Third-Party Risk Management

Mit zunehmender Komplexität des globalen Marktes und einem steigenden Wettbewerbsdruck werden die Beziehungen zu Drittparteien, sogenannten Third Parties, immer wichtiger. Unternehmensziele sind in diesem Zusammenhang unter anderem die Senkung der Kosten, die Steigerung der Kundenzufriedenheit, eine beschleunigte Markteinführung sowie die Verbesserung der Rentabilität. Ohne zuverlässige und integre Third Parties, wie Lieferanten, Dienstleister, Berater, Verkäufer, Lohnfertiger, Makler, Distributoren, Wiederverkäufer oder Agenten, können Unternehmen schnell den Anschluss an den Wettbewerb verlieren. 

In einer globalen und immer stärker vernetzten Welt ist es notwendig, Third Parties auch in das Netzwerk der eigenen Organisation zu integrieren. Das kann mitunter unerwünschte Risiken mit sich bringen.

Doch diese kann man managen: Rechtliche und regulatorische Anforderungen sowie Risiken in den Bereichen Compliance-, Informations- bzw. Cyber-Sicherheit- und Business-Continuity, sowie strategische, finanzielle und Reputationsrisiken können mit einem gut aufgestellten Third-Party-Risk-Management-Programm erkannt, bewertet und gemanagt werden.

• Eine Third-Party-Beziehung ist jede geschäftliche Vereinbarung zwischen einer Organisation und einer anderen natürlichen oder juristischen Person  - sei es durch einen Vertrag oder auf andere Weise. Wesentliche Risiken eines Unterauftragnehmers der Third Party, einer sogenannten Fourth Party, sind hiervon ebenfalls betroffen.
• TPRM schließt die Einhaltung und Verwaltung von Programmanforderungen an das Risikomanagement für Third Parties während des gesamten Lebenszyklus der Beziehung ein  - beginnend mit der Anbahnung bis hin zur Beendigung der Beziehung, einschließlich der Berichterstattung an das Management.
• Grundlage für ein effizientes TPRM sind risikobasierte Programmanforderungen, sodass Zeit und Aufwand auf die Verwaltung von Third Parties konzentriert werden, die die größten Risiken für die eigene Organisation darstellen.
• Klare Rollen und Zuständigkeiten in einem Three-Lines-of-Defense-Modell sind notwendig, um schnell auf sich ändernde Anforderungen reagieren sowie auf sich abzeichnende Risiken hinweisen zu können.

Viele Unternehmen haben die Notwendigkeit eines Third-Party Risk Managements erkannt. Untersuchungen zeigen jedoch, dass dem Bedarf nach reibungslosen, schnellen und effizienten Prozessen häufig eine isolierte Betrachtung von Risiken sowie eine meist langsame und als lästig empfundene Verarbeitung von Informationsanfragen im Zusammenhang mit Third Parties entgegenstehen. Die aktuelle Herangehensweise an dieses Thema beinhaltet oftmals eine Vielzahl von manuellen und sequenziellen Prozessen zur Erlangung und Verarbeitung entsprechender Daten über die Third Parties.

Eine mangelnde Kenntnis und Kontrolle der Third Parties kann zu Schäden führen. Vor allem globale Unternehmen sind hohen Risiken und immer neuen regulatorischen Vorschriften unterworfen, die ihre Leistungsfähigkeit einschränken und ihre Reputation gefährden können.