Hellblaues Rechteck mit einem großen Papier und Stift, Illustrationen eines Schildes, Häkchens und Personen zur Darstellung einer Richtlinie für das Lieferantenmanagement

Wie man eine Richtlinie für das Lieferantenmanagement erstellt + Vorlage

  • February 22, 2022
Author

Emily Bonnie

Senior Content Marketing Manager at Secureframe

Reviewer

Fortuna Gyeltsen

Senior Compliance Manager at Secureframe

Eine Richtlinie für das Lieferantenmanagement (VMP) ist eine Möglichkeit für Unternehmen, Lieferanten zu identifizieren und zu priorisieren, die ein Risiko für ihr Geschäft darstellen. Die Richtlinie identifiziert potenziell riskante Lieferanten und schreibt Maßnahmen vor, um das Risiko zu minimieren und die Einhaltung gängiger Frameworks wie z.B. SOC 2 zu gewährleisten.

Richtlinien für das Lieferantenmanagement sind ein wesentlicher Bestandteil der gesamten Risikomanagementstrategie einer Organisation.

Man könnte schnell denken, dass eine VMP nur ein weiteres Dokument oder ein Häkchen auf dem Weg zur Einhaltung der Vorschriften ist. Aber eine Richtlinie für das Lieferantenmanagement ist nur der Anfang, um Lieferantenbeziehungen zu verwalten und zu bestimmen, ob sie Zugang zu sensiblen Daten haben sollten.

Bereit herauszufinden, wie eine Richtlinie für das Lieferantenmanagement Ihre Organisation vor Lieferantenrisiken schützen kann? Wir erklären, wie man eine erstellt und bieten unten eine Vorlage zum Einstieg an.

Warum Sie eine Richtlinie für das Lieferantenmanagement brauchen

Während Organisationen in der Regel ein klares Bild von den internen Risiken haben, denen ihr Geschäft ausgesetzt ist, können die Risiken, die von Lieferanten ausgehen, etwas unklarer sein.

Regulierungsbehörden haben begonnen, strengere Protokolle bezüglich der Überwachung von Lieferanten und des Managements von Drittanbieter-Risiken umzusetzen. Ein Bericht von Venminder aus dem Jahr 2022 ergab, dass 69% der Organisationen das Gefühl haben, in den letzten 12 Monaten von Regulierungsbehörden und Prüfern stärker unter die Lupe genommen worden zu sein.

Je mehr Lieferanten Sie haben und je mehr sensible Informationen Sie teilen, desto anfälliger ist Ihre Organisation für Hacker. Und wenn ein Dritter beteiligt ist, sind Datenverluste tendenziell teurer.

Eine Studie des Ponemon Institute und IBM ergab, dass die Kosten für einen Datenverlust durch Dritte um über 370.000 US-Dollar steigen, was zu durchschnittlichen Gesamtkosten von 4,29 Millionen US-Dollar führt.

Illustration eines kaputten Schlosses und einer Fehlermeldung mit Text, der die durchschnittlichen Kosten von Datenverlusten durch Dritte beschreibt

Egal, ob Sie mit nur einem oder mit dutzenden Lieferanten arbeiten, ohne eine Richtlinie für das Lieferantenmanagement befindet sich Ihre Organisation in einer verletzlichen Position.

Wie man eine Richtlinie für das Lieferantenmanagement erstellt

Um eine Richtlinie für das Lieferantenmanagement zu erstellen, müssen Sie zunächst ein Team zusammenstellen, das den Erstellungsprozess der Richtlinie leiten soll.

Es sollte sich um ein umfassendes Team handeln, das verschiedene Blickwinkel aus der gesamten Organisation zusammenbringt.

Hier sind Teammitglieder, die Sie in Betracht ziehen sollten:

  • Mitglied der IT-Abteilung
  • Ein Rechtsvertreter
  • Mitglied des oberen Managements
  • Teammitglieder, die täglich mit Lieferanten kommunizieren
  • Fachleute
  • Jemand, der die Geschäftseinheit vertritt
  • Interne Prüfer

Sobald Sie Ihr Team für die Verwaltung der Lieferantenrichtlinien zusammengestellt haben, weisen Sie Rollen und Verantwortlichkeiten zu, um verschiedene Abschnitte des Prozesses zu übernehmen.

Als Nächstes sammeln Sie Ihre Liste der Lieferanten. Dies sollte eine detaillierte Liste sein, die alle Drittanbieter, Auftragnehmer, Partner und Mitarbeiter enthält, mit denen Sie zusammenarbeiten.

Illustration von fünf Fragen, die Ihnen helfen, das Risikopotenzial eines Lieferanten zu bestimmen

Achten Sie besonders auf diejenigen Lieferanten, die:

  • Zugang zu sensiblen Daten oder personenbezogenen Informationen (PII) haben
  • Zugang zu Ihrem internen Netzwerk haben
  • Ihre Organisation darauf angewiesen ist, dass sie kritische Geschäftsfunktionen ausführen

Die Lieferanten, die eines der oben genannten Kriterien erfüllen, sollten aufgrund der Menge an Informationen, auf die sie zugreifen können, als kritische Lieferanten betrachtet werden.

Diese Masterliste dient als Blaupause, um Ihnen zu helfen, die Lieferanten basierend auf dem von ihnen ausgehenden Risiko zu priorisieren.

Was sollte eine Lieferantenverwaltungsrichtlinie enthalten?

Es gibt keinen einheitlichen Ansatz zur Erstellung einer Lieferantenverwaltungsrichtlinie.

Jede Organisation hat eine eigene, einzigartige Reihe von Lieferanten und Informationen, die geschützt werden müssen.

Egal, ob Sie zum ersten Mal eine Lieferantenverwaltungsrichtlinie erstellen oder Ihre aktuelle Richtlinie stärken möchten, hier sind einige Abschnitte, die Ihnen helfen werden, eine solide Grundlage für die Verwaltung von Lieferantenbeziehungen zu schaffen.

Zweck

Der Abschnitt Zweck Ihrer VMP ist ein Überblick darüber, was die Richtlinie beinhalten wird. Sie können dies als eine Art Thesenerklärung betrachten, die die vielen folgenden Abschnitte einführt.

Hier ist ein Beispiel dafür, wie eine Zweckbestimmung aussehen könnte:

  • (UNTERNEHMEN) nutzt Produkte und Dienstleistungen von Drittanbietern, um unsere Mission und unsere Ziele zu unterstützen. Diese Lieferantenverwaltungsrichtlinie enthält die Anforderungen dafür, wie (UNTERNEHMEN) Informationen bei der Nutzung von Produkten und Dienstleistungen von Drittanbietern bewahren und schützen wird.

Zielgruppe und Geltungsbereich

Die Abschnitte Zielgruppe und Geltungsbereich definieren, für wen genau die Richtlinie gilt. Hierbei erweist sich die sorgfältige Berücksichtigung beim Erstellen der Masterliste der Lieferanten als nützlich.

Die gebotene Sorgfalt bei der Identifizierung Ihrer Lieferanten trägt dazu bei, sicherzustellen, dass keiner durchs Raster fällt und dass Sie jeden Lieferanten, der ein Risiko darstellt, angemessen überwachen und verfolgen können.

Einige Bereiche von Lieferanten, die in Ihrer Lieferantenverwaltungsrichtlinie berücksichtigt werden sollten, sind:

  • Sicherheit der Humanressourcen
  • Physische und ökologische Sicherheit
  • Netzwerk- und Systemsicherheit
  • Datensicherheit
  • Zugangskontrolle
  • IT-Beschaffung und -Wartung
  • Viertanbieter
  • Vorfallmanagement
  • Geschäftskontinuität/Katastrophenwiederherstellung
  • Einhaltung

Rollen und Verantwortlichkeiten

Jede Person, die eine wesentliche Rolle im Prozess der Lieferantenverwaltung spielt, sollte in der VMP enthalten sein. Fügen Sie deren spezifische Aufgaben in Bezug auf Lieferantenmanagement ein.

Umreißen Sie jede Rolle innerhalb Ihrer Organisation, die Schlüsselaufgaben bei der Lieferantenverwaltung wahrnimmt, wie z. B. ein Lieferantenmanager. Listen Sie die spezifischen Zuständigkeiten unter jeder Rolle in diesem Abschnitt auf.

Einige wichtige Aspekte, die eingeschlossen werden sollten, sind:

  • Die Rolle (oder Rollen), die für die Durchsetzung der Lieferantenverwaltungsrichtlinie verantwortlich ist/sind.
  • Die Rolle (oder Rollen), die für die Überprüfung und Aktualisierung der Richtlinie verantwortlich ist/sind.

Definitionen

Listen Sie einige der im Rahmen der Richtlinie verwendeten gebräuchlichen Begriffe auf und definieren Sie diese. Dies ist eine Gelegenheit, eine gemeinsame Terminologie festzulegen, die von allen, die möglicherweise Ihre Lieferantenverwaltungsrichtlinie überprüfen müssen, leicht verstanden wird.

Zum Beispiel sollten Sie möglicherweise klar definieren, was ein Lieferant ist oder auf welche Art von Daten Sie sich innerhalb des Dokuments beziehen werden.

Denken Sie jedoch daran, dass Ihre Lieferantenverwaltungsrichtlinie ein hochrangiges Dokument sein sollte, das in grundlegenden, aber weit gefassten Begriffen darlegt, wie die Organisation das Drittanbietermanagement durchführen wird.

Assessments

Der Abschnitt Assessments sollte alle Methoden beinhalten, mit denen Lieferanten geprüft werden, bevor sie vollständig betriebsfähig werden.

Während dieser Abschnitt für jedes Unternehmen anders aussehen wird, enthalten viele Organisationen Informationen über:

  • Geheimhaltungsvereinbarungen oder Geschäftspartnervereinbarungen
  • Wann Anbieter Zugang zu Daten haben (z. B. nach Unterzeichnung der NDA oder nach einer Risikoanalyse)
  • Was zu tun ist, wenn bei Risikoanalysen Hochrisikobefunde identifiziert werden
  • Die Häufigkeit, mit der Risikoanalysen für Anbieter stattfinden
  • Alle Vorschriften wie PCI DSS oder HIPAA, denen ein Anbieter entsprechen muss

Managementprozesse

Dieser Abschnitt erklärt die Managementprozesse, die die Organisation befolgen wird, um sicherzustellen, dass Anbieter bewertet und zur Rechenschaft gezogen werden.

In diesem Abschnitt sollten Sie angeben, welche Vereinbarungen und Verträge mit Anbietern enthalten sein müssen.

Zum Beispiel möchten Sie möglicherweise Formulierungen zu Mindestanforderungen an Informationen, Anweisungen zur Vernichtung oder Entsorgung der Informationen der Organisation und Anforderungen an die Reaktion auf Zwischenfälle aufnehmen.

Dieser Abschnitt sollte auch den Prozess des Managements des Lebenszyklus von Anbietern detailliert beschreiben. Fügen Sie Informationen zur Einführung eines neuen Anbieters sowie zur Verwaltung und Abwicklung aktueller Anbieter hinzu.

Durchsetzung

Nachdem Sie alle Anforderungen an Anbieter dargelegt haben, müssen Sie auch einen Abschnitt darüber einschließen, wie die Richtlinie durchgesetzt wird.

In diesem Abschnitt sollten die Konsequenzen, die ein Anbieter zu erwarten hat, wenn er die Richtlinie nicht befolgt, klar beschrieben werden. Dies kann die Beendigung des Vertrags, den Entzug von Zugriffsrechten oder verwandte zivil- oder strafrechtliche Sanktionen umfassen.

Wie man neue Anbieter bewertet

Bevor ein Vertrag mit einem potenziellen neuen Anbieter unterzeichnet wird, können Organisationen Anbieter anhand von Anbieterverwaltungskontrollen bewerten, um eine Sicherheitsbewertung zu bestimmen.

Diese Bewertung kann herangezogen werden, um zu entscheiden, ob die Organisation mit dem Anbieter zusammenarbeiten sollte. Sie kann auch als Benchmark zur Bewertung der Sicherheitsleistung im Laufe der Zeit dienen.

Best Practices für die Anbieterverwaltungspolitik

Illustration einer Glühbirne, Papier und Stift sowie fünf Tipps, die Ihnen helfen, eine Anbieterverwaltungspolitik zu erstellen.

Anbieterverwaltungspolitiken werden von Organisation zu Organisation unterschiedlich sein. Hier sind jedoch einige wichtige Tipps, die Sie im Auge behalten sollten, wenn Sie Ihre Anbieterverwaltungspolitik erstellen oder verbessern:

  • Haben Sie einen Plan für den Fall von Dienstausfällen eines Anbieters: Seien Sie proaktiv, indem Sie dokumentieren, welche Bereiche des Unternehmens im Falle eines Dienstausfalls eines Anbieters betroffen wären. Erstellen Sie einen internen Reaktionsplan für jeden Anbieter und weisen Sie Ihrem Anbieterverwaltungsteam spezifische Rollen zu.
  • Haben Sie einen dedizierten Anbietermanager: Wenn Sie Ihr Anbieterverwaltungsteam erstellen, kann es hilfreich sein, jedem Ihrer Anbieter einen spezifischen Anbietermanager zuzuweisen.
  • Setzen Sie alle Anbieter denselben Standards aus: Während Anbieter, die ein kritisches Risiko darstellen, oft den Großteil der Bemühungen des Anbieterverwaltungsaufwands in Anspruch nehmen, ist es wichtig, dass alle Anbieter verpflichtet werden, denselben Anforderungen zu folgen und dieselben Erwartungen zu erfüllen.
  • Halten Sie Ihre Richtlinie kurz und bündig: Eine Anbieterverwaltungspolitik sollte als allgemeine Übersicht dienen, wie Sie die Anbieterverwaltung angehen möchten. Zielen Sie auf 5-7 Seiten.
  • Überprüfen Sie Ihr VMP jährlich und nehmen Sie bei Bedarf Anpassungen vor: Wie bereits erwähnt, ist die Verwaltung der Lieferantenrichtlinien nur der Anfang Ihrer Reise zum Lieferantenrisikomanagement. Wenn Lehren gezogen werden und sich interne Prozesse ändern, stellen Sie sicher, dass Ihre Lieferantenrichtlinie mindestens einmal jährlich aktualisiert wird.
  • Decken Sie die sechs Säulen des Lieferantenmanagements in Ihrer Richtlinie ab: Um eine einwandfreie Richtlinie zu gewährleisten, sollten Sie Informationen zur Auswahl eines Lieferanten, zur Risikobewertung, zur gebotenen Sorgfalt, zu vertraglichen Standards, zu Berichtsanforderungen und zur laufenden Überwachung einschließen.

Vorlage für Lieferantenrichtlinien

Sind Sie sich immer noch unsicher, wie Ihre Lieferantenrichtlinie aussehen sollte? Wir haben eine Vorlage erstellt, die Sie als Grundlage für den Aufbau Ihrer eigenen verwenden können.

Blauer Knopf mit Text: Vorlage für Lieferantenrichtlinien

Wie Secureframe Ihnen helfen kann, Lieferantenrisiken zu managen

Eine kontinuierliche Überwachung ist für Lieferantenmanagementprogramme unerlässlich, kann jedoch für Ihr Team eine belastende Aufgabe sein.

Tools wie Secureframe helfen Unternehmen, die Sicherheitsleistung ihrer Lieferanten automatisch zu überwachen und zu bewerten und Sicherheitsfragebögen zu automatisieren, die den Lieferantenmanagementprozess erheblich erleichtern.

Mit Secureframe haben Sie Zugriff auf von Auditoren zertifizierte Sicherheitsfragebögen, die Ihnen helfen, potenzielle Lieferanten nahtlos zu überprüfen. Secureframe bietet auch aktuelle Sicherheitsberichte zu jedem Lieferanten mit Risikostufen und detaillierten Beschreibungen.

Möchten Sie Ihre Lieferantenbeziehungen sichern und Ihre Sicherheit besser managen? Planen Sie eine Demo mit unserem Team, um zu sehen, wie wir Ihre genauen Bedürfnisse erfüllen können.