Die Pandemie als Weckruf für Third-Party Risk Management

Key Findings

1. Die Krisenreaktionsphase war für viele Unternehmen, konkret 50% der Befragten, zum Zeitpunkt der Umfrage noch nicht abgeschlossen. Sie waren noch dabei zu bewerten, wo genau Schwachstellen aufgrund externer Dritter zu finden sind. Gut 25% jedoch sahen sich als vollständig von der Krise erholt und gut auf neue Störeffekte vorbereitet.
2. Investitionen in integriertes, technologiegestütztes Third-Party Risk Management haben eine hohe Priorität, um in Echtzeit relevante Indikatoren der Drittparteien zu überwachen und dementsprechend reagieren zu können.
3. Cyber-Risiken und Risiken aus der Digitalisierung bzw. digitalen Transformation nehmen einen höheren Stellenwert ein als andere, nicht zuletzt durch die digitale Zusammenarbeit von Unternehmen mit Kunden, Lieferanten, etc. Ungewollte Konsequenzen aufgrund digitaler Transformationen sollen so gut wie möglich vermieden werden.
4. Die Ziele Kostensenkung und besseres Risikomanagement sind nicht immer vereinbar – das Outsourcing wichtiger Prozesse wird oft als günstiger empfunden als das Insourcing. Trotz meist kurzfristig höherer Kosten sollte jedoch kritisch beurteilt werden, welche Skills bzw. welches Know-how wichtig für das Unternehmen sind und wieder eingegliedert werden sollten.

Vergleich zum Vorjahr

Anfang 2020 erschien die letzte Version des TPRM Surveys (TPRM Survey 2020), in der eine Ausweitung des Fokusbereichs (Betrachtung aller Drittparteien), die Balance zwischen Kosten, Verantwortung und Nutzen sowie die Transformationen zu einem integrierten Third-Party Risk Management von den Teilnehmern hervorgehoben wurden.

Folgende Punkte lassen sich daraus ableiten:

• Die Ausweitung des Fokusbereichs im Vorjahr führte zu einer länger andauernden Krisenreaktionsphase. Neue Risiken und Chancen wurden identifiziert und bewertet – daraus resultierte ein besserer Überblick, aber auch ein höherer Bedarf an Analysen.
• Die Balance zwischen Kosten und Nutzen ist immer noch ein wichtiger Faktor. Auch wurde im letzten Jahr der Grad externer Unterstützung erhöht – nun ist es eine Herausforderung, das Outsourcing wieder zu reduzieren.
• Die digitale Transformation und daraus entstehende digitale Risiken sowie ein integriertes Third-Party Risk Management ist heuer ebenso relevant wie im Vorjahr. Da eine solche Veränderung eine gut vorbereitete Planung sowie eine systematische Durchführung benötigt, wird dieser Fokuspunkt wohl noch länger eine hohe Priorität behalten. Auch die DSGVO bzw. Datenschutz und Informationssicherheit allgemein fallen unter diesen Punkt – es ist unternehmenskritisch, welche Daten an Drittparteien weitergegeben werden und wie mit diesen dort umgegangen wird.

Relevanz für österreichische Unternehmen

Die meisten österreichischen Branchen wurden von der Pandemie hart getroffen – in vielen Fällen war es eine sinkende Auftragslage, in anderen jedoch der Verlust von Zulieferern bzw. eine Unterbrechung von Lieferketten (siehe Artikel Supply Chain Risk Management).
Die Antworten und Einschätzungen der Umfrageteilnehmer (44% der Unternehmen machen über 5 Mrd. Dollar Jahresumsatz) lassen sich auch auf den österreichischen Markt herunterbrechen – auch hierzulande wird (nicht zuletzt durch den starken Handel- und Industriesektor) ein integriertes Third-Party Risk Management mit Fokus auf digitale Risiken und Chancen immer wichtiger.

Erste Schritte zum Third-Party Risk Management

1. Analyse der Drittparteien: auch ohne ein TPRM ist dieser Schritt notwendig – als Unternehmen sollte man sich darüber im Klaren sein, inwieweit man von außen, also von Kunden, Lieferanten, Dienstleistern etc. abhängig ist bzw. beeinflusst wird. Daraus ergeben sich auch die ersten Risiken und ggf. Maßnahmen, die man nutzen kann, um Risiken zu vermindern oder abzuwälzen. Im ersten Schritt sollte eine umfassende Bestandsaufnahme erfolgen, irrelevante oder risikolose Drittparteien können später immer noch ausgeklammert werden. In folgende Richtung können Fragen in der Analysephase führen:
   1. Was bedeutet ein Ausfall der größten Kunden / Lieferanten?
   2. Wo gibt es Versorgungsengpässe?
   3. Wie stark ist die Abhängigkeit von externen Dienstleistern?
   4. Inwieweit verlässt sich eine Drittpartei auf IT-Systeme?
      
      
2. Workshops bzw. Fragebögen: will man nun genauer wissen, wie die jeweiligen erfassten Risiken und Chancen zu bewerten sind, führt man Gespräche, Interviews und Workshops mit den Vertragspartnern durch und wirft ebenfalls einen Blick auf die Bilanz und / oder GuV. Daraus lässt sich ein gutes Gefühl gewinnen, wie in der Drittpartei mit Risiken umgegangen wird und wie der Gesamtzustand des Unternehmens ist.
3. Software-gestütztes Monitoring: für die Analysephase und einen guten Überblick kann durchaus eine „Standardlösung“ wie Microsoft Excel genutzt werden. Möchte man jedoch ein in Echtzeit abrufbares und voll in das eigene System integrierte Third-Party Risk Management, wird eine Software benötigt, mit der man die Maßnahmen, Kontrollen und Risikobewertungen der Drittpartei auslesen und überwachen kann. So kann man in einem komplexen Unternehmensumfeld frühzeitig (siehe auch Krisenfrüherkennung) auf negative Entwicklungen reagieren und Chancen nutzen.
   

Fazit

Ein gutes Third-Party Risk Management hilft immens dabei, Krisen rechtzeitig zu erkennen und vor allem, gut vorbereitet zu sein. Denn manche Krisen (wie auch z.B. die Pandemie) lassen sich nicht vorhersagen. Es verbessert die Vertrauensbasis mit Drittparteien und schafft die Möglichkeit, negative Entwicklungen gemeinsam anzugehen. Außerdem erhöht sich die Sicherheit für die Eigentümer bzw. Anteilseigner, da mit Third-Parties immer große Unsicherheiten einhergehen und diese mithilfe eines systematischen Approachs minimiert werden können.

Kontaktieren Sie uns gerne, wenn Sie an einer unverbindlichen Erstberatung in diesem Bereich interessiert sind – durch unsere Erfahrung und unser breites Netzwerk an Deloitte Professionals ist für Sie jedenfalls die richtige Lösung bereit!