Vendor Management

[ˈvɛndə ˈmænɪdʒmənt] · auch: Lieferantenmanagement, Dienstleistermanagement, Third-Party Management

Vendor Management bezeichnet den strukturierten Prozess der Auswahl, Bewertung, Beauftragung und laufenden Überwachung von externen Lieferanten und Dienstleistern – mit Fokus auf Sicherheits-, Compliance- und Leistungsanforderungen.

Warum Vendor Management ein Governance-Kernbegriff ist

Vendor Management ist eine der Grundanforderungen jedes reifen IT-Compliance-Programms. Die relevanten Frameworks – ISO 27001, NIS-2 und DORA – setzen Vendor Management als Voraussetzung für ein wirksames Sicherheits- und Compliance-Programm voraus. Im Audit ist es ein Standardpruefpunkt: nicht ob die Organisation den Begriff kennt, sondern ob sie ihn nachweislich umsetzt.

Wo Vendor Management gefordert wird

Framework	Referenz	Anforderung
ISO 27001:2022	A.5.19-23	Informationssicherheit in Lieferantenbeziehungen: Vollständiger Rahmen für Vendor Management.
NIS-2 / BSIG	§ 30 Abs. 2g	Sicherheit in der Lieferkette als explizite Mindestmassnahme.
DORA	Art. 28-44	IKT-Drittparteienrisiko: Vollständiges Regime für Vendor Management im Finanzsektor.
LkSG	§ 3 ff.	Lieferkettensorgfaltspflichtengesetz: Sorgfaltspflichten auch bei Zulieferern mit indirektem Risiko.
ISO 37001	Kap. 8.6	Anti-Korruption in Lieferantenbeziehungen: Due Diligence und Monitoring als Pflicht.

BAM-Objektreferenz

BAM-Objekt GOV-VM-01

BeschreibungVendor-Management-Programm mit Risikobewertung, Vertragsmanagement und laufendem Monitoring

GitHubBAM Core →

Häufige Audit-Fehler

Konzept verstanden, aber nicht formal dokumentiert
Richtlinie vorhanden, aber nicht genehmigt und nicht kommuniziert
Keine regelmäßige Überprüfung der Umsetzung
Fehlende Evidence für den Auditor

Kernelemente in der Praxis

Ein wirksames Vendor Management-Programm benötigt vier Elemente: erstens eine dokumentierte Richtlinie oder Rollendefinition, die formal genehmigt und kommuniziert wurde; zweitens die operative Umsetzung mit konkreten Massnahmen und Verantwortlichkeiten; drittens regelmäßige Überprüfung der Wirksamkeit – mindestens jährlich; und viertens lueckenlose Evidence für den Audit-Nachweis. Fehlt eines dieser Elemente, entsteht ein klassischer Audit-Befund: Richtlinie vorhanden, aber nicht gelebt, oder gelebt, aber nicht nachgewiesen.

Abgrenzung und Einordnung

Vendor Management steht nicht allein, sondern in einem Zusammenhang mit anderen Governance-Instrumenten. Die Wirksamkeit hängt davon ab, dass übergeordnete Strukturen – Board Oversight, CISO-Funktion, Compliance-Framework – vorhanden und aktiv sind. Ein Vendor Management-Programm ohne eingebundenes Leitungsorgan und ohne ausreichende Ressourcen wird formal erfüllt, aber nicht wirksam sein.

Nächste Ebene

Vendor Management in der Praxis: Umsetzung, Nachweise und Evidence

Was Auditoren bei Vendor Management konkret prüfen und welche Evidence benötigt wird.

Ebene 2 lesen → Stresstest starten →