Von einzelnen Tools zum integrierten Betriebsmodell: So wird Third-Party Risk Management alltagstauglich

Die Anforderungen an ein wirksames Third-Party Risk Management (TPRM) nehmen weiter zu. Unternehmen sind nicht nur dazu angehalten, Risiken zu identifizieren und zu bewerten, sondern sollten diese auch entlang des gesamten TPRM-Lebenszyklus überwachen, dokumentieren und steuern. Gleichzeitig steigt die Zahl der Drittparteien weiter an, während interne Ressourcen häufig begrenzt bleiben.

Unsere globale TPRM-Studie belegt diese Entwicklung. Mehr als 80 Prozent der befragten Organisationen geben an, bereits Managed Services, Outsourcing oder Co-Sourcing zur Durchführung zentraler TPRM-Aktivitäten einzusetzen – von Due Diligence und Onboarding bis hin zu Monitoring und Remediation. Dennoch nutzen bislang nur rund 5 Prozent ein echtes End-to-End Managed-Service-Modell.

Die Ergebnisse machen damit ein Spannungsfeld deutlich: Während der Bedarf an Skalierung und Effizienz hoch ist, zögern viele Organisationen weiterhin, das TPRM in der operativen Verantwortung nach extern zu verlagern. 

Zu unterscheiden sind verschiedene Servicemodelle, die jeweils eigene Schwerpunkte verfolgen und entsprechend unterschiedlich organisatorisch eingebunden sind. Outsourcing beschreibt die vollständige Auslagerung klar definierter Aufgaben oder Prozessschritte an einen externen Dienstleister. Co‑Sourcing steht für ein arbeitsteiliges Modell, in dem interne Teams und externe Spezialisten gemeinsam Verantwortung für einzelne Aktivitäten übernehmen. Managed Services gehen darüber hinaus: Dieses Modell kombiniert standardisierte Prozesse, integrierte Technologien und klar definierte Steuerungsmechanismen zu einem fortlaufenden Betriebsmodell, bei dem operative Tätigkeiten dauerhaft durch einen externen Anbieter erbracht werden, während Governance und Entscheidungsrechte beim Unternehmen verbleiben.

In der Praxis werden Managed Services häufig für quantitative volumenintensive Prozessschritte eingesetzt. Die Studie zeigt, dass externe Unterstützung vor allem in Bereichen wie Onboarding, Due-Diligence-Prüfungen, laufendem Monitoring, sowie Vertragsmanagement genutzt wird. Auf diese Weise lassen sich große Drittparteibestände effizient steuern und interne Teams werden entlastet. 

Besonders relevant ist dieses Modell für hochregulierte und stark skalierende Branchen. Finanzdienstleister, Banken und Versicherungen nutzen Managed Services zunehmend, um große Drittparteienportfolios, komplexe regulatorische Anforderungen und hohe Dokumentationspflichten effizient zu bewältigen. Aber auch Unternehmen aus der Technologie‑, Energie‑ oder Life‑Sciences‑Industrie profitieren von externen Betriebsmodellen, wenn Drittparteien tief in kritische Prozesse eingebunden sind und kontinuierlich überwacht werden müssen.

Managed Services entwickeln sich dabei zunehmend weg von stundenbasierten Unterstützungsmodellen hin zu ergebnisorientierten Serviceansätzen. Technologisch gestützte Servicemodelle ermöglichen messbare Effizienzgewinne, transparente Bearbeitungsstände und eine bessere Fokussierung auf risikorelevante Drittparteien.

Wie in unserem Artikel "Von Einzellösungen zu integrierten Plattformen: Wie Technologie das Third-Party Risk Management transformiert" dargestellt, entfalten verschiedenste Technologien und spezifisch künstliche Intelligenz ihren Mehrwert im TPRM insbesondere dann, wenn sie nicht isoliert eingesetzt werden, sondern entlang durchgängiger Prozesse wirken. Derzeit verfügen Unternehmen allerdings oft noch über stark fragmentierte Tool Landschaften.

Managed Services setzen genau hier an: Sie kombinieren integrierte Plattformen, standardisierte Workflows, KI-gestützte Screening und Monitoring Komponenten in einem durchgängigen Betriebsmodell. So lassen sich Aufgaben wie Drittparteienklassifizierung, Risikobewertung, laufendes Monitoring, Issue Management und Reporting konsistent und skalierbar abbilden – ohne zusätzliche Komplexität für die interne Organisation.

Trotz aller Effizienzvorteile bleibt wirksame Governance ein zentraler Erfolgsfaktor. Die Studie zeigt, dass Bedenken hinsichtlich Kontrollverlust und Datensicherheit nach wie vor zu den wichtigsten Hemmnissen für den umfassenden Einsatz von Managed Services zählen.

Erfolgreiche Managed-Service-Modelle zeichnen sich daher auch durch folgende Kriterien aus:

• Klar definierte Governance-Strukturen
• Vertraglich verankerte Service-Level-Agreements (SLAs) und KPIs
• Transparente Reporting-Mechanismen
• Eine enge Verzahnung mit internen Risiko- und Compliance Funktionen

Unternehmen behalten so die strategische Steuerung und Entscheidungsverantwortung, während operative Tätigkeiten effizient extern unterstützt werden.

Der richtige Managed-Service-Ansatz muss eng mit den Bedarfen des jeweiligen Unternehmens abgestimmt sein. Abhängig von Reifegrad, Organisationsstruktur und regulatorischem Umfeld kommen unterschiedliche Modelle zum Einsatz – von punktuellem Co-Sourcing einzelner Aktivitäten bis hin zu umfassenden End-to-End Managed-Service-Setups, die auf bestehenden TPRM oder GRC-Plattformen aufsetzen. 

Die folgende Darstellung veranschaulicht unterschiedliche Servicemodelle für den Einsatz von Managed Services im TPRM, die sich je nach organisatorischem Reifegrad und Systemlandschaft unterscheiden:

_{Abbildung 1: Servicemodelle im TPRM entlang des Reifegrads}

Vor der Auswahl eines Managed‑Service‑Partners sollten Unternehmen zentrale Fragestellungen klären, wie zum Beispiel:

• Welche Aufgaben verbleiben bewusst intern, welche sollen operativ ausgelagert werden?
• Erfüllt das Managed-Service-Modell unsere regulatorischen und aufsichtsrechtlichen Anforderungen?
• Wie transparent, prüfbar und skalierbar sind Methodik und Prozesse des Dienstleisters?
• Wie wird Daten- und Informationssicherheit sichergestellt?
• Unterstützt das Managed Service Modell unsere strategischen Ziele im TPRM?

Managed Services entwickeln sich zunehmend zu einem zentralen Hebel, um TPRM effizient, skalierbar und zukunftsfähig aufzustellen. Sie ermöglichen es Unternehmen,

• mit wachsenden Drittparteiennetzwerken umzugehen,
• gezielt externes Wissen fokussiert einzusetzen, um so Ressourcen gezielt auf risikorelevante Themen zu fokussieren,
• technologische Innovationen schneller produktiv zu nutzen
• und gleichzeitig Governance und Kontrolle zu wahren.

Gerade vor dem Hintergrund wachsender regulatorischer Anforderungen und zunehmender Risikodynamiken bieten Managed Services einen praxisnahen Ansatz, um TPRM nachhaltig in der Organisation zu verankern und den operativen Alltag sicherzustellen.