Lernen Sie, wie Sie eine Lieferantenbewertungs-Scorecard erstellen, Sicherheitsfragebögen automatisieren und Risikobereiche für die Organisation erkennen, die durch einen Lieferanten verursacht werden.
Die Validierung von Drittanbieter-Lieferanten ist ein integraler Bestandteil von Cybersicherheits-, Beschaffungs-, Compliance– und Lieferketten-Strategien geworden. Zuvor haben wir die allgemeinen Praktiken hinter der Bewertungs-Scorecard besprochen; in diesem Artikel werden wir die Erstellung einer Lieferantenbewertungs-Scorecard anhand des Lieferantenrisikomanagements als Beispiel diskutieren.
Wir werden demonstrieren, wie man:
- Bewertungskriterien definiert,
- die gesamte Sicherheitsbewertung berechnet,
- erforderliche Nachweise sammelt,
- Sicherheitsbewertungen dynamisch verfolgt und
- die Ergebnisse mit anderen funktionalen Scorecards in Einklang bringt.
Definieren Sie Den Satz Von Bewertungskriterien
Befolgen Sie die aktuellen Best Practices, um den Satz von Bewertungskriterien für das Anbieter-Risiko-Scorecard zu definieren.
Im Jahr 2024 kann dies Folgendes umfassen:
Existenz eines formalen Cybersicherheitsprogramms
Implementierung der Multi-Faktor-Authentifizierung
Regelmäßige Schwachstellentests
Einführung der ‚Least Privilege‘-Praxis
SOC 2-Konformität des Rechenzentrums
Datenverschlüsselung während der Übertragung und im Ruhezustand
Cyberversicherungen
Einbruchspräventions- und Erkennungssysteme
Cybersicherheitsbewusstseinsschulungen
Gemeldete Datenverletzungen
Die Anzahl der gemeldeten Datenverletzungen
Je nach Art der Kriterien kann es konfiguriert werden als:
- Binär – mit möglichen Zuständen „ja“ oder „nein.“
- Quantitativ (zum Beispiel in % gemessen) oder qualitativ (natürliche Wahl oder Likert-Skala).
- Kriterien können zur Maximierung (wie % der Mitarbeiter, die die Cybersicherheitsbewusstseinsschulung bestanden haben) oder Minimierung (wie die Anzahl der Datenverletzungen) optimiert werden.
Erfahren Sie mehr über Best Practices für die Verwaltung der Bewertungs-Scorecard.
In BSC Designer:
- Wechseln Sie zum Strategie-Arbeitsbereich.
- Navigieren Sie zu Neu > Neue Scorecard > Weitere Vorlagen…
- Verwenden Sie die Vorlage „Vendor Risk Management“ für Scorecards.
Gewichtung Je Nach Risikoprofilen Zuweisen
Gewichten Sie die Bewertungskriterien entsprechend dem Risikoprofil des Anbieters.
Zum Beispiel:
- Anbieter mit Zugang zu sensiblen Informationen haben ein hohes Gewicht für Kriterien wie „Cyberversicherung“ oder „Gemeldete Datenverletzungen“, während
- Anbieter ohne Zugang zu sensiblen Informationen ein hohes Gewicht für allgemeinere Kriterien wie „Multi-Faktor-Authentifizierung“ und Umsetzung der „Minimalprinzip“-Praxis haben.
In BSC Designer:
- Wählen Sie ein Bewertungskriterium aus.
- Wechseln Sie zur Registerkarte Leistung.
- Passen Sie das relevante Gewicht in der Eigenschaft Gewicht an.
Hierarchie der Anbieter Erstellen
Gruppieren Sie Anbieter in einer Hierarchie basierend auf der Anbieterstufe. Verbreiten Sie Bewertungskriterien für jeden Anbieter.
In BSC Designer:
- Erstellen Sie Gruppen mit der Schaltfläche „Hinzufügen“,
- Kopieren und fügen Sie einen Satz von Bewertungskriterien in jede Gruppe ein, und
- Bennenen Sie den Satznamen um, um den Anbieternamen anzupassen.
Fragebögen Erstellen und Verteilen
Bereiten Sie Sicherheitsfragebögen vor und verteilen Sie diese an Anbieter, um später die Ergebnisse in die Scorecard des Anbieterrisikomanagements zu importieren.
Um einen Fragebogen vorzubereiten:
- Öffnen Sie eine Scorecard.
- Wählen Sie eine Kriterienauswahl.
- Wählen Sie Werkzeuge > Daten exportieren.
- Aktivieren Sie die Kontrollkästchen: „Nur aktuelles Element exportieren“ und „Unterelemente einbeziehen“.
- Verwenden Sie die Option „Als Vorlage exportieren“.
- Klicken Sie auf „Weiter“, um den Export abzuschließen.
Passen Sie die resultierende Vorlage gerne an Ihre Bedürfnisse an. Zum Beispiel, indem Sie die Spalte „Wert“ in „Antwort“ umbenennen und den Befragten relevante Empfehlungen geben.
Bewertung Von Anbietern Initiieren
Bewerten Sie Anbieter basierend auf den Bewertungskriterien, um relevante Schwachstellen zu identifizieren.
- Geben Sie die Bewertungsergebnisse manuell in das Scorecard ein oder
- Importieren Sie sie aus einer Excel-Tabelle für den Selbsteinschätzungsfragebogen des Anbieters.
Legen Sie relevante Nachweise vor, die vom Anbieter bereitgestellt werden, wie zum Beispiel Zertifizierungen und Praktiken.
In BSC Designer:
- Aktualisieren Sie die Bewertungen manuell über den Daten-Tab.
- Verwenden Sie Tools > Daten exportieren, um Bewertungskriterien für die Selbsteinschätzung des Anbieters nach Excel zu exportieren.
- Hängen Sie Nachweise an die Bewertungskriterien oder an die im Initiativen-Dialog formulierten Minderungspläne an.
Bewertung von Lieferantenrisiken
Wir können die Lieferantenbewertungsdaten verwenden, um das Risiko von Cybersecurity-Verstößen für den Lieferanten einzuschätzen.
In diesem Fall:
- Die Gesamtbewertung der Lieferantenbewertung wird zur Wahrscheinlichkeit des Risikos beitragen.
- Der Einfluss des Risikos kann entsprechend der Rolle des Lieferanten in der Lieferkette geschätzt werden.
Um dies in BSC Designer einzurichten:
- Klicken Sie auf Hinzufügen – Risiko hinzufügen.
- Klicken Sie auf die Schaltfläche Datenquelle für den Wahrscheinlichkeitsindikator.
- Ändern Sie die Formel zu: 100-%[Lieferant 1] (je höher der Fortschritt des Lieferanten gemäß dem Scorecard, desto geringer die Wahrscheinlichkeit des Risikos).
Fügen Sie das Risikodiagramm dem Dashboard hinzu, um das gesamte Risikolandschaft zu visualisieren:
Kontinuierliche Risikoüberwachung
Verfolgen Sie Änderungen in den Anbieterbewertungsergebnissen im Laufe der Zeit, wie Änderungen bei relevanten Zertifizierungen oder die Anzahl der Datenverletzungen.
- Definieren Sie den Überarbeitungszeitraum für jedes Bewertungskriterium.
- Überwachen Sie Probleme, die für die Bewertungskriterien relevant sind.
- Planen Sie die Verbesserung der Anbieterbewertungsergebnisse.
- Planen Sie das Offboarding von Anbietern.
In BSC Designer:
- Richten Sie das Aktualisierungsintervall für einen Indikator über den Werte-Editor ein.
- Verwenden Sie den Werte-Editor, um bestimmten Daten Punkte zuzuweisen.
- Verwenden Sie dynamische Spalten, um zu sehen, wie sich die Punktzahl im Laufe der Zeit ändert.
- Verwenden Sie Initiativen, um Datenverletzungen und Abhilfemaßnahmen zu verfolgen – aktualisieren Sie den Status und die Zeitspanne.
- Verwenden Sie Kommentare für die Punktzahl, um Probleme zu verfolgen, und Initiativen, um Verbesserungspläne zu skizzieren.
Ausrichtung an der Strategie
Richten Sie die Lieferantenrisikobewertungs-Scorecard an anderen Strategie- und Funktions-Scorecards aus, wie zum Beispiel an Governance– oder Compliance-Scorecards.
- Verwenden Sie die Gesamtbewertung des Risikos des Lieferantenportfolios.
- Verwenden Sie die Risikobewertungen spezifischer Lieferanten.
- Verknüpfen Sie Initiativen aus verschiedenen Scorecards.
Ein gutes Beispiel für die Notwendigkeit einer strategischen Ausrichtung ist KI. Selbst wenn Ihre Organisation nicht plant, KI-Technologien einzuführen, wird sie höchstwahrscheinlich durch deren Nutzung durch Drittanbieter und die Lieferkette betroffen sein. Eine Lieferanten-Scorecard muss mit der funktionalen KI-Governance-Scorecard abgestimmt werden.
In BSC Designer:
- Kopieren Sie das Lieferantenbewertungselement und fügen Sie es in die relevante Scorecard ein.
- Wählen Sie die Option „Verknüpfung durch Daten“ oder „Verknüpfung durch Kontext“.
Schulungssitzung: 'Verwaltung von Bewertungs-Scorecards mit BSC Designer' wird im Rahmen unseres laufenden Lernprogramms angeboten und ist in einem BSC Designer-Abonnement enthalten.
Schulungssitzungen werden wöchentlich über Zoom abgehalten und bieten praktische Einblicke sowie persönliche Anleitung. Nach Abschluss erhalten die Teilnehmer ein Teilnahmezertifikat. Entdecken Sie alle verfügbaren Schulungssitzungen hier.
Fazit
In diesem Artikel haben wir die Schritte zur Erstellung einer Lieferantenrisikomanagement-Scorecard besprochen:
- Definition der Bewertungskriterien
- Zuweisung von Gewichtungen je nach Risikoprofil des Lieferanten
- Kontinuierliche Risikobewertung
- Abgleich der Lieferantenrisikobewertung mit anderen Scorecards
Erfahren Sie mehr über die spezifischen Mechanismen von Bewertungsscorecards.
Nutzen Sie Lieferantenrisikomanagement-Scorecard Vorlage
BSC Designer hilft Organisationen bei der Implementierung ihrer komplexen Strategien:
- Melden Sie sich für einen kostenlosen Plan auf der Plattform an.
- Verwenden Sie die Lieferantenrisikomanagement-Scorecard Vorlage als Ausgangspunkt. Sie finden sie unter Neu > Neue Scorecard > Weitere Vorlagen.
- Folgen Sie unserem Strategie-Implementierungssystem, um Stakeholder und strategische Ambitionen in eine umfassende Strategie zu integrieren.
Fangen Sie noch heute an und sehen Sie, wie BSC Designer Ihre Strategieimplementierung vereinfachen kann!
Alexis ist ein Senior Strategy Consultant und CEO bei BSC Designer mit über 20 Jahren Erfahrung in der strategischen Planung. Alexis hat das „5-Schritte-Strategie-Implementierungssystem“ entwickelt, das Unternehmen bei der praktischen Umsetzung ihrer Strategien unterstützt. Er ist regelmäßiger Redner auf Industriekonferenzen und hat über 100 Artikel über Strategie und Leistungsmanagement veröffentlicht, darunter das Buch „10-Step KPI System“. Seine Arbeit wird häufig in der akademischen Forschung zitiert.