Das Management von Risiken, die durch Drittanbieter entstehen, nimmt in der heutigen Geschäftswelt eine immer zentralere Rolle ein. Eine aktuelle Studie von Ernst & Young (EY), die 500 Führungskräfte großer Unternehmen befragte, hat ergeben, dass operative Risiken die oberste Sorge im Bereich des Third-Party Risk Managements (TPRM) darstellen. Diese Erkenntnis unterstreicht eine grundlegende Verschiebung in der Wahrnehmung und Priorisierung von Risiken, die sich durch die komplexen Lieferketten und Geschäftsbeziehungen manifestiert. In den vergangenen Jahren sind die Herausforderungen im Vendor Risk Management stark gewachsen – nicht zuletzt durch immer komplexere Wertschöpfungsketten, erhöhte Digitalisierung sowie aufkommende Bedrohungen im Cyberraum und regulatorische Anforderungen. Die Studie zeigt, dass neben operativen Risiken auch finanzielle, Cybersecurity-, Datenschutz- und regulatorische Risiken als zentral wahrgenommen werden.
Gemeinsam spiegeln diese Bereiche die Breite und Tiefe der Herausforderungen wider, denen Unternehmen in einer zunehmend vernetzten und globalisierten Geschäftswelt gegenüberstehen. Die operative Risikobewertung umfasst dabei nicht nur unmittelbar nachvollziehbare Gefahren wie Lieferausfälle, sondern auch indirekte Risiken, die durch nicht einwandfrei funktionierende Prozesse und mangelnde Kontrolle in den Subunternehmen entstehen können. Infolge zahlreicher hochkarätiger Cyberangriffe, bei denen die Schwachstellen in der Lieferkette eine entscheidende Rolle spielten – beispielhaft seien hier die Vorfälle rund um SolarWinds oder Kaseya genannt – haben Unternehmen verstärkt ein Bewusstsein für die Risiken entwickelt, die Drittfirmen in ihre eigene Sicherheitslage einbringen können. Cyberangriffe, die sich über Drittanbieter verbreiten, haben gezeigt, wie schnell weitreichende Schäden entstehen können, die nicht nur finanzielle Verluste, sondern auch Reputationsschäden und regulatorische Konsequenzen mit sich bringen. Diese Entwicklung führt dazu, dass Firmen ihre Definition eines kritischen Drittanbieters neu überdenken.
Während der finanzielle Impact nach wie vor eine zentrale Rolle bei der Bewertung spielt, gewinnt die kritische Bedeutung der Geschäftsprozesse, die von Partnern abhängen, zunehmend an Gewicht. Dieser Wandel spiegelt sich auch in Initiativen auf nationaler Ebene wider, wie etwa bei der Cybersecurity and Infrastructure Security Agency (CISA) in den USA, die den Fokus auf die Absicherung von maßgeblichen Infrastrukturen und Geschäftsfunktionen legt. Das verstärkte Outsourcing verschiedener Unternehmensbereiche an spezialisierte Dienstleister hat die Abhängigkeiten erheblich ausgeweitet. Bereiche von der Personalverwaltung über die Analyse und Verarbeitung von Geschäftsdaten bis hin zur Lieferkettenlogistik werden zunehmend an Drittanbieter vergeben. Dies führt dazu, dass die Angriffsflächen für Risiken wachsen und Unternehmen noch sorgfältiger darüber nachdenken müssen, wie sie ihre externe Partnerlandschaft steuern und absichern.
Die steigende Komplexität und die größere Anzahl der involvierten Akteure machen manuelle Kontrollen oftmals unzureichend und zeitintensiv. Hier setzen moderne Technologien an: Künstliche Intelligenz und Automatisierung werden zunehmend als Lösungen angesehen, die das Vendor Risk Management effizienter gestalten können. Durch den Einsatz algorithmischer Analysen lassen sich etwa Lieferantenlisten automatisch erstellen, Dokumente für die Due Diligence überprüfen oder Vertragsklauseln auf potenzielle Risiken hin analysieren. Ebenso kann auf Basis von historischen Vorfällen eine Risikobewertung simuliert und fortlaufend aktualisiert werden. Auch wenn die Technologie hier vielversprechend ist, erfordert die Einbindung neuer Tools eine enge Abstimmung zwischen Recht, Compliance, IT und den operativen Fachabteilungen.
Ein ganzheitlicher Ansatz, der die vielfältigen Facetten des Risikomanagements integriert, ist notwendig, damit die Maßnahmen sowohl den regulatorischen Anforderungen genügen als auch den praktischen Herausforderungen im Tagesgeschäft standhalten. Unternehmen, die ihre Drittanbieter umfassend analysieren, können proaktiv Schwachstellen erkennen und Gegenmaßnahmen ergreifen, bevor ein Schaden eintritt. Dabei geht es nicht nur um die Vermeidung von Cyberbedrohungen oder finanziellen Einbußen, sondern auch um die Sicherstellung unternehmenswichtiger Prozesse und die Aufrechterhaltung von Vertrauensbeziehungen gegenüber Kunden und Partnern. Ein weiterer Aspekt ist die Transparenz und Dokumentation der Zusammenarbeit mit Drittanbietern. Die zunehmende Regulatorik schreibt Unternehmen vor, detaillierte Nachweise über Risikobewertungen und Kontrollmechanismen zu führen.
Das bedeutet, dass Unternehmen nicht nur im Ernstfall gut vorbereitet sein müssen, sondern auch jederzeit nachweisen können, welche Maßnahmen zur Risikominimierung ergriffen wurden. Zusammenfassend lässt sich sagen, dass operative Risiken im Vendor Risk Management heute ganz oben auf der Agenda stehen. Dies ist das Resultat der gestiegenen Komplexität, der höher werdenden Erwartungen an Sicherheit und Compliance sowie der Konsequenzen, die aus Fehlern in der Lieferantensteuerung resultieren können. Unternehmen, die diese Risiken umfassend betrachten, indem sie sowohl finanzielle, cyberbezogene, datenschutzrechtliche als auch regulatorische Faktoren einbeziehen, positionieren sich besser für nachhaltigen Erfolg in einem dynamischen Marktumfeld. Abschließend gilt es zu betonen, dass der strategische Umgang mit Drittanbietern nicht nur reaktiv in Krisensituationen funktionieren darf, sondern integraler Bestandteil moderner Unternehmensführung sein muss.
Der Einsatz neuer Technologien und die Ausrichtung auf kritische Geschäftsprozesse bieten Chancen, Risiken frühzeitig zu erkennen und effektiv zu managen. Die zunehmende Bedeutung des Vendor Risk Managements zeigt, dass Unternehmen, die diese Herausforderung meistern, sich langfristig Wettbewerbsvorteile sichern und ihre Geschäftsmodelle resilient gegenüber äußeren Einflüssen aufstellen können.
