Zum Inhalt springen
Compliance-Cloud Compliance-Cloud Hilfe

Lieferanten-Risikomanagement (TPRM)

Third-Party-Risk-Management (TPRM) ist der Prozess, mit dem Sie Risiken durch Dritte — Lieferanten, Dienstleister, Subunternehmer — erkennen, bewerten und steuern. Compliance-Cloud bildet diesen Prozess durchgängig ab.

Der Lebenszyklus eines Lieferanten

Abschnitt betitelt „Der Lebenszyklus eines Lieferanten“

1. Erfassen

Lieferant anlegen, Stammdaten und Ansprechpartner hinterlegen — einzeln oder per CSV-Import.

2. Klassifizieren

Inhärentes Risiko über Kritikalität, Datenzugriff und Substituierbarkeit bestimmen. Ergebnis: eine Risiko-Ampel.

3. Bewerten

Selbstauskunft per Fragebogen einholen, Nachweise prüfen, Rest-Risiko ableiten.

4. Überwachen

Zertifikate, Fristen und Neubewertungen automatisch im Blick behalten — laufend statt einmalig.

Die Lieferantenübersicht

Abschnitt betitelt „Die Lieferantenübersicht“

Die Übersicht ist Ihre zentrale Steuerzentrale. Jede Zeile zeigt den Lieferanten mit seiner Risiko-Ampel, dem aktuellen Status und dem Datum der letzten Bewertung. Sie können nach Kategorie, Risiko, Land oder dem Kennzeichen kritisch filtern und sortieren.

app.compliance-cloud.eu/suppliers
Die Übersicht mit Risiko-Ampel, Status und Schnellfiltern.

Inhärentes Risiko und Rest-Risiko

Abschnitt betitelt „Inhärentes Risiko und Rest-Risiko“

Compliance-Cloud unterscheidet zwei Risikowerte:

  • Inhärentes Risiko — das Risiko vor Schutzmaßnahmen, abgeleitet aus der Klassifizierung beim Anlegen.
  • Rest-Risiko — das Risiko nach Berücksichtigung der Selbstauskunft, der vorgelegten Nachweise und vorhandener Zertifikate.

So sehen Sie auf einen Blick, wo Schutzmaßnahmen greifen und wo Handlungsbedarf bleibt.

Kritische Lieferanten überwachen

Abschnitt betitelt „Kritische Lieferanten überwachen“

Für als kritisch gekennzeichnete Lieferanten (siehe Ersten Lieferanten anlegen) gelten strengere Regeln:

  • Pflicht-Neubewertung in regelmäßigen Abständen (konfigurierbar).
  • Benachrichtigung bei ablaufenden Zertifikaten oder überfälligen Auskünften.
  • Hervorhebung in NIS2-Exporten und im Compliance-Dashboard.

Diese Überwachung lässt sich vollständig über Workflows automatisieren — etwa „90 Tage vor Ablauf eines ISO-27001-Zertifikats neue Auskunft anfordern”.

Berichte und Exporte

Abschnitt betitelt „Berichte und Exporte“

Für Audits und das Management erzeugt Compliance-Cloud Berichte über Ihren Lieferantenbestand — etwa eine NIS2-Lieferanten­liste oder eine Risiko-Verteilung. Mehr dazu unter Berichte & Exporte.