Bert Kondruss, KonBriefing Research, Deutschland
Welche Praktiken sollte ein GRC-Tool abdecken? Welche Anforderungen sollte es erfüllen? Wir beschäftigen uns hier mit dem Management von Drittparteien, auch genannt Third Party Management oder Vendor Management, und ihre Umsetzung in Software für Governance, Risk Management und Compliance (GRC).
Inhaltsverzeichnis
1
Was ist Third Party Management im Kontext von GRC?
1.1
Definition
1.2
Wichtige Anwendungsfälle
1.2.1
Vendor Onboarding
1.2.2
Third Party Risk Management (TPRM)
1.2.3
Fortlaufendes Monitoring und Reassessment
1.2.4
Vendor Offboarding
1.3
Ein Third Party Management-Programm als Rahmen
1.3.1
Übersicht
1.3.2
Typische Bestandteile eines Third Party Management Programms
1.3.3
Verwandte Themen
2
Standards
3
Anforderungen an ein GRC-Tool
4
Und früher?

1 Was ist Third Party Management im Kontext von GRC?

1.1 Definition

Drittparteien-Management oder auch Third Party Management (TPM) bezeichnet im Rahmen von GRC die systematische Steuerung und Überwachung von externen Geschäftspartnern im gesamten Lebenszyklus der Zusammenarbeit. Geschäftspartner können beispielsweise sein: Dienstleister, Lieferanten, Berater oder Outsourcing-Partner. Ziel ist es, Risiken zu minimieren, regulatorische Anforderungen zu erfüllen und die Integrität der Geschäftsbeziehungen sicherzustellen.

1.2 Wichtige Anwendungsfälle

Eine GRC-Software sollte im Hinblick auf TPM die folgenden Anwendungsfälle unterstützen.

1.2.1 Vendor Onboarding

Der Einstieg neuer Drittparteien erfolgt über strukturierte Onboarding-Prozesse. Dazu gehören:
  • Prüfung der Unternehmensidentität und -integrität (z.B. KYC, Anti-Korruptions-Checks)
  • Bewertung der finanziellen Stabilität
  • Einholen und Bewerten von Zertifikaten, z.B. Informationssicherheit, Datenschutzstandards
  • Vertragsmanagement inkl. GRC-relevanter Vertragsklausen (z.B. Verpflichtung zur Meldung von Sicherheitsvorfällen oder Eigentümerwechseln und Vorbehalt von Reaktionen)

1.2.2 Third Party Risk Management (TPRM)

Identifikation, Bewertung und Steuerung von Risiken, die durch Drittparteien entstehen (Drittparteien-Risikomanagement, Vendor Risk Management)
  • Risikoanalyse vor Vertragsabschluss (z.B. IT-, Datenschutz-, Reputations- oder Lieferkettenrisiken)
  • Kategorisierung und Klassifizierung von Risiken nach Kritikalität
  • Definition von Kontrollmaßnahmen und Eskalationsmechanismen
  • Einbindung relevanter GRC-Funktionen (z.B. Legal, Datenschutz, Informationssicherheit)

1.2.3 Fortlaufendes Monitoring und Reassessment

Überwachung der Drittparteien über den gesamten Lebenszyklus:
  • Kontinuierliche Bewertung der Risikoexposition durch z.B. Audits, Self-Assessments oder externe Überwachungsdienste
  • Aktualisierung der Risikoeinstufung bei Änderungen (z.B. Eigentümerwechsel, Sicherheitsvorfälle)
  • Prüfung der Vertragseinhaltung und Leistungskennzahlen (KPIs, SLAs)
  • Integration von Frühwarnsystemen und Reporting-Funktionen

1.2.4 Vendor Offboarding

Strukturierter Prozess, um die Zusammenarbeit mit einem Lieferanten zu beenden.
  • Bewertung der Auswirkungen (z.B. Know-How-Verlust, Vertragsstreitigkeiten)
  • Übergang an Nachfolger
  • Kommunikation an interne und ggf. externe Stakeholder
  • Datenrückgabe und -löschung
  • Deaktivierung Benutzerkonten und Entzug von Zugriffsrechten

1.3 Ein Third Party Management-Programm als Rahmen

1.3.1 Übersicht

Ein Third Party Management-Programm (TPM-Programm) ist ein strukturierter, unternehmensweiter Rahmen zur systematischen Steuerung und Überwachung von Drittparteien - also externen Geschäftspartnern wie Lieferanten, Dienstleistern, Beratern, Vertriebspartnern oder Outsourcing-Anbietern. Es stellt sicher, dass alle Risiken im Zusammenhang mit diesen Beziehungen im Einklang mit Governance-, Risk- und Compliance-Anforderungen (GRC).erkannt, bewertet, gesteuert und überwacht werden
Ziele eines TPM-Programms
  • Sicherstellung von Compliance mit internen Richtlinien und externen Gesetzen (z.B. DSGVO, Lieferkettengesetz)
  • Vermeidung oder Minimierung von operativen, finanziellen, rechtlichen und Reputationsrisiken
  • Transparenz und Nachvollziehbarkeit im Umgang mit Drittparteien
  • Stärkung von Verantwortlichkeit, Kontrolle und Vertrauen in Geschäftsbeziehungen

1.3.2 Typische Bestandteile eines Third Party Management Programms

Governance-Struktur
  • Richtlinien, Zuständigkeiten und Eskalationswege
  • Integration in bestehende GRC- oder Beschaffungsprozesse
Third Party Lifecycle Management
  • Pre-Engagement Due Diligence: Prüfung vor Vertragsabschluss
  • Onboarding: Identitätsprüfung, Vertragsgestaltung, Risikobewertung
  • Monitoring: Laufende Überwachung von Risiken, Performance und Compliance
  • Offboarding: Sicheres Beenden der Geschäftsbeziehung (z.B. Datenlöschung)
Risikomanagement
  • Risikoklassifizierung (z.B. nach Geschäftsbereich, Region, Zugriff auf Daten)
  • Maßnahmenplanung und Umsetzung von Kontrollen
  • Frühwarnsysteme und Eskalationsmechanismen
Kontinuierliche Überwachung
  • Interne Audits, Self-Assessments, Zertifikatsprüfung
  • Externe Tools (z.B. Sanktionslisten, Reputations-Checks)
  • Reassessments in regelmäßigen Intervallen
Schulung und Awareness
  • Sensibilisierung interner Stakeholder (z.B. Einkauf, IT, Fachabteilungen)
  • Schulungen für Drittparteien zu Compliance-Anforderungen
Dokumentation und Reporting
  • Nachvollziehbare Dokumentation aller Aktivitäten
  • KPI-/SLA-Monitoring und Berichtswesen für Management und Aufsicht

1.3.3 Verwandte Themen

  • Lieferketten-Compliance (z.B. LkSG)
  • Informationssicherheitsmanagement (z.B. ISO 27001)
  • Datenschutzmanagement bei Drittparteien (z.B. AV-Verträge)
  • ESG- und Nachhaltigkeitsrisiken in der Lieferkette
  • Integritäts- und Antikorruptionsprogramme
Ein gutes TPM-Programm ist risikobasiert, skalierbar und technologiegestützt. Es stellt sicher, dass Drittparteien die Werte, Standards und Risiken des Unternehmens nicht gefährden.

2 Standards

Für die Umsetzung eines wirksamen Third Party Managements gibt es eine Reihe von international anerkannten Standards, Rahmenwerken und Leitlinien, die Unternehmen als Grundlage oder Orientierung nutzen können. Diese definieren Prozesse, Kontrollmechanismen und Governance-Strukturen entlang des gesamten Lebenszyklus von Drittparteien, von der Auswahl bis zum Offboarding.
Allgemeine GRC- und Risikomanagement-Standards
  • ISO 31000 Risikomanagement: Grundlegendes Rahmenwerk für unternehmensweites Risikomanagement, auch anwendbar auf Drittpartei-Risiken in Auswahl, Vertragsgestaltung und Monitoring.
  • COSO ERM: Enterprise Risk Management-Rahmenwerk des Committee of Sponsoring Organizations. Drittpartei-Risiken als ein Anwendungsfeld für die Prinzipien des COSO ERM.
Informationssicherheit & Cyberrisiken
  • ISO/IEC 27001: Managementsystem für Informationssicherheit (ISMS)
  • ISO/IEC 27036: Speziell für Informationssicherheit in Lieferantenbeziehungen
 
Teil 1: Overview and concepts
 
Teil 2: Guidelines for ICT Supply Chain Security
 
Teil 3: Leitlinien für Hardware, Software und Dienstleistungslieferkettensicherheit
 
Teil 4: Leitlinien für die Sicherheit von Cloud-Diensten
  • NIST SP 800-161: Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations
Compliance, Integrität und Due Diligence
  • ISO 37301 Compliance Management Systems. Beschreibt, wie ein Unternehmen Compliance auch bei Drittparteien sicherstellt. Verlangt Kontrollmechanismen, Risikoanalysen und kontinuierliche Überwachung
  • ISO 37001 Anti-Bribery Management: Richtlinie zur Verhinderung von Korruption - inkl. Due Diligence bei Dritten. Verpflichtung zu Integritätsprüfungen und Verhaltensstandards
Lieferketten, Nachhaltigkeit und ESG
  • OECD-Leitsätze für multinationale Unternehmen zum verantwortungsvollen unternehmerischen Handeln. Sorgfaltspflichten gegenüber Dritten in Bezug auf Menschenrechte, Umwelt und Korruption. Grundlage für viele ESG- und Lieferkettenregeln
  • SA8000: Sozialstandards für Lieferanten
  • ISO 20400: Nachhaltige Beschaffung
  • GRI: Nachhaltigkeitsberichterstattung inkl. Drittparteienrisiken
  • EU CSRD / ESRS
  • Lieferkettensorgfaltspflichtengesetz (LkSG)
  • BAFA-Handreichung (DE), OECD Due Diligence Guidance for Responsible Business Conduct. Dienen zur praktischen Umsetzung von LkSG oder ESG-Pflichten
Finanzsektor-spezifische Rahmenwerke
  • EBA-Leitlinien zu Auslagerungen (Outsourcing Guidelines): Verpflichtende Vorgaben für Banken in der EU (auch AT & DE). Fokus auf Auswahlverfahren, Vertragsinhalte, Kontrollrechte und Exit-Strategien
  • FINMA-Rundschreiben 2018/3 (CH): Schweizer Leitlinie für Outsourcing - mit konkreten Anforderungen für TPRM. Vorgaben zu Risikoanalyse, Dokumentation, Auditierbarkeit
  • Kreditwesengesetz (KWG) zu Auslagerungen
  • MaRisk (Mindestanforderungen an das Risikomanagement), u.a. AT 9 - Auslagerungen
  • BAIT (Bankaufsichtliche Anforderungen an die IT), Kapitel III IT-Auslagerung
  • DORA (EU Digital Operational Resilience Act): Bezieht sich u.a. auf ICT-Drittparteien und Cloud-Anbieter im Finanzsektor
Praxisnahe Ergänzungen & Tools
  • SIG Questionnaire (Shared Assessments): Standard-Fragenkatalog für TPRM
  • Open Compliance and Ethics Group (OCEG): GRC Capability Model. Verknüpft TPRM mit Governance und Compliance
  • CIS Controls (Center for Internet Security): enthält TPRM-relevante Kontrollen (z.B. bei Datenzugriff durch Dritte)
Diese Standards helfen, ein strukturierteres, nachvollziehbares und prüfsicheres Third Party Management aufzubauen, das sowohl gesetzlichen Anforderungen als auch internen GRC-Zielen gerecht wird.
Drittpartei-Risikomanagement in einer GRC-Software

3 Anforderungen an ein GRC-Tool

im Hinblick auf Drittpartei-Management
Welche Anforderungen lassen sich an eine GRC-Software speziell zum Third-Party-Management stellen? Welche Kriterien sollten in einer Ausschreibung bzw. in einem RFI / RFP gestellt werden? Hier einige Vorschläge. Die Liste muss an die Gegebenheiten der eigenen Organisation angepasst werden. Eine gute Software muss nicht unbedingt alle Kriterien erfüllen und umgekehrt ist eine Software, die alle Kriterien erfüllt, trotzdem nicht unbedingt die beste für die Situation.einer Organisation bzw. eines Unternehmens.
Basisdaten
  • Es kann ein Verzeichnis der Dienstleister / Lieferanten / Geschäftspartner geführt werden
  • Lieferanten / Partner / Dienstleister können klassifiziert werden
  • Es gibt ein Vertragsmanagement
Vendor Onboarding
  • Möglichkeit zur Erfassung neuer Lieferanten
  • Initialbewertung des Risikos, z.B. basierend auf Branche, Standort, Leistungen
  • Konfigurierbare Fragebögen, z.B. zu Compliance, Informationssicherheit, Datenschutz
  • Workflows für Onboarding-Freigaben
Third Party Risk Management
  • Möglichkeit zur Durchführung und Dokumentation von Risikoanalysen
  • Risikobewertung nach vordefinierten Scoring-Modellen
  • Zuordnung und Nachverfolgung von risikobasierten Maßnahmen oder Auflagen
  • Kategorisierung und Klassifizierung von Drittparteien nach Risiko- und Kritikalitätsklassen
  • Integration von externen Risikodatenquellen, z.B. Sanktionslisten, Länder- und Branchenberichte
  • Erstellung von Risikoberichten
Fortlaufendes Monitoring und Neubewertungen
  • Erinnerungs- und Eskalationsfunktionen für regelmäßige Reassessments in definierten Intervallen
  • Dynamische Anpassung der Risikoeinstufung basierend auf Vorfällen oder Audit-Ergebnissen
  • Historisierung von Risikobewertungen und Maßnahmenverläufen
  • Tracking von Vertragslaufzeiten und relevanten Fristen
  • Regelmäßiger Versand und Auswertung von aktualisierten Fragebögen oder Selbstauskünften
  • Benachrichtigung bei Änderungen in Unternehmensstruktur, Eigentümerschaft oder Risikoindikatoren
Abbildung eines Third Party Management-Programms
  • Framework zur Definition und Verwaltung eines unternehmensweiten TPM-Programms mit Rollen, Verantwortlichkeiten und Prozessen
  • Zentrale Übersicht über alle Drittparteien inkl. Risikoprofil, Status und zugehörigen Dokumenten
  • Verknüpfung mit anderen GRC-Funktionen, z.B. Compliance, Audit, BCM oder Datenschutz
  • Reporting-Funktion für Programmstatus, KPI-Tracking und Risikotrends
  • Governance-Funktionalitäten, z.B. Freigabeprozesse, Revisionssicherheit, Prüfpfade
  • Unterstützung für regulatorische Anforderungen
Sorgfaltspflichten in den Lieferketten / Lieferkettensorgfaltspflichtengesetz (LkSG)
  • Abstrakte und konkrete Risikoanalyse im Hinblick auf menschenrechtlicher und umweltbezogener Risiken
  • Angemessenheitsbeurteilung und Priorisierung
  • Festlegung und Dokumentation von Präventionsmaßnahmen, z.B. Schulungen, Vertragsklauseln, Verhaltenskodizes
  • Wirksamkeitsevaluierung der Maßnahmen
  • Vorlagen für Lieferantenvereinbarungen und Compliance-Bedingungen
  • Beschwerdemanagementsystem
  • Dokumentation und Eskalation von Beschwerden, Hinweisen oder Verstößen
  • Management von Abhilfemaßnahmen
  • Kennzahlen
  • Erstellung von Berichten gemäß §10 LkSG
  • Anbindung von externen Quellen, z.B. gemäß BAFA Risikodatenbank
Risikomanagement bei Banken und Finanzdienstleistern
  • Die Software erfüllt die Anforderungen des Kreditwesengesetzes im Hinblick auf Auslagerungen (KWG)
  • Die Software erfüllt die Anforderungen der Mindestanforderungen an das Risikomanagement im Hinblick auf Auslagerungen (MaRisk)
  • Die Software erfüllt die Anforderungen der Bankaufsichtliche Anforderungen an die IT (BAIT) im Hinblick auf IT-Auslagerungen - sofern noch relevant
  • Die Software erfüllt die Anforderungen des Finanzmarktintegritätsstärkungsgesetzes (FISG) im Hinblick auf das Auslagerungsmanagement
  • Die Software erfüllt die Anforderungen des Digital Operational Resilience Act (DORA)
Hier sind nur die Kriterien speziell für das Drittparteien-Management aufgeführt. Darüber hinaus gelten zahlreiche weitere allgemeine Kriterien, beispielsweise zum Systemumfeld, zur Integration u.a.

4 Und früher?

Auch früher gab es schon Drittparteien-Management und Third Party Risk Management. Wir haben die AI gefragt, wie es ein Kaufmann damals beschrieben hätte ...
Third party risk management
'Wenn man im ehrbaren Gewerbe steht und seine Waaren unter die Leute bringt, so ist man gar wohl darauf bedacht, mit welchen Personen man sich ins Handeln begibt. Denn ist der Zulieferer schlampig in seiner Arbeit oder hält der Fuhrmann seine Termine nicht ein, so leidet mein guter Name Schaden - obgleich ich selbst redlich mein Werk verrichte.
Drum prüfe ich einen jeden, ehe ich ihm einen Auftrag erteile. Ich erkundige mich nach seinem Ruf in der Zunft, ob er hält, was er verspricht, und ob er mit Fug und Recht als tüchtig gilt. Ich verlasse mich nicht bloß auf schöne Worte, sondern halte fest, was auszumachen ist, mit Tinte und Papier.'

Verwandt