15 Minuten Lesezeit 10 Januar 2022

Third-Party-Risikomanagement bietet der Geschäftsleitung eine Funktion zur Verwaltung der Risiken, die mit Drittparteien verbunden sind. 

Ansicht eines Mannes beim Kajakfahren auf einem Fluss

Wie lässt sich ein unendliches Risikouniversum mit endlichen Ressourcen beherrschen?

Von Lars Weimer

Partner Financial Services & Advisory Services EY Consulting GmbH | EMEIA

Sorgt für Sicherheit in unserem Finanzsystem und schafft Vertrauen in die Datenverarbeitung. Nimmt sich Zeit für seine Familie, Ski und Motorrad – nur zum Tauchen kommt er momentan nicht.

15 Minuten Lesezeit 10 Januar 2022

Third-Party-Risikomanagement bietet der Geschäftsleitung eine Funktion zur Verwaltung der Risiken, die mit Drittparteien verbunden sind.

Überblick

  • Unternehmen haben ihre Ausgaben für TPRM-Programme trotz neuer Risiken stabilisiert oder reduziert, was viele dazu bewegt, ihre Betriebsmodelle zu überdenken.
  • Die Integration von TPRM-Programmen über Geschäftsbereiche hinweg bietet die Möglichkeit, die Datenqualität zu verbessern und die Entscheidungsprozesse zu beschleunigen.
  • Automatisierung und andere Technologien können Unternehmen helfen, ihre TPRM-Programme zu optimieren, um die Effizienz und die Überwachung zu verbessern.

Da Risiken durch Drittparteien zunehmen, konzentrieren sich Unternehmen auf eine intelligentere Verwaltung und Ausführung von Third-Party-Risikomanagement-Programmen (TPRM).

Drittparteien („third parties“) wie z. B. Lieferanten, Dienstleister, Berater oder Distributoren helfen Unternehmen, ihre Effizienz zu steigern und Kosten zu senken. Heutzutage müssen Unternehmen mit einer Vielzahl von Drittparteien zusammenarbeiten, um agil und wettbewerbsfähig zu bleiben. Doch jede Beziehung mit Außenstehenden birgt auch Risiken, etwa Cyber-, Regulierungs- oder Reputationsrisiken. Daher ist es wichtig, dass diese Beziehungen zuverlässig und integer sind.

Die globale EY-Studie zum Third-Party-Risikomanagement (TPRM) untersucht, wie Unternehmen aller Branchen ihr Geschäft gegen Risiken durch Drittparteien schützen.

  • Was bedeutet TPRM?

    Third-Party-Risikomanagement bietet der Geschäftsleitung eine Funktion zur Identifizierung, Bewertung, Überwachung und Verwaltung der Risiken, die mit externen Businesspartnern (Drittparteien) und Verträgen verbunden sind.

An der Studie haben sich Unternehmen aus aller Welt und aus zahlreichen unterschiedlichen Branchen beteiligt, darunter Finanzdienstleistungen, Konsumgüter und Einzelhandel, Gesundheitswesen, Life Sciences, Medien und Unterhaltung, Technologie, Energie und Versorgung, diversifizierte Industrieprodukte und öffentlicher Sektor.

Von November 2020 bis Februar 2021 befragten die EY-Experten 162 Unternehmen unterschiedlicher Größen.  Die Führungskräfte, die an der Umfrage teilgenommen haben, stammen aus verschiedenen Unternehmensbereichen, die jedoch alle für das Risikomanagement der Drittanbieter zuständig sind. Dazu gehören unter anderem Unternehmensrisikomanagement, Beschaffung, Cybersicherheit, Compliance und Finanzen. 

Die Ergebnisse unserer Umfrage zeigen, dass die TPRM-Programme in mehreren Sektoren gewachsen sind und an Reife gewonnen haben. 

Die COVID-19-Pandemie und die daraus resultierenden Risiken unterstreichen, wie wichtig Drittparteien in einem vernetzten Geschäftsumfeld sind und wie abhängig die Unternehmen von ihnen sind. Die Unternehmen erholen sich allmählich von der Krise des vergangenen Jahres. Angesichts begrenzter Ressourcen, die ihnen zur Steuerung immer vielfältigerer Risiken zur Verfügung stehen, kommt es jetzt darauf an, ein geschickteres Risikomanagement zu betreiben. Vor diesem Hintergrund identifiziert die globale TPRM-Studie von EY einige nennenswerte Trends und Chancen in den folgenden Bereichen:

  • 1. Effektive Governance, Programmumfang und differenzierte Betriebsmodelle

    Die Unternehmen nutzen zunehmend zentralisierte TPRM-Offices, um einheitliche Standards zu etablieren, die Abdeckung des TPRM-Programms zu erweitern und mehr Managed-Service-Provider einzusetzen.

  • 2. Ausdehnung des Risikouniversums

    Da die Beziehungen zu Drittanbietern immer komplexer und die regulatorischen Anforderungen geschärft werden, gewinnen häufige Assessments und die Klassifizierung der Drittparteien noch mehr an Bedeutung.

  • 3. Funktionsübergreifende Integration

    Die Vermeidung eines isolierten TPRM-Ansatzes ist der Schlüssel zur Resilienz in Störungsfällen. Die strategische Ausrichtung auf den integrierten TPRM-Lebenszyklus über alle Geschäftsfunktionen hinweg ermöglicht eine bessere Entscheidungsfindung und mehr Transparenz.

  • 4. Technologie, Automatisierung und externe Datenquellen

    Eine digitale Transformation ist essenziell, bringt aber ein erweitertes Risikoprofil mit sich. Daher sollten Unternehmen die Implementierung modernster Lösungen und Automatisierungen für mehr Transparenz in Betracht ziehen und gleichzeitig externe Datenanbieter nutzen, um den Aufwand bei der Bewertung zu minimieren.

Diese Trends machen deutlich, worauf Unternehmen hinsichtlich der sich ändernden TPRM-Anforderungen derzeit ihren Schwerpunkt legen. Das Terrain mag noch unerforscht sein, jedoch gibt es Wegweiser, die die Richtung anzeigen. Die Unternehmen kennen zwar die verschiedenen Tools und Enabler, mit denen das Third-Party Risk Management maximiert werden kann, ihnen fehlt jedoch das praktische Wissen, wie sie diese am effektivsten einsetzen können. Mit strategischen Investitionen in TPRM-Prozesse und ­Technologien können Effizienz- und Wertsteigerungen erzielt und die Reife dieser Prozesse und Technologien in Schlüsselbereichen vorangetrieben werden. Eine bessere Vernetzung und höhere Transparenz in der Beziehung zu Drittparteien können eine fundiertere Entscheidungsfindung, die schnellere Bereitstellung von Ergebnissen sowie Einsparungen bei den Organisationskosten bewirken.

Übersicht der Ergebnisse

Organisation und Aufsicht

60 %

der Unternehmen, haben eine zentralisierte Struktur.

46 %

der Unternehmen erwarten, dass sie Managed Services in den nächsten zwei bis drei Jahren stärker einsetzen werden.

TPRM-Integration

81 %

der Unternehmen nutzen frühere Bewertungsergebnisse, wenn sie einen Dritten, mit dem sie bereits zusammenarbeiten, für einen neuen Service beauftragen.

29 %

der Unternehmen hatten in den letzten sechs Monaten eine Datenpanne, die durch eine Drittpartei verursacht wurde.

Technologie

28 %

der Unternehmen nutzen manuelle Prozesse für das Problemmanagement oder wissen nicht, wo oder wie Probleme verfolgt werden sind.

Eingehende Anforderungen

45 %

der Unternehmen empfangen mehr als 50 eingehende Anfragen zum Ausfüllen von TPRM-Fragebögen pro Jahr.

Ressourcenmodell

11

Im Durchschnitt sind 11 TPRM-Fachkräfte in Vollzeit engagiert.

Struktur der Drittparteien 

9 % 

Für 9 % der Drittparteien wurde im letzten Jahr ein Assessment durchgeführt

80 %

der Unternehmen betrachten die Kritikalität der erbrachten Dienstleistung als wichtigstes Kriterium eines kritischen Dienstleisters, wobei 50 % antworteten, dass die Sensibilität der Daten an zweiter Stelle steht.

< 5 %

der Drittparteien werden bei Unternehmen mit mehr als 5.000 Drittparteien als kritisch eingestuft.

Fourth-Party-Management

65 %

der Unternehmen verlassen sich auf die mit dem Dritten festgelegten Vertragsbedingungen, um Weiterverlagerungen zu bewerten oder zu überwachen.

28 % 

der Unternehmen führen keine Bewertung oder Überwachung der bekannten vierten Parteien.

Assessments

74 %

der Bewertungen werden remote durchgeführt, vor COVID-19 waren es 58 %.

57 % 

der Unternehmen bewerten ihre Drittparteien mit dem höchsten Risiko (Risiko-/​Kontrollbewertung) einmal im Jahr.

Die wichtigsten Ergebnisse der globalen TPRM-Studie (162 Unternehmen unterschiedlicher Branchen weltweit)

In den folgenden Kapiteln analysieren wir die Ergebnisse unserer globalen EY-Studie bezogen auf die 36 Unternehmen aus dem Finanzsektor (Bankwesen und Kapitalmärkte, Versicherungen und Vermögensverwaltung) in Europa. 

Effektive Governance, Programmumfang und differenzierte Betriebsmodelle

Um mit dem immer größer werdenden Risikouniversum Schritt halten zu können, müssen sich Unternehmen auf ein Fundament aus intelligenter Governance und Programmumsetzung stützen. Allerdings scheint in puncto Ressourcen und Finanzierung das Ende der Fahnenstange erreicht zu sein, während die TPRM-Programme weiter an Umfang zunehmen. In unserer jüngsten Studie aus dem Jahr 2020 gaben die Teilnehmer an, dass sie mit einem Anstieg ihrer Ausgaben in verschiedenen Kategorien, von Governance und Überwachung bis hin zu Richtlinien und Standards, rechneten. 

TPRM-Programmstruktur

Da die neuen TPRM-Programme die Möglichkeiten für eine Automatisierung der Prozesse identifizieren und risikobasierte Ansätze im gesamten Unternehmen standardisieren, werden bekannte Nachteile zentralisierter Programme verringert. Infolgedessen wechseln immer mehr Unternehmen zu einem zentralisierten Modell, um die Gesamtkosten zu senken.

Jedes Unternehmen muss bestimmen, wie es mit dem Risiko von Drittanbietern umgeht, um das Programm effektiv ausführen zu können. Es gibt immer noch keinen Konsens unter den befragten Unternehmen, wer für das TPRM verantwortlich sein sollte. Es zeigt sich jedoch eine große Trendänderung gegenüber der letztjährigen Umfrage: Beim operationellen Risiko sehen nun 31 statt zuvor 15 Prozent die Verantwortung für das TPRM.

Unternehmen haben immer noch Schwierigkeiten, den richtigen Ansatz und die richtigen Ressourcen zu finden, um Programmänderungen und Erwartungen effektiv zu kommunizieren. Weit verbreitet sind Intranetseiten für Kommunikation und Programminformationen. Mehr als Hälfte der Unternehmen nutzt jedoch Schulungen, Leitfäden und andere Techniken, um Veränderungen und neue Pläne voranzutreiben.

Betriebsmodelle, die externe Unterstützung einbeziehen

Mit der Weiterentwicklung von Betriebsmodellen ändern sich auch die von den Unternehmen festgelegten Lieferstrukturen. Laut der diesjährigen Umfrage nutzen Unternehmen unterschiedliche Formen externer Dienstleistungen. Von den Teilnehmern der Studie nehmen 48 Prozent die Dienste von Managed-Service-Providern für ihr Third-Party Risk Management in Anspruch und 53 Prozent gehen davon aus, dass sie in den nächsten zwei oder drei Jahren verstärkt auf Managed Services zurückgreifen werden. Ähnlich verhält es sich bei Market Utilities oder Branchenkonsortien, die von 45 Prozent der befragten Unternehmen genutzt werden. Und mehr als ein Drittel der Teilnehmer rechnet hier für die kommenden zwei oder drei Jahre mit einer steigenden Inanspruchnahme. Diese Betriebsmodelle helfen Unternehmen, mit weniger Ausgaben und Ressourcen mehr Effizienz zu erreichen.

Ausdehnung des Risikouniversums

In den kommenden zwei bis drei Jahren wird es deutlich schwieriger werden, Risiken, die durch Drittparteien entstehen, effektiv zu steuern. Dies ist hauptsächlich auf ein immer größer werdendes Risikouniversum, die Erweiterung der Lieferbasen, die zunehmende Komplexität von Geschäftsbeziehungen, neue Marktkapazitäten und eine verstärkte regulatorische Überwachung (insbesondere im Hinblick auf alle für die Infrastruktur eines Landes kritischen Faktoren) zurückzuführen. Angesichts begrenzter Budgets und Zeit werden Unternehmen sorgfältig entscheiden müssen, wo und wie Ressourcen am sinnvollsten eingesetzt werden können.

Einstufung der Drittparteien/Risikozuordnung

Der letztjährige Umfragetrend hat sich im Jahr 2021 verstärkt, wobei eine signifikante Verringerung der Drittparteien, die als kritisch eingestuft werden, zu erkennen ist, insbesondere in größeren Unternehmen. Ein Faktor dafür ist wahrscheinlich eine genauere Prüfung dessen, was für ein Unternehmen als kritisch oder riskant gilt. Außerdem wird der Arbeitsaufwand beim TRPM immer größer, sodass die Entscheidung einer Zuordnung gut durchdacht sein muss.

Unternehmen machen Fortschritte hinsichtlich der Verwendung eines risikobasierten Ansatzes bei der Beurteilung von Drittparteien. Die Folge ist, dass weniger Control Assessments durchgeführt werden. Dies belegen auch die Zahlen: 8 Prozent der Drittparteien wurden 2021 einem Control Assessment unterzogen, 2020 waren es noch 26 Prozent.

2020

47%

insgesamt in TPRM-Programmen erfasste Drittparteien
 

2021

25%

insgesamt in TPRM-Programmen erfasste Drittparteien
 

26%

Drittparteien, die einem Control Assessment unterzogen wurden
 

8%

Drittparteien, die einem Control Assessment unterzogen wurden
 

Einstufung von Risiken durch Drittparteien

Hinsichtlich der Risikoeinstufung verringern Unternehmen die Zahl der als „wesentlich“ eingestuften Drittparteien kontinuierlich (Unternehmen mit mehr als 5.000 Drittparteien haben weniger als 5 Prozent davon als „wesentlich“ eingestuft). Zudem fallen weniger Drittparteien in die Kategorien mit hohem Risiko.

Diese raschen Veränderungen sind wahrscheinlich eine Folge des durch die Pandemie entstandenen Kostendrucks und der Fokussierung auf die Resilienz externer Drittparteien. Dies hat Unternehmen veranlasst, ihre Einstufungskriterien zu überprüfen und zu überarbeiten, sodass jetzt jene Drittparteien im Mittelpunkt stehen, die für das Unternehmen am wichtigsten sind und die größten Auswirkungen haben.

Als die drei wichtigsten Kriterien für die Definition wesentlicher Drittparteien nannten die befragten Unternehmen die Wesentlichkeit der erbrachten Dienstleistungen, die Vertraulichkeit der zur Erbringung der Dienstleistungen benötigten Daten sowie die Geschäftskontinuität und -resilienz.

Assessments

Es überrascht nicht, dass die Anzahl der Vor-Ort-Assessments während COVID-19 dramatisch zurückgegangen ist. Da Unternehmen neue, innovative Wege finden, um ein ähnliches Ergebnis zu erzielen, wird sich dieser Trend wahrscheinlich fortsetzen, da er Kosten und Zeit spart.

Effektive Risiko- bzw. Kontrollbewertungen sowohl vor als auch nach Vertragsabschluss sind in den Vordergrund der Aktivitäten gerückt. Unternehmen müssen während des gesamten Lebenszyklus ein Risikomanagement durchführen, um ihre Drittanbieter proaktiv zu überwachen, und mehr als ein Drittel verwendet die gleiche Komplexität der Assessments vor und nach Vertragsabschluss. Auf der anderen Seite sind 42 Prozent der Bewertungen, die während des Onboarding-Prozesses von Drittanbietern durchgeführt werden, aufwendiger als die, die während der Überwachung stattfinden.

Kontrollbewertungsrahmen stützen sich hauptsächlich auf Industriestandards im Bereich der Informationssicherheit, da es sich um ausgereiftere und anerkanntere Richtlinien handelt. Es gibt jedoch keinen Konsens über einen einzelnen Standard. Die Einführung von Konsortien zu den Kontrollbewertungsfragebögen hat zu zusätzlicher Komplexität geführt und weitere Fragen für den Ansatz einer Organisation bei Kontrollbewertungen aufgeworfen. Die folgenden Frameworks werden als Grundlage für die Fragebögen zur Risikobewertung verwendet: ISO (44 %), NIST (31 %), proprietär (28 %), COBIT (22 %), COSO (11 %), Shared-Assessments-Program-Fragebogen (6 %) und Sonstige (22 %)

SOC2-Berichte werden aufgrund ihrer strukturierten, wiederholbaren Natur und ihrer branchenweiten Anerkennung weiterhin als das nützlichste Mittel zur Risiko- und Kontrollbewertung angesehen. 

Überraschenderweise gaben von den Befragten, die „Market Utilities” nutzen, nur 14 Prozent an, dass Market Utilities sehr oder extrem nützlich seien. In diesem Konsortialbereich gibt es somit noch erheblichen Raum für Wachstum und Bildung.

Es besteht Einigkeit darüber, dass die Assessments bei kritischen Drittparteien jährlich durchgeführt werden sollten. Die Drittparteien mit mittlerem Risiko sollten alle zwei bis drei Jahre bewertet werden. Mehr als ein Drittel der Unternehmen gab an, dass die Drittparteien mit den niedrigsten Risikostufen nicht regelmäßig bewertet werden. 

Funktionsübergreifende Integration

Die meisten TPRM-Programme sind auf einige wenige interne Funktionen wie Informationssicherheit und Beschaffung ausgerichtet. Viele andere Abteilungen agieren in Silos und sind bei der Beurteilung der Drittparteien auf sich allein gestellt. Bei der Zusammenarbeit mit Drittparteien treten in zahlreichen Abteilungen die gleichen Fragen auf. Da diese Abteilungen jedoch nicht untereinander kommunizieren, fehlt dem Unternehmen der Gesamtüberblick über seine Risiken. Unternehmen, denen es gelingt, diese Kommunikationslücke mithilfe eines integrierten Risikomanagementansatzes zu schließen, werden es erheblich leichter haben, in unsicheren Zeiten resilient zu bleiben.

Rund 92 Prozent der Befragten stellen der Informationssicherheitsfunktion relevante Daten zur Verfügung, die im Rahmen der TPRM-Programme gesammelt wurden. In anderen wichtigen Unternehmensabteilungen nimmt der Grad der Integration allmählich ab. Darunter fallen die Bereiche Beschaffung (83 %), operationelle Risiken/Unternehmensrisiken (81 %), Compliance (67 %), Technologien/operatives Geschäft (61 %), Interne Revision (58 %) und Rechtsabteilung/General Counsel (53 %).

Integration des Risikomanagements von Drittanbietern

Drittparteien sind ein integraler Bestandteil des Geschäftsbetriebs; daher gibt es die Möglichkeit, Daten im gesamten Unternehmen auf kohärente und effiziente Weise zu sammeln, zu verbreiten und gleichzeitig die Unterbrechung der Geschäftsprozesse zu begrenzen. Eine verbesserte Integration verringert die Bewertungsmüdigkeit, steigert die Beständigkeit und beschleunigt eine bessere Entscheidungsfindung.

Ähnlich wie in den Vorjahren gibt es nur sehr wenige Kündigungen aufgrund von Ereignissen wie z. B. Bewertungsproblemen, Betriebsausfällen oder Pannen, die durch Drittparteien verursacht wurden. Unternehmen arbeiten außerdem mit ihren Drittparteien zusammen, um Probleme zu beheben und das Wachstum des Unternehmens zu unterstützen, um das Geschäftswachstum zu begünstigen.

Über 30 Prozent der Unternehmen waren nicht in der Lage, die Anzahl der von ihren Drittparteien verursachten Verstöße, Verluste oder Ausfälle zu bestimmen. Dies bringt erhebliche Herausforderungen bei der Implementierung der richtigen Datenerfassung und ­berichterstattung, ist jedoch ein notwendiger Schritt für das Risikomanagement.

Risikomanagement in Fourth-Party-Prozessen (bei Weiterverlagerungen)

In der Regel werden Informationen von Sub-Dienstleister während des Risiko-/Kontrollbewertungsprozesses gesammelt, aber es besteht kein Konsens über die besten Methoden zu deren Erfassung.

Es ist wahrscheinlich, dass die Entwicklungen im Datenschutzrecht und das globale Inventar zu einer verstärkten und standardisierten Datenerfassung von Sub-Dienstleister  in den kommenden Jahren führen werden.

Fast die Hälfte der Unternehmen identifizieren Sub-Dienstleister, führen jedoch keine entsprechenden Managementaktivitäten durch. Die Mehrheit der Befragten nutzt weiterhin die Verträge und/oder Bewertungsprogramme der Drittparteien für das Risikomanagement der Sub-Dienstleister.

Konzentrationsrisiken

Etwa die Hälfte der befragten Unternehmen empfindet es als relativ einfach, über die Konzentration der Ausgaben und Konzentration von Drittanbietern zu berichten. Jedoch ist es für viele Unternehmen schwieriger, über die Konzentration von Sub-Dienstleistern oder geografischen Gruppen zu berichten, was darauf hindeutet, dass die Identifizierung und Erfassung detaillierterer Daten von Drittanbietern immer noch eine Herausforderung für Unternehmen darstellt.

Management der Konzerngesellschaften 

Von den Unternehmen mit Tochtergesellschaften nutzen 60 Prozent den gleichen Prozess wie für das TPRM, was die anhaltende Fokussierung auf ein beständiges Risikomanagement unterstreicht. 

Über 40 Prozent der Unternehmen nutzten interne Audit-Reviews oder andere Kontrolltests in ihrem Bewertungsprozess. Unternehmen und Drittparteien könnten diese Gelegenheit nutzen, um eine engere Beziehung aufzubauen und den externen Prozess einfacher und effizienter zu gestalten.

Technologien, Automatisierung und externe Datenquellen

Laut dem „EY Global Board Risk Survey“ investieren viele Unternehmen stark in Technologien, um interne Prozesse effizienter zu machen und ihren Kunden neue Erfahrungen zu bieten. Diese digitalen Transformationen bergen jedoch eine Reihe komplexer Risiken – von Fehlern in der künstlichen Intelligenz (KI) bis hin zu Datenschutzverletzungen. Für die Konzeption und Anwendung von Transformationsinitiativen bedarf es eines effektiven Risikomanagements, das die Bandbreite potenzieller Störfaktoren einbezieht.

Technologien 

Leider birgt der Weg zur TPRM-Integration innerhalb des Unternehmens mehrere Hindernisse. Verschiedene Abteilungen verwenden möglicherweise unterschiedliche Tools oder Technologien, um Daten zu sammeln. Fast ein Drittel der befragten Unternehmen verfügt entweder nicht über dedizierte Technologien oder ist sich des Ökosystems der verfügbaren Tools zur Aktivierung ihrer Programme nicht bewusst. Es gibt keine Einheitslösung für eine grundlegende Technologie. Unternehmen müssen überlegen, wie sie den gesamten, integrierten TPRM-Lebenszyklus verwalten und gleichzeitig die Vorteile eines umfassenden Unternehmenstools oder eines dedizierten TPRM-Tools abwägen.

Berichterstattung

Unternehmen haben weiterhin Schwierigkeiten mit der Berichterstattung an wichtige Stakeholder im gesamten Unternehmen. Die Zahl der befragten Unternehmen, die dem Vorstand und der Geschäftsführung über das TPRM-Programm berichten, ist nach wie vor besorgniserregend gering. In der Regel ist das Senior Management die höchste Ebene innerhalb des Unternehmens, die regelmäßig über wichtige Aspekte des TPRM-Programms berichtet. Wenn es um kritische Drittparteien geht, berichten weniger als zwei Drittel der befragten Unternehmen an die Geschäftsleitung oder an die Unternehmensleitung.

Unternehmen verfolgen weiterhin eine Vielzahl von KPIs ihrer Drittparteien und berichten darüber, aber es gibt kaum Einigkeit darüber, was wichtig ist. Nur etwa 60 Prozent informieren sich über die finanzielle Solidität ihrer Drittparteien und berichten darüber. Fast 20 Prozent geben an, dass sie nicht sicher sind, ob sie KPIs als Teil ihrer Programme nutzen und darüber berichten. Dies deutet darauf hin, dass vielen Unternehmen entweder die notwendigen Daten fehlen, um KPIs von Drittanbietern zu überwachen, oder dass sie in ihrem Ansatz für das Risikomanagement in erster Linie reaktiv sind.

Eingehende Anforderungen und Prüfungen durch regulatorische und interne Revision

Etwa 10 Prozent der befragten Unternehmen erhalten pro Jahr mehr als 50 Anfragen zum Ausfüllen von Fragebögen zur Risikobewertung von Drittanbietern, 42 Prozent der Teilnehmer erhalten keine solchen Anfragen, was auf eine Kluft zwischen der Verwaltung eingehender Anforderungen und den internen TPRM-Assessments hindeutet.

Assessments der Drittparteien, gefolgt von Aufsicht/Governance und Cybersicherheit waren die dominierenden Schwerpunkte unter den befragten Unternehmen, sowohl bei der internen Revision als auch bei der Überprüfung durch Aufsichtsbehörden. 

So unterstützen wir Sie

Wir ermöglichen es Ihnen, bessere Entscheidungen darüber zu treffen, mit welchen Anbietern Sie kooperieren wollen. Wir nutzen Technologien, um Ihnen zu helfen, schneller fundierte Entscheidungen zu treffen. Wir untersuchen die Risiken aus allen Blickwinkeln und liefern Ihnen die Erkenntnisse, die Sie benötigen, um die Drittparteien zu identifizieren, die einen langfristigen Wert für Ihr Unternehmen schaffen.

Beratungsdienstleistungen zum Third Party Risk Management ermöglichen es Ihnen, Ihre Drittparteirisiken effektiv zu managen und während des gesamten Management-Lebenszyklus Vertrauen aufzubauen. Dazu gehört Third Party Risk as a Service (TPRaaS), eine schlüsselfertige und skalierbare Lösung (Menschen, Prozesse und Technologien), die auf den Technologieplattformen von EY basiert. Wir erleichtern Ihnen die Risikobewertung und die Entwicklung technologiegestützter TPRM-Programme, um TPRM-Funktionen skalierbar und nachhaltig aufzubauen.

Beratungsorientierte Dienstleistungen

  • Diagnostik, Design, Entwicklung und Verbesserung der TPRM-Programme
  • TPRM-Unterstützung in Bezug auf die regulatorische Agenda
  • Entwicklung von Richtlinien, Prozessen und Standards

Managed Services         

  • Durchführung globaler Prüfungen/Assessments im Auftrag des Mandanten über alle Risikobereiche hinweg
  • Ausführung des TPRM-Programms (inklusive TPRaaS-Angebot) über den gesamten Lebenszyklus hinweg
  • End-to-End-Monitoring und -Governance

Risikobewertung und Assessments

  • Bewertung von Drittparteien und deren Risiken durch EY oder Technologie des Mandanten
  • auf das Unternehmen zugeschnittene Assessments (vor Ort und remote) in verschiedenen Risikobereichen
  • detaillierte Analyse und Berichterstattung an Geschäftsführung
  • Co-Autor: Nebojša Janković

    Nebojša Janković ist Manager im Bereich Informations- und Cybersicherheit im Finanzdienstleistungssektor. Zu seinen Schwerpunkten gehören Third-Party Risk Management (TPRM), Informationsrisikomanagement (IRM), IT-Compliance, externe IT-Prüfung und BSI-IT-Grundschutz.

Fazit

Die Vielfalt der Risiken im Zusammenhang mit Drittparteien nimmt beständig zu und Unternehmen sind bestrebt, dieser Entwicklung nicht durch aufwendigeres, sondern durch durchdachteres Risikomanagement gegenzusteuern. Um Schritt halten zu können, müssen sich Unternehmen bei der Steuerung dieser Risiken auf ein Fundament aus intelligenter Governance und Programmumsetzung stützen. Dies umfasst auch Schulungen für Mitarbeiter, die Risikoeinstufung von Drittparteien und Betriebsmodelle, die die Inanspruchnahme externer Unterstützung einbeziehen. Unternehmen, die daran arbeiten, ihre TPRM-Programme zu transformieren, sollten dazu eine verbesserte Integration der Unternehmensfunktionen und Abstimmung mit ihnen, die Verwendung extern verfügbarer Datenquellen und Intelligence-Tools sowie die Einbindung neuer Arbeitsmethoden wie etwa virtuelle oder Remote-Assessments in Erwägung ziehen.

Über diesen Artikel

Von Lars Weimer

Partner Financial Services & Advisory Services EY Consulting GmbH | EMEIA

Sorgt für Sicherheit in unserem Finanzsystem und schafft Vertrauen in die Datenverarbeitung. Nimmt sich Zeit für seine Familie, Ski und Motorrad – nur zum Tauchen kommt er momentan nicht.