Unternehmen arbeiten oft mit einer Vielzahl von Dienstleistern zusammen, um sich auf ihr Kerngeschäft konzentrieren zu können oder Kosten einzusparen. Damit dies gelingt, müssen die Unternehmen ihren Dienstleistern Zugriff (digital und analog) auf ihre Unternehmenswerte gewähren. Diese Öffnung gegenüber Dienstleistern ist nicht ohne Risiko, denn eine Informationssicherheitslücke beim Dienstleister kann schnell zu einem Schaden im Unternehmen führen. Um dieses Risiko angemessen zu adressieren, müssen Unternehmen ein effektives Third Party Risk Management (TPRM) einführen. In unserer Beitragsreihe "Informationssicherheit im Third Party Risk Management" erklären wir die Grundlagen eines effektiven TPRM, häufige Stolpersteine und mögliche Lösungsansätze.
Überwachung Ihres TPRM-Programms – Diese Fragen sollten Sie sich stellen
Haben Sie ein TPRM-Programm (Third-Party Risk Management) in Ihrem Unternehmen aufgebaut oder befinden sich gerade in der Aufbauphase, möchten Sie natürlich beobachten, wie gut es funktioniert. Nur mit Hilfe von aussagekräftigen Einblicken in die Performance des Programms können Sie schließlich beurteilen, an welchen Stellschrauben Sie noch drehen müssen. Ein TPRM-Programm umfasst in der Regel eine Vielzahl an Drittparteien, die sich in ihrer Größe, Leistung und Kritikalität für das Unternehmen stark unterscheiden. Hinzu kommen diverse intern involvierte Abteilungen und Rollen, wie Informationssicherheit, Einkauf, Risikomanagement und verschiedene Fachbereiche, die gegebenenfalls ebenso im TPRM-Programm berücksichtigt werden müssen. Für ein solch komplexes System aussagekräftige Kennzahlen zur Leistungsbeurteilung zu definieren und funktionierende Mechanismen zur Überwachung zu etablieren, ist also durchaus eine herausfordernde Aufgabe. Umso wichtiger ist es, diese Aufgabe zielorientiert zu planen, pragmatisch anzugehen, und das TPRM-Programm sukzessive weiter auszubauen.
Um Sie beim Aufbau der Überwachung Ihres TPRM-Programms zu unterstützen, haben wir einige Fragen zusammengestellt, die Sie sich dazu stellen sollten:
Welche Aspekte des TPRM kann und möchte ich überwachen?
So individuell Ihr Unternehmen und Ihre jeweilige Lieferkette aufgebaut ist, wird sich auch die Überwachung Ihres TPRM-Programms gestalten. Unabhängig davon, wie viele und welche Arten von Beziehungen zu Drittparteien Ihr Unternehmen pflegt, bieten sich jedoch bestimmte Kernaspekte zur Überwachung Ihres TPRM-Programms an. Die wichtigsten haben wir hier für Sie aufgeführt:
Effektivität
Werden alle erforderlichen TPRM-Prozessschritte durchgeführt? Dazu gehören beispielsweise das Ausfüllen von Selbstauskünften (durch Ihre Drittparteien) oder das Bewerten der Risiken aus Selbstauskünften (durch Ihr Unternehmen). Geschieht dies nicht, sind etwa Angaben zur Third-Party-Compliance (TP-Compliance) wenig zuverlässig.
Effizienz
Werden die Schritte innerhalb ihrer festgelegten Fristen durchgeführt? Auch hier kann zwischen den Schritten, die Drittparteien durchführen, und Schritten, die interne Parteien, wie Informationssicherheit/TPRM-Team/Fachbereiche, durchführen, unterschieden werden. Mangelt es an Effizienz, sind gegebenenfalls Ressourcen überlastet und die Qualität der Ergebnisse leidet.
TP-Compliance
Was haben die Drittparteien selbst hinsichtlich Compliance angegeben, beispielsweise in Selbstauskünften? Welche Ergebnisse wurden in Assessments (Selbstauskünfte oder Audits) erzielt, die Sie bei Drittparteien durchgeführt haben? Was geben Monitoring-/Scoring-Dienste zum Status Ihrer Drittparteien an? Solche Dienste können eine Möglichkeit sein, auch ohne Audits ein gewisses Maß an Sichtbarkeit zu Schwächen bei Drittparteien zu gewinnen.
TP-Risikoniveau
Was sind die intern registrierten Drittparteien-Risiken? Wie sind die Risiken bewertet? Wie ist der Status der Risikobehandlung? Gibt es Häufungen bei einzelnen Drittparteien oder, andersherum betrachtet, bei Unternehmensteilen, die Drittparteien in Anspruch nehmen?
TP-Incidents
Gab es bereits Sicherheitsvorfälle bei Drittparteien? Wenn ja, gab es bekanntermaßen Schäden für Ihr Unternehmen und in welchen Höhen?
Wägen Sie für alle Aspekte, die Sie in Ihre Überwachung aufnehmen möchten, den dafür erforderlichen Aufwand mit dem erwarteten informationellen Mehrwert ab. Wir empfehlen Ihnen, sich beim Aufbau Ihrer Überwachung zunächst auf die Aspekte zu konzentrieren, die sich mit dem von Ihnen eingesetzten TPRM-Tooling leicht ermitteln lassen. Einen besonderen Fokus sollten Sie in jedem Fall auf die Aspekte legen, die Ihnen größere Probleme beziehungsweise das größte Risikopotenzial aufzeigen. Achten Sie außerdem darauf, dass Sie alle Aspekte in Ihre Überwachung aufnehmen, die aus regulatorischen Gründen vorgeschrieben sind.
In welchen Dimensionen kann und möchte ich überwachen?
Selbstverständlich sind Sie auch in der Wahl der Dimensionen ihrer Überwachung frei. Die folgenden beiden Dimensionen bieten Ihnen für den Anfang die größte Aussagekraft und sind gleichzeitig verhältnismäßig einfach zu ermitteln:
Zeit
Mit Hilfe geeigneter Kennzahlen können Sie Änderungen über den Zeitverlauf überwachen. Dazu benötigen Sie entsprechende historische Werte. Zum Beispiel: Vergleich der Compliance einer Drittpartei mit der gleichen Drittpartei im Vorjahr.
Kohorte
Sie können Drittparteien untereinander vergleichen. Aufgrund ihrer Heterogenität sollten Sie Ihre Drittparteien dazu in Kohorten einteilen, um Ihr Messziel tatsächlich sinnvoll messen zu können. Die Einteilung der Kohorten bietet sich beispielsweise anhand von Kriterien wie Kritikalität, Branche und Unternehmensgröße der Drittparteien an.
Was ist bei Kennzahlen zu beachten?
Behalten Sie bei der Auswahl Ihrer Kennzahlen stets im Blick, dass das Ziel nicht das Erheben der Kennzahlen selbst ist. Vielmehr besteht Ihr Ziel darin, unmittelbar handlungsfähig zu sein, sollten die KPIs Handlungsbedarf anzeigen. Definieren Sie deshalb vorab zu jeder Kennzahl sinnvolle und zielorientierte Aktionen, die Sie ausführen, wenn eine KPI in den „gelben“ oder „roten“ Bereich rutscht. So sind Sie vorbereitet, um bei Bedarf etwa ein akzeptables Risikoniveau aufrechtzuerhalten oder das intern verfügbare Budget für Ihr TPRM-Programm einzuhalten.
Die Kennzahlen, die Sie zur Beurteilung Ihres TPRM-Programms wählen, sollten die bekannten „SMART“-Kriterien erfüllen. Das Akronym SMART steht dabei für:
Specific - spezifisch
Ist das mit Hilfe der Kennzahl zu erreichende Ziel für das TPRM-Programm präzise und eindeutig festgelegt?
Measurable - messbar
Können die Messwerte effektiv und effizient erhoben werden - insbesondere auch wenn dazu eine Zulieferung der Drittparteien erforderlich ist? Kann mit der Kennzahl sowie nach Abschluss der definierten Aktionen bewertet werden, ob das Ziel erreicht wurde?
Achievable - erreichbar
Ist das mit Hilfe der Kennzahl zu erreichende Ziel erstrebenswert und durch die definierten Aktionen erreichbar oder bereits erreicht, wenn keine Aktion erforderlich ist?
Result-oriented - ergebnisorientiert
Dienen die KPIs mitsamt den definierten Aktionen dem Ziel der Kennzahl für das TPRM-Programm?
Time-bound - zeitlich gebunden
Sind sowohl die Erhebungen der Kennzahl als auch die durchzuführenden Aktionen so terminiert, dass Abweichungen von den Zielen des TPRM-Programms in angemessener Zeit korrigiert werden?
Auch bei der Auswahl geeigneter Kennzahlen gilt es, die Heterogenität Ihrer Drittparteienbeziehungen zu berücksichtigen. Differenzieren Sie also beim Festlegen von Kennzahlen, Schwellenwerten und vorab definierten Aktionen unbedingt zwischen verschiedenen Drittparteien anhand der Kritikalität für Ihr Unternehmen sowie Eigenheiten der Drittparteien wie z.B. deren Größe oder Komplexität der erbrachten Dienstleistung.
Wie verbessere ich die Überwachung?
Die Überwachung Ihres TPRM-Programms sollte, ebenso wie Ihr TPRM-Programm selbst, stets verbessert werden. Haben Sie eine Basisüberwachung etabliert, können Sie Ihr TPRM-Programm auf Basis von gewonnenen Erfahrungen oder Tool-Verbesserungen sukzessive weiterentwickeln. Wir empfehlen Ihnen, bereits frühzeitig einen Zeitpunkt festzulegen, beispielsweise vier Jahre in der Zukunft, um eine Trendanalyse vorzunehmen und die Ergebnisse zu evaluieren. Die hieraus gewonnen Erkenntnisse können Sie dann in die Verbesserung Ihrer KPI einfließen lassen.
Beachten Sie bei der Überwachung Ihres TPRM-Programms stets: Das Erheben von Kennzahlen allein bringt nicht unbedingt einen Mehrwert für Ihr TPRM-Programm. Betrachten Sie deshalb Ihre KPI nicht nur isoliert, sondern beurteilen Sie sie möglichst auch im Kontext der Gesamtlage. Auch wenn qualitativ hochwertige Kennzahlen ein äußerst hilfreiches Werkzeug bei der Überwachung Ihres TPRM-Programms darstellen: Stellen Sie sicher, dass Sie durch Definieren und Auswerten von Kennzahlen den „gesunden Menschenverstand“ nicht ausklammern.
Benötigen Sie Unterstützung? Wir sind für Sie da.
Benötigen Sie Unterstützung beim Aufbau Ihres Third Party Risk Management Programms?
