In den letzten Monaten haben geopolitische Spannungen, zunehmende Cyberangriffe und verschärfte regulatorische Anforderungen Unternehmen vor neue Herausforderungen bei der Steuerung von Drittparteien gestellt. Third-Party Risk Management (TPRM) wird damit zu einem zentralen Bestandteil unternehmerischer Risikostrategien.

Alte Strukturen vs. neue Anforderungen im Risikomanagement von Drittparteien

Beim Third-Party Risk Management denken viele Führungskräfte zunächst an regulatorische Anforderungen wie das Lieferkettensorgfaltspflichtengesetz oder die Corporate Sustainability Due Diligence Directive. In der Praxis reicht TPRM jedoch deutlich weiter und entwickelt sich aktuell vom Compliance-Thema zum Steuerungsinstrument für Resilienz und Wertschöpfung.

Zahlreiche Unternehmen arbeiten allerdings heute noch mit Strukturen, die für eine andere Risikowelt konzipiert wurden und den aktuellen Anforderungen nicht mehr genügen. Die Zahl der Drittparteien steigt, ihre Vernetzung nimmt zu, Abhängigkeiten werden komplexer. Gleichzeitig erhöhen interne Anforderungen den Druck auf Transparenz und Steuerbarkeit. Klassische TPRM-Ansätze, die isoliert in einzelnen Funktionen verankert sind und nur begrenzt mit strategischen Zielen verbunden werden, liefern in diesem Umfeld nur eingeschränkt Orientierung.

Governance als Steuerungsmodell

Ein belastbares TPRM beginnt mit klarer Governance. Transparente Verantwortlichkeiten und strukturierte Zusammenarbeit schaffen die Grundlage für konsistente Risikosteuerung. Mit Blick auf das Three-Lines-of-Defense-Modell wird schnell klar, dass sämtliche Linien beim Thema Third-Party Risk Management involviert sind. Impulse entstehen häufig in operativen Funktionen wie Einkauf oder Account Management. Risiko- und Compliance-Funktionen definieren Leitplanken und Methoden. Die interne Revision greift TPRM in ihrer Prüfungsplanung auf und bewertet die Wirksamkeit.

In vielen Organisationen hat sich das TPRM langsamer entwickelt als andere Managementsysteme. Strategische Verankerung blieb oft punktuell. Verschiedene Bereiche arbeiten parallel am Thema, jedoch mit eigenen Perspektiven und Methoden. Das Ergebnis sind fragmentierte Risikobilder, begrenzte Vergleichbarkeit und fehlende Priorisierung über Bereichsgrenzen hinweg.

Dies bestätigt auch die globale KPMG TPRM Studie mit 851 teilnehmenden Unternehmen, in der die Integration und Verzahnung des TPRM mit anderen Risikomanagement-Programmen als eine der drei größten Herausforderungen genannt wird. Wichtig ist daher, dass die Auf- und Ablauforganisation innerhalb des TPRM klar definiert sind, um so abteilungsübergreifende Transparenz herzustellen. Vor diesem Hintergrund sollte sich das Management beim Ausgestalten der TPRM‑Governance im ersten Schritt mit folgenden Schlüsselfragen befassen:

Wo ist die Gesamtverantwortung für das TPRM organisatorisch verankert und mit welchen Entscheidungs‑, Steuerungs‑ und Eskalationskompetenzen ist sie ausgestattet?
Welche Drittparteirisiken sollen im Rahmen des TPRM abgedeckt werden und nach welchen Kriterien erfolgt die risikobasierte Abgrenzung der relevanten Risikokategorien (beispielsweise Cybersicherheit, Compliance, Qualität, ESG, geografische Risiken)?
Wie werden aus den relevanten Risikokategorien die einzubindenden Funktionen und Fachbereiche abgeleitet?
Wie sind operative Risikoverantwortung, Steuerungs‑ und Überwachungsfunktionen klar voneinander abgegrenzt und miteinander verzahnt?
Wie sind dezentrale Einheiten und Fachbereiche in das zentrale TPRM‑Governance‑Modell eingebunden?
Sind Rollen und Verantwortlichkeiten im TPRM – etwa TPRM Owner, Risk Owner und Supplier Owner – klar definiert, und verfügen die verantwortlichen Personen über die erforderlichen Kompetenzen, Schulungen und Entscheidungsspielräume?

cast

Externe Dienstleister, Partner und Lieferanten spielen eine zentrale Rolle in modernen Wertschöpfungsketten – zugleich steigen regulatorische Anforderungen. Im Webcast erhalten Sie einen klar strukturierten, praxisorientierten Überblick über zentrale Anforderungen und Risikofelder im Third‑Party Risk Management.

Jetzt Webcast abrufen

Das Zielbild einer wirksamen TPRM-Governance

Ein wirksames Zielbild für TPRM-Governance unterscheidet sich je nach Geschäftsmodell, Risikoprofil und Organisationsstruktur. In der Praxis bewährt sich jedoch eine zentrale Verantwortung für den konsistenten Blick auf Drittparteirisiken. Ein klar benannter TPRM Owner bündelt, validiert und konsolidiert Risiken und macht Wechselwirkungen sichtbar. Unsere oben bereits erwähnte Studie zeigt, dass viele Unternehmen hier noch am Anfang stehen. Nur 28 Prozent verfügen über eine zentralisierte TPRM-Aufsicht mit End-to-End-Verantwortung, in vielen Organisationen bleibt TPRM fragmentiert.

Die organisatorische Verankerung dieser Rolle kann unterschiedlich ausfallen. Im Risikomanagement entsteht eine enge Anbindung an bestehende Bewertungsmethoden, was eine intensive Abstimmung mit den Fachbereichen erfordert. Eine Zuordnung im Compliance-Bereich stärkt die regulatorische Perspektive, rückt TPRM jedoch häufig in die Nähe einer reinen Pflichterfüllung. Eine Verortung im Einkauf schafft Nähe zu Lieferanten und operativen Prozessen, setzt jedoch ausgeprägtes Risikoverständnis voraus.

Entscheidend ist weniger die Zuordnung als die Ausgestaltung der Rolle. Klare Entscheidungsrechte, definierte Eskalationswege und funktionsübergreifende Akzeptanz ermöglichen konsistente Steuerung und einen ganzheitlichen Risikoblick. TPRM entwickelt sich so zu einem Baustein moderner Unternehmensführung, der Risiko- und Geschäftssteuerung verbindet.

Im zweiten Teil der Serie, der in Kürze veröffentlicht wird, erfahren Sie, wie Technologie und künstliche Intelligenz zusätzliche Transparenz schaffen.