Third-Party-Risikomanagement: Herausforderungen und Best Practice für Unternehmen

Die Ergebnisse zeigen ausserdem, dass Vorfälle, die eine Drittpartei eingebunden haben, wie z. B. Verstöße innerhalb der Lieferkette, Datenschutzverletzungen oder Vorfälle mit der IT-Security, Kosten von bis 940 Mio. € oder sogar noch höher nach sich ziehen können. Trotz dieser immensen Kosten und steigenden Vorfälle konstatiert Deloitte, dass Unternehmen jedoch generell immer noch viel zu wenig in ihr Drittparteien-Risikomanagement investieren.

Während die meisten Unternehmen mit ihren internen Compliance-Regelungen, wie dem Code of Conduct, bzw. mit ihren Risikomanagements gut vertraut sind, haben sie häufig eher geringe Kenntnis von den möglichen Risiken, die ihre Geschäftspartner mit sich bringen könnten. Diese Risiken erhöhen sich stetig durch neue Regulatorien, da Gesetzgeber und die zuständigen Behörden die Unternehmen zunehmend auch für das Geschäftsverhalten ihrer Partner in die Pflicht nehmen und erwarten, dass diese vorab sorgfältig überprüft werden. Dementsprechend kann der Nachweis einer Geschäftspartnerprüfung im Verdachtsfall entlastend wirken.

Die potenzielle Gefahr, die von Drittparteien ausgehen kann, bleibt jedoch nicht nur auf regulatorische Massnahmen beschränkt. Der Reputationsschaden, der Unternehmen durch Geschäfte mit weniger vertrauenswürdigen Partnern droht, kann noch viel schwerwiegender und langhaltender sein als der finanzielle Schaden.

Wichtig für Unternehmen zu wissen ist auch, dass sie auch für die Geschäftshandlungen der von ihnen erworbenen Unternehmen zur Verantwortung gezogen werden können. Oftmals sind diese früheren Beziehungen dem kaufenden Unternehmen bei Übernahme nicht einmal bekannt und trotzdem kann der Schaden weitreichende Konsequenzen haben, von denen sich betroffene Unternehmen gegebenenfalls nur wieder schwer erholen.

Due Dilligence und Geschäftspartnerprüfungen sind keine neuen Prozesse, aber die Kunst des Risiko-Managements besteht darin, sich auf immer wieder neue regulatorische Anforderungen einzustellen — und zwar weltweit. Um eben jene Regulatorien wie z. B. das kommende Lieferkettengesetz, Sapin II, UK Bribery Act oder FCPA einzuhalten, sollten sich Unternehmen zwingend um eine risikobasierte und revisionssichere Lösung kümmern. Diese sollte sich flexibel an das jeweilige Level und die Art des Risikos der Drittparteien anpassen können.

Unternehmen müssen sich im Zeitalter der Digitalisierung mit allen damit einhergehenden Vorteilen und Risiken zudem bewusst machen, dass sie den Schutz sehr sensibler Daten wie z. B. ihrer Kunden oder ihre Finanzen immer dritten Parteien anvertrauen. Das heißt: Sobald es bei der Third Party zu Verletzungen dieser Daten oder sonstigen Verstössen kommt, fällt der Schaden immer auch auf das beauftragende Unternehmen zurück.

Daher sollten sich Unternehmen die folgenden Fragen stellen:

• Können wir der Drittpartei vertrauen?
• Warum?
• Warum nicht?
• Welche Massnahmen sollten in diesem Zusammenhang ergriffen werden?
• Wie hoch ist das Risiko, welches die Drittpartei mit sich bringt?
• Wie risikobereit sind wir?

Organisationen weltweit sehen sich vielerlei Geschäftsrisiken ausgesetzt, die aus der COVID-19-Pandemie, Korruption, Compliance-Verletzungen, Betrug sowie Datenschutz- und Informationssicherheitsverletzungen resultieren. Um sich gegen diese Risiken zu wappnen und um die eigene Reputation zu schützen, sollten die eigenen Compliance-Prozesse dynamisch, robust und effektiv aufgebaut sein und sich zugleich agil an die sich verändernden Bedingungen und Risiken anpassen.

Ein erfolgreiches Drittparteien-Risikomanagement bereitzustellen ist immer eine Herausforderung für Unternehmen. Dies benötigt neben einer hohen Transparenz, Verantwortungsbewusstsein, eine effiziente interne Zusammenarbeit sowie eine sichere und smarte Software als Unterstützung.

Um mit den Anforderungen Schritt halten zu können, müssen Organisationen daher Tools einsetzen, die relevante Drittparteien identifizieren und analysieren. Daher ist ein wichtiger Prozess innerhalb des eigenen Risikomanagements, die Third Parties genau zu kennen und zu verstehen, um entsprechend Risiken für das eigene Unternehmen abwägen zu können.

Als Best Practice gilt heutzutage der risikobasierte Ansatz in Bezug auf die Entwicklung und Umsetzung von Compliance-Programmen:
Die Grundlagen eines solchen risikobasierten Ansatzes bilden die Anwendung von objektiven Kriterien auf alle Drittparteien und die Entwicklung von logischen Beurteilungsmethoden der potenziellen Risiken, die genutzt werden können, um massgeschneiderte Strategien zur Risikoreduzierung definieren. Unternehmen, bei denen ein hohes Risiko identifiziert wurde, können einem weiterem Screening unterzogen werden, in Abhängigkeit von den spezifischen Warnsignalen und den vorliegenden Risikofaktoren.

Der risikobasierte Ansatz hinsichtlich des Third Party-Risikomanagements erfordert eine kontinuierliche Überwachung aller Parteien, mit routinemässig aktualisierten Überprüfungen, um jegliche „erkennbaren Verletzungen und identifizierten systemischen Defizite“ zu erfassen (Rahmenbedingungen für die OFAC-Compliance-Verpflichtungen, S. 4).

Das risikobasierte Third Party-Risikomanagementprogramm bietet zahlreiche Vorteile für Unternehmen, einschliesslich der Prävention von Fehlverhalten der Geschäftspartner, der Vermeidung von staatlichen Ermittlungs- und Durchsetzungsmaßnahmen, der Stärkung der Compliance-Kultur innerhalb der Organisation sowie der Ausweitung auf die Drittparteien.

Falls Ihr Unternehmen noch kein eigenes Third Party-Risikomanagementprogramm aufgesetzt, ist es wichtig, die Best Practices zu kennen. „One size fits all“ funktioniert selten, da jedes Unternehmen ein anderes inhärentes Risikoprofil aufweist. Jedes Compliance-Programm muss daher die tatsächlichen, individuellen Risiken und nicht nur Annahmen widerspiegeln.

Der erste Schritt besteht daher darin, die richtigen Ansprechpartner aus dem eigenen Unternehmen zu identifizieren und zusammenzubringen, einschließlich der Compliance- und der Rechtsabteilung, des Einkaufs und anderer wichtiger Stakeholder, damit jeder Bereich sowohl über Zielsetzungen als auch über das Risikoprofil des eigenen Unternehmens informiert ist. Dieses Profil sollte dann zur Steuerung aller anderen Risikomanagementprozesse herangezogen werden.