Was ist Vendor Risk Management (VRM)?
Vendor Risk Management (VRM) ist ein Bereich des Risikomanagements, der sich mit der Identifizierung und Minderung von Risiken im Lieferantenmanagement befasst. Es trägt zur Sicherheit beider Parteien bei, indem es Transparenz darüber schafft, mit welchen Anbietern ein Unternehmen zusammenarbeitet, wie sie interagieren und ob die Anbieter über ausreichende Sicherheitskontrollen verfügen.

VRM hilft bei der Bewältigung von Herausforderungen in den Bereichen Compliance, Datenschutz und Business Continuity, die im „Zeitalter des Homeoffice“, in dem Unternehmen den Großteil ihrer Mitarbeiter von zu Hause aus arbeiten lassen, immer alltäglicher geworden sind. Die Ziele von VRM variieren stark in Abhängigkeit von mehreren Faktoren, darunter Unternehmensgröße, Branche und die in der jeweiligen Gerichtsbarkeit geltenden Gesetze. Da immer mehr Unternehmen eine digitale Transformation einleiten, wird das Management von Lieferantenrisiken für Unternehmen in allen Branchen von größter Bedeutung.
Da die Minimierung von Geschäftsunterbrechungen ein Hauptziel des Vendor Risk Managements ist, setzen Unternehmen es ein, um kritische Aufgaben und Prozesse zu verwalten, die an Dritte oder Lieferanten ausgelagert wurden. Dies ist von entscheidender Bedeutung, da eine Unterbrechung im Geschäft des Lieferanten zu einer Unterbrechung in den Unternehmen führt, die die Dienste dieses Lieferanten nutzen. Trotz der damit verbundenen Risiken ist das Vendor Risk Management nach wie vor ein notwendiger Bestandteil moderner Unternehmen. Ein effektives VRM-Programm kann die Betriebskosten eines Unternehmens senken, indem bestimmte Aufgaben ausgelagert werden und das Fachwissen von Anbietern genutzt wird, über das das Unternehmen intern möglicherweise nicht verfügt.
Abgesehen vom Risikomanagement hilft ein ordnungsgemäßes VRM-Programm bei der Bewertung und dem Onboarding neuer Lieferanten und stellt sicher, dass diese für ihre Aufgaben gerüstet sind und die gesetzten Ziele erreichen. Es hilft auch dabei, die Lieferantenbeziehungen im weiteren Verlauf zu überwachen, neue Risiken bei deren Entstehen zu identifizieren und die Leistung der Lieferanten zu verbessern.
Ein VRM-Programm hilft zudem dabei, Folgendes zu erreichen:
- Identifizierung redundanter Lieferanten
- Gewährleistung der Compliance mit Branchenanforderungen und globalen Vorschriften
- Verfolgung von Sicherheitskontrollen und Bemühungen zur Risikominderung
- Datenfluss- und Zugriffsmanagement
- Offboarding von Lieferanten und Aktenführung zur Compliance
So führen Sie ein Vendor Risk Assessment durch
Ein Vendor Risk Assessment (Lieferantenrisikobewertung) ist ein Prozess, der Unternehmen dabei hilft, den Drittanbieter oder Lieferanten zu ermitteln, der ihre geschäftlichen Anforderungen am besten erfüllen kann. Er umfasst die Identifizierung potenzieller Risiken bei der Zusammenarbeit mit bestimmten Anbietern und die Entscheidung, ob diese Risiken angesichts der möglichen Vorteile der Geschäftsbeziehung tragbar sind. Ein Vendor Risk Assessment kann oft ein mühsamer und zeitaufwendiger Prozess sein, da die getroffenen Entscheidungen auf den Geschäftszielen, den aktuellen Bedürfnissen sowie den Richtlinien und Vorschriften eines Unternehmens basieren sollten.
Die Entscheidung, kein Vendor Risk Assessment durchzuführen, setzt das Unternehmen jedoch Compliance-Risiken und anderen regulatorischen Problemen aus, mit denen die Lieferanten, mit denen sie zusammenarbeiten, konfrontiert sind.
Im Folgenden sind die Schritte zur Durchführung eines effektiven Vendor Risk Assessments aufgeführt:
- Wissen, mit welchen Risiken Sie konfrontiert sind
Bevor Sie eine Lieferantenpartnerschaft eingehen, ist es von entscheidender Bedeutung, dass Sie sich der Arten von Risiken bewusst sind, denen Sie ausgesetzt sein könnten. Je nach Art des Geschäfts könnte Ihr Unternehmen Folgendem ausgesetzt sein:
- Finanzielles Risiko, z. B. wenn Lieferanten finanziell nicht stabil sind
- Compliance-Risiko, z. B. wenn Lieferanten Vorschriften nicht einhalten
- Operationelles Risiko, z. B. wenn die täglichen Richtlinien der Lieferanten nicht dem Standard entsprechen
- Strategierisiko, z. B. wenn Lieferanten Geschäftsgeheimnisse oder geistiges Eigentum stehlen
- Ressourcenrisiko, z. B. wenn Lieferanten nicht über die erforderlichen Ressourcen verfügen, um die Erwartungen zu erfüllen
- Geografisches Risiko, z. B. wenn Lieferanten an einem riskanten oder instabilen Standort tätig sind
- Technisches Risiko, z. B. wenn Lieferanten nicht über die erforderliche Infrastruktur verfügen
- Folgerisiko, z. B. wenn Lieferanten einen Dritten für ihre Prozesse einsetzen
- Ersatzrisiko, z. B. wenn Lieferanten aufgrund unvorhergesehener Umstände ersetzt werden müssen
- Reputationsrisiko, z. B. wenn die Zusammenarbeit mit bestimmten Lieferanten den Ruf des Unternehmens negativ beeinflusst
- Risikokriterien definieren
Je nach Art des Geschäfts sollte jedes Unternehmen seine eigenen Kriterien für Vendor Risk Assessments entwickeln. Beispielsweise sollten Unternehmen, die mit sensiblen Daten umgehen, dem Datenschutz und anderen Themen im Zusammenhang mit technischen, Ressourcen- und Strategierisiken Priorität einräumen. Andererseits sollten Unternehmen, die durch Serviceunterbrechungen große Verluste erleiden, operationelle und geografische Risiken priorisieren. Entwerfen Sie ein Evaluierungs- und Bewertungssystem, das für jedes Vendor Risk Assessment verwendet werden kann, um die Objektivität zu wahren. - Lassen Sie sich von Experten beraten
Kein einzelnes Mitglied einer Organisation kann ein Experte für alle Arten von Lieferantenrisiken sein. Daher ist es hilfreich, Erkenntnisse von Personen innerhalb des Unternehmens oder aus Ihrem beruflichen Netzwerk einzuholen, um Ratschläge zu spezifischen Themen zu erhalten, die die verschiedenen Risikoarten abdecken. Sie könnten auch ein Team für Vendor Risk Assessments zusammenstellen, wenn Sie über das Personal und die Ressourcen verfügen, und die Hilfe von Personen in Anspruch nehmen, die über fundierte Kenntnisse über Lieferantenrisiken verfügen oder diese Risiken im Alltag verwalten. - Bewerten Sie Lieferanten sowie die von ihnen angebotenen Produkte und Dienstleistungen
Jeder Lieferant, egal wie klein, sollte vor dem Aufbau einer Beziehung bewertet werden, um spätere Probleme zu vermeiden. Vendor Risk Assessments sollten idealerweise aus zwei separaten Bewertungen bestehen: einer Bewertung des Lieferanten selbst und einer Bewertung des angebotenen Produkts oder der Dienstleistung. Erstere hilft dabei, die Risiken zu bestimmen, denen das Unternehmen bei der Zusammenarbeit mit einem bestimmten Lieferanten ausgesetzt sein könnte; letztere konzentriert sich auf das Angebot des Lieferanten und darauf, ob es die vereinbarten Kriterien erfüllt. Dieser zweigleisige Ansatz bietet einen Gesamtüberblick über die potenziellen Risiken, die mit dem Aufbau und der Aufrechterhaltung einer Geschäftsbeziehung mit einem Lieferanten verbunden sind. - Kategorisieren Sie Lieferanten nach Risikostufe
Bei der Bewertung von Lieferanten sollten Sie in der Lage sein, das Gesamtrisiko der Zusammenarbeit zu bestimmen. Die Kategorisierung von Lieferanten nach Risikostufe beschleunigt den Auswahlprozess und hilft dabei, die Erstellung eines Vendor-Risk-Management-Plans einfacher und effizienter zu gestalten. Die Kategorisierung von Lieferanten bestimmt auch den Umfang der Due-Diligence-Prüfung, die Sie für jeden Lieferanten durchführen müssen, was den gesamten Governance-Prozess der Organisation rationalisiert. - Erstellen Sie einen Vendor-Risk-Management-Plan
Bei der Zusammenarbeit mit Lieferanten ist es von entscheidender Bedeutung, dass Sie einen Notfallplan für den Fall haben, dass die Dinge nicht wie geplant verlaufen. Hier kommt ein Vendor-Risk-Management-Plan ins Spiel. Er hilft Unternehmen dabei, Risiken zu verwalten und zu mindern, die durch die Zusammenarbeit mit bestimmten Lieferanten entstehen, sodass Sie im Katastrophenfall umgehend reagieren können. Ein effektiver Vendor-Risk-Management-Plan enthält Details wie spezifische Reaktionen auf bestimmte Szenarien und die Rolle der Mitarbeiter, die für den jeweiligen Geschäftsbereich und die jeweilige Risikoart verantwortlich sind. - Führen Sie regelmäßige Vendor Risk Assessments durch
Anfängliche Vendor Risk Assessments reichen nicht aus, wenn Sie Probleme langfristig vermeiden wollen. Lieferantenbeziehungen werden durch regelmäßige Bewertungen gepflegt, um sicherzustellen, dass die Erwartungen stets aufeinander abgestimmt sind und die Lieferanten das liefern, was sie liefern sollen. Die Überprüfung von Lieferantenverträgen ist von entscheidender Bedeutung, da Lieferanten Dienstleistungen und Produkte im Laufe der Zeit aktualisieren können. Es sollte sichergestellt werden, dass diese Aktualisierungen oder Änderungen weiterhin dem ursprünglichen Vertrag entsprechen und die geschäftlichen Anforderungen erfüllen. Sie können Vendor Risk Assessments monatlich oder jährlich durchführen; eine regelmäßige Überwachung stellt sicher, dass die Geschäftsbeziehungen für beide Parteien sicher und vorteilhaft bleiben.
Was ist ein Vendor-Risk-Management-Plan?
Ein Vendor-Risk-Management-Plan deckt eine gesamte Organisation ab und führt unter anderem die spezifischen Rollen, Leistungskennzahlen und Verhaltenskodizes auf und definiert diese, die zwischen Lieferant und Organisation vereinbart wurden. Um den langfristigen Erfolg des Plans zu gewährleisten, wird er strengen und häufigen Überprüfungen durch beide Parteien unterzogen. Es werden auch Tests durchgeführt, um zu sehen, wie sich der Plan in realen Situationen bewährt, und um Verbesserungspotenziale zu identifizieren. Der Verzicht auf ein VRM-Programm erhöht das Risiko eines Unternehmens für Einnahmeverluste, Compliance-Probleme und andere Verluste aufgrund von Fahrlässigkeit der Lieferanten. Ein Vendor-Risk-Management-Plan liefert spezifische Details und verwendet Schritt-für-Schritt-Prozess-Checklisten, um sicherzustellen, dass bei der Erfüllung der Pflichten eines Lieferanten keine Aufgabe und kein Schritt übersehen wird. Die gesamte Organisation ist an der Erstellung und Implementierung eines Vendor-Risk-Management-Plans beteiligt und bietet so bei Bedarf Transparenz für verschiedene Teams im gesamten Unternehmen, insbesondere für die Compliance-, HR-, Rechts- und Managementteams.
Gartner Magic Quadrant für IT Vendor Risk Management Tools
Die IT ist in der heutigen digital geprägten Landschaft zu einem wesentlichen Bestandteil jedes Unternehmens geworden. Daher sind IT-Vendor-Risk-Management-Tools zu allgegenwärtigen Komponenten zukunftsorientierter Unternehmen geworden, die ihr Geschäft zukunftssicher machen wollen. Diese Tools helfen bei der Verfolgung von IT-Lieferantenrisiken und erleichtern die Einhaltung gesetzlicher Vorschriften. Gartners Magic Quadrant geht noch einen Schritt weiter und bietet Einblicke in diesen dynamischen Markt.
Der Quadrant kategorisiert Unternehmen basierend auf der Ganzheitlichkeit ihrer Vision und ihrer Fähigkeit zur Umsetzung:
- Nischenakteure: geringe/durchschnittliche Ganzheitlichkeit der Vision, geringe/durchschnittliche Fähigkeit zur Umsetzung
- Herausforderer: geringe/durchschnittliche Ganzheitlichkeit der Vision, hohe Fähigkeit zur Umsetzung
- Visionäre: hohe Ganzheitlichkeit der Vision, geringe/durchschnittliche Fähigkeit zur Umsetzung
- Marktführer: hohe Ganzheitlichkeit der Vision, hohe Fähigkeit zur Umsetzung
So erhalten Sie eine Vendor-Risk-Management-Zertifizierung
Liste von Vendor-Risk-Management-Unternehmen
- OneTrust
Die OneTrust-Plattform implementiert zentrale agile Workflows in den Bereichen Datenschutz, Sicherheit, Data Governance, GRC, Drittanbieterrisiko, Ethik und Compliance sowie ESG-Programme (Umwelt, Soziales und Governance). - Archer
Archer ist die Risiko-, Sicherheits- und Governance-Abteilung von RSA Security, die über eine integrierte Plattform für Risikomanagement/GRC (Governance Risk Compliance) verfügt. - ZenGRC
ZenGRC ist eine cloudbasierte SaaS-Lösung, die als zentrale Plattform für das Informationssicherheits-Ökosystem eines Unternehmens fungiert und End-to-End-Risikomanagement, kontinuierliche Überwachung und Audit-Management-Funktionen ermöglicht. - SecurityScorecard
SecurityScorecard, ein weltweit führendes Unternehmen im Bereich Cybersicherheits-Rating, verfügt über eine patentierte Rating-Technologie, die von über 1.000 Unternehmen für das Risikomanagement von Drittanbietern, die Selbstüberwachung und das Cyber-Versicherungs-Underwriting eingesetzt wird. - HighBond
Highbond ist eine End-to-End-Plattform für Governance, Risikomanagement und Compliance, die die Zusammenarbeit in Unternehmen rationalisiert und Best Practices über eine preisgekrönte Benutzeroberfläche bereitstellt.