Wenn Vertrauen nicht mehr reicht….

Es ist ein Paradoxon. Viele C-Levels und Linienverantwortliche sind tagtäglich mit dem Managen von Risiken beschäftigt, sie denken auch, sie hätten Selbiges gut im Griff. Warum also just jetzt der Run auf “Third Party Risk Management (TPRM)?

Zugegeben, in einigen Fällen, die mir begegnet sind, war das rege Interesse an diesem Thema auch von dem begleitet, was ich systemisch induzierte Ahnungslosigkeit nennen würde (Der Zustand der entsteht, wenn man zwar immer etwas im Themenbereich tun musste, aber nie wirklich Zeit und Zwang hatte, sich wirklich damit zu befassen).

Es gibt aber seit kurzem handfestere Gründe dafür:

• Seitens der Compliance haben nicht nur die USA und die EU kräftig nachgerüstet

  • Digital Operations Resilience Act (DORA)

  • EU Supply Chain Act

• Im Datenschutz und Digitalisierungsbereich sind sie sogar ziemlich konkret geworden, siehe

• EU GDPR

• European Union Guidelines on the use of Cloud Computing Services

Der grosse Hammer kommt aber aus einer ganz anderen Ecke. Da vor allem börsenkotierte Unternehmen sich immer mehr mit dem Thema rumschlagen müssen, delegieren sehr viele Compliance-Units den Nachweis der risikobewussten Governance elegant mit vielen Questionnaires, Audits und Nachfragen an die zumeist mittelständischen Dienstleister und Zulieferanten.

Zusammengefasst: Weil das Thema wegen all der vielen Lieferanten, Provider und Anforderungen so komplex wird, kann man nicht mehr nur auf Vertrauen setzen, man ist gezwungen durch Kontrolle, die eigene Vertrauenswürdigkeit sicherzustellen. Sonst ist man weg vom Fenster!

Wie aber geht man konkret mit dem Thema um, denn derzeit herrscht nicht unberechtigt die Befürchtung, dass man sich selbst als Mittelstandsunternehmen mehr und mehr in einen “Selbstadministratonsstrudel” hineinbegibt.

Fassen wir zusammen. Die Aktivitäten des Third Party Risk Managements konzentrieren sich ich auf die Identifizierung und das Reduzieren von Risiken im Zusammenhang mit der Nutzung von Leistungen und Ressourcen Dritter (manchmal auch als Anbieter, Lieferanten, Partner, Auftragnehmer oder Dienstleister bezeichnet).

Wer also schon heute eine stringente und operationalisierte “Resource and Supplier-Policy” hat und welche Lieferanten und Ressourcen das gilt, hat schon vor Jahren hier seine Hausaufgaben gemacht.

Dumm ists, wenn es nicht so ist. Das bedeutet heute, dass man sich vor dem Start eines gezielten TPRM-Projektes Gedanken machen muss, welche Ressource und damit auch welcher Ressourcenlieferant, wie viel Kontrollgrad braucht, bevor man sich das Regel- und Kontrollwerk zum Third Party Risk Manangement zurechtlegt und operationalisiert (andernfalls kontrolliert man sich garantiert zu Tode):

Diese Matrix an sich zeigt auch schon auf, dass der Kontrollgrad je nach Ressource und LIeferant unterschiedlich ausfällt (je gefährlicher ein Ressourcenausfall für das Erreichen unternehmerischer Ziele oder externer Vorgaben ist, desto mehr Fokus und ggf. auch Tiefe in der Kontrolle).

Damit ist aber das Thema noch nicht gegessen. Vieles an Supplier Risiken wird oft regelrecht erzeugt, weil man denkt, dass der Lieferant der Auslöser all dieser betrieblich schmerzhaften Ausfallssrisiken ist. Man als Unternehmen selbst, aber alles perfekt im Griff hätte: Dem ist aber nicht so.

Wenn man nicht darauf achtet, wie man beschafft, wie man auswählt, wie man seine Verträge und auch seine eigenen Leistungsketten an externe Supply- und Servicechains anschliesst und kontrolliert, hat man zumeist viel viel mehr an Risiken zu managen, als wenn man sich zuvor um die Gestaltung einer robusten Supply- und Servicechain kümmert (siehe unten).

In kurzen Worten, wer sich am Beginn um seinen Ressourcen- und Servicebezug (vor allem in Zeiten der Cloud) um klare Abläufe, Regeln und Automatismen kümmert, hats hinten nach leichter.

Am einfachsten ist übrigens, wenn zu Beginn eines TPRM Projektes eine Standortbestimmungalle Schwachpunkte und Wechselwirkungen entlang der bestehendenSupply- und Servicechains geprüft werden. Meistens merkt man danach sehr schnell, wo es Lücken gibt und man kann damit auch viel gezielter beim Aufbau des TPRM-Backbones vorgehen.

Ein guter Startpunkt für eine solche Standortbestimmung wäre hier ( Beispiel eines Supplychain Resilience Assessments).

Nächster Blog: Die “digital Skills Gap” oder warum derzeit eine Umstellung auf “Digital” für Unternehmen Stückwerk und ewige Baustelle sein wird - respektive - wie man aus diesem Dilemma wieder herausfindet!