kontakt

Die Relevanz von Third Party-Risikomanagements

5 Minuten
 

Eine kürzlich durchgeführte Umfrage der Wirtschaftsprüfungsgesellschaft Deloitte zum globalen Unternehmensrisikomanagement (Extended Enterprise Risk Management/EERM) hat gezeigt, dass sich laut der Mehrheit der befragten Unternehmen, die Kosten im Zusammenhang mit Due Dilligence-Vorfällen in den letzten fünf Jahren mindestens verdoppelt haben. Demnach soll der Bedarf an Investitionen im Bereich des Risikomanagements weiterhin steigen, nicht zuletzt auch aufgrund der Tatsache, dass COVID-19 zu einer globalen Pandemie erklärt wurde.

Die Ergebnisse zeigen außerdem, dass Vorfälle, die eine Drittpartei eingebunden haben, wie z. B. Verstöße innerhalb der Lieferkette, Datenschutzverletzungen oder Vorfälle mit der IT-Security, Kosten von bis 940 Mio. € oder sogar noch höher nach sich ziehen können. Trotz dieser immensen Kosten und steigenden Vorfälle konstatiert Deloitte, dass Unternehmen jedoch generell immer noch viel zu wenig in ihr Drittparteien-Risikomanagement investieren.

Was macht das Drittparteien-Risikomanagement heutzutage so relevant für Unternehmen?

 

Während die meisten Unternehmen mit ihren internen Compliance-Regelungen, wie dem Code of Conduct, bzw. mit ihren Risikomanagements gut vertraut sind, haben sie häufig eher geringe Kenntnis von den möglichen Risiken, die ihre Geschäftspartner mit sich bringen könnten. Diese Risiken erhöhen sich stetig durch neue Regulatorien, da Gesetzgeber und die zuständigen Behörden die Unternehmen zunehmend auch für das Geschäftsverhalten ihrer Partner in die Pflicht nehmen und erwarten, dass diese vorab sorgfältig überprüft werden. Dementsprechend kann der Nachweis einer Geschäftspartnerprüfung im Verdachtsfall entlastend wirken.

Die potenzielle Gefahr, die von Drittparteien ausgehen kann, bleibt jedoch nicht nur auf regulatorische Maßnahmen beschränkt. Der Reputationsschaden, der Unternehmen durch Geschäfte mit weniger vertrauenswürdigen Partnern droht, kann noch viel schwerwiegender und langhaltender sein als der finanzielle Schaden.

Wichtig für Unternehmen zu wissen ist auch, dass sie auch für die Geschäftshandlungen der von ihnen erworbenen Unternehmen zur Verantwortung gezogen werden können. Oftmals sind diese früheren Beziehungen dem kaufenden Unternehmen bei Übernahme nicht einmal bekannt und trotzdem kann der Schaden weitreichende Konsequenzen haben, von denen sich betroffene Unternehmen gegebenenfalls nur wieder schwer erholen.

Due Dilligence und Geschäftspartnerprüfungen sind keine neuen Prozesse, aber die Kunst des Risiko-Managements besteht darin, sich auf immer wieder neue regulatorische Anforderungen einzustellen und zwar weltweit. Um eben jene Regulatorien wie z. B. das kommende Lieferkettengesetz, Sapin II, UK Bribery Act oder FCPA einzuhalten, sollten sich Unternehmen zwingend um eine risikobasierte und revisionssichere Lösung kümmern. Diese sollte sich flexibel an das jeweilige Level und die Art des Risikos der Drittparteien anpassen können.

Unternehmen müssen sich im Zeitalter der Digitalisierung mit allen damit einhergehenden Vorteilen und Risiken zudem bewusst machen, dass sie den Schutz sehr sensibler Daten wie z. B. ihrer Kunden oder ihre Finanzen immer dritten Parteien anvertrauen. Das heißt: Sobald es bei der Third Party zu Verletzungen dieser Daten oder sonstigen Verstößen kommt, fällt der Schaden immer auch auf das beauftragende Unternehmen zurück.

Daher sollten sich Unternehmen die folgenden Fragen stellen:

  • Können wir der Drittpartei vertrauen?
  • Warum?
  • Warum nicht?
  • Welche Maßnahmen sollten in diesem Zusammenhang ergriffen werden?
  • Wie hoch ist das Risiko, welches die Drittpartei mit sich bringt?
  • Wie risikobereit sind wir?

Was sind dabei die Herausforderungen für Unternehmen?

 

Organisationen weltweit sehen sich vielerlei Geschäftsrisiken ausgesetzt, die aus der COVID-19-Pandemie, Korruption, Compliance-Verletzungen, Betrug sowie Datenschutz- und Informationssicherheitsverletzungen resultieren. Um sich gegen diese Risiken zu wappnen und um die eigene Reputation zu schützen, sollten die eigenen Compliance-Prozesse dynamisch, robust und effektiv aufgebaut sein und sich zugleich agil an die sich verändernden Bedingungen und Risiken anpassen.

Ein erfolgreiches Drittparteien-Risikomanagement bereitzustellen ist immer eine Herausforderung für Unternehmen. Dies benötigt neben einer hohen Transparenz, Verantwortungsbewusstsein, eine effiziente interne Zusammenarbeit sowie eine sichere und smarte Software als Unterstützung.

Um mit den Anforderungen Schritt halten zu können, müssen Organisationen daher Tools einsetzen, die relevante Drittparteien identifizieren und analysieren. Daher ist ein wichtiger Prozess innerhalb des eigenen Risikomanagements, die Third Parties genau zu kennen und zu verstehen, um entsprechend Risiken für das eigene Unternehmen abwägen zu können.

Best Practice: Der risikobasierte Ansatz für das Third Party-Risikomanagement

 

Als Best Practice gilt heutzutage der risikobasierte Ansatz in Bezug auf die Entwicklung und Umsetzung von Compliance-Programmen:

Die Grundlagen eines solchen risikobasierten Ansatzes bilden die Anwendung von objektiven Kriterien auf alle Drittparteien und die Entwicklung von logischen Beurteilungsmethoden der potenziellen Risiken, die genutzt werden können, um maßgeschneiderte Strategien zur Risikoreduzierung definieren. Unternehmen, bei denen ein hohes Risiko identifiziert wurde, können einem weiterem Screening unterzogen werden, in Abhängigkeit von den spezifischen Warnsignalen und den vorliegenden Risikofaktoren.

Der risikobasierte Ansatz hinsichtlich des Third Party-Risikomanagements erfordert eine kontinuierliche Überwachung aller Parteien, mit routinemäßig aktualisierten Überprüfungen, um jegliche „erkennbaren Verletzungen und identifizierten systemischen Defizite“ zu erfassen (Rahmenbedingungen für die OFAC-Compliance-Verpflichtungen, S. 4).

Das risikobasierte Third Party-Risikomanagementprogramm bietet zahlreiche Vorteile für Unternehmen, einschließlich der Prävention von Fehlverhalten der Geschäftspartner, der Vermeidung von staatlichen Ermittlungs- und Durchsetzungsmaßnahmen, der Stärkung der Compliance-Kultur innerhalb der Organisation sowie der Ausweitung auf die Drittparteien.

Die ersten Schritte für Ihr Third Party-Risikomanagementprogramm

 

Falls Ihr Unternehmen noch kein eigenes Third Party-Risikomanagementprogramm aufgesetzt, ist es wichtig, die Best Practices zu kennen. „One size fits all“ funktioniert selten, da jedes Unternehmen ein anderes inhärentes Risikoprofil aufweist. Jedes Compliance-Programm muss daher die tatsächlichen, individuellen Risiken und nicht nur Annahmen widerspiegeln.

Der erste Schritt besteht daher darin, die richtigen Ansprechpartner aus dem eigenen Unternehmen zu identifizieren und zusammenzubringen, einschließlich der Compliance- und der Rechtsabteilung, des Einkaufs und anderer wichtiger Stakeholder, damit jeder Bereich sowohl über Zielsetzungen als auch über das Risikoprofil des eiegnen Unternehmens informiert ist. Dieses Profil sollte dann zur Steuerung aller anderen Risikomanagementprozesse herangezogen werden.

Uns würde sehr interessieren, wie Sie und Ihr Unternehmen in Bezug auf das Third Party- Risikomanagement aufgestellt sind! Wir würden uns daher freuen, wenn Sie sich kurz Zeit für unsere Umfrage nehmen würden.

Lassen Sie uns Ihre Antworten gerne über das Kontaktformular zukommen. Vielen Dank!

1. Wie würden Sie Ihr Third Party-Risikomanagementprogramm einstufen?

a) proaktiv & automatisiert

b) reaktiv & manuell

2. Worin besteht in Ihrer Organisation die größte Herausforderung für das Compliance-Team in Bezug auf Ihr Drittpartei-Risikomanagementprogramm?

a) Automatisierung

b) Meldezeit

c) Programmbelastbarkeit

d) Berichtsgenauigkeit

e) Dokumentation

Haben Sie noch Fragen zu Third Party-Themen oder sind Sie an einer persönlichen Demo unserer Third Party-Lösung interessiert?

Gerne helfen wir Ihnen persönlich weiter.

Jetzt kontaktieren!

Privacy Settings

Datenschutzeinstellungen

Paramètres de confidentialité

Configuración de privacidad

Configurações de privacidade

Impostazioni sulla privacy

Ustawienia prywatności

Nastavení ochrany osobních údajů

Nastavenia ochrany osobných údajov

On our website we use cookies that are necessary for technical reasons, for example to save your cookie settings and, after you have provided your consent, also marketing cookies, which help us to improve our web presence and implement advertising campaigns.

In this regard, we also use technology by third-party providers (Google, LinkedIn, Microsoft), with which data processing in the USA, where there is no adequate level of data protection, cannot be excluded. IP address data is anonymised by abbreviation.

Your consent is provided on a voluntary basis and may be revoked at any time. Please note that this information applies only to our company website. In order to guarantee absolute confidentiality, we still do not use third-party provider cookies or other marketing technologies in the BKMS® Compliance System.

You can find more information in the data protection policy.

Auf unserer Webseite verwenden wir technisch notwendige Cookies, etwa zur Speicherung Ihrer Cookie-Einstellungen und, nach Ihrer Einwilligung, auch Marketing Cookies, die uns helfen, unseren Internetauftritt zu verbessern sowie Werbekampagnen durchzuführen.

Dabei nutzen wir auch Technologien von Drittanbietern (Google, LinkedIn, Microsoft), bei denen eine Datenverarbeitung in den USA, wo kein angemessenes Datenschutzniveau gewährleistet ist, nicht ausgeschlossen werden kann. IP-Adressdaten werden durch Kürzung anonymisiert.

Ihre Einwilligung ist freiwillig und jeder Zeit widerrufbar. Bitte beachten Sie, dass dieser Hinweis nur für unsere Unternehmenswebseite gilt. Zur Gewährleistung absoluter Vertraulichkeit verwenden wir im BKMS® Compliance System weiterhin weder Drittanbieter-Cookies noch sonstige Marketing Technologien.

Weitere Informationen finden Sie im Datenschutzhinweis.

Sur notre site web, nous utilisons des cookies techniquement nécessaires par exemple pour enregistrer vos réglages en matière de cookies et, après avoir reçu votre consentement, également des cookies de marketing qui nous aident à améliorer notre présence sur Internet et à réaliser des campagnes publicitaires.

Nous utilisons aussi des technologies de fournisseurs tiers (Google, LinkedIn, Microsoft) au cours de l’emploi desquelles ne peut être exclu un traitement des données aux États-Unis, pays où aucun niveau raisonnable de protection des données n’est garanti. Les données d’adresse IP sont tronquées pour les anonymiser.

Votre consentement est facultatif et révocable à tout moment. Veuillez noter que cette remarque ne vaut que pour notre site web d’entreprise. Pour garantir une confidentialité absolue et comme par le passé, nous n’utilisons dans le BKMS® Compliance System ni cookies de tiers ni technologies de marketing diverses.

Vous trouverez d’autres informations dans l’avis relatif à la protection des données.

En nuestra página web utilizamos cookies técnicamente necesarias, como las que se usan para almacenar sus ajustes de cookies, y, tras recabar su consentimiento, utilizamos también cookies de marketing que nos ayudan a mejorar nuestro sitio web y a llevar a cabo campañas publicitarias.

Para ello, hacemos uso también de tecnologías de terceros (Google, LinkedIn, Microsoft), en cuyo caso no se puede descartar que el tratamiento de datos se lleve a cabo en los EE. UU., donde no se garantiza un nivel adecuado de protección de datos. Los datos de las direcciones IP se anonimizan mediante acortamiento.

Su consentimiento es voluntario y puede ser revocado en cualquier momento. Tenga en cuenta que este aviso solo es de aplicación para la página web de nuestra empresa. Para garantizar una confidencialidad absoluta, en el BKMS® Compliance System no utilizamos cookies de terceros ni otras tecnologías de marketing.

Puede encontrar más información en el aviso de protección de datos.

Na nossa página de internet, utilizamos cookies necessários do ponto de vista técnico, por exemplo, para o armazenamento das suas definições de cookies e, após a sua autorização, também cookies de marketing que nos ajudam a melhorar a nossa presença na internet , bem como a realizar campanhas publicitárias.

No processo utilizamos também tecnologias de outros fornecedores (Google, LinkedIn, Microsoft), nos quais não é possível excluir um tratamento de dados nos EUA, onde não é garantido um nível de proteção de dados adequado. Os dados do endereço IP são anonimizados através de redução.

A sua autorização é voluntária e revogável em qualquer altura. Por favor, tenha em consideração que esta mensagem só é válida para a página de internet da nossa empresa. Para garantir absoluta confidencialidade, continuaremos a não utilizar no BKMS® Compliance System nem cookies de outros fornecedores nem outras tecnologias de marketing.

Encontrará mais informações no aviso relativo à proteção de dados

Sul nostro sito web utilizziamo cookie necessari dal punto di vista tecnico, ad esempio per salvare le impostazioni dei cookie e, se l'utente ha fornito il suo consenso, utilizziamo anche cookie di marketing che ci aiutano a migliorare il nostro sito web e realizzare campagne pubblicitarie.

A tale scopo, utilizziamo anche tecnologie di terze parti (Google, LinkedIn, Microsoft) per le quali non è possibile escludere il trattamento dei dati negli Stati Uniti, dove non è garantito un livello adeguato di protezione dei dati. I dati dell'indirizzo IP vengono resi anonimi mediante abbreviazione.

Il consenso dell'utente è volontario e revocabile in qualsiasi momento. Questo avviso si applica solo al nostro sito web aziendale. Per garantire la massima riservatezza, non utilizziamo nel BKMS® Compliance System né cookie di terze parti né altre tecnologie di marketing.

Maggiori informazioni sono disponibili nell'informativa sulla protezione dei dati.

Na naszej stronie wykorzystujemy niezbędne technicznie pliki cookie, np. do zapisywania ustawień cookie, oraz – po wyrażeniu zgody, również cookie marketingowe pomagające nam ulepszać naszą witrynę internetową oraz prowadzić kampanie reklamowe.

Wykorzystujemy przy tym również technologie od dostawców zewnętrznych (Google, LinkedIn, Microsoft), w przypadku których nie można wykluczyć przetwarzania danych na terenie USA, gdzie nie jest zapewniony dostatecznie wysoki poziom ochrony danych. Adresy IP są anonimizowane poprzez skrócenie.

Udzielana zgoda jest dobrowolna i można ją odwołać w dowolnym momencie. Prosimy pamiętać, że ta informacja dotyczy całej naszej strony. Dla zapewnienia pełnej poufności w BKMS® Compliance System nadal nie stosujemy plików cookie dostawców zewnętrznych ani innych technologii marketingowych.

Więcej informacji można znaleźć w informacji o ochronie danych.

Na našich webových stránkách používáme technicky nezbytné soubory cookie, například k uložení vašeho nastavení souborů cookie, a s vaším souhlasem také marketingové soubory cookie, které nám pomáhají vylepšovat naše webové stránky a provádět reklamní kampaně.

Při tom používáme technologie třetích stran (Google, LinkedIn, Microsoft), u nichž nelze vyloučit zpracování dat v USA, kde není zaručena adekvátní úroveň ochrany dat. Data IP adresy jsou anonymizována zkrácením.

Váš souhlas je dobrovolný a můžete jej kdykoli odvolat s účinkem do budoucna. Vezměte prosím na vědomí, že toto upozornění se vztahuje pouze na webové stránky naší firmy. Abychom zajistili absolutní důvěrnost, v systému BKMS® Compliance System nadále nepoužíváme žádné soubory cookie třetích stran ani jiné marketingové technologie.

Další informace naleznete v informacích k ochraně dat.

Používame technicky potrebné súbory cookies, napríklad na úschovu vašich nastavení cookie, a s vašim súhlasom tiež marketingové súbory cookies, ktoré nám pomáhajú zlepšovať našu webovú stránku a uskutočňovať reklamné kampane.

Používame tiež technológie od tretích strán (Google, LinkedIn, Microsoft), pre ktoré nemožno vylúčiť spracovanie údajov v USA, kde nie je zaručená primeraná úroveň ochrany údajov. Údaje IP adresy sú anonymizované skrátením.

Váš súhlas je dobrovoľný a je možné ho kedykoľvek odvolať. Upozorňujeme, že toto oznámenie sa týka iba webových stránok našej spoločnosti. Aby sme zaistili absolútnu dôvernosť, v BKMS® Compliance System naďalej nepoužívame súbory cookies tretích strán ani iné marketingové technológie.

Ďalšie informácie nájdete v oznámení o ochrane osobných údajov.

Show detailed settings Ausführliche Einstellungen anzeigen Montrer des paramètres détaillés Mostrar configuración detallada Apresentar configurações detalhadas Mostra le impostazioni dettagliate Pokaż szczegółowe ustawienia Zobrazit podrobná nastavení Zobraziť podrobné nastavenia Hide detailed settings Detaileinstellungen ausblenden Cacher les paramètres détaillés Ocultar los ajustes detallados Apresentar configurações detalhadas Nascondi le impostazioni dettagliate Ukryj szczegółowe ustawienia Ukryj szczegółowe ustawienia Ukryj szczegółowe ustawienia