Third-Party-Risikomanagement bietet der Geschäftsleitung eine Funktion zur Verwaltung der Risiken, die mit Drittparteien verbunden sind.

Da Risiken durch Drittparteien zunehmen, konzentrieren sich Unternehmen auf eine intelligentere Verwaltung und Ausführung von Third-Party-Risikomanagement-Programmen (TPRM).

Drittparteien („third parties“) wie z. B. Lieferanten, Dienstleister, Berater oder Distributoren helfen Unternehmen, ihre Effizienz zu steigern und Kosten zu senken. Heutzutage müssen Unternehmen mit einer Vielzahl von Drittparteien zusammenarbeiten, um agil und wettbewerbsfähig zu bleiben. Doch jede Beziehung mit Außenstehenden birgt auch Risiken, etwa Cyber-, Regulierungs- oder Reputationsrisiken. Daher ist es wichtig, dass diese Beziehungen zuverlässig und integer sind.

Die globale EY-Studie zum Third-Party-Risikomanagement (TPRM) untersucht, wie Unternehmen aller Branchen ihr Geschäft gegen Risiken durch Drittparteien schützen.

Diese Trends machen deutlich, worauf Unternehmen hinsichtlich der sich ändernden TPRM-Anforderungen derzeit ihren Schwerpunkt legen. Das Terrain mag noch unerforscht sein, jedoch gibt es Wegweiser, die die Richtung anzeigen. Die Unternehmen kennen zwar die verschiedenen Tools und Enabler, mit denen das Third-Party Risk Management maximiert werden kann, ihnen fehlt jedoch das praktische Wissen, wie sie diese am effektivsten einsetzen können. Mit strategischen Investitionen in TPRM-Prozesse und ­Technologien können Effizienz- und Wertsteigerungen erzielt und die Reife dieser Prozesse und Technologien in Schlüsselbereichen vorangetrieben werden. Eine bessere Vernetzung und höhere Transparenz in der Beziehung zu Drittparteien können eine fundiertere Entscheidungsfindung, die schnellere Bereitstellung von Ergebnissen sowie Einsparungen bei den Organisationskosten bewirken.

Übersicht der Ergebnisse

In den folgenden Kapiteln analysieren wir die Ergebnisse unserer globalen EY-Studie bezogen auf die 36 Unternehmen aus dem Finanzsektor (Bankwesen und Kapitalmärkte, Versicherungen und Vermögensverwaltung) in Europa. 

Effektive Governance, Programmumfang und differenzierte Betriebsmodelle

Um mit dem immer größer werdenden Risikouniversum Schritt halten zu können, müssen sich Unternehmen auf ein Fundament aus intelligenter Governance und Programmumsetzung stützen. Allerdings scheint in puncto Ressourcen und Finanzierung das Ende der Fahnenstange erreicht zu sein, während die TPRM-Programme weiter an Umfang zunehmen. In unserer jüngsten Studie aus dem Jahr 2020 gaben die Teilnehmer an, dass sie mit einem Anstieg ihrer Ausgaben in verschiedenen Kategorien, von Governance und Überwachung bis hin zu Richtlinien und Standards, rechneten. 

TPRM-Programmstruktur

Da die neuen TPRM-Programme die Möglichkeiten für eine Automatisierung der Prozesse identifizieren und risikobasierte Ansätze im gesamten Unternehmen standardisieren, werden bekannte Nachteile zentralisierter Programme verringert. Infolgedessen wechseln immer mehr Unternehmen zu einem zentralisierten Modell, um die Gesamtkosten zu senken.

Jedes Unternehmen muss bestimmen, wie es mit dem Risiko von Drittanbietern umgeht, um das Programm effektiv ausführen zu können. Es gibt immer noch keinen Konsens unter den befragten Unternehmen, wer für das TPRM verantwortlich sein sollte. Es zeigt sich jedoch eine große Trendänderung gegenüber der letztjährigen Umfrage: Beim operationellen Risiko sehen nun 31 statt zuvor 15 Prozent die Verantwortung für das TPRM.

Unternehmen haben immer noch Schwierigkeiten, den richtigen Ansatz und die richtigen Ressourcen zu finden, um Programmänderungen und Erwartungen effektiv zu kommunizieren. Weit verbreitet sind Intranetseiten für Kommunikation und Programminformationen. Mehr als Hälfte der Unternehmen nutzt jedoch Schulungen, Leitfäden und andere Techniken, um Veränderungen und neue Pläne voranzutreiben.

Betriebsmodelle, die externe Unterstützung einbeziehen

Mit der Weiterentwicklung von Betriebsmodellen ändern sich auch die von den Unternehmen festgelegten Lieferstrukturen. Laut der diesjährigen Umfrage nutzen Unternehmen unterschiedliche Formen externer Dienstleistungen. Von den Teilnehmern der Studie nehmen 48 Prozent die Dienste von Managed-Service-Providern für ihr Third-Party Risk Management in Anspruch und 53 Prozent gehen davon aus, dass sie in den nächsten zwei oder drei Jahren verstärkt auf Managed Services zurückgreifen werden. Ähnlich verhält es sich bei Market Utilities oder Branchenkonsortien, die von 45 Prozent der befragten Unternehmen genutzt werden. Und mehr als ein Drittel der Teilnehmer rechnet hier für die kommenden zwei oder drei Jahre mit einer steigenden Inanspruchnahme. Diese Betriebsmodelle helfen Unternehmen, mit weniger Ausgaben und Ressourcen mehr Effizienz zu erreichen.

Ausdehnung des Risikouniversums

In den kommenden zwei bis drei Jahren wird es deutlich schwieriger werden, Risiken, die durch Drittparteien entstehen, effektiv zu steuern. Dies ist hauptsächlich auf ein immer größer werdendes Risikouniversum, die Erweiterung der Lieferbasen, die zunehmende Komplexität von Geschäftsbeziehungen, neue Marktkapazitäten und eine verstärkte regulatorische Überwachung (insbesondere im Hinblick auf alle für die Infrastruktur eines Landes kritischen Faktoren) zurückzuführen. Angesichts begrenzter Budgets und Zeit werden Unternehmen sorgfältig entscheiden müssen, wo und wie Ressourcen am sinnvollsten eingesetzt werden können.

Einstufung der Drittparteien/Risikozuordnung

Der letztjährige Umfragetrend hat sich im Jahr 2021 verstärkt, wobei eine signifikante Verringerung der Drittparteien, die als kritisch eingestuft werden, zu erkennen ist, insbesondere in größeren Unternehmen. Ein Faktor dafür ist wahrscheinlich eine genauere Prüfung dessen, was für ein Unternehmen als kritisch oder riskant gilt. Außerdem wird der Arbeitsaufwand beim TRPM immer größer, sodass die Entscheidung einer Zuordnung gut durchdacht sein muss.

Unternehmen machen Fortschritte hinsichtlich der Verwendung eines risikobasierten Ansatzes bei der Beurteilung von Drittparteien. Die Folge ist, dass weniger Control Assessments durchgeführt werden. Dies belegen auch die Zahlen: 8 Prozent der Drittparteien wurden 2021 einem Control Assessment unterzogen, 2020 waren es noch 26 Prozent.

Einstufung von Risiken durch Drittparteien

Hinsichtlich der Risikoeinstufung verringern Unternehmen die Zahl der als „wesentlich“ eingestuften Drittparteien kontinuierlich (Unternehmen mit mehr als 5.000 Drittparteien haben weniger als 5 Prozent davon als „wesentlich“ eingestuft). Zudem fallen weniger Drittparteien in die Kategorien mit hohem Risiko.

Diese raschen Veränderungen sind wahrscheinlich eine Folge des durch die Pandemie entstandenen Kostendrucks und der Fokussierung auf die Resilienz externer Drittparteien. Dies hat Unternehmen veranlasst, ihre Einstufungskriterien zu überprüfen und zu überarbeiten, sodass jetzt jene Drittparteien im Mittelpunkt stehen, die für das Unternehmen am wichtigsten sind und die größten Auswirkungen haben.

Als die drei wichtigsten Kriterien für die Definition wesentlicher Drittparteien nannten die befragten Unternehmen die Wesentlichkeit der erbrachten Dienstleistungen, die Vertraulichkeit der zur Erbringung der Dienstleistungen benötigten Daten sowie die Geschäftskontinuität und -resilienz.

Assessments

Es überrascht nicht, dass die Anzahl der Vor-Ort-Assessments während COVID-19 dramatisch zurückgegangen ist. Da Unternehmen neue, innovative Wege finden, um ein ähnliches Ergebnis zu erzielen, wird sich dieser Trend wahrscheinlich fortsetzen, da er Kosten und Zeit spart.

Effektive Risiko- bzw. Kontrollbewertungen sowohl vor als auch nach Vertragsabschluss sind in den Vordergrund der Aktivitäten gerückt. Unternehmen müssen während des gesamten Lebenszyklus ein Risikomanagement durchführen, um ihre Drittanbieter proaktiv zu überwachen, und mehr als ein Drittel verwendet die gleiche Komplexität der Assessments vor und nach Vertragsabschluss. Auf der anderen Seite sind 42 Prozent der Bewertungen, die während des Onboarding-Prozesses von Drittanbietern durchgeführt werden, aufwendiger als die, die während der Überwachung stattfinden.

Kontrollbewertungsrahmen stützen sich hauptsächlich auf Industriestandards im Bereich der Informationssicherheit, da es sich um ausgereiftere und anerkanntere Richtlinien handelt. Es gibt jedoch keinen Konsens über einen einzelnen Standard. Die Einführung von Konsortien zu den Kontrollbewertungsfragebögen hat zu zusätzlicher Komplexität geführt und weitere Fragen für den Ansatz einer Organisation bei Kontrollbewertungen aufgeworfen. Die folgenden Frameworks werden als Grundlage für die Fragebögen zur Risikobewertung verwendet: ISO (44 %), NIST (31 %), proprietär (28 %), COBIT (22 %), COSO (11 %), Shared-Assessments-Program-Fragebogen (6 %) und Sonstige (22 %)

SOC2-Berichte werden aufgrund ihrer strukturierten, wiederholbaren Natur und ihrer branchenweiten Anerkennung weiterhin als das nützlichste Mittel zur Risiko- und Kontrollbewertung angesehen. 

Überraschenderweise gaben von den Befragten, die „Market Utilities” nutzen, nur 14 Prozent an, dass Market Utilities sehr oder extrem nützlich seien. In diesem Konsortialbereich gibt es somit noch erheblichen Raum für Wachstum und Bildung.

Es besteht Einigkeit darüber, dass die Assessments bei kritischen Drittparteien jährlich durchgeführt werden sollten. Die Drittparteien mit mittlerem Risiko sollten alle zwei bis drei Jahre bewertet werden. Mehr als ein Drittel der Unternehmen gab an, dass die Drittparteien mit den niedrigsten Risikostufen nicht regelmäßig bewertet werden. 

Funktionsübergreifende Integration

Die meisten TPRM-Programme sind auf einige wenige interne Funktionen wie Informationssicherheit und Beschaffung ausgerichtet. Viele andere Abteilungen agieren in Silos und sind bei der Beurteilung der Drittparteien auf sich allein gestellt. Bei der Zusammenarbeit mit Drittparteien treten in zahlreichen Abteilungen die gleichen Fragen auf. Da diese Abteilungen jedoch nicht untereinander kommunizieren, fehlt dem Unternehmen der Gesamtüberblick über seine Risiken. Unternehmen, denen es gelingt, diese Kommunikationslücke mithilfe eines integrierten Risikomanagementansatzes zu schließen, werden es erheblich leichter haben, in unsicheren Zeiten resilient zu bleiben.

Rund 92 Prozent der Befragten stellen der Informationssicherheitsfunktion relevante Daten zur Verfügung, die im Rahmen der TPRM-Programme gesammelt wurden. In anderen wichtigen Unternehmensabteilungen nimmt der Grad der Integration allmählich ab. Darunter fallen die Bereiche Beschaffung (83 %), operationelle Risiken/Unternehmensrisiken (81 %), Compliance (67 %), Technologien/operatives Geschäft (61 %), Interne Revision (58 %) und Rechtsabteilung/General Counsel (53 %).

Integration des Risikomanagements von Drittanbietern

Drittparteien sind ein integraler Bestandteil des Geschäftsbetriebs; daher gibt es die Möglichkeit, Daten im gesamten Unternehmen auf kohärente und effiziente Weise zu sammeln, zu verbreiten und gleichzeitig die Unterbrechung der Geschäftsprozesse zu begrenzen. Eine verbesserte Integration verringert die Bewertungsmüdigkeit, steigert die Beständigkeit und beschleunigt eine bessere Entscheidungsfindung.

Ähnlich wie in den Vorjahren gibt es nur sehr wenige Kündigungen aufgrund von Ereignissen wie z. B. Bewertungsproblemen, Betriebsausfällen oder Pannen, die durch Drittparteien verursacht wurden. Unternehmen arbeiten außerdem mit ihren Drittparteien zusammen, um Probleme zu beheben und das Wachstum des Unternehmens zu unterstützen, um das Geschäftswachstum zu begünstigen.

Über 30 Prozent der Unternehmen waren nicht in der Lage, die Anzahl der von ihren Drittparteien verursachten Verstöße, Verluste oder Ausfälle zu bestimmen. Dies bringt erhebliche Herausforderungen bei der Implementierung der richtigen Datenerfassung und ­berichterstattung, ist jedoch ein notwendiger Schritt für das Risikomanagement.

Risikomanagement in Fourth-Party-Prozessen (bei Weiterverlagerungen)

In der Regel werden Informationen von Sub-Dienstleister während des Risiko-/Kontrollbewertungsprozesses gesammelt, aber es besteht kein Konsens über die besten Methoden zu deren Erfassung.

Es ist wahrscheinlich, dass die Entwicklungen im Datenschutzrecht und das globale Inventar zu einer verstärkten und standardisierten Datenerfassung von Sub-Dienstleister  in den kommenden Jahren führen werden.

Fast die Hälfte der Unternehmen identifizieren Sub-Dienstleister, führen jedoch keine entsprechenden Managementaktivitäten durch. Die Mehrheit der Befragten nutzt weiterhin die Verträge und/oder Bewertungsprogramme der Drittparteien für das Risikomanagement der Sub-Dienstleister.

Konzentrationsrisiken

Etwa die Hälfte der befragten Unternehmen empfindet es als relativ einfach, über die Konzentration der Ausgaben und Konzentration von Drittanbietern zu berichten. Jedoch ist es für viele Unternehmen schwieriger, über die Konzentration von Sub-Dienstleistern oder geografischen Gruppen zu berichten, was darauf hindeutet, dass die Identifizierung und Erfassung detaillierterer Daten von Drittanbietern immer noch eine Herausforderung für Unternehmen darstellt.

Management der Konzerngesellschaften 

Von den Unternehmen mit Tochtergesellschaften nutzen 60 Prozent den gleichen Prozess wie für das TPRM, was die anhaltende Fokussierung auf ein beständiges Risikomanagement unterstreicht. 

Über 40 Prozent der Unternehmen nutzten interne Audit-Reviews oder andere Kontrolltests in ihrem Bewertungsprozess. Unternehmen und Drittparteien könnten diese Gelegenheit nutzen, um eine engere Beziehung aufzubauen und den externen Prozess einfacher und effizienter zu gestalten.

Technologien, Automatisierung und externe Datenquellen

Laut dem „EY Global Board Risk Survey“ investieren viele Unternehmen stark in Technologien, um interne Prozesse effizienter zu machen und ihren Kunden neue Erfahrungen zu bieten. Diese digitalen Transformationen bergen jedoch eine Reihe komplexer Risiken – von Fehlern in der künstlichen Intelligenz (KI) bis hin zu Datenschutzverletzungen. Für die Konzeption und Anwendung von Transformationsinitiativen bedarf es eines effektiven Risikomanagements, das die Bandbreite potenzieller Störfaktoren einbezieht.

Technologien 

Leider birgt der Weg zur TPRM-Integration innerhalb des Unternehmens mehrere Hindernisse. Verschiedene Abteilungen verwenden möglicherweise unterschiedliche Tools oder Technologien, um Daten zu sammeln. Fast ein Drittel der befragten Unternehmen verfügt entweder nicht über dedizierte Technologien oder ist sich des Ökosystems der verfügbaren Tools zur Aktivierung ihrer Programme nicht bewusst. Es gibt keine Einheitslösung für eine grundlegende Technologie. Unternehmen müssen überlegen, wie sie den gesamten, integrierten TPRM-Lebenszyklus verwalten und gleichzeitig die Vorteile eines umfassenden Unternehmenstools oder eines dedizierten TPRM-Tools abwägen.

Berichterstattung

Unternehmen haben weiterhin Schwierigkeiten mit der Berichterstattung an wichtige Stakeholder im gesamten Unternehmen. Die Zahl der befragten Unternehmen, die dem Vorstand und der Geschäftsführung über das TPRM-Programm berichten, ist nach wie vor besorgniserregend gering. In der Regel ist das Senior Management die höchste Ebene innerhalb des Unternehmens, die regelmäßig über wichtige Aspekte des TPRM-Programms berichtet. Wenn es um kritische Drittparteien geht, berichten weniger als zwei Drittel der befragten Unternehmen an die Geschäftsleitung oder an die Unternehmensleitung.

Unternehmen verfolgen weiterhin eine Vielzahl von KPIs ihrer Drittparteien und berichten darüber, aber es gibt kaum Einigkeit darüber, was wichtig ist. Nur etwa 60 Prozent informieren sich über die finanzielle Solidität ihrer Drittparteien und berichten darüber. Fast 20 Prozent geben an, dass sie nicht sicher sind, ob sie KPIs als Teil ihrer Programme nutzen und darüber berichten. Dies deutet darauf hin, dass vielen Unternehmen entweder die notwendigen Daten fehlen, um KPIs von Drittanbietern zu überwachen, oder dass sie in ihrem Ansatz für das Risikomanagement in erster Linie reaktiv sind.

Eingehende Anforderungen und Prüfungen durch regulatorische und interne Revision

Etwa 10 Prozent der befragten Unternehmen erhalten pro Jahr mehr als 50 Anfragen zum Ausfüllen von Fragebögen zur Risikobewertung von Drittanbietern, 42 Prozent der Teilnehmer erhalten keine solchen Anfragen, was auf eine Kluft zwischen der Verwaltung eingehender Anforderungen und den internen TPRM-Assessments hindeutet.

Assessments der Drittparteien, gefolgt von Aufsicht/Governance und Cybersicherheit waren die dominierenden Schwerpunkte unter den befragten Unternehmen, sowohl bei der internen Revision als auch bei der Überprüfung durch Aufsichtsbehörden. 

So unterstützen wir Sie

Wir ermöglichen es Ihnen, bessere Entscheidungen darüber zu treffen, mit welchen Anbietern Sie kooperieren wollen. Wir nutzen Technologien, um Ihnen zu helfen, schneller fundierte Entscheidungen zu treffen. Wir untersuchen die Risiken aus allen Blickwinkeln und liefern Ihnen die Erkenntnisse, die Sie benötigen, um die Drittparteien zu identifizieren, die einen langfristigen Wert für Ihr Unternehmen schaffen.

Beratungsdienstleistungen zum Third Party Risk Management ermöglichen es Ihnen, Ihre Drittparteirisiken effektiv zu managen und während des gesamten Management-Lebenszyklus Vertrauen aufzubauen. Dazu gehört Third Party Risk as a Service (TPRaaS), eine schlüsselfertige und skalierbare Lösung (Menschen, Prozesse und Technologien), die auf den Technologieplattformen von EY basiert. Wir erleichtern Ihnen die Risikobewertung und die Entwicklung technologiegestützter TPRM-Programme, um TPRM-Funktionen skalierbar und nachhaltig aufzubauen.