Zum Inhalt springen
Procari Lexikon Third-Party Risk Management
Einkaufslexikon

Third-Party Risk Management

Third-Party Risk Management

Third-Party Risk Management (TPRM) bezeichnet die strukturierte Steuerung aller Risiken, die aus der Beziehung zu externen Parteien — Lieferanten, Dienstleistern, Outsourcing-Partnern und Subunternehmern — entstehen. Im DACH-Mittelstand orientieren sich Programme an OCC SR 11-7, EBA-Guidelines on Outsourcing und BaFin MaRisk AT 9.

Detaillierte Erklärung

TPRM unterscheidet sich vom klassischen Lieferantenrisikomanagement durch den breiteren Scope: erfasst werden nicht nur Material-Lieferanten, sondern alle Drittparteien mit Zugriff auf Daten, Systeme, Kunden oder kritische Prozesse — IT-Dienstleister, Cloud-Provider, Wartungsfirmen, Logistik-Partner, Beratungen, ausgelagerte Buchhaltung.

Der Lebenszyklus umfasst sieben Phasen: (1) Inventarisierung aller Drittparteien, (2) Risikoklassifizierung nach Kritikalität, (3) Due Diligence vor Vertragsabschluss, (4) Vertragliche Risikoverteilung mit Audit-Rechten und Kündigungsklauseln, (5) Laufende Überwachung über KPIs und Re-Assessments, (6) Issue-Management bei Vorfällen, (7) Geordneter Exit. OCC SR 11-7 (US Federal Reserve / OCC, 2013) hat diesen Lebenszyklus erstmals als regulatorischen Standard für Banken kodifiziert; die EBA-Guidelines on Outsourcing (EBA/GL/2019/02) übertragen den Ansatz auf den europäischen Finanzsektor.

Für den deutschen Mittelstand sind drei Regelwerke relevant: BaFin MaRisk AT 9 verlangt für Auslagerungen bei Banken und Versicherern eine vollständige Risikoanalyse mit Wesentlichkeitsbewertung, schriftlichem Auslagerungsvertrag und laufender Steuerung. LkSG §5 fordert eine Risikoanalyse über die gesamte Lieferkette mit jährlicher und anlassbezogener Aktualisierung. DORA (Digital Operational Resilience Act, ab Januar 2025 anwendbar) ergänzt für Finanzunternehmen einen IKT-Drittparteien-Fokus mit Konzentrationsrisiko-Bewertung und Register-Pflicht.

Risikodimensionen im TPRM: finanzielle Stabilität, operative Performance, Cybersicherheit, Datenschutz, Compliance (Sanktionen, Antikorruption), Menschenrechte, Nachhaltigkeit, geopolitische Lage und Konzentration. IIA 3-Lines-of-Defense weist die Verantwortung zu — Erste Linie betreibt das Programm, Zweite Linie setzt Methodik und Limits, Dritte Linie auditiert.

Werkzeuge: Drittparteien-Inventar (oft 500–5.000 Einträge im Mittelstand), Tiering-Modell (typisch Tier 1–4), automatisierte Sanktionslisten-Screenings, Finanzdaten-Monitoring, Cyber-Ratings, Onsite-Audits für Tier-1-Partner, Tabletop-Übungen für Ausfallszenarien. Das Programm muss skalieren — manuelle Ansätze brechen jenseits von 200 Drittparteien zusammen.

Praxisbeispiel (konkretes Einkaufsszenario)

Ein mittelständischer Automobilzulieferer (1.400 Mitarbeiter, 380 Mio. Euro Umsatz) baut sein TPRM-Programm im Rahmen der LkSG-Anforderungen aus. Ausgangslage: 1.247 aktive Drittparteien — 612 Material-Lieferanten, 218 Dienstleister, 89 IT-Provider, 328 Sub-Tier-Lieferanten aus Risikoanalyse.

Schritt 1 — Tiering: Die Drittparteien werden in vier Stufen klassifiziert. Tier 1 (kritisch, 47 Parteien): Single-Source, jährliches Volumen über 1 Mio. Euro, oder Zugriff auf produktionskritische Systeme. Tier 2 (hoch, 184): Volumen 250.000–1 Mio. Euro oder Datenzugriff. Tier 3 (mittel, 489): Standard-Lieferanten. Tier 4 (niedrig, 527): Spotkäufe, C-Teile.

Schritt 2 — Due Diligence pro Tier: Tier 1 erhält jährliches Onsite-Audit, Bonitätsprüfung quartalsweise (Creditreform, Dun & Bradstreet), Cyber-Rating monatlich (BitSight oder SecurityScorecard), Sanktionslisten-Screening täglich. Tier 2: jährliches Self-Assessment, halbjährliche Bonitätsprüfung. Tier 3: jährliches Screening. Tier 4: Onboarding-Check.

Schritt 3 — Vertragliche Standards: Alle Tier-1- und Tier-2-Verträge enthalten Audit-Rechte, Subunternehmer-Genehmigungspflicht, Datenschutz-Anlagen nach Art. 28 DSGVO, LkSG-Verhaltenskodex-Anerkennung, 30-Tage-Notifikationspflicht bei wesentlichen Änderungen, Exit-Unterstützungsklauseln.

Schritt 4 — Monitoring-Kennzahlen: Liefertreue, Qualitäts-PPM, Incident-Tickets, Compliance-Befunde, Bonitätsindex, Cyber-Score. Bei Schwellenwert-Verletzung automatische Eskalation an den Risk Owner. Nach 14 Monaten Programm-Betrieb: 23 identifizierte Risikofälle, davon 4 mit Lieferantenwechsel, 12 mit Maßnahmenplänen, 7 mit erhöhtem Monitoring. Die Quote der Drittparteien mit aktueller Risikobewertung liegt bei 96 %.

Investitions-Aufwand: 1,2 FTE Personalkosten, 84.000 Euro Tooling pro Jahr. Vermiedene Schadensumme laut Risikobewertung: 2,3 Mio. Euro Expected Loss reduziert um 1,4 Mio. Euro durch Maßnahmen. Return on Risk-Adjusted Capital: positiv ab Jahr 2.

Typische Fehler & Verhandlungskontext

Erster Fehler: Inventar-Lücken. Schatten-IT, Marketing-Tools, ausgelagerte HR-Funktionen tauchen oft nicht im Drittparteien-Inventar auf. Eine quartalsweise Abstimmung mit der Buchhaltung über Kreditoren-Stammdaten deckt typischerweise 8–15 % zusätzliche Drittparteien auf, die TPRM bisher nicht erfasst hatte.

Zweiter Fehler: Tiering rein nach Volumen. Ein kleiner IT-Dienstleister mit Admin-Rechten auf das ERP kann höheres Risiko erzeugen als ein Material-Lieferant mit 5 Mio. Euro Volumen. Die Tier-Logik muss Kritikalität, Datenzugriff und Substituierbarkeit gewichten.

Dritter Fehler: Audit-Rechte ohne Nutzung. Verträge enthalten Prüfklauseln, die nie ausgeübt werden. Ein TPRM-Programm braucht jährliche Audit-Pläne mit konkreten Zielen — sonst sind die Klauseln Papiertiger.

Vierter Fehler: Konzentrationsrisiko ignorieren. Wenn 60 % der kritischen Cloud-Workloads bei einem Hyperscaler liegen, ist das ein TPRM-Befund, kein IT-Thema. DORA Art. 28 fordert explizit eine Konzentrationsrisiko-Bewertung.

Im Verhandlungskontext: TPRM-Anforderungen sind verhandelbar, aber nicht beliebig. Erfahrene Einkäufer trennen Pflicht-Klauseln (Audit-Recht, Subunternehmer-Notifikation, DSGVO Art. 28) von Verhandlungsmasse (Audit-Frequenz, Pönalen, Reporting-Tiefe). Lieferanten akzeptieren strikte Anforderungen leichter, wenn sie als Branchen-Standard und nicht als Einzelforderung präsentiert werden — Verweis auf EBA-Guidelines oder DORA-Pflichten neutralisiert Widerstand. Karass ("Effective Negotiating") empfiehlt, kritische Klauseln früh zu setzen und um sekundäre Punkte zu verhandeln, nicht umgekehrt.

Fünfter Fehler: Exit-Klauseln nicht testen. Verträge enthalten Kündigungs- und Übergangsregelungen, aber niemand prüft im Tabletop-Format, ob ein Anbieterwechsel innerhalb der Vertragsfrist tatsächlich machbar ist. EBA-Guidelines fordern explizit Exit-Tests für kritische Auslagerungen — Mittelständler übersehen diese Pflicht regelmäßig.

Sechster Fehler: Sub-Tier-Blindheit. Ein TPRM-Programm, das nur Tier-1-Drittparteien erfasst, schützt nicht vor Risiken, die in Tier-2 oder Tier-3 entstehen — etwa Sanktions-Treffer bei einem Vorlieferanten oder LkSG-Befunde tief in der Kette. Sub-Tier-Mapping mit Self-Disclosure-Pflichten und stichprobenartiger Validierung schließt die Lücke. Schranner empfiehlt, Sub-Tier-Transparenz vertraglich an Konditionsverbesserungen zu koppeln — Lieferanten geben dann freiwilliger Auskunft.

Siebter Fehler: Fehlende Verzahnung zwischen TPRM, Compliance und Procurement. In vielen Mittelständlern arbeiten diese drei Funktionen mit eigenen Tools, eigenen Listen und eigenen Bewertungen — Doppelarbeit, widersprüchliche Befunde und Fehler im Issue-Management sind die Folge. Eine integrierte Drittparteien-Datenbasis mit Rollenrechten und gemeinsamen Workflows reduziert Aufwand um typischerweise 30-40 % und erhöht gleichzeitig die Audit-Qualität. ISO 37301 verlangt explizit eine konsistente Datenbasis für Compliance-relevante Drittparteien.

Verwandte Begriffe

  • [[lieferantenrisikomanagement]]
  • [[risikoanalyse-lieferkette]]
  • [[lieferantenausfallrisiko]]
  • [[compliance-risikobewertung-einkauf]]
  • [[bafa-pruefung-lksg]]

Alle 1.460+ Begriffe als PDF

Das komplette Procari Einkaufslexikon — kostenlos per Email.

PDF anfordern →