Erste Schritte bei der Due-Diligence-Prüfung von Drittparteien
Daniel Zmak
Director, Product Management
27. Mai 2024 • 4 Min. Lesezeit
Bei etwa 90 % der Vollstreckungsmaßnahmen nach dem Foreign Corrupt Practices Act (FCPA) sind Drittparteien beteiligt. Dies zeigt, welche gravierende Rolle, die Drittparteien bei Bestechungs- und Korruptionsfällen spielen. Da viele Unternehmen mit zahlreichen Drittparteien zusammenarbeiten, ist das Risiko hoch, auf unethische Praktiken zu stoßen, was die Bedeutung einer gründlichen Sorgfaltsprüfung (Due-Diligence-Prüfung) der Drittparteien unterstreicht.
Mithilfe von Due-Diligence-Prüfungen können Unternehmen ihre Drittparteien während der gesamten Geschäftsbeziehung effektiv durchleuchten und überwachen. So werden Compliance-Risiken gemindert und das Potenzial für rechtliche und finanzielle Schäden wird reduziert.
Infolgedessen wird die Due-Diligence-Prüfung von Drittparteien nicht nur zu einem entscheidenden Element des Compliance-Programms eines Unternehmens, sondern auch zu einem Schwerpunkt der Bemühungen um regulatorische Konformität. Dieser Artikel erläutert die folgenden Themen zur Verbesserung Ihrer Strategien:
- Was eine Due-Diligence-Prüfung von Drittparteien ist
- Warum Unternehmen eine Due-Diligence-Prüfung der Drittparteien brauchen
- Ein effektiver Due-Diligence-Prozess in acht Schritten
- Bewährte Praktiken für die Sorgfaltsprüfung, die es zu beachten gilt
Was ist eine Due-Diligence-Prüfung von Drittparteien?
Die Due-Diligence-Prüfung von Drittparteien umfasst die gründliche Überprüfung und kontinuierliche Überwachung Ihrer Drittparteipartner, um Risiken im Zusammenhang mit finanziellen Unregelmäßigkeiten, Datensicherheitslücken, Betriebsstörungen, Rufschädigung, potenziellen Interessenkonflikten und anderen rechtlichen, ethischen und regulatorischen Problemen zu erkennen und zu mindern.
Diese Notwendigkeit ergibt sich häufig beim Onboarding eines neuen Lieferanten oder bei den Vorbereitungen für eine Fusion oder Übernahme. Durch die Einführung eines soliden Due-Diligence-Verfahrens können Unternehmen potenzielle Probleme proaktiv angehen und sicherstellen, dass ihre Geschäftspartner die gleichen Integritäts- und Compliance-Standards einhalten.
Obwohl eine risikobasierte Due-Diligence-Prüfung zu Beginn einer Geschäftsbeziehung notwendig ist, sollte die Prüfungen von Drittparteien fortlaufend erfolgen, d. h. Unternehmen sollten über ein System verfügen, mit dem sie potenzielle Risiken Dritter während der gesamten Dauer der Geschäftsbeziehung erkennen und mindern können. Dies kann eine kontinuierliche Überwachung oder eine erneute Durchführung der Sorgfaltsprüfung beinhalten.
Eine wirksame Strategie für die Due-Diligence von Drittparteien kann Folgendes umfassen:
- Überprüfung der Namen der Drittparteien anhand von globalen Datenbanken und Beobachtungslisten.
- Überprüfung von Erwähnungen Ihres Drittpartners in Pressemitteilungen, Medien, Internetrecherchen und mehr auf mögliche Anzeichen von Korruption, Reputationsproblemen oder anderen ethischen Konflikten.
- Prüfen, ob der Dritte oder seine wichtigsten Auftraggeber und Eigentümer in länderspezifischen Watchlist-Datenbanken oder staatlichen Aufzeichnungen erscheinen.
- Vergleichen Sie die Eigenangaben aus Ihrem Due-Diligence-Fragebogen mit den Informationen aus Ihrer eigenen Untersuchung oder nutzen Sie eine Lösung, die eine unabhängige Überprüfung und Integritätskontrolle bietet.
- Neben der Aufforderung an den Lieferanten, eine detaillierte Due-Diligence-Checkliste auszufüllen, die relevante Informationen über das Unternehmen, den Umfang der Geschäftsbeziehung und seine Eigentumsverhältnisse enthält, umfasst die erweiterte Sorgfaltspflicht auch eine gründliche Untersuchung, die Recherchen vor Ort zur Gewinnung lokaler Informationen, diskrete Besuche vor Ort, Nachforschungen über den Ruf des Unternehmens und die Einsichtnahme in Offline-Aufzeichnungen zu Eigentumsverhältnissen oder Rechtsakten umfassen kann.
Warum brauchen wir eine Due-Diligence-Prüfung von Drittparteien?
Unternehmen brauchen die Due-Diligence-Prüfung von Drittparteien, weil sie ihnen hilft, Risiken im Zusammenhang mit Bestechung, Korruption, Menschenrechten und anderen ethischen oder Integritätsfragen zu erkennen und zu mindern. Dies ist von entscheidender Bedeutung, da Gartner schätzt, dass 60 % der Unternehmen mit mehr als 1.000 Drittanbietern zusammenarbeiten - eine Zahl, die voraussichtlich noch steigen wird.
Eine wirksame Sorgfaltsprüfung der Drittparteien ermöglicht es Unternehmen, strategische Entscheidungen darüber zu treffen, mit wem sie Geschäfte machen wollen, und dabei potenzielle Chancen gegen die damit verbundenen Risiken abzuwägen. Durch die gründliche Überprüfung der Drittparteien können sich Unternehmen vor Verstößen gegen die Compliance sowie gegen unethische Geschäftspraktiken und Reputationsrisiken schützen und so eine solide Compliance-Position sicherstellen. Anstatt die Beziehungen zu Drittparteien zu restringieren, liegt die Lösung in der Implementierung eines umfassenden Due-Diligence-Prozesses, der Risiken reduziert und die strategische Geschäftsentwicklung unterstützt.
8-stufiger Due-Diligence-Prozess von Drittparteien
Eine Sorgfaltsprüfung ist kein Verfahren, dass nach der erstmaligen Einrichtung von allein funktioniert. Es handelt sich eher um einen iterativen Prozess der Implementierung von Schutzmaßnahmen, der Überwachung dieser Schutzmaßnahmen und der anschließenden Verbesserung, wenn sich die Branche und die Landschaft der Drittanbieter weiterentwickeln.
Hier sind einige Schritte, die Sie unternehmen können, um die Sorgfaltspflicht in alle Ihre Beziehungen zu Dritten einzubinden.
- Kartierung der Compliance-Landschaft: Ihr Risiko hängt maßgeblich von den Vorschriften ab, die Sie und Ihre Drittparteien befolgen müssen. Die Identifizierung von Compliance-Bedenken wird Ihnen dabei helfen, festzustellen, auf welche Warnsignale Sie achten müssen, wenn Sie Ihre Drittparteien überprüfen.
- Definieren Sie Ihre Ziele: Ihre Due-Diligence-Prüfung sollte sich an den finanziellen und strategischen Zielen Ihres Unternehmens sowie an den Risiken im Zusammenhang mit Drittparteien orientieren, die Ihr Unternehmen daran hindern könnten, diese Ziele zu erreichen.
- Sammeln Sie Informationen: Es ist wichtig, dass Sie sich vergewissern, dass Ihre Drittparteien auch wirklich die sind, für die sie sich ausgeben. Wenn es sich um eine Kapitalgesellschaft handelt, fragen Sie nach Dokumenten wie der Gründungsurkunde und Informationen über die wichtigsten Anteilseigner. Handelt es sich um eine Einzelperson, verlangen Sie einen Identitätsnachweis und Angaben zu möglichen Interessenkonflikten.
- Prüfen Sie die Drittparteien: Überprüfen Sie, ob Ihr Drittpartner auf Beobachtungs- oder Sanktionslisten steht oder in den Medien negativ dargestellt wird.
- Analysieren Sie Ihr Risiko: Beurteilen Sie, ob etwas, das Sie bei der Überprüfung aufgedeckt haben, ein Risiko für Ihr Unternehmen darstellt. Dies kann von Unternehmen zu Unternehmen und von Branche zu Branche variieren und sollte die zuvor ermittelten Compliance-Probleme und Ziele widerspiegeln.
- Dokumentieren Sie den Vorgang: Führen Sie umfangreiche Aufzeichnungen über alle Informationen und Unterlagen, die Sie sammeln. Auf diese Weise können Sie Ihre regulatorische Konformität nachweisen und Ihre Entscheidungen in Bezug auf alle Beziehungen zu Dritten validieren.
- Überwachen Sie die Drittparteien: Eine dritte Partei könnte zu Beginn Ihrer Beziehung unbedenklich sein, doch im Laufe der Zeit könnten Probleme auftauchen. Überwachen Sie sie und Ihre Beziehungen zu ihnen, um sicherzustellen, dass Sie alle Risiken erkennen, bevor sie Ihren Ruf oder Ihr Ergebnis gefährden.
- Überprüfen Sie Ihr Verfahren: Unternehmen entwickeln sich weiter, und das Due-Diligence-Verfahren, das Sie in einem Jahr eingeführt haben, kann im nächsten Jahr schon weniger effektiv sein. Überprüfen Sie Ihr Verfahren, um sicherzustellen, dass Ihre Sorgfaltsprüfung den Anforderungen Ihres Unternehmens entspricht.
Bewährte Praktiken für die Sorgfaltsprüfung von Drittparteien
Selbst bei einem wirksamen Verfahren kann Ihre Due-Diligence-Prüfung von Drittparteien unzureichend sein. Riesige Datenmengen, kompliziertes Onboarding, begrenzte Ressourcen und sogar menschliches Versagen können eine wirksame Due-Diligence-Prüfung von Drittparteien verhindern. Verbessern Sie Ihren Prozess mit diesen bewährten Verfahren:
- Zentralisieren Sie die Drittparteidaten: Je mehr Drittparteien Sie haben, desto mehr Daten müssen Sie verwalten. Ohne eine zentralisierte Datenbank werden allzu leicht wichtige Informationen über das Drittparteirisiko übersehen. Durch die Einführung eines Systems zur Verwaltung von Informationen Dritter werden diese Daten leichter zugänglich, nützlicher und vertretbarer. Durch die Zentralisierung der Drittparteidaten wird der Prozess der Identifizierung aller Drittparteien und ihrer Jurisdiktionen vor dem nächsten Schritt rationalisiert.
- Führen Sie eine gründliche Due-Diligence-Prüfung durch: So stellen Sie sicher, dass die Drittpartei die regionalen Vorschriften einhält und ihr Geschäftsgebaren im Einklang mit den Richtlinien Ihres Unternehmens steht.
- Überprüfen Sie Eigenangaben: Wenn Sie einen Fragebogen zur Sorgfaltspflicht verwenden, sollten Sie die Daten aus Ihrer Untersuchung mit den Eigenangaben der Drittpartei abgleichen. Unstimmigkeiten könnten Warnsignale sein, die einer genaueren Betrachtung bedürfen.
- Priorisieren Sie die Risiken: Einige Anbieter bergen mehr Risiken als andere, was bedeutet, dass einige Anbieter während des Due-Diligence-Prozesses besondere Aufmerksamkeit benötigen. Die Priorisierung von Risiken schafft Effizienz, da Sie Ihren Ansatz auf die jeweilige Drittpartei und die Beziehung, die Sie mit ihr haben, abstimmen können.
- Beurteilen Sie die Mitarbeiter: Jeder vom Drittanbieter Beschäftigte kann ein Risiko für einen Verstoß darstellen – egal, ob dieser versehentlich oder absichtlich erfolgt. Stellen Sie sicher, dass sich Ihr Due-Diligence-Verfahren auch auf die Mitarbeiter Ihrer Partner erstreckt, um zu gewährleisten, dass sie alle im besten Interesse Ihres Unternehmens handeln.
- Kontrollen implementieren: Kontrollen schützen Ihr System. Stellen Sie sicher, dass Sie ein spezielles Verfahren für den Zugriff Dritter auf Ihre Systeme haben und dass alle Dritten, mit denen Sie zusammenarbeiten, dieses Verfahren auch einhalten.
- Strategie automatisieren: Die Due-Diligence-Prüfung durch Dritte sollte immer aktiv sein. Ist dies nicht der Fall, können Risiken entstehen, bevor Sie sie eindämmen können.Die Automatisierung erleichtert die Due-Diligence-Prüfung,indem sie mehr Informationen über Drittparteien liefert, ohne die Arbeitsbelastung der Risiko- und Compliance-Teams zu erhöhen.
Kreieren Sie ein Due-Diligence-Programm, mit dem Sie Risiken verwalten und kontinuierlich überwachen können
Eine wirksame Due-Diligence-Prüfung Ihrer Drittparteien legt den Grundstein für den Rest Ihres Risikomanagementprogramms.Programme zur Bekämpfung von Bestechung und Korruption– neben anderen – hängen von umfassenden und genauen Informationen über alle Ihre Drittparteien ab.
Die Funktionen für die Due Diligence von Diligent bietet Zugang zu Datenbanksuchen für den Abgleich mit anerkannten Beobachtungslisten, Tools für die Verfolgung medienbezogener Risiken, Desktop-Recherchefunktionen in verschiedenen Landessprachen, um sowohl direkte als auch indirekte Warnzeichen zu erkennen, sowie Ermittlungsressourcen vor Ort, um lokale Erkenntnisse zu sammeln. Erfahren Sie, wie Diligent erstklassige Due-Diligence-Prüfungen durchführt, um aufschlussreiche und zuverlässige Informationen zu erhalten. Vereinbaren Sie noch heute einen Präsentationstermin.
Diligent Blog
Bleiben Sie über Neuigkeiten und Trends informiert, die GRC für Führungskräfte, Organisationen und den öffentlichen Sektor beeinflussen. Finden Sie Ressourcen und Einblicke, die alles abdecken, von Best Practices der Governance über ESG bis hin zu strategischem Risiko-, Compliance- und Audit-Management.