„Keine Drittanbieter-Partnerschaft ist statisch, und Risiken entwickeln sich stetig weiter“Third Party Risks: Lösungsstrategien zur Gefahreneindämmung

Die zunehmende Abhängigkeit von Beziehungen zu Dritten, gepaart mit einer wachsenden behördlichen und öffentlichen Aufsicht, bringt den Unternehmen viele schwerwiegende Risiken und neue Compliance-Probleme. Professionelles Third Party Risk Management (TPRM) ist nunmehr gefragt. Welche Fähigkeiten TPRM-Lösungen mitbringen sollten und was bei deren Auswahl und Einführung zu berücksichtigen ist – darüber sprach Line-of.biz mit Nicole Bunjatova, Business Development Manager beim TPRM-Spezialisten RSA Archer.

Frau Bunjatova, wie beurteilen Sie derzeit die generelle Risikosituation in puncto Drittparteien?
Bunjatova: Da immer mehr Drittanbieter-Produkte und -Services im Geschäftsbetrieb verwendet werden, steigen die Häufigkeit und die Auswirkungen von Risikoereignissen. Zudem wachsen die Anzahl, Komplexität und Dynamik dieser Gefahrenmomente. Die meisten Unternehmen verfügen nicht über die nötigen Mitarbeiter, um die komplexe Governance ihrer diversen Drittanbieter zu überschauen und zu managen. Leider führt dies oft zu bösen Überraschungen, die Unternehmen schädigen können.

Welche Umstände sind konkret für diese unliebsamen Überraschungen verantwortlich?
Bunjatova: Häufig sind zahlreiche Anbieterprofile, etliche Details zu Projekten und eine Menge an Performance-Daten auf verschiedene Teams innerhalb des Unternehmens verteilt. Das bedeutet, dass es keine umfassende Übersicht über den Geschäftskontext und die Bedeutung der Drittanbieterbeziehung gibt.

Inwieweit kann hier eine Third Party Risk Management-Lösung helfen, und welche geschäftskritischen Vorteile bietet sie?
Bunjatova: Ohne konsistentes, unternehmensweites Framework zum Managen von Drittanbieter-Risiken und -Performance können derartige Gefahren nicht erkannt, bewertet und geschäftsbereichsübergreifend überwacht werden. Generell ist es schwierig, eine zuverlässige Informationsquelle für diese Anforderungen zu ermitteln. Eine unternehmensweite Sicht auf Third Party-Risiken ist für ein Führungsteam eine immens wichtige Hilfe, wenn es darum geht, belastbare Geschäftsentscheidungen zu treffen. Eine Third Party Risk Management-Lösung kann dazu beitragen, den Managementprozess für Drittanbieter-Risiken und -Performance über das gesamte Unternehmen hinweg zu standardisieren. Damit schaffen Sie eine gemeinsame Sprache, gemeinsame Kennzahlen, Kontrollen und Prozesse – und somit die optimalen Voraussetzungen, Ihre Risiken schnell analysieren, priorisieren und managen zu können. Eine moderne TPRM-Lösung versetzt das Management in die Lage, ein genaues Bild über das Drittanbieter-Risiko aufzuzeigen, Ressourcen rasch zuzuweisen und ein solides Fundament für Business-Entscheidungen zu schaffen.

Welche Auswirkungen hat die derzeitige Krisenphase auf das Risikomanagement Dritter?
Bunjatova: Gerade schwierige Zeiten eröffnen Angreifern Tür und Tor. Aufgrund der Pandemie wurden im Eiltempo viele Prozesse digitalisiert und dadurch mehr Angriffsflächen für Cyber-Attacken erzeugt. Doch auch andere Risiken durch Drittanbieter und bei Drittanbietern haben sich vermehrt. Insgesamt stellen die derzeitigen besonderen Umstände die Unternehmen vor die große Herausforderung, ad-hoc neue und veränderte Prozesse zu schaffen.

Welche speziellen Risiken gehen mit diesem Veränderungsprozess einher?
Bunjatova: Gerade „junge“ Prozesse weisen zu Anfang noch Lücken auf und bergen damit unerkannte Risiken. Denn anders als bei lang etablierten Prozessen konnten sie nicht über Jahre durch ein bestehendes Risikomanagement und Kontrollsystem geprüft und stetig verbessert werden.

Die Risiken bei Drittanbietern erhöhen sich auch dadurch, dass manche Unternehmen aufgrund einer unklaren Wirtschaftslage Investitionen etwa in hochwertige Risikomanagementsysteme scheuen und dadurch unzureichend geschützt sind. Dabei ist es gerade jetzt entscheidend, schnell zu handeln. Die Pandemie hat gezeigt, dass das Thema Risiko niemals stiefmütterlich behandelt werden sollte. Ein adäquater Umgang mit einem eintreffenden Risikoszenario kann nur durch die entsprechende Vorarbeit und Investition in moderne Tools gewährleistet werden. Im entscheidenden Moment kann dies den Erfolg eines Unternehmens sicherstellen.

Welche Bereiche muss eine empfehlenswerte Third Party Risk Management-Lösung abdecken und einbeziehen?
Bunjatova: Es bedarf einer einheitlichen Plattform für das Management von Richtlinien, Kontrollen, Risiken, Bewertungen und Mängeln über alle Geschäftsbereiche hinweg – eines gemeinschaftlichen Fundaments, das funktionsübergreifende Zusammenarbeit und Orientierung ermöglicht.  Eine TPRM-Lösung sollte potenzielle Beziehungen erfassen, betroffene Stakeholder miteinbeziehen und Vertragsrisiken, erforderliche Mittel sowie inhärente und Restrisiken über mehrere Risikokategorien hinweg bewerten können. Sie sollte die risikobasierte Auswahl unterstützen und in der Lage sein, Performance-Kennzahlen zu generieren. Die Lösung sollte dem Unternehmen automatisiert und optimiert profunden Überblick über seine Anbieterbeziehungen geben. Wichtige Aktivitäten, die erforderlich sind, um behördliche Auflagen und Best Practices im gesamten Lebenszyklus des Drittanbietermanagements zu erfüllen, müssen möglich sein

Worauf sollten Unternehmen, die eine TPRM-Lösung einführen wollen, zu Beginn achten?
Bunjatova: Folgende grundsätzliche Aspekte müssen a priori berücksichtigt werden:

• Wurde in Ihrem Unternehmen das Bewusstsein für den Mehrwert einer multidisziplinären Risikomanagement-Lösung im Sinne eines integrierten Risk Management-Ansatzes geschaffen? Das heißt, sollen langfristig Synergieeffekte über Unternehmensbereiche hinweg erzielt werden?
• Oder gilt es ausschließlich kleine, abteilungsspezifische Anforderungen zu erfüllen – mit einem Werkzeug ohne Potenzial für einen Ausbau bzw. eine weitreichendere Anwendung?
• Wenn eine breit aufgestellte TPRM-Plattform angestrebt wird: Bietet der Hersteller flexible Modelle für einen graduellen Einsatz im Unternehmen an? Ist eine schrittweise Einführung der Software je nach Reifegrad des einzelnen Prozesses und der Bereitschaft zum Anschluss individueller Abteilungen möglich?
• Oder muss gleich ein ganzheitliches Paket implementiert werden, bei dem Funktionen und Teilbereiche miterworben werden müssen, die das Unternehmen derzeit gar nicht braucht?

Welche an diese Vorüberlegungen anknüpfenden Fragen zur Entscheidungsfindung halten Sie für wichtig?
Bunjatova: Flexibilität ist hier ein entscheidendes Stichwort. Ist die ins Auge gefasste Software in der Lage, sich an unternehmensspezifische und individuelle Prozesse anzupassen oder muss sich das Unternehmen an die Software anpassen? Falls eine maßgeschneiderte Lösung bevorzugt wird: Welcher Aufwand entsteht aus einer individuellen Anpassung?  Gerade bei sich stetig verändernden Unternehmensstrukturen und Prozessen ist die Frage nach der Einfachheit bei Anpassungen fundamental. Bietet die Plattform eine Point-and-Click-Oberfläche zum Erstellen und Managen von Geschäftsanwendungen, so dass selbst technisch weniger versierte Anwender Prozesse automatisieren, Workflows optimieren, den Anwenderzugriff kontrollieren, die Benutzeroberfläche anpassen und Berichte in Echtzeit erstellen können? Oder erzeugt womöglich jede minimale Veränderung respektive Anpassung einen enormen Entwicklungsaufwand, der nur mit spezialisierten IT-Fachkräften zu stemmen ist?

„Eine unternehmensweite Sicht auf Third Party-Risiken ist eine immens wichtige Hilfe für belastbare Geschäftsentscheidungen“: Nicole Bunjatova, Business Development Manager bei RSA Archer.

Außerdem: Welche Erfahrungen konnte der Anbieter bereits am Markt sammeln, und seit wann gibt es ihn? Je länger ein Unternehmen existiert, desto sicherer kann man sich über dessen Weiterbestehen in den nächsten Jahren sein und bürdet sich mit dem Lizenzkauf kein Ausfallrisiko auf. Eine weitere wichtige Frage: Wie lange widmet sich der Anbieter explizit dem Themenspektrum Governance, Risk Management und Compliance und wie erfolgreich ist er in dieser Hinsicht?

Die Ansprüche an Third Party Risk Management sind offensichtlich gewachsen. Welche Leistungsmerkmale sollte eine derartige Lösung auf jeden Fall aufweisen?
Bunjatova: Wenn Sie in Ihrem Unternehmen zunehmend mit Drittanbietern arbeiten, müssen Sie in der Lage sein, diese zu katalogisieren und zu bewerten – und zwar mit dem Kernziel, das Risikopotenzial jedes einzelnen Unternehmens auszuloten. Nur so kann Ihr Unternehmen einen wirklich realistischen Überblick über die Third Party-Abhängigkeiten und die damit verbundenen Gefahrenmomente gewinnen. Dies ist der erste Schritt zur Optimierung der Drittanbieter-Performance und zum Verhindern von Problemfällen und Verlusten.

Und welche Praxisempfehlungen geben Sie hier den Unternehmen?
Bunjatova: Sorgen Sie dafür, dass Entscheidungen im Hinblick auf das Drittanbieter-Risiko konsistent und im Einklang mit der Risikobereitschaft und -toleranz Ihres Unternehmens getroffen werden können. Außerdem sollten bei Bedarf entsprechende Risikobehandlungen implementiert werden. Zur Risikominimierung müssen Sie sicherstellen, dass Manager im gesamten Unternehmen kontinuierlich das Risiko bewerten und Kontrollen sowie Risikotransfertechniken anwenden, die auf der Risikotoleranz des Unternehmens basieren. Schließlich ist die Führungsetage als erste Verteidigungslinie dafür verantwortlich, entsprechende Maßnahmen zu ergreifen.

„Die Unternehmen müssen in der Lage sein, das Risikopotenzial jedes einzelnen Drittanbieters ausloten zu können“: Nicole Bunjatova, Business Development Manager bei RSA Archer.

Wenn sich Ihr Unternehmen zunehmend auf Drittanbieter-Ressourcen verlässt, müssen Sie stets einen Überblick über neue und aktualisierte Anbieterbeziehungen haben und wichtige Veränderungen in bestehenden Drittanbieter-Beziehungen überwachen. Keine Drittanbieter-Partnerschaft ist statisch, und Risiken entwickeln sich stetig weiter. Letztendlich müssen Sie zuverlässig sicherstellen, dass bei den Drittanbieter-Beziehungen eben kein erhebliches Risiko besteht.

Können Sie dazu alltagsrelevante Anwendungsbeispiele geben?
Bunjatova: Die Software-Lösung sollte ein Verzeichnis beinhalten, indem alle Drittanbieter-Beziehungen und -Projekte mitsamt den entsprechenden Verträgen erfasst und gemanagt werden; ebenso wie die Geschäftseinheiten und Einzelpersonen im Unternehmen, die für die einzelnen Drittanbieter-Beziehungen verantwortlich sind.  Es sollte möglich sein, direkt im Tool aktuelle und komplette Berichte zu allen Drittanbieter-Informationen zu erstellen. Dazu zählen etwa Profile, Projekte, die Unternehmenshierarchie des Drittanbieters sowie Kontakte, Standorte und Verantwortliche des Drittanbieters. Außerdem das Dokumentieren von Viertanbietern, Versicherungsnachweisen und übergeordneten Service-Vereinbarungen. Ebenfalls wichtig: Die Software muss Verträge prüfen, Vertragsrisiken bewerten und eine Beurteilung der finanziellen Entwicklungsfähigkeit des Drittanbieters durchführen können. Ein reifes Risikomanagement von Drittanbietern zeichnet sich dadurch aus, dass die Performance jedes Drittanbieters mit Hilfe einer digitalen Lösung überwacht werden kann. Mit Hilfe von Kennzahlen für einzelne Projekte ergibt sich somit ein Überblick über die Gesamtleistung eines Drittanbieters bei allen seinen Engagements für das beauftragende Unternehmen.

Wie sehen Sie in diesem Zusammenhang den Einsatz von Bewertungsfragebögen?
Bunjatova: Eine empfehlenswerte TPRM-Software sollte auf jeden Fall eine Risikomanagement-Funktion beinhalten, die es ermöglicht, Drittanbieter in Verbindung mit den Projekten, in die sie involviert sind, zu bewerten. Genau diesen Zweck unterstützen besagte Fragebögen – die innerhalb der TPRM-Lösung leicht konfigurierbar sein müssen. Die Bewertungsergebnisse sollten automatisch erfasst und verwaltet werden, um im nächsten Schritt kontrollierbare Ausnahmen- und Maßnahmenpläne einzurichten.  Solche Fragebögen bieten eine gute Möglichkeit, ein facettenreiches Bild der Risikosituation eines Drittanbieters zu erhalten, allerdings ist diese Methodik manchmal ungenau. Dienstleister sind geneigt, die Fragenbögen zu positiv zu beantworten – aus Angst, die Aufträge sonst zu verlieren. Auch sind sich viele Unternehmen über ihre tatsächliche Risikosituation nicht wirklich im Klaren.  Um die Treffgenauigkeit der Risikobewertung von Drittanbietern zu erhöhen, gibt es eine weitere, ergänzende Möglichkeit: die passive Bewertung der externen Daten eines Drittanbieters – gleichsam eine Analyse des IT-Fußabdrucks der Partnerunternehmens. Dies wird zum Beispiel bei RSA Archer mithilfe von Künstlicher Intelligenz erledigt. Dabei bewerten Algorithmen automatisch die Risikostellung verschiedener IT-Assets der Drittanbieter und stellen so ein realistisches Bild darüber dar, wie gut die Third Parties ihre Informationssicherheit managen. So eine Technologie hat den Vorteil, sofort nutzbare Ergebnisse ohne größere Aufwände zu generieren, da keine internen Informationen eingegeben werden müssen. KI ist prädestiniert, den IT-Fußabdruck von Drittanbietern zu analysieren.

Frau Bunjatova, besten Dank für das Gespräch.