Das Lieferanten-Risikomanagement befasst sich mit den Sicherheitslücken, die Lieferanten und Drittanbieter für Ihr Unternehmen mit sich bringen. Doch wie können Sie diese Risiken abmildern?

Was versteht man unter Vendor Risk Management? Das Lieferanten-Risikomanagement ist der Prozess der Überwachung von Lieferanten und der Berechnung der Risiken, die sich aus der Zusammenarbeit mit den einzelnen Anbietern ergeben. Dies ist ein fortlaufender Prozess, der, wenn er richtig durchgeführt wird, dem Unternehmen ermöglicht, potenzielle Verstöße gegen gesetzliche Vorgaben oder Bedrohungen für das Unternehmen zu vermeiden.

Warum braucht ein Unternehmen Vendor Risk Management?

Lieferanten sind ein Teil des Geschäftslebens. Komplexe Unternehmensorganisationen streuen ihre Angebote und Dienstleistungen zunehmend über mehrere Branchen und benötigen dabei erweiterte Kapazitäten, um die Anforderungen ihrer gemeinsamen Märkte zu erfüllen.

Dementsprechend ist der moderne digitale Markt zunehmend von Managed Service Providern abhängig, die Software und Lösungen für Sicherheit, Zahlungsverarbeitung, Cloud-Storage – also nahezu jeden potenziellen Bedarf eines Unternehmens – anbieten.

Abgesehen davon wurden auch bisher schon interne Funktionen wie Identitätsmanagement und Authentifizierung, Security Operations Center und Netzwerkmanagement an externe Anbieter ausgelagert.

Da Lieferanten heute immer komplexere und kritischere Funktionen übernehmen, ist es für die beauftragenden Unternehmen von entscheidender Bedeutung, die Risiken zu bewerten, die diese Anbieter mit sich bringen können. Zu diesen Risiken können die folgenden gehören:

  • Sicherheitsrisiken: Ungesicherte Technologien des Anbieters oder sogar unbeabsichtigte Sicherheitsverletzungen können sich nicht nur auf den Anbieter selbst, sondern auf alle seine Kunden auswirken. Jüngste Angriffe auf Service Provider zeigen, wie miteinander vernetzte Systeme Sicherheitslücken öffnen.
  • Operative Risiken: Die Abhängigkeit von Lieferanten kann dazu führen, dass Unternehmen Probleme mit der operativen Zuverlässigkeit bekommen. Wenn die Systeme eines Anbieters ausfallen, können alle seine Kunden ohne wichtige Dienste dastehen. Nehmen wir zum Beispiel an, ein Einzelhändler verlässt sich auf einen Zahlungsabwickler wie Square und diese Dienste fallen aus. In diesem Fall kann der Einzelhändler seine Produkte nicht mehr verkaufen.
  • Compliance-Risiken: In einigen Branchen, wie dem Gesundheitswesen und der Rüstungsindustrie, gelten strenge Vorschriften, die Unternehmen einhalten müssen. Wenn diese Unternehmen mit Anbietern zusammenarbeiten, die die Vorschriften nicht einhalten, kann dies für das Unternehmen katastrophale Folgen haben. Das bedeutet, dass die Unternehmen gemeinsam mit ihren Anbietern die Einhaltung der Vorschriften in ihren Systemen nachweisen und aufrechterhalten müssen.
  • Reputationsrisiken: Die Entscheidung, mit wem ein Unternehmen zusammenarbeitet, kann sich auf seinen Ruf auswirken. Die Zusammenarbeit mit einem Anbieter, der einen weniger guten oder zuverlässigen Ruf hat, kann auch den Ruf der jeweiligen Kunden schädigen. Ein Cloud Service Provider, bei dem es in der Vergangenheit immer wieder zu Sicherheitsverletzungen gekommen ist, wird bei den Kunden von Unternehmen, die diesen Cloud Service nutzen, kein Vertrauen erwecken.

Daher ist das Vendor Risk Management eine unternehmerische Maßnahme, die darauf abzielt, die mit den Lieferantenbeziehungen einhergehenden Risiken zu bewerten, zu verstehen und zu bewältigen.

Die Begriffe “Lieferant” und “Drittanbieter” werden im Risikomanagement oft synonym verwendet. Es gibt zwar einige branchenspezifische Unterschiede zwischen diesen Begriffen, aber im Allgemeinen beziehen sie sich auf die gleiche Art von Risikomanagement.

(from left to right)
Lieferanten besser verwalten

Sichere Transaktionen

Kosteneffizienz

Leistungsanalyse

Langfristige Partnerschaften

Lieferanten-Management (in the center)

Was ist das Vendor Risk Management Maturity Model?

Risikomanagement ist kein einfacher Prozess. Durch die vielen verschiedenen Verfahren, Technologien und Prozesse, die bei jeder Beziehung zu einem Lieferanten im Spiel sind, können Risiken durch die Interaktion mit verschiedenen Systemen und Arbeitsabläufen der Drittanbieter entstehen.

Um ein robustes Risikomanagement in komplexen Lieferantenbeziehungen zu unterstützen, haben Experten das Vendor Risk Management Maturity Model (VRMMM) entwickelt. Dieser ganzheitliche Reifegrad-Ansatz für das Risikomanagement hilft Unternehmen, das mit ihren Lieferanten verbundene Risiko in den verschiedenen Risikokategorien zu bewerten und Strategien zu entwickeln, um das Risiko zu erfassen und abzuschwächen, sobald es auftritt.

In der Regel umfasst das VRMMM mehrere Reifegrade (Maturity Levels) zur Messung der Leistungsfähigkeit in Bezug auf das Lieferanten-Risikomanagement:

  1. Start-up/Kein Lieferantenmanagement: Ein Unternehmen hat auf dieser Reifegradstufe noch keine Risikobewertung für Lieferanten durchgeführt (typischerweise bei neuen Unternehmen).
  2. Ad-hoc-Aktivität: Aktivitäten im Zusammenhang mit dem Lieferantenrisiko werden ad hoc auf der Grundlage verschiedener Situationen ohne Strategien oder Pläne durchgeführt, obwohl das Unternehmen einige Strategien in Betracht ziehen könnte.
  3. Roadmap und Ad-hoc-Aktivitäten: Die Ad-hoc-Aktivitäten werden fortgesetzt, aber das Sicherheits- und Lieferantenmanagement hat eine Roadmap für das Vendor Management konzipiert und genehmigt.
  4. Definiert und eingerichtet: Managementpläne sind definiert, eingeführt und teilweise in einem Unternehmen im Gange, aber noch nicht vollständig umgesetzt.
  5. Vollständig implementiert: Die Aktivitäten für das Lieferantenmanagement sind eingerichtet und einsatzbereit, einschließlich der Integration von Reporting und Compliance.
  6. Kontinuierliche Verbesserung: Unternehmen überwachen das Lieferantenrisiko, um Strategien und Management kontinuierlich zu optimieren.

Was sind geeignete Best Practices bei der Auswahl eines Anbieters?

Selbst wenn ein System für das VRMMM vorhanden ist, müssen Unternehmen potenzielle Drittanbieter prüfen, bevor sie Beziehungen mit ihnen eingehen. Darüber hinaus müssen Unternehmen diese Beziehungen auch nach der Vertragsunterzeichnung kontinuierlich bewerten.

Um die gebotene Sorgfalt im Umgang mit Anbietern walten zu lassen und bewährte Verfahren anzuwenden, sollten Unternehmen die folgenden Vorschläge befolgen:

  • Entwickeln Sie ein Risikomanagement-Programm: Bevor Sie eine Beziehung zu einem Lieferanten eingehen, sollten Sie Programme zur Festlegung von Richtlinien, Verfahren und Geschäftszielen für die Beziehungen zu den Lieferanten erstellen. Es ist unmöglich, Kriterien zur Bewertung von Anbietern zu entwickeln, ohne diese Kriterien vorher festzulegen.
  • Legen Sie Vertragsanforderungen fest: Legen Sie einen Standard-Lieferantenvertrag fest, der die Anforderungen an das Risikomanagement abdeckt, einschließlich obligatorischer Berichte, Überwachung und Bewertungen. Diese Anforderungen können auch eine regelmäßige Neubewertung der Vertragsbedingungen auf der Grundlage veränderter Systemkonfigurationen, neuer Infrastrukturen oder sich ändernder Geschäftsmodelle beinhalten.
  • Führen Sie Hintergrundüberprüfungen durch: Bewerten Sie einen Anbieter immer in allen Risikokategorien. Dazu gehören die Auswertung von Nachrichten und Branchenberichten, die Befragung aktueller und früherer Kunden des Anbieters, die Anforderung von Berichten über Finanzen und Compliance-Standards sowie die Durchführung koordinierter Bewertungen von Mitarbeitern und Technologien.
  • Definieren Sie einen Auswahlprozess: Halten Sie Unterlagen und Formulare für Angebotsanfragen bereit, einschließlich Richtlinien und Kennzahlen zum Vergleich potenzieller Anbieter. Diese Ausschreibungen sollten auch klare Angaben zu den Risikobewertungen und Hintergrundüberprüfungen enthalten, denen sich diese Anbieter unterziehen müssen.
  • Legen Sie Pläne für die Reaktion auf Sicherheitsverletzungen fest: Wenn Sie mit Technologieanbietern zusammenarbeiten, besteht immer die Möglichkeit einer Sicherheitsverletzung. Warten Sie nicht darauf, dass die Anbieter ihre Probleme lösen, sondern sorgen Sie dafür, dass ein Plan zur Reaktion auf Sicherheitsverletzungen und zur Behebung von Sicherheitslücken vorhanden ist, falls eine Katastrophe eintritt.
  • Implementieren Sie fortlaufende Audits: Überlassen Sie die Sicherheit nicht dem Zufall. Das Lieferantenmanagement sollte mit den neuesten Informationen arbeiten und regelmäßige Berichte und Audits durchführen. Zu den Audits können Compliance- und technische Bewertungen sowie automatische Schwachstellen-Scans gehören. Verlangen Sie außerdem von den Anbietern eine jährliche Berichterstattung über ihre Systeme und stellen Sie regelmäßigere Berichte zur Verfügung, wenn sich Systemtechnologien und -konfigurationen ändern. Ein Unternehmen kann auch Fragebögen für Lieferanten einführen, die vom jeweiligen Drittanbieter ausgefüllt werden, um einige Aspekte der Risikobewertung zu vereinfachen.
  • Beauftragen Sie qualifizierte Führungskräfte mit dem Lieferantenmanagement: Die meisten Unternehmen haben ein eigenes Management oder Führungskräfte, die für Bereiche wie Finanzen, Marketing und Informationssicherheit zuständig sind. Stellen Sie eine Führungskraft für das Lieferantenmanagement ein, die sich um die Beziehungen zu den Lieferanten und den Prozess der Risikobewertung kümmert.

Compliance-gerechtes, sicheres Content Management mit Kiteworks

Lieferantenmanagement stellt für viele Unternehmen eine große Herausforderung dar. Als Anbieter von Cloud-basiertem Content- und Datenmanagement hilft Kiteworks diese Aufgaben einfacher zu bewältigen. Mit fortschrittlichen Reporting- und Auditing-Funktionen, sicheren Tools für die Zusammenarbeit mit Drittanbietern und umfassenden Automatisierungs- und Analysefunktionen können Benutzer von Kiteworks Sicherheits- und Compliance-Probleme bei allen Mitarbeitern oder Lieferanten überwachen.

Lesen Sie unsere Leistungsbeschreibung, um zu erfahren, wie Kiteworks das Vendor Risk Management und die Compliance unterstützen kann. Gerne können Sie außerdem eine kostenlose, individuelle Demo der Kiteworks-Plattform anfordern.

 

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Teilen
Twittern
Teilen
Explore Kiteworks