Third-Party Risk Management – Strategie

Third-Party Risk Management hat sich durch NIS-2 und DORA von einer internen Best Practice zu einer regulatorischen Kernpflicht entwickelt. Die strategische Frage lautet: Wie wird aus einem Compliance-Pflichtprogramm ein tatsächlich wirksamer Schutz vor Lieferkettenrisiken?

Die strategische Perspektive

TPRM ist keine Momentaufnahme, sondern ein laufender Prozess. Die größten Lieferkettenrisiken entstehen nicht bei der Erstbewertung, sondern in der Zeit danach: Dienstleister ändern Subunternehmer, verlieren Zertifizierungen, werden selbst Opfer von Angriffen. Ein TPRM-Programm, das nur bei Vertragsabschluss prüft, aber danach nicht überwacht, ist strategisch wertlos.

Konzentrationsrisiko als strategisches Thema

DORA macht das Konzentrationsrisiko explizit: Wenn mehrere kritische Prozesse vom selben IKT-Dienstleister abhängen, entsteht ein systemisches Risiko. Das ist nicht nur eine regulatorische Anforderung, sondern ein reales Geschäftsrisiko – ein Ausfall des kritischen Lieferanten kann den gesamten Betrieb treffen. TPRM als strategisches Instrument bedeutet, diese Abhängigkeiten zu kennen und aktiv zu steuern. Das BAM-Objekt GOV-TPRM-01 bildet das Konzentrationsrisiko als auditfähiges Artefakt ab.

Automatisierung und Skalierung

Ab einer gewissen Lieferantenanzahl ist manuelles TPRM nicht mehr skalierbar. Automatisierte TPRM-Plattformen (z.B. auf Basis von Fragebögen-Workflows und Zertifizierungsdatenbanken) ermöglichen kontinuierliches Monitoring ohne proportional wachsenden Aufwand. Die Integration ins BAM-Modell erlaubt es, TPRM-Status als laufend überwachte Compliance-Dimension zu führen.

Den praktischen Einstieg – Lieferantenregister, Vertragsklauseln und Prüfprozess – findet sich auf Ebene 2.