Sie müssen das Risikobewusstsein auf allen Ebenen des Unternehmens schärfen, damit jeder damit beginnt, sinnvolle Praktiken in Bezug auf das Management von Risiken durch Dritte in die täglichen Prozesse zu integrieren. (Für die Akzeptanz seitens der Stakeholder ist auch die Einbeziehung des Vorstands unerlässlich.)

Dabei sollten Sie ebenfalls einige weniger konventionelle Stakeholder einbeziehen. Wenn Sie Ihre Erwartungen verlagern und Fachwissen aus unterschiedlichen Bereichen einbeziehen, fördern Sie eine umfassendere Risikomanagementkultur. Stellen Sie Mitarbeitern Fragen zu den Unternehmenszielen und -vorgaben und nicht zu Prozessen. So werden Sie Mitarbeiter zur Mitwirkung veranlassen, die Sie vorher vielleicht nicht einmal in Betracht gezogen hätten.

2. Lassen Sie einen Ausschuss ans Steuer.

Sie schießen am Ziel vorbei, wenn sich nur Ihr CISO oder Ihr Supply Chain Manager engagiert. Gibt es im Unternehmen genug Ideenreichtum, um Ihr Programm voranzutreiben? Haben die Mitarbeiter, auf die Sie sich verlassen, genug Gewicht im Unternehmen, um die Sache voranzutreiben? Mit einem Ausschuss, der beispielsweise aus Compliance-Beauftragten, Datenschutzbeauftragten und Auditteams besteht, können Sie weit über Ihre "bekannten Bekannten" hinausgehen.

Finden Sie Ihre Community, sobald Sie Ihren Ausschuss aufgebaut haben. Wenn Sie sich Branchenverbänden anschließen, können sie mit Gleichgesinnten Gedanken und Ideen austauschen. Auch dadurch kann eine tragfähige Lösung für das Management von Risiken durch Dritte weiterentwickelt werden.

3. Fokussieren Sie den größeren Zusammenhang.

Es ist an der Zeit, sich einzugestehen, dass es bei Ihnen blinde Flecken gibt. Viele Unternehmen konzentrieren sie beispielsweise so sehr auf ihre Lieferanten, dass sie die Risiken, die von Maklern, Partnern oder Geldgebern ausgehen, nicht erkennen.

Hier ein Vorschlag: Lassen Sie Ihren Ausschuss eine Bestandsaufnahme von Risikoereignissen und Risikoszenarien erarbeiten, deren Verursacher Dritte sind (z.B. Datenschutz- bzw. Datensicherheitsverstoß). Ordnen Sie diese dann den Drittparteien zu, die Ihr Unternehmen diesem Risiko aussetzen könnten (z.B. Ihr externer Lohnbuchhalter). Beim Brainstorming fallen Ihnen wahrscheinlich neue Risikoarten ein, die Sie berücksichtigen sollten (z.B. ein nicht ordnungsgemäß deaktivierter Lieferant, der noch immer automatisch Updates der Kundendaten erhält).

Diese Übung hilft Ihnen, den Umfang Ihres Programms zum Third Party Risikomanagement eindeutig festzulegen. Und wenn Sie dabei ein Tool wie ThirdPartyBond verwenden, erhalten Sie einen fundierteren Einblick in den gesamten Lebenszyklus des Third Party Risikomanagements.

4. Übersehen Sie nicht, was direkt vor Ihnen liegt.

Es gibt zahlreiche wertvolle—aber oft nicht genutzte—Datenquellen, die Fehlverhalten von Dritten ans Licht bringen. Fragen Sie die Stakeholder in Ihrem Ausschuss, ob sie über Daten verfügen, die Sie in folgenden Zusammenhängen verwenden können:

  • Bedrohungs- und Schwachstellenmanagement
  • Schutz vor Datenverlust
  • Identitäts- und Zugangsmanagement
  • Management von Sicherheitszwischenfällen und -ereignissen.

Es gibt noch viele weitere ungenutzte Informationsquellen in Ihrem Unternehmen. Fangen Sie an zu recherchieren. Sie werden überrascht sein, was Sie in bisher übersehenen Daten finden werden.

Wenn Sie mehr über "Bekannte" und "Unbekannte" erfahren möchten und einige verrückte Geschichten über Drittanbieterrisiken aus der Praxis hören möchten, klicken Sie auf die Office Hours-Episode zum Thema Third Party Risikomanagement mit Chris Murphey, Senior Product Manager bei Galvanize.

Ein Rahmen für ein besseres Verständnis

Die Grundvoraussetzung für ein ausgereiftes Risikomanagementprogramm besteht darin, alle Risiken zu verstehen - selbst die Risiken, die sich Ihrer direkten Kontrolle entziehen. Die Verwendung dieses Rahmens kann Ihnen helfen, die Unbekannten in Ihrem Unternehmen zu erkennen. Wenn Sie die richtigen Mitarbeiter, Prozesse und Technologien zusammenführen, sind Sie gut vorbereitet und können Ihr Third Party Risikomanagementprogramm über das bislang bekannte Maß hinaus weiterentwickeln.

E-Book:

Wichtige Aspekte beim Third Party Risikomanagement

In diesem E-Book untersuchen wir:

  • Die Grundlagen des Third Party Risikomanagements
  • Den Unterschied zwischen dem Third Party Risk-Management und dem Management des Lieferantenrisikos
  • Das Verfahren zur Auswahl des Rahmens für ein Risikomanagement, der bestmöglich zu Ihrem Unternehmen passt.

E-Book herunterladen

Verwandte Beiträge

lang="de-DE"
X

Galvanize ist jetzt Teil von Diligent.

Um über die neuesten Produktangebote, Forschungen und GRC-Ressourcen auf dem Laufenden zu bleiben, oder sich bei Ihren Galvanize-Produkten anzumelden, besuchen Sie bitte www.diligent.com

Diligent besuchen Anmeldung