Erfahren Sie, wie Sie potenzielle Verluste oder Auswirkungen, die sich aus Ausfällen oder Unterbrechungen von Geschäftsprozessen, Systemen, Mitarbeitern oder externen Ereignissen bei Drittanbietern und Partnern ergeben können, identifizieren, bewerten und mindern können.

1. Assess: Define critical vendors, conduct risk assessments (questionnaires,audits) to identify potential issues (data breaches, outages, financial instability) 2.Mitigate:Negotiate clear contracts and SLAs with risk mitigation clauses (penalties, termination rights). Diversify vendors to avoid single points of failure 3.Monitor:Regularly review vendor performance,security posture, and industry news.Conduct periodic reassessments to adapt to changing risks 4.Improve:Implement incident response plans for vendor-related disruptions.Share best practices and encourage continuous improvement from vendors This approach,combining assessment, mitigation,monitoring,and improvement,helps manage operational risks with third-party vendors and partners

The fifth step entails implementing corrective actions and improvements based on the results of the monitoring and review process. This involves addressing any identified gaps, weaknesses, or issues affecting the performance or risk of the relationship. Additionally, it includes enhancing or optimising processes, systems, or controls to improve outcomes or reduce risks. Prioritising, assigning, tracking, and verifying corrective actions and improvements according to urgency, impact, and feasibility is crucial. Communication and coordination with both external vendors and internal stakeholders are essential throughout this process to ensure alignment and effectiveness in addressing concerns and driving positive outcomes.

Wie bewerten und managen Sie die operationellen Risikoereignisse im Zusammenhang mit Drittanbietern und Partnern?

Bereitgestellt von KI und der LinkedIn Community

Operationelles Risikomanagement (ORM) ist der Prozess der Identifizierung, Bewertung und Minderung potenzieller Verluste oder Auswirkungen, die sich aus Ausfällen oder Unterbrechungen von Geschäftsprozessen, Systemen, Personen oder externen Ereignissen ergeben können. Eine der Hauptquellen für operationelle Risiken ist die Abhängigkeit von Drittanbietern und Partnern, die das Unternehmen verschiedenen Arten von Risiken aussetzen können, wie z. B. Cyberangriffen, Datenschutzverletzungen, Betrug, Nichteinhaltung gesetzlicher Vorschriften, Reputationsschäden oder Serviceunterbrechungen. Daher ist es wichtig, einen robusten Rahmen für die Bewertung und das Management der operationellen Risikoereignisse im Zusammenhang mit Beziehungen zu Dritten zu haben. In diesem Artikel werden wir einige der Best Practices und Tools dafür diskutieren.

Top-Expert:innen in diesem Artikel

Von der Community unter 17 Beiträgen ausgewählt. Mehr erfahren

1 Definieren Sie den Umfang und die Ziele

Der erste Schritt bei der Bewertung und dem Management der operationellen Risikoereignisse im Zusammenhang mit Drittanbietern und Partnern besteht darin, den Umfang und die Ziele des ORM-Programms zu definieren. Dazu gehört die Identifizierung der wichtigsten Stakeholder, Rollen und Verantwortlichkeiten sowie der Kriterien und Methoden für die Auswahl, Überwachung und Bewertung der Leistung und des Risikos Dritter. Der Umfang und die Ziele sollten mit der Gesamtstrategie, der Risikobereitschaft und der Governance-Struktur des Unternehmens übereinstimmen und dokumentiert und allen relevanten Parteien klar kommuniziert werden.

Fügen Sie Ihre Sichtweise hinzu

Ray Ramsay

Risk Management Professional | CPRM | Behavioural Risk and Risk Culture Specialist | Behavioural Psychologist | Veteran - Ex Reservist | Best Selling Author
Beitrag melden
Defining the scope and objectives of the Operational Risk Management (ORM) program is foundational in assessing and managing risks linked to third-party vendors and partners. This involves identifying key stakeholders, roles, and responsibilities, along with criteria and methods for selecting, monitoring, and evaluating third-party performance and risk. The established scope and objectives must align seamlessly with the organization's overall strategy, risk appetite, and governance structure. Documentation and clear communication to all relevant parties are imperative, ensuring a shared understanding of the goals and parameters of the ORM program in relation to third-party engagements.

Übersetzt

Gefällt mir
Oshos Erua

Risk Management| Business Resilience | Information Security | Internal Audit
Beitrag melden
I've also found that classifying your vendors or third party partners is an important process. Classification could be based on the criticality of the services/ products provided to the business, the financial exposure, etc.

Übersetzt

Gefällt mir
Jay Rathi

AVP at HSBC | CA | FRM | Certified ISO:31000 Risk Manager
Beitrag melden
When assessing and managing operational risk events linked to third-party vendors and partners, it's vital to clearly define the scope and objectives of the engagement. For instance, if outsourcing IT services, the scope may include data security and system uptime objectives, ensuring alignment with organizational goals.

Übersetzt

Gefällt mir

2 Durchführung von Due-Diligence-Prüfungen und Risikobewertungen

Der nächste Schritt besteht darin, eine Due-Diligence-Prüfung und Risikobewertung der potenziellen oder bestehenden Drittanbieter und Partner durchzuführen. Dies beinhaltet das Sammeln und Verifizieren von Informationen über ihren Hintergrund, ihren Ruf, ihre finanzielle Stabilität, ihre Fähigkeiten, ihre Sicherheit, ihre Compliance und ihre Notfallpläne. Bei der Risikobewertung sollten Art, Umfang und Komplexität der vom Dritten erbrachten Dienstleistungen oder Produkte sowie die potenziellen Auswirkungen und die Wahrscheinlichkeit operationeller Risikoereignisse berücksichtigt werden. Bei der Risikobewertung sollten auch die gegenseitigen Abhängigkeiten und Wechselwirkungen zwischen verschiedenen Dritten sowie das externe Umfeld und neu auftretende Bedrohungen berücksichtigt werden.

Fügen Sie Ihre Sichtweise hinzu

David Withnell

Chief Risk Officer and expert in Risk, Regulatory Compliance, Data Protection and AI Governance
Beitrag melden
This should be done through the lens of your own risk appetite. What levels of risk are you willing to accept? It will tailor the results.

Übersetzt

Gefällt mir
Jay Rathi

AVP at HSBC | CA | FRM | Certified ISO:31000 Risk Manager
Beitrag melden
Prior to engaging with a third-party, thorough due diligence and risk assessment are crucial. This involves evaluating the vendor's financial stability, regulatory compliance, and potential impact on your organization. For instance, before partnering with a software provider, assess their cybersecurity measures to mitigate data breach risks.

Übersetzt

Gefällt mir
Ray Ramsay

Risk Management Professional | CPRM | Behavioural Risk and Risk Culture Specialist | Behavioural Psychologist | Veteran - Ex Reservist | Best Selling Author
Beitrag melden
After the definition of scope and objectives, the next step in managing operational risk events related to third-party vendors is conducting due diligence and risk assessment. This entails gathering and verifying information about their background, reputation, financial stability, capabilities, security measures, compliance adherence, and contingency plans. The risk assessment considers the nature, scope, and complexity of the services or products offered by the third-party, evaluating the potential impact and likelihood of operational risk events. Additionally, it accounts for interdependencies and interactions among different third-parties and factors in the external environment and emerging threats to ensure a comprehensive evaluation.

Übersetzt

Gefällt mir

3 Abschließen von Verträgen und Service Level Agreements

Der dritte Schritt ist die Erstellung von Verträgen und Service Level Agreements (SLAs) mit den ausgewählten Drittanbietern und Partnern. Die Verträge und SLAs sollten die Erwartungen, Verpflichtungen und Leistungen beider Parteien sowie die Metriken und Indikatoren für die Messung und Berichterstattung von Leistung und Risiko definieren. In den Verträgen und SLAs sollten auch die Rechte und Rechtsbehelfe beider Parteien im Falle von Streitigkeiten, Verstößen oder Ausfällen sowie die Kündigungs- und Ausstiegsklauseln festgelegt werden. Die Verträge und SLAs sollten regelmäßig überprüft und aktualisiert werden, um Änderungen des Umfangs, der Ziele oder des Risikoprofils der Drittbeziehung widerzuspiegeln.

Fügen Sie Ihre Sichtweise hinzu

Ray Ramsay

Risk Management Professional | CPRM | Behavioural Risk and Risk Culture Specialist | Behavioural Psychologist | Veteran - Ex Reservist | Best Selling Author
Beitrag melden
The third step in managing third-party vendors and partners is establishing contracts and service level agreements (SLAs). These documents should clearly define expectations, obligations, and deliverables for both parties, along with metrics and indicators for measuring and reporting performance and risk. Additionally, contracts and SLAs should outline rights and remedies in case of disputes, breaches, or failures, as well as termination and exit clauses. Regular reviews and updates of these agreements are crucial to ensure they reflect changes in the scope, objectives, or risk profile of the third-party relationship. This helps maintain a clear understanding and alignment between both parties throughout the collaboration.

Übersetzt

Gefällt mir
Jay Rathi

AVP at HSBC | CA | FRM | Certified ISO:31000 Risk Manager
Beitrag melden
Once due diligence is complete, it's essential to establish comprehensive contracts and service level agreements (SLAs). Clearly outline expectations, responsibilities, and performance metrics. For example, a manufacturing company may include specific quality standards and delivery timelines in contracts with suppliers to mitigate production delays.

Übersetzt

Gefällt mir

4 Überwachen und Überprüfen von Leistung und Risiko

Der vierte Schritt besteht darin, die Leistung und das Risiko der Drittanbieter und Partner kontinuierlich zu überwachen und zu überprüfen. Dies beinhaltet das Sammeln und Analysieren von Daten und Feedback aus verschiedenen Quellen, wie z. B. Berichten, Audits, Umfragen, Vorfällen, Beschwerden oder Benchmarks. Der Überwachungs- und Überprüfungsprozess sollte die Qualität, Aktualität, Effizienz und Effektivität der vom Dritten gelieferten Dienstleistungen oder Produkte sowie die Einhaltung der Verträge und SLAs bewerten. Im Rahmen des Überwachungs- und Überprüfungsprozesses sollten auch alle operationellen Risikoereignisse oder -probleme, die auftreten oder eskalieren können, identifiziert und bewertet und den entsprechenden Interessengruppen gemeldet werden.

Fügen Sie Ihre Sichtweise hinzu

Lindsey Scheidt Thaesler

Lean Six Sigma Black Belt
Beitrag melden
Something that I find important is to regularly evaluate and update the risk management practices based on feedback, emerging trends, and changing business needs. Push your teams to stay ahead of new technology, regulations changes and industry best practices. Don’t let your policies get stale.

Übersetzt

Gefällt mir
Ray Ramsay

Risk Management Professional | CPRM | Behavioural Risk and Risk Culture Specialist | Behavioural Psychologist | Veteran - Ex Reservist | Best Selling Author
Beitrag melden
The fourth step in managing third-party vendors and partners involves continuous monitoring and review of their performance and risk. This entails collecting and analysing data and feedback from diverse sources such as audits, surveys, incidents, complaints, or benchmarks. The process assesses the quality, timeliness, efficiency, and effectiveness of the services or products provided by the third-party, alongside compliance with contracts and SLAs. Additionally, it identifies and evaluates any operational risk events or issues, promptly reporting them to relevant stakeholders for appropriate action. This ongoing monitoring ensures transparency, accountability, and proactive risk management throughout the vendor or partner relationship.

Übersetzt

Gefällt mir
Jay Rathi

AVP at HSBC | CA | FRM | Certified ISO:31000 Risk Manager
Beitrag melden
Continuous monitoring of vendor performance and risk factors is key. Utilize key performance indicators (KPIs) and regular reviews to ensure adherence to SLAs. For instance, a retail business may monitor inventory levels and delivery times to detect any deviations from agreed-upon standards.

Übersetzt

Gefällt mir

5 Implementieren von Korrekturmaßnahmen und Verbesserungen

Der fünfte Schritt besteht darin, Korrekturmaßnahmen und Verbesserungen auf der Grundlage der Ergebnisse des Überwachungs- und Überprüfungsprozesses umzusetzen. Dies beinhaltet die Behebung von Lücken, Schwächen oder Problemen, die sich auf die Leistung oder das Risiko der Drittbeziehung auswirken können, sowie die Verbesserung oder Optimierung der Prozesse, Systeme oder Kontrollen, die die Ergebnisse verbessern oder die Risiken verringern können. Die Korrekturmaßnahmen und Verbesserungen sollten entsprechend ihrer Dringlichkeit, Auswirkung und Durchführbarkeit priorisiert, zugewiesen, nachverfolgt und überprüft werden. Die Korrekturmaßnahmen und Verbesserungen sollten auch mit den Drittanbietern und Partnern sowie den internen Stakeholdern kommuniziert und koordiniert werden.

Fügen Sie Ihre Sichtweise hinzu

Ray Ramsay

Risk Management Professional | CPRM | Behavioural Risk and Risk Culture Specialist | Behavioural Psychologist | Veteran - Ex Reservist | Best Selling Author
Beitrag melden
The fifth step entails implementing corrective actions and improvements based on the results of the monitoring and review process. This involves addressing any identified gaps, weaknesses, or issues affecting the performance or risk of the relationship. Additionally, it includes enhancing or optimising processes, systems, or controls to improve outcomes or reduce risks. Prioritising, assigning, tracking, and verifying corrective actions and improvements according to urgency, impact, and feasibility is crucial. Communication and coordination with both external vendors and internal stakeholders are essential throughout this process to ensure alignment and effectiveness in addressing concerns and driving positive outcomes.

Übersetzt

Gefällt mir
Jay Rathi

AVP at HSBC | CA | FRM | Certified ISO:31000 Risk Manager
Beitrag melden
In the event of identified issues, swift corrective actions are necessary. Establish protocols for addressing non-compliance and implementing improvements. For instance, if a logistics partner consistently fails to meet delivery timelines, collaborative problem-solving initiatives may be implemented to enhance efficiency.

Übersetzt

Gefällt mir

6 Lernen und teilen Sie Best Practices und gewonnene Erkenntnisse

Der sechste Schritt besteht darin, Best Practices und Erkenntnisse aus den operationellen Risikoereignissen im Zusammenhang mit Drittanbietern und Partnern zu lernen und auszutauschen. Dies beinhaltet das Erfassen und Dokumentieren des Wissens, der Erkenntnisse und der Empfehlungen, die dazu beitragen können, ähnliche oder verwandte Ereignisse in Zukunft zu verhindern, abzuschwächen oder zu beheben. Der Lern- und Austauschprozess sollte auch das Benchmarking und den Austausch von Informationen und Erfahrungen mit anderen Organisationen oder Branchenkollegen umfassen, die möglicherweise mit ähnlichen oder verwandten Herausforderungen konfrontiert waren oder diese gelöst haben. Der Lern- und Austauschprozess sollte auch eine Kultur der kontinuierlichen Verbesserung und Innovation innerhalb der Organisation und im gesamten Netzwerk von Drittanbietern fördern.

Fügen Sie Ihre Sichtweise hinzu

Jay Rathi

AVP at HSBC | CA | FRM | Certified ISO:31000 Risk Manager
Beitrag melden
Promote a culture of continuous improvement by learning from experiences. Regularly share best practices and lessons learned within the organization. For example, if a financial institution successfully navigates a regulatory challenge with a third-party provider, disseminate the insights to enhance overall risk management.

Übersetzt

Gefällt mir

7 Hier ist, was Sie sonst noch beachten sollten

Dies ist ein Ort, an dem Sie Beispiele, Geschichten oder Erkenntnisse teilen können, die in keinen der vorherigen Abschnitte passen. Was möchten Sie noch hinzufügen?

Fügen Sie Ihre Sichtweise hinzu

Hamed Rezk ,MBA, CIA®, ASMEC®, CCRO, CRMP, GRCP, CCP, CLBB

Regional Chief Risk Officer | Driving Growth for 200+ Companies | Executive Risk Committee Chair | Helping You Excel in Credit, MSMEs, GRC, Training, and Consulting | Lecturer | Open to Networking and Collaboration
Beitrag melden
1. Assess: Define critical vendors, conduct risk assessments (questionnaires,audits) to identify potential issues (data breaches, outages, financial instability) 2.Mitigate:Negotiate clear contracts and SLAs with risk mitigation clauses (penalties, termination rights). Diversify vendors to avoid single points of failure 3.Monitor:Regularly review vendor performance,security posture, and industry news.Conduct periodic reassessments to adapt to changing risks 4.Improve:Implement incident response plans for vendor-related disruptions.Share best practices and encourage continuous improvement from vendors This approach,combining assessment, mitigation,monitoring,and improvement,helps manage operational risks with third-party vendors and partners

Übersetzt

Gefällt mir
Kenneth Rijock

Financial Crime Consultant
Beitrag melden
Given the inability to easily learn who are the beneficial owners of most third-party vendors, it is suggested that Enhanced Due Diligence be conducted on their identification, to assure your that you are not dealing with fraudsters, sanctioned individuals, or otherwise unsuitable companies involved in financial crime, especially bust-out operations, where they run up debt and then disappear.

Übersetzt

Gefällt mir
Jay Rathi

AVP at HSBC | CA | FRM | Certified ISO:31000 Risk Manager
Beitrag melden
In addition to the outlined steps, consider regular audits, staying abreast of industry trends, and fostering open communication channels with vendors. Periodically reassess the risk landscape and adapt strategies accordingly. For instance, in a rapidly evolving technology environment, regularly reassessing cybersecurity protocols can be critical to staying ahead of potential threats.

Übersetzt

Gefällt mir

Operationelles Risikomanagement

+ Folgen

Diesen Artikel bewerten

Wir haben diesen Artikel mithilfe von KI erstellt. Wie finden Sie ihn?

Sehr gut Geht so

Diesen Artikel melden

Alle anzeigen

Wie bewerten und managen Sie die operationellen Risikoereignisse im Zusammenhang mit Drittanbietern und Partnern?

1

2

3

4

5

6

7

1 Definieren Sie den Umfang und die Ziele

2 Durchführung von Due-Diligence-Prüfungen und Risikobewertungen

3 Abschließen von Verträgen und Service Level Agreements

4 Überwachen und Überprüfen von Leistung und Risiko

5 Implementieren von Korrekturmaßnahmen und Verbesserungen

6 Lernen und teilen Sie Best Practices und gewonnene Erkenntnisse

7 Hier ist, was Sie sonst noch beachten sollten

Operationelles Risikomanagement

Diesen Artikel bewerten

Vielen Dank für Ihr Feedback

Weitere Artikel zu Operationelles Risikomanagement

Relevantere Lektüre