Blog Compliance

Risk Assessment: Welche Daten brauchen Sie für Ihre Due Diligence wirklich?

| November 26, 2020

Über die 5. Geldwäscherichtlinie wurde diskutiert, bevor die vierte überhaupt umgesetzt war. Sie müssen EU-Richtlinien, Sanktionslisten und weitere Spielregeln beachten. Dabei wachsen manche Regelwerke, andere fallen weg, neue kommen dazu. Die schiere Anzahl an Regulationen und die Bewegung am Markt erdrückt, die Compliance des eigenen Unternehmens sicherzustellen wird zum Minenfeld. Von der Due Diligence ganz zu schweigen! Welchen ersten Schritt Sie unternehmen müssen, um Ihr Unternehmen in sichere Gewässer zu lenken, erfahren Sie in diesem Artikel.

Neue Direktiven, Sanktionen und Embargos erscheinen monatlich, wenn nicht wöchentlich. Was passiert, während Compliance Verantwortliche versuchen, Risiken zu mindern, ohne das Geschäftswachstum zu bremsen ? Es baut sich ein Datentsunami auf, der droht, mühsam konstruierte Prozesse unter sich zu begraben. Geschäftspartner, Lieferanten, Kunden und viele weitere Third-Parties können Ihr Unternehmen kleineren bis größeren Risiken aussetzen. Ein Beispiel: 90% der durch den FCPA durchgesetzten Bestechungsfälle in den letzten 40 Jahren waren mit Third-Parties verbunden.

Dennoch führen 83% der Unternehmen keine laufende Due Diligence Prüfung für alle Third-Parties durch. Dabei beginnt hier die Katastrophenbekämpfung (ja, das darf drastisch ausgedrückt werden): Nehmen Sie das Steuer in die Hand und rudern Sie einige Schritte zurück. Am Anfang einer jeden Krisenbewältigung steht die Aufgabe, sich erst einmal einen Überblick zu beschaffen. Es wird Zeit, dass Sie sich mit einem Risk Assessment / einer Risikobewertung beschäftigen.

Wagen Sie den Blick nach innen und außen

Daten über Geschäftspartner gibt es zu genüge. Daten-Supplier sein Dank! Die Gretchenfrage ist, was davon sie tatsächlich brauchen: Adresse, Hierarchie, Eigentümerverhältnisse, wirtschaftlich Berechtigter, Finanz- und Zahlungsdaten, Trigger-Warnungen – die Liste ist endlos. Hier hilft ein Risk Assessment. Dieser Schritt beschäftigt sich mit der Innen- und Außenwelt eines Unternehmens. Die Basis ist der risikobasierte Ansatz, den Sie verfolgen. Je nachdem, wie hoch Sie das Risiko für Ihr Unternehmen einschätzen, ist eine mehr oder weniger intensive Prüfung erforderlich. 

 

Unternehmens-internes Risiko Management

Der erste Blick nach innen lohnt sich. Einige Fragen zur Situation des Unternehmens geben Aufschluss darüber, wie hoch das potenzielle Risiko von außen tatsächlich ist. Führen Sie eine Risikoklassifizierung Ihres eigenen Unternehmens durch. So können Sie viel besser einschätzen, in welcher Risikostufe sich eine Third-Party befindet (wie „gefährlich“ ihnen dieser „Dritte“ werden kann). Ein Beispiel verdeutlicht Ihnen das: Arbeiten Sie der Edelmetall-Branche, sind sie einem höheren Geldwäsche-Risiko ausgesetzt, da Edelmetalle simpel zur Geldwäsche genutzt werden können. In der Baubranche stellen Zahlungsverzüge klassische Risiken von außen dar.

Mögliche Fragen, die Sie sich zu Ihrer Situation stellen sollten, lauten zum Beispiel:

  • In welcher Branche ist mein Unternehmen tätig?
  • Und welchen Risiken bin ich in meiner Branche typischerweise ausgesetzt?
  • Bin ich international oder lokal tätig?
  • Wenn ich nur lokal tätig bin – welchen Reputationsrisiken könnte ich ausgesetzt sein?

Auch ein Blick in die Organisation Ihres Unternehmens kann lohnen. Haben Sie zum Beispiel hauptsächlich einen externen Vertrieb, der hauptsächlich beim Kunden unterwegs ist? Dann unterliegen Sie einer höheren Bestechungsgefahr, als wenn Sie zum Beispiel auf Tele-Sales setzen. 

Unternehmens-externes Risiko Management

Im nächsten Schritt beschäftigen Sie sich mit den Third-Parties. Durchleuchten Sie das Umfeld, in welchem sich Ihr Unternehmen befindet. Identifizieren Ihre Lieferanten, Ihre Anbieter, Ihre Kunden, Agenten, Tochtergesellschaften und weitere Partner.

Was Sie nicht wissen, kann Ihnen schaden!

Was Sie nicht wissen, kann Ihnen schaden!

Oft haben Unternehmen nur ein oberflächliches Verständnis von ihren Geschäftspartnern. Das ist aber nur die Spitze des Eisbergs! Sie möchte wissen, was sich unter der Oberfläche befindet? Und was davon Ihr Geschäftsverhältnis beeinflusst? Wir haben eine Infografik für Sie erstellt.

Erkennen Sie konkrete Risikofelder

Sie wissen, in welchem Bereich Sie sich bewegen und haben auch Ihre Umwelt identifiziert – hervorragend! Sie haben das Gefühl, kurz vorm Datentsunami zu stehen? Gehen Sie strukturiert vor und arbeiten Sie mit diesen konkreten Risikofeldern:

Rechtliche Vorschriften

Schaffen Sie sich zuerst einen Überblick über das Regelwerk, dass Ihr Unternehmen betrifft: Bin ich lokalen oder internationalen Regulationen unterworfen?

Dann betrachten Sie Ihre Third-Party: Treten in der Historie der Third-Party Rechtsverletzungen wie Geldwäsche, Terrorismus-Finanzierung, Korruption oder Bestechung auf?

Für dieses Risikofeld benötigen Sie Daten zur Identifikation Ihrer Third-Party, Zahlungsdaten und historische Daten Ihrer Third-Party sowie Zugriff auf Sanktionslisten.

Länderspezifische Risiken

In welchem Land bin ich tätig? Und in welchem meine Third-Party? Handelt es sich um ein High-Risk-Country?

Länderspezifische Risiken lassen sich ebenfalls mit Daten zur klaren Identifizierung der Third-Party identifizieren. Eine World Heat Map oder spezifische Country Insights schaffen einen schnellen Überblick.

Branchenspezifische Risiken

Sind Sie oder Ihre Third-Party in einer Branche tätig, die anfällig für Zahlungsverzüge, Korruption oder Reputationsschäden ist? Wie verwebt ist die jeweilige Branche mit der Politik?

Sie merken – die eindeutige Identifizierung ist auch hier Thema. Bleiben Sie am Laufenden, was Ihre Branche und die Branchen Ihrer wichtigsten Third-Parties betrifft: Setzen Sie sich Alerts bei gängigen Nachrichtendiensten um tagesaktuell informiert zu bleiben. Sie befinden sich in einer Branche mit hoher Vulnerabilität? Nutzen Sie ein Tool, dass Ihnen bei der eindeutigen Identifizierung Ihrer Third-Party inklusive SIC-Code und Geschäftsgegenstand ermöglicht. 

Reputationsrisiken

Können Reputationsschäden durch Dritte zu einem Verlust von Stakeholdern oder Kunden (-vertrauen) führen?

Stellt eine beschädigte Reputation ein signifikantes Risiko für Ihr Unternehmen dar, sind Negativ-Schlagzeilen eine gute Quelle, um Ihre Third-Parties zu überprüfen. Auch die Unternehmensstruktur und Beteiligungen sowie wirtschaftlich Berechtigte (auch „Ultimate Beneficial Owner“ oder „UBO“) können hier wichtige Indikatoren sein.

Finanzielle Risiken

Wie steht es um die Liquidität Ihrer Third-Parties, wie um die Profitabilität?

Trennen Sie die Spreu vom Weizen und dämmen Sie das Risiko für Ihr Unternehmen ein. Wenn es um das Zahlungen, Investitionen oder längerfristige Partnerschaften geht, sind Zahlungsdaten zu Ihren Third-Parties ein essentielles Element.

Nun bewerten Sie, in welchem Risikoumfeld ihre Geschäftspartner operieren. Wir empfehlen eine Unterscheidung in hohes Risiko, mittler Risiko, niedriges Risiko und sehr niedrigem Risiko.

Von Identifikation bis Integrität – passen Sie Ihren Aufwand ans Risiko an

Klassifizieren Sie Ihre Geschäftspartner nach Ihrem jeweiligen Risikoumfeld. Erkennen Sie, wie risikoreich dieses Umfeld ist! Was wie ein offensichtlicher Zwischenschritt wirkt, ist für die tatsächliche Third-Party Due Diligence unerlässlich. Je nach Risiko-Einstufung können Sie Ihren Aufwand im Screening und Monitoring anpassen (und dabei die „Zeit ist Geld“-Keule schwingen!).

Sehr geringes Risiko: Diese Drittanbieter

… liefern Dienstleistungen, Produkte oder Güter mit geringem Risiko

… weisen ein geringes Maß an Störungen oder negativen Events in der Unternehmens-Historie auf

… haben keinen Zugriff auf allgemein sensible Daten oder speziell sensible Daten aus meinem Unternehmen

… und stehen in keiner Beziehung mit dem End-Kunden.

Geringes Risiko: Diese Drittanbieter

… liefern Dienstleistungen, Produkte oder Güter mit mittlerem Risiko

… weisen ein mittleres Maß an Störungen oder negativen Events in der Unternehmens-Historie auf

… haben Zugriff auf allgemein sensible Daten oder speziell sensible Daten aus meinem Unternehmen

… und stehen in keiner Beziehung mit dem End-Kunden.

Mäßiges Risiko: Diese Drittanbieter

… liefern Dienstleistungen, Produkte oder Güter mit mittlerem bis hohem Risiko

… weisen ein hohes Maß an Störungen oder negativen Events in der Unternehmens-Historie auf

… haben Zugriff auf allgemein sensible Daten oder speziell sensible Daten aus meinem Unternehmen

… und stehen in Beziehung mit dem End-Kunden.

Hohes Risiko: Diese Drittanbieter

… liefern Dienstleistungen, Produkte oder Güter mit hohem Risiko

… weisen ein kritisches Maß an Störungen oder negativen Events in der Unternehmens-Historie auf

… haben Zugriff auf allgemein sehr sensible Daten oder speziell sehr sensible Daten aus meinem Unternehmen

… und stehen in Beziehung mit dem End-Kunden.

Wichtig ist: Auch wenn Sie Third-Parties mit einem geringen Risiko einschätzen, sollten Sie de Entität monitoren und Ihre Screenings dokumentieren. Zeit und Ressourcen können Sie bei der Tiefe der Prüfung sparen.

Fast geschafft – Sie haben Ihre Checklisten

Er wird Zeit, dass Sie sich auf die Schulter klopfen: Sie haben sich durch sämtliche Fragezeichen gearbeitet, die der Datentsunami auf Sie geworfen hat. Gut gemacht! Nun können Sie Ihre Third-Party Due Diligence in drei Checklisten unterteilen. Sie mindern nicht nur die Risiken, denen Ihr Unternehmen ausgesetzt ist, sondern tragen durch Risikovermeidung sogar zur Wertsteigerung bei. Ihre Third-Party Due Diligence können Sie auf drei elementare Fragen reduzieren:

Wer sind Sie?

Identitätscheck mittels Ihrer Stammdaten und Daten zu wirtschaftlicher Berechtigung und Eigentümerverhältnissen.

Wie integer sind Sie?

Integritätscheck mittels Sanktionslisten-Screening, Watch- und Blacklist-Screening und Adverse Media Screening.

Wie hoch ist das Risiko, das durch eine Beziehung mit Ihnen entsteht?

Risiko-Check, abhängig vom von Ihnen definierten Risiko-basierten Ansatz. Beurteilen Sie das Risiko und legen Sie einen Entscheidungs-Baum fest.

Zu viel auf einmal? Vereinfachen Sie den Überblick

Dieser Beitrag zeigt Ihnen deutlich, wie umfassend die schiere Informationslawine ist, die während einer Due Diligence Prüfung auf Sie zurollt. Sie würden gerne einen vereinfachten Überblick erhalten? Wir haben eine Infografik für Sie aufbereitet, in der Sie auf einen Blick erkennen, was Sie wissen sollten. (Und welche Informationen häufig im Verborgenen bleiben, obwohl sie es nicht sollten). Hier geht’s zum Download. 

Abonnieren Sie unsere Blog-Updates!

Lesen Sie neue Artikel zu den Themen Credit Management, Master Data, Marketing und Compliance als Erste.