Im Zentrum des Beitrags steht eine einfache Abfolge für die Governance von Informationsrisiken bei Drittanbietern: messen, Abdeckung und Vertrauensniveau validieren, vergleichen, Abweichungen erklären, Risiken aggregieren, mit anderen vergleichen, behandeln und übertragen sowie schließlich steuern. Nach Darstellung von Dan beginnt das mit der Messung der verbleibenden Exponierung, also des Restrisikos nach Berücksichtigung von inhärentem Risiko, Datensensibilität, geschäftlicher Kritikalität, Qualität der Nachweise, Wirksamkeit von Kontrollen, Abhilfemaßnahmen, vertraglichen Schutzmechanismen, Versicherungen und kompensierenden Kontrollen.
Danach müsse das Management belegen können, wie groß die Abdeckung und wie belastbar die zugrunde liegenden Bewertungen sind. Dazu gehöre unter anderem, welchen Anteil der Anbieterlandschaft das Unternehmen in Risikoklassen eingeteilt hat, wie viel davon tatsächlich geprüft wurde, welchen Exponierungsanteil diese Prüfungen abdecken und ob deren Tiefe angemessen war. Ebenso wichtig seien die Unsicherheiten dort, wo Nachweise veraltet, unvollständig, zu eng gefasst, nur selbstauskunftsbasiert oder aus anderen Gründen wenig belastbar seien.
Erst auf dieser Basis lasse sich die gemessene Exponierung mit definierter Risikobereitschaft und Toleranz vergleichen. Laut Dan hängt wirksame Governance von Schwellenwerten ab, und diese wiederum von einer stabilen, standardisierten Messmethode. Fehlt sie, verlagern sich Entscheidungen auf Ermessensspielräume einzelner Prüfer, geschäftlichen Zeitdruck, Verhandlungsmacht, verfügbare Dokumente oder lokale Auslegung.
Abweichungen von üblichen Grenzwerten sollten nach diesem Modell ausdrücklich begründet werden. Geschäftliche Dringlichkeit könne es rechtfertigen, mit einem Anbieter außerhalb der normalen Toleranz weiterzuarbeiten. Solche Entscheidungen müssten aber explizit, messbar, verantwortet, zeitlich befristet und sichtbar sein. Die Berichterstattung zu Ausnahmen sollte deshalb den Treiber der Exponierung, die geschäftliche Begründung, geprüfte Alternativen, das akzeptierte Restrisiko, die erwartete Dauer, einen verantwortlichen Eigentümer sowie Minderungs- und Übertragungspläne ausweisen.
Ein weiterer Schwerpunkt ist die Aggregation. Eine einzelne Ausnahme bei einem Anbieter könne beherrschbar sein, schreibt Dan. Häufen sich jedoch ähnliche Ausnahmen, könne daraus ein wesentliches Portfoliorisiko entstehen. Entscheidungen, die für sich genommen tolerierbar erscheinen, würden gemeinsam relevant, wenn sie etwa denselben kritischen Prozess, Datentyp, Cloud-Anbieter, dieselbe Softwareplattform, Geografie, Kontrollschwäche, Subunternehmerabhängigkeit, Versicherungseinschränkung oder Vertragslücke betreffen.
Zusätzlichen Kontext soll ein Vergleich mit ähnlichen Organisationen liefern. Aufsichtsgremien sollten laut dem Beitrag prüfen, ob interne Normen und Schwellenwerte mit denen vergleichbarer Unternehmen übereinstimmen. Manche Organisationen akzeptierten mehr Exponierung als ihre Vergleichsgruppe, andere verfolgten einen konservativeren Ansatz, was Kosten, Tempo und Wettbewerbsfähigkeit beeinflussen könne. Dieser Vergleich helfe der Führung zu erkennen, ob Abweichungen Ausdruck bewusster Strategie oder eines unkontrollierten Driftens seien.
Auch Risikobehandlung und Risikoübertragung ordnet Dan klar als Governance-Entscheidungen ein. Das Management müsse wissen, welche Risiken behoben, reduziert, akzeptiert, zugesichert, versichert, freigestellt, gebündelt oder anderweitig übertragen werden und welcher finanzielle Anteil im Unternehmen verbleibt. Nützlich werde Risikoübertragung erst dann, wenn das Unternehmen die verbleibende Exponierung, einen plausiblen finanziellen Effekt, den selbst getragenen Anteil, den übertragenen Anteil, die Verlässlichkeit des Übertragungsmechanismus und das verbleibende Unternehmensrisiko in Geschäftssprache beschreiben könne.
Für das Management sieht Dan operative Verantwortung beim Betrieb dieses Governance-Modells: Messansatz pflegen, Schwellenwerte anwenden, Anbieter und Verträge bewerten, Konzentrationen erkennen, Maßnahmen empfehlen, Ausnahmen dokumentieren, Übertragungsoptionen prüfen sowie Abdeckung, Vertrauensniveau und wesentliche Exponierung berichten. Der Vorstand oder Aufsichtsrat müsse dagegen beurteilen, ob dieses Modell glaubwürdig ist, die Risikobereitschaft billigen oder hinterfragen, wesentliche Exponierung verstehen und erhebliche Abweichungen von der Toleranz prüfen.
Ein Bericht auf Vorstandsebene sollte nach Darstellung von Dan knapp, quantitativ, trendorientiert und auf Entscheidungen ausgerichtet sein. Er solle als Governance-Bericht zur Exponierung funktionieren, während operative Kennzahlen zur Anbieterprüfung getrennt behandelt werden. Zu den von ihm genannten Kernelementen gehören ein Überblick über die Exponierung, die Einordnung zur Toleranz, finanzielle Exponierung und Risikoübertragung, Ausnahmen, Vergleichswerte und Maßnahmen.
