Für Unternehmen, die mit Dritten oder externen Firmen zusammenarbeiten, ist das Risikomanagement für Dritte zu einer unverzichtbaren Praxis geworden. Angesichts der zunehmenden Auslagerung von Dienstleistungen an Dritte müssen neue Risiken gemanagt werden. Diese Abhängigkeit bringt einerseits Chancen mit sich, andererseits aber auch Schwachstellen, die einer systematischen Überwachung bedürfen.
Das Risikomanagement für Dritte umfasst die kontinuierliche Bewertung aller externen Beziehungen, um sicherzustellen, dass sie weiterhin den Anforderungen an Sicherheit, Compliance und Leistung entsprechen. Dieser kontinuierliche Ansatz ist wirksam, um neue Risiken zu identifizieren, da sich Beziehungen und Geschäftsbedingungen im Laufe der Zeit ändern.
In diesem Blog werden wir diskutieren, was Third-Party Risk Management (TPRM) ist und wie Unternehmen erfolgreiche TPRM-Programme zum eigenen Schutz einrichten können. Außerdem werden wir die wichtigsten Risikokategorien, die Merkmale eines robusten Risikomanagementsystems für Dritte und die Praktiken, die zur Reduzierung von Problemen beitragen, untersuchen.
Was ist Third-Party Risk Management (TPRM)?
Third-Party Risk Management umfasst die Identifizierung, Analyse und Kontrolle von Risiken, die durch die Nutzung von Ressourcen Dritter entstehen. Bei diesen externen Stellen kann es sich um Anbieter, Lieferanten, Geschäftspartner, Auftragnehmer usw. handeln. TPRM untersucht, wie sich diese Beziehungen auf das Unternehmen in Bezug auf Betrieb, Sicherheit, Finanzen und Reputation auswirken können.
Da immer mehr Unternehmen Dienste von Drittanbietern nutzen, hat sich der Anwendungsbereich von TPRM erweitert. Die meisten Unternehmen nutzen Dutzende oder sogar Hunderte von externen Anbietern für ihre Arbeitsabläufe, von Cloud-Speicher über Software-Tools bis hin zu Zahlungsabwicklung und Kundenservice. Jede Verbindung schafft einen möglichen Kanal, über den Probleme in das Unternehmen gelangen können. Ein effektives TPRM-Programm untersucht diese Beziehungen, um Schwachstellen zu identifizieren, bevor sie zu Problemen werden.
Warum ist das Risikomanagement von Drittanbietern so wichtig?
Die digitale Lieferkette hat sich erheblich erweitert und bietet Angreifern mehr Einstiegspunkte für Angriffe auf die Systeme. Die Verbindung des Netzwerks mit einem Anbieter könnte potenziell eine Hintertür zu den Daten schaffen, durch die jemand anderes eindringen kann. Die meisten hochkarätigen Datenverstöße zielen nicht direkt auf das große Unternehmen ab, sondern beginnen bei einem kleineren Anbieter mit schwächerer Sicherheit. TPRM entdeckt diese möglichen Angriffswege und behebt sie, bevor sie ausgenutzt werden können.
Die Aufrechterhaltung eines guten TPRM ermöglicht die Einhaltung verschiedener Gesetze und verhindert so Geldstrafen. Die DSGVO in Europa, der CCPA in Kalifornien und Branchenvorschriften im Gesundheits- und Finanzwesen verpflichten Unternehmen dazu, Probleme im Zusammenhang mit Anbietern zu benchmarken. Wenn der Anbieter Kundendaten nicht schützt, kann das Unternehmen von den Aufsichtsbehörden gesamtschuldnerisch haftbar gemacht werden.
TPRM ist mittlerweile unverzichtbar, da Datenschutz für immer mehr Unternehmen oberste Priorität hat. Unternehmen sind weiterhin für den Schutz von Kundendaten verantwortlich, wenn sie diese an Drittunternehmen weitergeben. Indem TPRM sicherstellt, dass jeder in Ihrem Netzwerk für Daten verantwortlich ist, verringert es die Wahrscheinlichkeit von Datenschutzproblemen, die das Vertrauen in das Unternehmen gefährden könnten.
Häufige Arten von Risiken durch Dritte
Wenn Unternehmen die verschiedenen Arten von Risiken kennen, die von Dritten ausgehen können, können sie sich angemessen dagegen schützen.
- Finanzielle Risiken: Lieferanten können in finanzielle Schwierigkeiten geraten, die ihre Leistungserbringung gefährden. Der Betrieb kann erheblich gestört werden, wenn ein Lieferant insolvent wird oder erhebliche Liquiditätsprobleme hat.
- Erhöhtes Sicherheitsrisiko: Anbieter können Schäden an den Systemen verursachen. Hacker können den Softwareanbieter nutzen, um auf das Netzwerk zuzugreifen, wenn dessen Sicherheit unzureichend ist. TPRM untersucht, wie Anbieter ihre Systeme sichern und wie sie mit dem System des Unternehmens verbunden sind.
- Compliance-Risiken: Diese Risiken treten auf, wenn Anbieter die für ihr Geschäft geltenden Gesetze oder Branchenstandards nicht einhalten. Wenn Partner die Daten verwalten oder in ihrem eigenen Interesse handeln und dabei gegen Regeln verstoßen, kann das Unternehmen mit Strafen belegt werden.
- Operative Risiken: Diese Risiken wirken sich direkt auf die normalen Geschäftsfunktionen aus. Diese reichen von Anbietern, die minderwertige Produktionsanlagen bereitstellen, über Terminüberschreitungen bis hin zu Ausfällen, die kritische Dienste beeinträchtigen.
- Reputationsrisiken: Diese Risiken entstehen, wenn das Verhalten des Anbieters das Image des Unternehmens beeinträchtigt. Wenn ein Partner zudem etwas Unzuverlässiges tut oder wegen etwas in die Schlagzeilen gerät, verbinden die Menschen den Ruf der Organisation mit dem des Partners.
Wichtige Komponenten des Risikomanagements für Dritte
Ein Lösungsrahmenwerk bietet die vielfältigen, voneinander abhängigen Komponenten des TPRM, die für den Aufbau eines starken Programms erforderlich sind.
Ermittlung und Klassifizierung von Drittanbietern
Ein effektives TPRM beginnt mit der Ermittlung und Klassifizierung von Drittanbietern. Dazu gehört die Erstellung einer umfassenden Bestandsaufnahme aller Drittanbieter, mit denen das Unternehmen zusammenarbeitet, und deren Klassifizierung nach dem Grad des von ihnen ausgehenden Risikos. Bei der Klassifizierung werden die Art der Daten, auf die sie zugreifen, ihre Bedeutung für den Betrieb und die für sie geltenden regulatorischen Verpflichtungen berücksichtigt. Auf diese Weise können Ressourcen gezielt für die Beziehungen eingesetzt werden, die das größte Risiko bergen.
Risikobewertung und Due Diligence
Eine effektive Risikobewertung und Due Diligence ermöglichen es Unternehmen, die mit jeder Beziehung verbundenen spezifischen Risiken zu verstehen. Im Rahmen dieses Prozesses werden Lieferanten vor Vertragsunterzeichnung und regelmäßig nach Vertragsunterzeichnung bewertet. Diese Bewertungen können Sicherheitsfragebögen oder Dokumentenprüfungen und in einigen Fällen auch Vor-Ort- oder technische Tests umfassen. Ziel ist es, Kontrolllücken bei Lieferanten aufzudecken, die für das Unternehmen Probleme verursachen könnten.
Vertragliche Sicherheit und Anforderungen
Dies sind Bestimmungen in vertraglichen Vereinbarungen, die die Interessen des Unternehmens schützen. Gut ausgearbeitete Verträge enthalten nicht nur Sicherheitsanforderungen, sondern auch Datenschutzbestimmungen, Klauseln zum Recht auf Prüfung und klar formulierte Konsequenzen für die Nichteinhaltung festgelegter Standards. Sie legen Erwartungen fest und machen Dritte, die Daten verarbeiten oder einen geschäftskritischen Dienst erbringen, verantwortlich.
Laufende Überwachung und Neubewertung
Dadurch werden die Risikoinformationen des Unternehmens auf dem neuesten Stand gehalten. Wenn TPRM effektiv ist, wartet es nicht bis zum Abschluss von Verträgen, um Lieferanten zu überprüfen, sondern achtet stattdessen auf Veränderungen, die das Risiko erhöhen könnten. Dazu gehören die Überwachung von Sicherheitsbewertungen, Indikatoren für die finanzielle Gesundheit, Nachrichten über Lieferanten und regelmäßige Neubewertungen in Abständen, die sich nach dem Risiko richten.
Planung der Reaktion auf Vorfälle
Die Planung der Reaktion auf Vorfälle hilft Unternehmen, sich auf Probleme mit Dritten vorzubereiten. Diese Pläne beschreiben die Maßnahmen, die im Falle einer Datenverletzung, eines Wissensverlusts oder einer Dienstunterbrechung zu ergreifen sind, die sich direkt auf Unternehmen als Kunden eines Lieferanten auswirken. Dieses Verfahren reduziert den Schaden bei Vorfällen und stellt sicher, dass alle Reaktionsteams sich ihrer Aufgaben bewusst sind.
Vorteile eines effektiven Risikomanagements für Dritte
Unternehmen, die starke TPRM-Programme implementieren, profitieren von Vorteilen, die über die grundlegende Risikominderung hinausgehen.
Reduzierte Sicherheits- und Compliance-Vorfälle
TPRM hilft dabei, Probleme zu erkennen und zu beheben, bevor sie Schaden anrichten. Durch das Erkennen und Beheben von Schwachstellen bei Lieferanten wird das Risiko von Verstößen und Regelverstößen verringert. Indem Sicherheitsvorfälle von vornherein verhindert werden, sparen Unternehmen Kosten und Unterbrechungen, die durch die Durchführung eines Programms zur Gefahrenabwehr von Grund auf entstehen können.
Verbesserte Transparenz in Bezug auf erweiterte Unternehmensrisiken
Es bietet der Unternehmensleitung einen besseren Überblick über die Verantwortlichkeiten innerhalb des Unternehmens. Anstatt nur interne Risiken zu sehen, können Entscheidungsträger auch erkennen, wie sich externe Beziehungen auf das Gesamtrisiko auswirken. Diese breitere Perspektive ermöglicht einen fundierteren Entscheidungsprozess und eine bessere Zuweisung von Sicherheitsressourcen.
Verbessertes Leistungsmanagement von Drittanbietern
Ein besseres Leistungsmanagement von Drittanbietern bedeutet, dass diese das Unternehmen besser bedienen. Durch die Messung der Sicherheits- und Compliance-Leistung zusätzlich zu traditionellen Kennzahlen wie Kosten und Lieferzeiten haben Anbieter einen zusätzlichen Anreiz, Standards einzuhalten. Dies erhöht den Standard der Beziehungen zu Drittanbietern.
Kosteneffizienz durch Standardisierung
Mit TPRM verringert sich der Aufwand für das Lieferantenmanagement. Ein standardisiertes TPRM schafft einheitliche Prozesse, die Zeit und Ressourcen sparen, anstatt zeitaufwändige, individuelle Methoden für jede einzelne Beziehung anzuwenden. Teams verbringen weniger Zeit mit Routinebewertungen und haben mehr Zeit, sich mit wesentlichen Risiken zu befassen.
Gestärktes Vertrauen der Stakeholder
Unternehmen haben durch das gestärkte Vertrauen der Stakeholder die Kontrolle über größere Risiken. Kunden, Partner, Investoren und sogar Aufsichtsbehörden haben mehr Vertrauen in die allgemeine Risikominderung, wenn sie sehen, dass Unternehmen Risiken von Drittanbietern gut managen.
Schritte zum Aufbau eines Rahmens für das Risikomanagement von Drittanbietern
Der erste Schritt zum Aufbau eines TPRM-Rahmens ist die Unterstützung durch die Führungsriege. Führungskräfte müssen die geschäftlichen Gründe für TPRM verstehen, z. B. den Schutz des Unternehmens vor finanziellen Verlusten, Bußgeldern und Reputationsschäden. Diese sichtbare Unterstützung wirkt auch dem Widerstand von Teams entgegen, die TPRM möglicherweise als Hindernis für die Zusammenarbeit mit Lieferanten betrachten.
Die Einführung einer Risikobewertungsmethodik sorgt für Konsistenz im Programm. Dieser Ansatz beschreibt, wie Unternehmen Lieferantenrisiken bewerten, welche Ergebnisse für sie am wichtigsten sind und wie sie verschiedene Arten von Ergebnissen beheben.
Die Schaffung von Governance-Strukturen sorgt für eine klare Zuständigkeit für die TPRM-Aktivitäten. Dazu kann die Festlegung von Rollen und Verantwortlichkeiten in den verschiedenen Abteilungen, die Einrichtung von Genehmigungsworkflows und die Bildung von Ausschüssen zur Überprüfung risikoreicher Beziehungen gehören. Governance-Systeme sorgen für Verantwortlichkeit und verhindern, dass wichtige Schritte aufgeschoben oder umgangen werden.
Technologische Lösungen haben TPRM effizienter und effektiver gemacht. Mit speziellen Tools können Teams Fragebögen automatisieren, Bewertungsergebnisse verfolgen und Leistungsberichte von Lieferanten oder andere Arten von Berichten erfassen. Solche Systeme tragen dazu bei, manuellen Aufwand und menschliche Fehler zu minimieren und ermöglichen einen besseren Einblick in die Ergebnisse des Programms.
Sicherstellen, dass Mitarbeiter und Lieferanten ihre Rolle im TPRM verstehen. Interne Teams müssen die Bewertungsinstrumente verstehen, wissen, wie die Ergebnisse zu interpretieren sind und wann Bedenken geäußert werden müssen. Unternehmen müssen ihren Lieferanten vermitteln, was sie von ihnen erwarten und wie sie bewertet werden. Schulungen tragen dazu bei, Fachwissen aufrechtzuerhalten, während sich das Programm weiterentwickelt.
Metriken und KPIs zur Messung der TPRM-Effektivität
Die Messung der Programmleistung gibt Unternehmen Einblick in ihre Fortschritte und zeigt auf, wo Handlungsbedarf besteht.
Wenn sich das Risikoprofil eines Unternehmens ändert, kann es dies einfach anhand der Risikobewertungen der Anbieter verfolgen. Sicherheitsbewertungen wandeln diese Risikofaktoren in eine umfassende Bewertung für jeden Anbieter um. Dies hilft Unternehmen dabei, festzustellen, ob ihr Programm das Gesamtrisiko im Laufe der Zeit senkt, und identifiziert Managed-Service-Anbieter, die zusätzliche Aufmerksamkeit erfordern.
Die Programmabdeckung wird anhand des Anteils der abgeschlossenen Bewertungen bewertet. Prozentsatz der fristgerecht abgeschlossenen erforderlichen Bewertungen, der den Stand/die Phase der Fertigstellung angibt. Eine niedrige Abschlussquote kann auf ein Prozessproblem oder eine Unterausstattung des Programms hinweisen.
Die Effizienz wird anhand der für die Durchführung der Bewertungen benötigten Zeit gemessen. Dabei wird die Zeit zwischen Beginn und Abschluss einer Lieferantenbewertung bewertet. Lange Bewertungszeiträume können Geschäftsprojekte verzögern und zu Unzufriedenheit bei internen Teams und Anbietern führen.
Die Behebungsrate gibt Aufschluss darüber, wie gut Probleme gelöst werden. Sie konzentriert sich auch auf den Prozentsatz der Probleme, die Anbieter innerhalb der vereinbarten Fristen erfolgreich behoben haben. Niedrige Behebungsraten deuten darauf hin, dass die Ergebnisse nicht angemessen berücksichtigt werden.
Die Kosten von Vorfällen durch Dritte quantifizieren den tatsächlichen Schaden. Dazu gehören die Deckung von finanziellen Verlusten im Zusammenhang mit Vorfällen, die Dritten zuzuschreiben sind, einschließlich Kosten für Verstöße, Betriebsunterbrechungen und behördliche Strafen. Die Senkung der Vorfallskosten im Laufe der Zeit ist ein Zeichen für ein effektives TPRM-Programm.
Häufige Herausforderungen beim TPRM (Third-Party Risk Management)
Selbst gut konzipierte TPRM-Programme stehen vor Herausforderungen, die ihre Wirksamkeit einschränken können. Sehen wir uns einige davon an.
Unvollständige Transparenz des Ökosystems von Drittanbietern
Eine umfassende Steuerung der Risiken des Ökosystems ist aufgrund der begrenzten Transparenz in Bezug auf Drittanbieter und deren ausgedehnte Netzwerke eine Herausforderung. Ein noch grundlegenderes Problem besteht darin, dass viele Unternehmen nicht über eine vollständige Übersicht über ihre Lieferanten und deren Angebote verfügen. Diese Lücke entsteht in der Regel durch dezentralisierte Beschaffung, Schatten-IT und unzureichende Dokumentation.
Probleme bei der Skalierbarkeit der Risikobewertung
Klassische Bewertungsmethoden wie aufwendige Fragebögen und Vor-Ort-Bewertungen sind mit einem erheblichen Zeit- und Arbeitsaufwand verbunden. Angesichts der rasch wachsenden Zahl von Lieferanten sind die Teams nicht mehr in der Lage, die Qualität der Bewertungen im Einklang mit den geschäftlichen Anforderungen aufrechtzuerhalten. Dieses Dilemma zwingt viele Unternehmen dazu, Qualität zugunsten von Geschwindigkeit zu opfern.
Inkonsistente Due-Diligence-Prozesse
Instabile Due-Diligence-Prozesse führen zu einer inkonsistenten Risikodeckung. Diese Bewertungsmethode wird häufig innerhalb derselben Organisation verwendet, kann jedoch in verschiedenen Organisationen unterschiedlich angewendet werden, wodurch die Risikosignale solcher Anbieter uneinheitlich und nicht vergleichbar sind.
Begrenzte Überprüfungsmöglichkeiten
Geringe Überprüfungsmöglichkeiten verringern das Vertrauen in das Bewertungsergebnis. Einige Organisationen stützen sich auf Selbstbewertungen der Anbieter und entwickeln ihre Praktiken auf der Grundlage der bereitgestellten Informationen, ohne diese zu validieren. Anbieter können falsche Antworten geben oder ihre Sicherheitskontrollen übertreiben.
Begrenzte Ressourcen und Fachkenntnisse
Begrenzte Ressourcen und Fachkenntnisse verringern die Wirksamkeit der Programme. Viele Unternehmen verfügen nicht über genügend Mitarbeiter mit den erforderlichen Fähigkeiten, was zu oberflächlichen Bewertungen oder großen Rückständen führt. Angesichts der technischen Komplexität moderner Anbieter-Services ist dies umso problematischer.
Best Practices für das Risikomanagement von Drittanbietern (TPRM)
Unternehmen sollten einige der folgenden Best Practices befolgen, um ein effektives TPRM-Programm sicherzustellen.
Implementierung eines risikobasierten Tiering-Ansatzes
Verwenden Sie einen risikobasierten Tiering-Ansatz, um Ressourcen dort einzusetzen, wo sie den größten Nutzen bringen. Die Praxis, Anbieter nach Datenzugriffsebenen, Kritikalität der Dienstleistungen, regulatorischen Auswirkungen usw. zu gruppieren. Anbieter mit hohem Risiko werden einer eingehenderen Bewertung und kontinuierlichen Überwachung unterzogen, während Beziehungen mit geringerem Risiko weniger streng überprüft werden. Dadurch kann das TPRM aufgrund der Korrelation zwischen Aufwand und Risikoniveau effizient eingesetzt werden.
Standardisierung der Bewertungsmethoden
Richten Sie Bewertungsmethoden auf Organisationsebene ein. Die Verwendung derselben Fragebögen, Bewertungskriterien und Bewertungsmethoden für alle Anbieter macht die Ergebnisse vergleichbar und leichter analysierbar. Die Standardisierung verbessert nicht nur den Rhythmus auf der Beratungsseite, sondern verringert auch die Verwirrung für die Anbieter, die mit verschiedenen Abteilungen innerhalb der Organisation zusammenarbeiten.
Klare Zuständigkeiten und Governance festlegen
Klare Zuständigkeiten und Governance zuweisen, um Lücken in der Abdeckung zu vermeiden. Durch die Zuweisung von Zuständigkeiten für verschiedene Aspekte des TPRM-Prozesses werden Doppelarbeit vermieden und sichergestellt, dass nichts übersehen wird. Zu einer guten Governance gehören Eskalationswege für risikoreiche Ergebnisse und eine Überprüfung der Wirksamkeit des Programms durch die Geschäftsleitung.
Automatisierung und Technologie nutzen
Nutzen Sie Automatisierung und Technologie, um die täglichen Aufgaben der Teams zu erledigen. Mit den aktuellen TPRM-Plattformen können Unternehmen die Verteilung von Fragebögen automatisieren, Antworten verfolgen, Risikobewertungen berechnen und Berichte erstellen. Mit diesen Tools kann das Team seine Zeit für die eigentliche Analyse der Ergebnisse und die Minderung wichtiger Risiken nutzen, anstatt sich um die Verwaltung der Dokumentation zu kümmern.
Entwickeln Sie aussagekräftige Kennzahlen und Berichte
Legen Sie wichtige KPIs und Berichte fest. Ein starkes TPRM berichtet den Stakeholdern über wichtige Kennzahlen, die das aktuelle Risikoniveau und die aktuelle Wirksamkeit des TPRM widerspiegeln. Die besten Berichte zeigen Trends und Bereiche auf, in denen Handlungsbedarf besteht, ohne den Leser mit überflüssigen Details zu überfrachten.
Fazit
In der vernetzten Welt der modernen Geschäftswelt hat sich das Risikomanagement für Dritte als ein entscheidender Aspekt für den Schutz von Unternehmen etabliert. Die in diesem Artikel beschriebenen Methoden und Praktiken bieten einen Ausgangspunkt für die Entwicklung risikomindernder und dennoch wirklich produktiver TPRM-Programme. Die systematische Identifizierung, Bewertung und Kontrolle von Risiken durch Dritte kann Unternehmen dabei helfen, viele Sicherheits- und Compliance-Probleme im Voraus zu vermeiden.
Angesichts der anhaltenden Verlagerung des Geschäftsumfelds hin zu einer stärkeren Nutzung externer Dienstleistungen wird ein solides TPRM immer wichtiger. Unternehmen, die sich darin auszeichnen, profitieren von einem besseren Schutz und einem höheren Mehrwert aus ihren Lieferantenbeziehungen.
"FAQs
Third-Party Risk Management bezieht sich auf Prozesse und Aktivitäten, die dabei helfen, Risiken im Zusammenhang mit externen Organisationen wie Anbietern, Lieferanten, Dienstleistern und Geschäftspartnern zu identifizieren, zu bewerten und zu managen.
TPRM im Zusammenhang mit Cybersicherheit dient dazu, die Organisation vor Bedrohungen zu schützen, die über Beziehungen zu Dritten eindringen können. Dazu gehört die Untersuchung, wie Anbieter mit Daten umgehen, die Bewertung ihrer Sicherheitskontrollen, die Überprüfung ihrer Systeme auf Sicherheitslücken oder Schwachstellen und die Überprüfung, ob sie die besten Sicherheitspraktiken einhalten, um sicherzustellen, dass sie nicht zu einem Einfallstor für Angriffe werden.
Ein TPRM-Framework hilft einem Unternehmen dabei, strategisch zu definieren, wie es Risiken durch Dritte intern handhaben will. Es umfasst die Richtlinien, Verfahren, Rollen, Tools und Standards, die das Unternehmen zur Steuerung seiner Beziehungen zu den Anbietern einsetzen wird.
Dazu müssen Informationen über den Lieferanten mithilfe von Fragebögen, Dokumentenprüfungen und sogar Vor-Ort-Besuchen gesammelt werden. Vergleichen Sie diese Daten mit den Sicherheits- und Compliance-Anforderungen. Bewerten Sie das Risiko auf der Grundlage dieser Ergebnisse und der Beziehung.
In der Regel sind zahlreiche verschiedene Teams am Risikomanagement von Drittanbietern beteiligt. Der Auswahl- und Vertragsabschlussprozess für Anbieter wird größtenteils von der Beschaffungsabteilung geleitet. Die Informationssicherheit bestimmt das technische Risiko. Compliance-Prüfungen sind die regulatorischen Anforderungen. Die Rechtsabteilung prüft die Verträge. Die operativen Anweisungen werden dann von den Geschäftsbereichen eingegeben, die die Dienstleistungen des Anbieters in Anspruch nehmen würden.
Das Risiko jeder einzelnen Beziehung ist einzigartig, daher sollte auch die Häufigkeit der Überprüfung der Risiken durch Dritte individuell festgelegt werden. Bei anderen, wie z. B. Anbietern mit Zugriff auf sensible Daten oder Anbietern, die kritische Dienstleistungen erbringen, kann es erforderlich sein, dass Unternehmen ihre Leistung vierteljährlich überprüfen. Anbieter mit einem mittleren Risiko können jährlich bewertet werden.
