Um in der heutigen rasanten und volatilen Geschäftswelt agil und flexibel Erfolgskurs zu halten, werden mehr und mehr Drittparteien in den Wertschöpfungsprozess einbezogen. Während die Länge und Komplexität von Ausgliederungsketten kontinuierlich zunimmt, wird häufig unterschätzt, dass zwar Prozesse ausgelagert werden, wesentliche Risiken aber im Haus verbleiben. Datendiebstahl, Sicherheitsverletzungen, Leistungsausfall oder Imageschäden sind dabei keineswegs bloß theoretische Schreckensszenarien, sondern die realistische Bedrohungslage, die sich aus der Abhängigkeit von externen Partnern ergibt. Dies macht ein zentrales und umfassendes Third Party Risk Management (TPRM) zu einer essentiellen Säule des Risikomanagements. Einen permanenten Balanceakt erfordert dabei das Erreichen des angestrebten Effizienzgewinns im Verhältnis zu den damit verbundenen Risiken bzw. zur Compliance mit den hierauf abzielenden immer strenger werdenden regulatorischen Vorgaben wie z.B. MaGo, VAIT/BAIT, DORA, oder LkSG.
Die Finanzdienstleistungsbranche steht hier vor einer komplexen Aufgabe, da diese Risiken sowohl der aus der Dienstleistung als auch dem Dienstleister selbst entspringen können. Diese Vielzahl von Risiken müssen erfasst, bewertet, mitigiert und laufend überwacht werden.
Zu den komplexen Risikodomänen kommt das ständige Wechselspiel von Technologien und Vorschriften, welches die Risikolandschaft kontinuierlich beeinflusst. In diesem Umfeld müssen Finanzdienstleistungsunternehmen einen klaren sowie lückenlosen Prozess etablieren und sich der Risiken zielgerichtet and proaktiv annehmen. Die folgenden Elemente haben sich dabei als Grundgerüst eines erfolgreichen TPRM bewährt:
- Planung, Screening und Bewertung
Mögliche Drittparteien gemäß der relevanten Risikodomänen durchleuchten und die inhärenten Risiken der Leistungserbringung offenlegen sowie bewerten - Auswahl, Vertragsabschluss und Onboarding
Abhilfe- sowie Kontrollmaßnahmen analysieren bzw. ausarbeiten und dementsprechend spezifische Bedingungen verhandeln und vertraglich fixieren - Verwaltung, Dokumentation und Überwachung
Risiken in Verbindung mit Dritten zentral inventarisieren und kontinuierlich überwachen sowie durch regelmäßige Reports in einem transparenten Gesamtbild steuern - Vorfallmanagement, Beendigung und Offboarding
Vorfälle schnell registrieren, effizient reagieren und im Ernstfall die Zusammenarbeit auf Basis von Exit-Plänen ohne große Störung der Geschäftsprozesse beenden bzw. ersetzen
Third Party Risk Management ist somit eine unverzichtbare Verteidigungslinie in einem Geschäftsumfeld, in dem externe Kooperationen zum Alltag gehören. Finanzdienstleistungsunternehmen müssen sich dabei aus regulatorischer Anforderung aber auch aus intrinsischer Motivation der Tatsache stellen: Nur mit einer proaktiven Haltung, gezielter Bewertung und einem klaren Fokus auf das Risikomanagement können diese Herausforderungen gemeistert und eine sichere geschäftliche Zukunft gestaltet werden.
Sehr gerne unterstützen wir Sie bei der effizienten und sicheren Gestaltung Ihres TPRM oder tauschen uns auch gerne allgemein mit Ihnen zum Thema Risikomanagement aus, wenn Sie Fragen haben. Kontaktieren Sie uns gerne:
Kontakt zum Autor
Dr. Carsten Woltmann
E-Mail: Carsten.Woltmann@horn-company.de
Kontakt zum Autor
Dr. Moritz Pleintinger
E-Mail: Moritz.Pleintinger@horn-company.de