Erfahren Sie, wie Sie eine Lieferantenbewertungs-Scorecard erstellen, Assurance-Fragebögen automatisieren und Risikobereiche für die Organisation erkennen können, die durch einen Lieferanten verursacht werden.
Die Validierung von Drittanbieterlieferanten ist ein integraler Bestandteil von Cybersicherheit-, Beschaffung-, Compliance– und Lieferketten-Strategien geworden. Zuvor haben wir allgemeine Praktiken hinter der Bewertungs-Scorecard besprochen; in diesem Artikel werden wir die Erstellung einer Lieferantenbewertungs-Scorecard besprechen, wobei das Lieferantenrisikomanagement als Beispiel dient.
Vendor Risk Management Scorecard. Wir werden demonstrieren, wie Sie:
- Bewertungskriterien definieren,
- Die Gesamtsicherheitsbewertung berechnen,
- Erforderliche Nachweise sammeln,
- Sicherheitsbewertungen dynamisch verfolgen und
- Die Ergebnisse mit anderen funktionalen Scorecards abstimmen.
Lieferantenvalidierungstrends: Quantifizierung und kontinuierlicher Prozess
Definieren Sie den Satz von Bewertungskriterien
Befolgen Sie aktuelle Best Practices, um den Satz von Bewertungskriterien für die Vendor Risk Scorecard zu definieren.
Dies kann Folgendes umfassen:
Existenz eines formalen Cybersecurity-Programms
Implementierung der Multi-Faktor-Authentifizierung
Regelmäßige Schwachstellentests
Anwendung der ‚Least Privilege‘-Praxis
SOC 2-Konformität des Rechenzentrums
Datenverschlüsselung während der Übertragung und im Ruhezustand
Cybersecurity-Versicherung
Eindringungsverhinderungs- und Erkennungssysteme
Cybersecurity-Bewusstseinsschulung
Gemeldete Datenverletzungen
Die Anzahl der gemeldeten Datenverletzungen
Abhängig von der Art der Kriterien kann es konfiguriert werden als:
- Binär – mit möglichen Zuständen „ja“ oder „nein“.
- Quantitativ (zum Beispiel in % gemessen) oder qualitativ (natürliche Wahl oder Likert-Skala).
- Kriterien können für Maximierung (wie % der Mitarbeiter, die die Cybersecurity-Bewusstseinsschulung bestanden haben) oder Minimierung (wie die Anzahl der Datenverletzungen) optimiert werden.
Erfahren Sie mehr über Best Practices für das Management der Bewertungs-Scorecard.
In BSC Designer:
- Wechseln Sie zum Strategie-Arbeitsbereich.
- Navigieren Sie zu Neu > Neue Scorecard > Weitere Vorlagen…
- Verwenden Sie die Vorlage „Vendor Risk Management“ für die Scorecard.
Gewichtung Je Nach Risikoprofilen Zuweisen
Gewichten Sie die Bewertungskriterien entsprechend dem Risikoprofil des Anbieters.
Zum Beispiel:
- Anbieter mit Zugang zu sensiblen Informationen haben ein hohes Gewicht für Kriterien wie „Cyberversicherung“ oder „Gemeldete Datenverletzungen“, während
- Anbieter ohne Zugang zu sensiblen Informationen ein hohes Gewicht für allgemeinere Kriterien wie „Multi-Faktor-Authentifizierung“ und Umsetzung der „Minimalprinzip“-Praxis haben.
In BSC Designer:
- Wählen Sie ein Bewertungskriterium aus.
- Wechseln Sie zur Registerkarte Leistung.
- Passen Sie das relevante Gewicht in der Eigenschaft Gewicht an.
Erstellen Sie eine Hierarchie von Anbietern
Gruppieren Sie Anbieter in eine Hierarchie basierend auf der Anbieterstufe. Leiten Sie Bewertungskriterien für jeden Anbieter weiter.
In BSC Designer:
- Erstellen Sie Gruppen mit der Schaltfläche „Hinzufügen“,
- Kopieren und fügen Sie einen Satz von Bewertungskriterien in jede Gruppe ein, und
- Bennen Sie den Satz um, um ihn an den Anbieternamen anzupassen.
Beim Kopieren und Einfügen sollten Sie die Option „Einfügen & Synchronisieren“ in Betracht ziehen, um sicherzustellen, dass Replikate der Bewertungskriterien mit der ursprünglichen Vorlage synchron bleiben. Alle Änderungen an der Vorlage werden automatisch auf die Bewertungskriterien für bestimmte Anbieter übertragen.
Fragebögen Erstellen und Verteilen
Bereiten Sie Sicherheitsfragebögen vor und verteilen Sie diese an Anbieter, um später die Ergebnisse in die Scorecard des Anbieterrisikomanagements zu importieren.
Um einen Fragebogen vorzubereiten:
- Öffnen Sie eine Scorecard.
- Wählen Sie eine Kriterienauswahl.
- Wählen Sie Werkzeuge > Daten exportieren.
- Aktivieren Sie die Kontrollkästchen: „Nur aktuelles Element exportieren“ und „Unterelemente einbeziehen“.
- Verwenden Sie die Option „Als Vorlage exportieren“.
- Klicken Sie auf „Weiter“, um den Export abzuschließen.
Passen Sie die resultierende Vorlage gerne an Ihre Bedürfnisse an. Zum Beispiel, indem Sie die Spalte „Wert“ in „Antwort“ umbenennen und den Befragten relevante Empfehlungen geben.
Bewertung Von Anbietern Initiieren
Bewerten Sie Anbieter basierend auf den Bewertungskriterien, um relevante Schwachstellen zu identifizieren.
- Geben Sie die Bewertungsergebnisse manuell in das Scorecard ein oder
- Importieren Sie sie aus einer Excel-Tabelle für den Selbsteinschätzungsfragebogen des Anbieters.
Legen Sie relevante Nachweise vor, die vom Anbieter bereitgestellt werden, wie zum Beispiel Zertifizierungen und Praktiken.
In BSC Designer:
- Aktualisieren Sie die Bewertungen manuell über den Daten-Tab.
- Verwenden Sie Tools > Daten exportieren, um Bewertungskriterien für die Selbsteinschätzung des Anbieters nach Excel zu exportieren.
- Hängen Sie Nachweise an die Bewertungskriterien oder an die im Initiativen-Dialog formulierten Minderungspläne an.
Bewertung des Lieferantenrisikos
Wir können die Daten zur Lieferantenbewertung verwenden, um das Risiko von Cybersecurity-Verletzungen für den Lieferanten einzuschätzen.
In diesem Fall:
- Die Gesamtpunktzahl der Lieferantenbewertung wird zur Wahrscheinlichkeit des Risikos beitragen.
- Der Einfluss des Risikos kann gemäß der Rolle des Lieferanten in der Lieferkette geschätzt werden.
Um dies im BSC Designer einzurichten:
- Klicken Sie auf Hinzufügen – Risiko hinzufügen.
- Klicken Sie auf die Schaltfläche Datenquelle für den Indikator Wahrscheinlichkeit.
- Ändern Sie die Formel zu: 100-%[Lieferant 1] (je höher der Fortschritt des Lieferanten gemäß der Scorecard, desto geringer die Wahrscheinlichkeit des Risikos).
Fügen Sie das Risikodiagramm dem Dashboard hinzu, um die gesamte Risikolandschaft zu visualisieren:
Kontinuierliche Risikoüberwachung
Verfolgen Sie Änderungen in den Bewertungspunkten der Anbieter im Laufe der Zeit, wie Änderungen bei relevanten Zertifizierungen oder der Anzahl der Datenverletzungen.
- Definieren Sie den Überarbeitungszeitraum für jedes Bewertungskriterium
- Überwachen Sie Probleme, die für die Bewertungskriterien relevant sind.
- Planen Sie die Verbesserung der Bewertungspunkte der Anbieter.
- Planen Sie das Offboarding von Anbietern.
Evaluation Scorecard. In BSC Designer:
- Richten Sie das Update-Intervall für einen Indikator über den Werte-Editor ein
- Verwenden Sie den Werte-Editor, um Bewertungen bestimmten Daten zuzuordnen.
- Verwenden Sie dynamische Spalten, um zu sehen, wie sich die Bewertung im Laufe der Zeit ändert.
- Verwenden Sie Initiativen, um Datenverletzungen und Minderungsmaßnahmen zu verfolgen—aktualisieren Sie den Status und den Zeitrahmen.
- Verwenden Sie Kommentare für die Bewertung, um Probleme zu verfolgen, und Initiativen, um Verbesserungspläne abzubilden.
Abstimmung mit der Strategie
Stimmen Sie die Lieferantenrisikobewertungs-Scorecard mit anderen Strategie- und Funktions-Scorecards ab, wie z. B. Governance oder Compliance-Scorecards.
- Verwenden Sie die Gesamtbewertung des Risikos des Lieferantenportfolios.
- Verwenden Sie die Risikobewertungen spezifischer Lieferanten.
- Verknüpfen Sie Initiativen aus verschiedenen Scorecards.
Ein gutes Beispiel für die Notwendigkeit strategischer Abstimmung ist KI. Selbst wenn Ihre Organisation nicht plant, KI-Technologien einzuführen, wird sie höchstwahrscheinlich durch deren Nutzung über Drittanbieter und die Lieferkette beeinflusst. Eine Lieferanten-Scorecard muss mit der funktionalen KI-Governance-Scorecard abgestimmt werden.
In BSC Designer:
- Kopieren Sie das Lieferanten-Bewertungselement und fügen Sie es in die relevante Scorecard ein.
- Wählen Sie die Option „Verknüpfung durch Daten“ oder „Verknüpfung durch Kontext“.
Sitzung: 'Verwaltung von Bewertungs-Scorecards mit BSC Designer' ist Teil des laufenden Lernprogramms von BSC Designer, das sowohl als Online- als auch als Vor-Ort-Workshop angeboten wird. Erfahren Sie mehr....
Fazit
In diesem Artikel haben wir die Schritte zur Erstellung einer Lieferantenrisikomanagement-Scorecard besprochen:
- Definition von Bewertungskriterien
- Zuweisung von Gewichten je nach Risikoprofil des Lieferanten
- Kontinuierliche Risikoüberwachung
- Abstimmung der Lieferantenrisikobewertung mit anderen Scorecards
Erfahren Sie mehr über spezifischere Mechanismen von Bewertungs-Scorecards.
Nutzen Sie Vendor Risk Management Scorecard Vorlage
BSC Designer hilft Organisationen bei der Implementierung ihrer komplexen Strategien:
- Melden Sie sich für einen kostenlosen Plan auf der Plattform an.
- Verwenden Sie die
Vendor Risk Management Scorecard Vorlage als Ausgangspunkt. Sie finden sie unter Neu > Neue Scorecard > Weitere Vorlagen. - Folgen Sie unserem Strategie-Implementierungssystem, um Stakeholder und strategische Ambitionen in eine umfassende Strategie zu integrieren.
Fangen Sie noch heute an und sehen Sie, wie BSC Designer Ihre Strategieimplementierung vereinfachen kann!
Alexis Savkin ist Senior Strategy Consultant und CEO von BSC Designer, einer Plattform für Strategiearchitektur und -umsetzung. Er verfügt über mehr als 20 Jahre Erfahrung in diesem Bereich und hat einen Hintergrund in angewandter Mathematik und Informationstechnologie. Alexis ist Autor des „Strategy Implementation System“. Er hat über 100 Artikel zu Strategie und Leistungsmessung veröffentlicht, spricht regelmäßig auf Branchenveranstaltungen und seine Arbeiten werden häufig in der akademischen Forschung zitiert.