Die zehn größten Fehler von Compliance-Beauftragten beim Management von Drittparteien (und was man dagegen tun kann)

Seien wir ehrlich: Die Verwaltung von Drittparteien kann eine Herausforderung sein. Jeden Tag beklagen die Compliance-Beauftragten das Versagen ihrer Drittpartei-Prüfungen. Man hört Kommentare wie: „Es funktioniert einfach nicht. Das Unternehmen hasst das Verfahren und versucht, es zu umgehen. Es gibt Zahlungen an Drittparteien, die überhaupt nicht überprüft worden sind. Die Fragebögen zur Sorgfaltspflicht werden nicht richtig ausgefüllt. Was machen wir jetzt?“

Es mag frustrierend sein, aber egal, was mit Ihrem Verfahren passiert, es ist nicht alles verloren. Die meisten Probleme mit Prüfverfahren von Drittanbietern lassen sich einer von mehreren Kategorien zuordnen. In der Regel lassen sich diese Probleme durch Optimierungen lösen, ohne dass ein kompletter Neustart des Verfahrens nötig wäre.

Im Laufe meiner langjährigen Zusammenarbeit mit Unternehmen bei der Erstellung, Bewertung, Optimierung und Korrektur ihrer Drittparteiprogramme habe ich alles Mögliche gesehen. Schnell kristallisierten sich Muster heraus, ebenso wie Lösungen für die Probleme, die so viele Unternehmen und ihre Compliance-Beauftragten plagen.

Hier sind die zehn größten Probleme, die Compliance-Beauftragte mit ihrem Drittparteiprogramm haben, und was man dagegen tun kann.

Fehler Nr. 1: Ein zu weit gefasster Geltungsbereich.

Wenn ambitionierte Compliance-Beauftragte ihre Drittanbieter-Programme starten, sind sie begeistert. Sie sehen überall Risiken und wollen sie verringern. Sie nehmen alle Drittparteien in den Geltungsbereich der Drittparteiprüfung auf. Schon bald stellen sie fest, dass sie nicht über die Ressourcen verfügen, um alle Warnhinweise zu managen oder die Sorgfaltsprüfung durchzuführen. Der Aufwand übersteigt die Kapazitäten des Compliance-Beauftragten, und das Unternehmen wird des Wartens müde.

Abhilfe: Wenn Sie Ihr Programm für Drittanbieter gerade erst starten, beginnen Sie klein, indem Sie nur die Drittanbieter mit dem höchsten Risiko für eine Sorgfaltsprüfung auswählen. Dies sind in der Regel Ihre Vertriebspersonen und Händler. Wenn Sie ein dysfunktionales Drittparteiprogramm haben, versuchen Sie, den Umfang zu reduzieren, so dass nur noch Dritte mit höherem Risiko einbezogen werden. Wenn Sie den Umfang reduzieren, sollten Sie dies schriftlich begründen. Vermerken Sie unbedingt, wie Sie den risikobasierten Ansatz angewendet haben.

Fehler Nr. 2: Alle bekommen das gleiche Maß an Aufmerksamkeit.

Einer der häufigsten Fehler, die ich beobachte, ist, dass bei jeder Art von Drittpartei genau dasselbe Maß an Sorgfaltspflicht angewendet wird. Dies geschieht in der Regel, weil der oder die Compliance-Beauftragte unsicher ist und sich mit der Frage plagt, „Was, wenn wir etwas übersehen?“. „Was passiert, wenn eine böswillige Drittpartie durch die Maschen schlüpft?“ Diese Unsicherheit führt zu schwerfälligen Programmen.

Abhilfe: Verwenden Sie das, was ich den „Menüansatz“ nenne. Optionen für die Sorgfaltspflicht gibt es in vielen Geschmacksrichtungen. Zum Beispiel gibt es (1) erste Screenings mit Hilfe von Software (wie Third Party Management von Diligent), (2) Due-Diligence-Fragebögen, die an Dritte gehen, (3) verschärfte Vertragsklauseln, (4) Referenzprüfungen, (5) Schreibtischüberprüfungen und (6) erweiterte Vor-Ort-Berichte. Schauen Sie sich Ihr Menü mit den Optionen an und legen Sie dann einen abgestuften Ansatz fest, wie viel Sorgfaltspflicht je Drittparteirisiko angewendet wird. Je größer das Risiko, desto umfangreicher ist die Liste der erforderlichen Maßnahmen.

Fehler Nr. 3: Der Due-Diligence-Fragebogen (DDQ) ist lächerlich lang.

Es ist ja so einfach, Fragen zu einem Due-Diligence-Fragebogen hinzuzufügen. Die Überlegung dahinter ist: „Wäre es nicht toll, das auch noch zu wissen?“ Wenn das ein paar Mal passiert, verwandelt sich Ihr Fragebogen von einem Minimum an erforderlichen Informationen in ein sehr umfangreiches Dokument, und das Ausfüllen dauert mehrere Stunden. Was ist noch schlimmer? Oftmals werden die Fragen zu weit gefasst, oder sie sind zu aufdringlich. Der Sinn von Due-Diligence-Fragebögen besteht darin, die Informationen zu erhalten, die Sie für eine Entscheidung benötigen, und nicht darin, die gesamte Lebensgeschichte aller Mitarbeiter der Drittpartei zu erfahren.

Abhilfe: Gehen Sie alle Fragen in Ihrem aktuellen Due-Diligence-Fragebogen durch. Fragen Sie sich: „Ist das für meine Überprüfung erforderlich?“ So benötigen Sie zum Beispiel die Adresse des Dritten und den Namen der letztlich wirtschaftlich Verantwortlichen für die Überprüfung von Sanktionen. Aber brauchen Sie die Bankdaten? Wie sieht es mit Referenzen aus? Werden diese angerufen? Werden die Bücher der Drittpartei geprüft oder nicht? Sind die Antworten auf die Fragen für Ihre Entscheidung über die Zulassung relevant? Wenn nicht, dann lassen Sie sie weg.

Fehler Nr. 4: Das Unternehmen kann Drittparteien ohne Compliance-Überwachung zulassen, obwohl es Warnhinweise gibt.

„Die Compliance liegt in der Verantwortung des Unternehmens“ ist heutzutage eine sehr beliebte Aussage in der Welt der Compliance, und bis zu einem gewissen Grad stimmt das auch. Dieser Gedanke kann jedoch zu weit gehen, wenn man darauf vertraut, dass das Unternehmen Compliance-Probleme löst, ohne die Compliance-Beauftragten hinzuzuziehen. Schließlich ist es die Aufgabe der Compliance-Abteilung, über die Lösung von Compliance-Problemen und Warnsignale Bescheid zu wissen. Sollte das Unternehmen trotz des Vorhandenseins von Warnsignalen mit einer Drittpartei zusammenarbeiten wollen hieße das, den Bock zum Gärtner machen.

Abhilfe: Stellen Sie sicher, dass jemand aus dem Compliance-Team mit der abschließenden Bewertung des Clearings von Warnsignalen betraut wird. Erlauben Sie dem Unternehmen, Informationen zu sammeln und sich an Empfehlungen zur Abhilfe zu beteiligen, aber stellen Sie sicher, dass die endgültige Entscheidung bei der Compliance liegt.

Fehler Nr. 5: Niemand ist für die Überprüfung der Antworten im Due-Diligence-Fragebogen verantwortlich.

Wenn die Drittpartei sich die Mühe macht, den Due-Diligence-Fragebogen auszufüllen, muss sich doch jemand im Unternehmen darauf freuen, ihn zu prüfen, oder? Häufig lautet die Antwort darauf „Nein“. All die Leute, die sich darum bemühen, Fragen zum Due-Diligence-Fragebogen hinzuzufügen, sind plötzlich nicht mehr auffindbar, wenn es beispielsweise darum geht, zu überprüfen, ob jede Drittpartei tatsächlich mindestens zwei ISO-Zertifizierungen hat.

Abhilfe: Stellen Sie zunächst sicher, dass Ihr Fragebogen nur relevante Fragen enthält (siehe Fehler Nr. 3). Stellen Sie anschließend sicher, dass jemand mit der Überprüfung der Fragebögen beauftragt wird. Wenn es spezielle Fragen gibt, stellen Sie sicher, dass die richtige Person im Unternehmen die Antworten überprüfen und abzeichnen muss. Wenn z. B. jeder Anbieter, der auf personenbezogene Daten zugreift, drei zusätzliche Fragen beantworten muss, die von der IT-Abteilung geprüft und genehmigt werden müssen, sollten Sie sicherstellen, dass jemand aus der IT-Abteilung die Antworten überprüft und genehmigt.

Fehler Nr. 6: Nachweise sind unmöglich.

Ein beliebter Satz in Selbsterklärungen lautet: „Wir erklären, dass wir noch nie und nirgendwo gegen irgendein Gesetz verstoßen haben und dies auch in Zukunft niemals und nirgendwo tun werden.“ Im Ernst? Das kann so einfach nicht stimmen/funktionieren. Ein paar Mitarbeiter der Drittpartei sind auf dem Weg zur Arbeit bestimmt schon mal zu schnell gefahren. Diese zu weit gefassten Erklärungen stellen ein Problem dar, da die meisten von ihnen nicht bearbeitet werden können. In den schlimmsten Fällen lügt die Drittpartei, bevor die Geschäftsbeziehung überhaupt begonnen hat.

Abhilfe: Verlangen Sie nur Erklärungen, die angemessen und tatsächlich relevant sind. Bitten Sie die Drittpartei beispielsweise darum, dass Sie informiert werden, wenn gegen sie ermittelt oder sie angeklagt wird. Oder darum, zu versichern, dass sie niemanden im Zusammenhang mit Ihrem Geschäftsverhältnis bestechen oder Dritte dazu missbrauchen werden.

Fehler Nr. 7: Die Drittpartei muss dieselben Informationen für verschiedene Due-Diligence-Prozesse ausfüllen.

Ihre Geschäftspartner sind es leid, ihren Namen in zehn verschiedene Systeme eintragen zu müssen. Und ihre Adressen. Und dann noch ihre E-Mail-Adressen. Und dann noch…

Bis zu einem gewissen Grad ist das auch verständlich. Es gibt verschiedene Systeme zur Bewältigung unterschiedlicher Risiken. Aber wenn die Drittparteien stundenlang brauchen, nur um durch das Onboarding zu kommen, ist das ein Problem.

Abhilfe: Arbeiten Sie mit den anderen Risikomanagern zusammen, um Informationen soweit wie möglich gemeinsam zu nutzen. Erkundigen Sie sich bei den Softwareanbietern, ob ihre Produkte über eine Anwendungsprogrammierschnittstelle (API) miteinander kommunizieren können. Prüfen Sie, ob es möglich ist, die verschiedenen Due-Diligence-Fragen in einem System zusammenzufassen. Optimieren Sie den Abfrageprozess so gut Sie können.

Fehler Nr. 8: Glauben, dass eine schriftliche Richtlinie und eine E-Mail bedeuten, dass jeder das Programm kennt und versteht.

Wir dürfen doch wohl annehmen, dass jeder unser Drittparteiverfahren kennt. Immerhin hat das Unternehmen im letzten Jahr eine E-Mail darüber erhalten und vor zwei Jahren bei der Einführung eine zehnminütige Schulung besucht. Jeder weiß also, dass Drittparteien über das System abgewickelt werden müssen, richtig? Und sie werden sich daran erinnern, wann sie dies tun müssen. Oder doch nicht?

Abhilfe: Schulungen und Benachrichtigungen für Verantwortliche, die wahrscheinlich Drittparteien engagieren, die dem Due-Diligence-Verfahren unterliegen, sollten jährlich erfolgen. Führen Sie gezielte Schulungen durch oder senden Sie ihnen Mitteilungen, in denen Sie speziell auf das Verfahren und seine Anforderungen hinweisen. Setzen Sie sich einmal im Jahr mit ihnen in Verbindung, um sicherzustellen, dass sie sich über das Verfahren im Klaren sind. Geben Sie sich nicht der Illusion hin, dass die bloße Existenz einer Richtlinie bedeutet, dass alle sie kennen und ohne Aufforderung befolgen.

Fehler Nr. 9: Einmalige Prüfung ohne erneutes Screening oder laufende Überwachung.

Es ist immer am besten, gar nicht erst einen Vertrag mit einer schlechten Drittpartei abzuschließen. Die Beendigung einer Geschäftsbeziehung ist schwieriger, wenn sie erst einmal begonnen hat. Viele Unternehmen überprüfen Drittparteien nur in der ersten Phase der Auftragsvergabe. Das ist ein Problem, denn auch gute Unternehmen können sich in schlechte Unternehmen verwandeln. Was ist noch schlimmer? Sanktionen ändern sich täglich, und ein Unternehmen oder eine Person, die gestern noch unbedenklich war, kann heute bereits zur Gefahr werden. Lediglich einmal zu prüfen reicht nicht aus.

Abhilfe: Verwenden Sie einen risikobasierten Ansatz für die kontinuierliche Überwachung. Viele Unternehmen überprüfen Drittparteien mit geringem Risiko alle drei Jahre, solche mit mittlerem Risiko alle zwei Jahre und solche mit hohem Risiko jedes Jahr neu. Führen Sie zumindest stichprobenartig regelmäßige Überprüfungen Ihrer Drittanbieter durch.

Fehler Nr. 10: Ungenutzte Drittanbieter nicht ausmustern.

Ein mittelgroßes Unternehmen, mit dem ich gearbeitet habe, gab an, mit über 17.000 Drittparteien zu arbeiten. Zumindest dachten sie das, bis sie eine Datenbereinigung durchführten, um nur die in den letzten 18 Monaten aktiven Drittparteien anzuzeigen. Das Ergebnis? Es gab nur 3.000 aktive Drittparteien. Das machte die Anforderungen an die Sorgfaltspflicht viel überschaubarer!

Wenn Ihre Daten von minderwertiger Qualität sind, dann sind es auch Ihre Berichte. Es ist unmöglich, einen risikobasierten Ansatz zu verfolgen und Erkenntnisse zu gewinnen, wenn Sie nicht über ein realistisches Bild der Drittparteien verfügen, die derzeit für Ihr Unternehmen tätig sind.

Abhilfe: Arbeiten Sie mit der Finanzabteilung zusammen, um eine Liste der in letzter Zeit aktiven Drittparteien zu erhalten, und gleichen Sie diese mit Ihrer aktuellen Datenbank ab. Archivieren Sie die nicht mehr genutzten Drittanbieter, um die Aufzeichnungen aufzubewahren.

Es ist schwer, ein gutes Drittparteiprogramm zu betreiben, aber es ist viel einfacher, dies erfolgreich zu tun, wenn Sie diese Fehler vermeiden. Die Umsetzung dieser Lösungen wird Sie bei der Schaffung eines effektiven, effizienten und vertretbaren Programms für Drittparteien weit bringen.