Risikomanagement für Drittparteien bei Fusionen, Übernahmen und Veräußerungen

Entdecken Sie bewährte Verfahren für das Management von Risiken durch Dritte bei Unternehmensübergängen wie Fusionen, Übernahmen und Veräußerungen. Lernen Sie praktische Strategien kennen, um Ihr Unternehmen zu schützen und die operative Widerstandsfähigkeit sicherzustellen.

Mitratech-Mitarbeiter
Mitratech-Mitarbeiter Juli 22, 2024 10 min gelesen
Decorative image

Organisatorische Veränderungen wie Fusionen, Übernahmen und Veräußerungen (MAD) führen zu Komplexität und Fragmentierung in Unternehmensstrukturen. Diese Umwandlungen beinhalten oft die Einbindung und Trennung umfangreicher Netzwerke von Drittanbietern, Subunternehmern, Lieferanten und anderen Parteien, die jeweils potenzielle unbekannte Risiken mit sich bringen, die sich negativ auf den Geschäftsbetrieb auswirken könnten.

Das Risikomanagement für Dritte (Third-Party Risk Management, TPRM) dient in solchen Szenarien als wichtige Informationsquelle. Ein robustes TPRM-Programm hilft dabei, Risiken im Zusammenhang mit Dritten zu identifizieren und zu bewerten, und implementiert Strategien zur Minderung dieser Risiken während Übergangsprozessen, um die Geschäftsabläufe Ihres Unternehmens zu schützen. In diesem Beitrag befassen wir uns mit dem Wissen und den Tools, die erforderlich sind, um die komplexen Risiken im Zusammenhang mit Dritten bei Fusionen, Übernahmen, Veräußerungen und anderen Unternehmensübergängen zu bewältigen.

Der Kontext ist entscheidend: Planen Sie für verschiedene Szenarien des Unternehmensübergangs

Das Verständnis des Kontexts einer Unternehmensumstellung ist entscheidend, um Risiken durch Dritte angemessen anzugehen und Ihr Team auf den Erfolg vorzubereiten. So können Teams verschiedene Szenarien trainieren und antizipieren, die eintreten könnten. Außerdem erhalten sie Einblicke in Zeiten erhöhter Unsicherheit und können so potenzielle Auswirkungen auf betriebliche Prozesse besser verstehen. Durch Planung können Teams ein betrieblich robustes TPRM-Programm für Fusionen, Übernahmen, Veräußerungen und andere Umstellungen aufbauen. Zu den häufigen Auslösern für geschäftliche Ereignisse gehören:

  • Fusion: Wenn zwei Unternehmen sich zu einem neuen Unternehmen zusammenschließen. Fusionen können auch die Beziehungen zu Lieferanten und Zulieferern der ehemals unabhängigen Unternehmen umfassen.
  • Übernahme: Wenn es zu einem Eigentümerwechsel kommt oder ein anderes Unternehmen, einschließlich seiner Drittanbieter und zugehörigen Lieferketten, übernommen wird.
  • Veräußerung: Wenn ein Unternehmen einen Teil seiner Unternehmensbeteiligungen oder Anteile an einem Unternehmen verkauft oder ausgliedert.
  • Joint Venture: Wenn zwei oder mehr Unternehmen sich zu einem kommerziellen Unternehmen zusammenschließen, aber ihre eigene Identität behalten.
  • Neues und erweitertes Geschäftsvorhaben:
    Umfasst Pilotprogramme oder separate Geschäftseinheiten, die zu eigenständigen Unternehmen geworden sind.
  • Fusionen und Übernahmen unter Dritten und in der erweiterten Lieferkette: Lieferanten , Anbieter und andere Parteien können von Unternehmensübergängen mit Auswirkungen auf vorgelagerte Bereiche betroffen sein.

Empfehlungen für ein erfolgreiches TPRM-Programm für Fusionen, Übernahmen und Veräußerungen (MAD)

Bevor Sie sich mit dem auf die Bedürfnisse Ihres Teams zugeschnittenen TPRM-Prozess befassen, sollten Sie drei allgemeine Best Practices berücksichtigen. Diese Empfehlungen dienen als Grundlage für das Management und die Minderung potenzieller Risiken bei allen Arten von Unternehmensübergängen.

1. Aufbau von Beziehungen zu wichtigen Stakeholdern

Um geschäftliche Übergänge effektiv zu bewältigen und Veränderungen vorwegzunehmen, ist es wichtig, enge Beziehungen zu den wichtigsten Stakeholdern innerhalb Ihres Unternehmens zu pflegen. Bauen Sie Vertrauen und Zusammenarbeit mit dem Vorstand, der Geschäftsleitung und wichtigen Abteilungen wie IT-Sicherheit, Rechtsabteilung, Beschaffung, Compliance, Datenschutz, Finanzen und Lieferkettenpartnern auf.

Die Stärkung dieser Beziehungen zu Stakeholdern sorgt dafür, dass Ihre Strategien zum Management von Risiken durch Dritte mit den übergeordneten Geschäftszielen in Einklang stehen, und informiert Sie über bevorstehende organisatorische Veränderungen. Diese Abstimmung und dieses Bewusstsein erleichtern eine schnelle und fundierte Entscheidungsfindung, wenn Veränderungen eintreten, und verbessern Ihre Fähigkeit, Risiken effektiv zu managen.

2. Behalten Sie einen ganzheitlichen Überblick über Risiken durch Dritte

Nachdem Sie die Kritikalität von Drittanbieterdiensten ermittelt haben, bewerten Sie die umfassenderen operativen Risiken, die diese Beziehungen für Ihr Unternehmen darstellen können:

  • Finanziell: Bewerten Sie die finanzielle Gesundheit des Dritten, indem Sie Trends bei Einnahmen und Ausgaben, Solvenz- oder Insolvenzrisiken, Bonitätsbewertungen und Liquiditätsniveaus untersuchen. Diese Faktoren sind entscheidend für das Verständnis ihrer finanziellen Stabilität und Zuverlässigkeit.
  • Betrieb: Bewerten Sie die operative Belastbarkeit, das Ressourcenmanagement, die Fluktuationsrate, die Erfahrung mit Fusionen und Veräußerungen sowie die Kapazität der Infrastruktur. So lässt sich besser einschätzen, inwieweit das Unternehmen in der Lage ist, seine vertraglichen Verpflichtungen unter sich ändernden Bedingungen zu erfüllen.
  • Geopolitik/Konzentration: Berücksichtigen Sie, wie der Dritte mit Risiken im Zusammenhang mit geopolitischen Fragen, Naturkatastrophen und standortspezifischen Herausforderungen wie Offshoring- und Konzentrationsrisiken umgeht. Das Verständnis dieser Aspekte ist für die Planung von Risikominderungsmaßnahmen in unterschiedlichen Umgebungen von entscheidender Bedeutung.
  • Cybersicherheit und Datenschutz: Bestimmen Sie die Wirksamkeit ihrer Cybersicherheitsmaßnahmen. Sind sie ausreichend vor Cyberangriffen, Datenverstößen, Datenverlusten und Ransomware geschützt? Bewerten Sie ihre Praktiken zum Bedrohungs- und Schwachstellenmanagement sowie ihre Vorbereitung auf neue Cyberrisiken.
  • Umwelt, Soziales und Unternehmensführung (ESG):
    Analysieren Sie, wie Dritte mit ihren ESG-Verpflichtungen umgehen. Sind ihre Umweltrichtlinien solide? Halten sie sich an Sozial- und Governance-Standards, die mit den Werten Ihres Unternehmens übereinstimmen?
  • Compliance und Sanktionen: Stellen Sie sicher, dass der Dritte die relevanten Gesetze und Vorschriften einhält, die sich auf Ihr Unternehmen auswirken können. Die Nichteinhaltung könnte Ihr Unternehmen rechtlichen und regulatorischen Risiken aussetzen.
  • Reputation: Bewerten Sie die öffentliche und brancheninterne Wahrnehmung des Dritten, einschließlich negativer Berichterstattung in den Medien.

3. Aufbau einer erweiterten Lieferkettenbestandsaufnahme

Sobald Sie einen ganzheitlichen Überblick über Ihre operativen Risiken haben, sollten Sie den Status Ihrer gesamten Lieferkette gründlich bewerten. Es ist unerlässlich, alle Lieferanten und deren Abhängigkeiten im Voraus zu identifizieren. Dieser proaktive Ansatz hilft dabei, potenzielle Risiken zu erkennen und ermöglicht ein effektiveres Management zukünftiger Geschäftsübergänge.

Katalogisieren Sie diese Lieferanten systematisch und bewerten Sie ihre Rollen, Abhängigkeiten und potenziellen Schwachstellen. Dadurch entsteht eine widerstandsfähigere Lieferkette, die sich an neue Geschäftsszenarien anpassen kann und sicherstellt, dass Ihre Lieferkette Ihre strategischen Ziele unterstützt, anstatt sie zu behindern.

Risikomanagement durch Dritte bei Fusionen und Übernahmen

Nachdem wir nun eine solide Grundlage geschaffen haben, wollen wir uns einige bewährte Verfahren für das TPRM bei Fusionen und Übernahmen ansehen. In diesem Szenario ist ein solider Onboarding- und Bewertungsprozess von entscheidender Bedeutung. Zu den wichtigsten Schritten gehören:

  1. Bedarfe Dritter bewerten: Stellen Sie fest, ob Ihr Unternehmen einen weiteren Dritten benötigt, der ein ähnliches Produkt oder eine ähnliche Dienstleistung anbietet. Sehen Sie sich die Lieferkettenbestände Ihres Unternehmens und des übernommenen Unternehmens an. Vergleichen Sie diese Bestände und seien Sie bereit, überlappende Dienstleistungen zu bewerten, auszulagern und Verträge entsprechend zu kündigen.
  2. Vertragsprüfung: Überprüfen Sie die Verträge des übernommenen Unternehmens mit Dritten, um sicherzustellen, dass deren Prüfungsanforderungen mit denen des übernehmenden Unternehmens übereinstimmen. Vergewissern Sie sich, dass der Dritte seine vertraglichen Servicelevels und Leistungskennzahlen (KPIs) erfüllt.
  3. Führen Sie eine Bewertung der inhärenten Risiken durch: Wenn Sie einen neuen Dritten auswählen, der mit einem übernommenen Unternehmen in Verbindung steht, ermitteln Sie die grundlegenden Risiken, die dieser für Ihr Unternehmen darstellt. Nutzen Sie diese Informationen als Leitfaden für den Due-Diligence-Prozess und stützen Sie sich dabei auf die im vorherigen Abschnitt genannten Kritikalitätskriterien.
  4. Validierung der Risikobewertung: Stellen Sie fest, ob der Dritte über eine unabhängige Risikobewertung oder Zertifizierung verfügt, z. B. SOC 2 oder ISO Statement of Applicability (SOA), die in den letzten 12 Monaten durchgeführt wurde und die er Ihrer Organisation zur Verfügung stellen kann.
  5. Sorgfaltspflicht bei unzureichenden Bewertungen: Führen Sie weitere Sorgfaltsprüfungen durch, wenn die Risikobewertung des Dritten nicht den Standards Ihres Unternehmens entspricht. Dazu sollte eine detaillierte Risikobewertung des Dritten auf der Grundlage eines standardisierten Rahmens wie NIST oder ISO gehören.
  6. Kontinuierliche Überwachung: Verwenden Sie Tools und Prozesse zur kontinuierlichen Überwachung, um die Maßnahmen zur Risikobewertung zu validieren und neue Risiken zu identifizieren, die nach der ersten Bewertung auftreten können.
  7. Überprüfen Sie die Erweiterung von Geschäftsbereichen: Bewerten Sie jede Erweiterung bestehender Beziehungen zu Dritten hinsichtlich zusätzlicher Risiken für Ihr Unternehmen.

Zusätzliche Sorgfaltspflichten, die bei Übernahmen zu berücksichtigen sind:

  • Erweiterte Beziehungen: Bewerten Sie Beziehungen zu vierten und weiteren Parteien, um Sicherheitsrisiken und unnötige Doppelarbeit zu vermeiden, die sich auf die Rentabilität auswirken können.
  • Akquisitionsintegration: Entwickeln Sie einen strukturierten Prozess für die Integration von Akquisitionen in Ihre Technologieinfrastruktur. Dies reduziert organisatorische Risiken und stärkt die operative Widerstandsfähigkeit.
  • Vertragslücken: Beheben Sie Sicherheitsrisiken in Verträgen, indem Sie Prüfungsrechte, Benachrichtigung bei Verstößen und Verpflichtungen Dritter aufnehmen. Erweitern Sie die Datensicherheitsanforderungen auf Subunternehmer und definieren Sie klar die Erwartungen an die Informationssicherheit.
  • Risikoausnahmen: Probleme entstehen, wenn Geschäftsbereiche Risiken durch Dritte nicht mindern können. Geschäftsbereiche sollten mindestens Risikoausnahmen verwenden, die Kontrollen für Risiken, die nicht gemindert werden können, anerkennen und umsetzen.

TPRM während der Veräußerung

Wenn Ihr Team eine Unternehmensveräußerung durchführt, ist es wichtig, über einen festgelegten Prozess für die Abmeldung von Drittanbietern sowie internen Funktionen oder Abteilungen zu verfügen.

Schließen Sie eine Übergangsvereinbarung ab, wenn Funktionen oder Geschäftsbereiche ausgelagert werden und ihre Geschäftsbeziehung mit Ihrem Unternehmen als Drittpartei fortsetzen. Überlegen Sie, wer den Prozess leiten wird und wann dem Käufer nach Abschluss der Veräußerung Zugang gewährt werden kann. Prüfen Sie, ob das veräußerte Unternehmen Zugang zu Ihrer Infrastruktur haben wird, sensible Informationen speichert oder wichtige interne Prozesse ausführt. Trennen Sie nach Abschluss der Veräußerung das veräußerte Unternehmen ab, um den Zugang zu beschränken, bis Kontrollen implementiert sind. So stellen Sie sicher, dass der Geschäftsbetrieb während der Ausgliederung nicht gestört wird.

Bewährte Verfahren für die Ausgliederung von Drittanbietern während einer Veräußerung

  • Halten Sie die Kommunikation offen: Bewältigen Sie potenzielle Risiken, indem Sie während des Offboardings regelmäßig mit dem Anbieter kommunizieren. Informieren Sie die Anbieter über den Zeitrahmen des Offboardings, beantworten Sie Fragen und seien Sie transparent in Bezug auf die zu erwartenden Entwicklungen.
  • Entziehen Sie den Zugriff auf physische Gebäude, Daten und IT-Infrastruktur: Beenden Sie den Zugriff eines Lieferanten auf sensible Daten und geistiges Eigentum. Löschen Sie dessen Anmeldedaten, fordern Sie die Rückgabe von Firmeneigentum, ändern Sie Anmeldedaten, sperren Sie den Zugriff auf alle Anwendungen und verweigern Sie jeglichen Zugriff über APIs.
  • Führen Sie eine abschließende Überprüfung des Vertrags durch: Überprüfen Sie die Klauseln und Bestimmungen des Vertrags hinsichtlich der Kündigung, um sicherzustellen, dass Sie das Recht haben, die Beziehung zum Anbieter zu beenden oder auf einen Nachfolger zu übertragen. Führen Sie eine abschließende Überprüfung mit den Rechts- und Beschaffungsteams durch, um Scope Creep zu identifizieren und sicherzustellen, dass der Anbieter alle vertraglichen Verpflichtungen erfüllt hat.
  • Ausstehende Rechnungen bezahlen: Planen Sie die Restzahlungen, sobald Sie die endgültigen Lieferungen vom Lieferanten erhalten haben, nachdem Sie die Vertragsbedingungen überprüft und alle verbleibenden Verpflichtungen beider Seiten geklärt haben.
  • Bewertung der Einhaltung von Informationssicherheit und Datenschutz: Stellen Sie sicher, dass die Kündigungsverfahren mit Ihren gesetzlichen Verpflichtungen übereinstimmen. Besprechen Sie alle ausstehenden Verpflichtungen mit dem Anbieter, einschließlich Geheimhaltungsvereinbarungen, Wettbewerbsverbotsvereinbarungen und Vertraulichkeitsvereinbarungen.
  • Aktualisieren Sie Ihre Lieferantenmanagement-Datenbank: Dokumentieren Sie die Geschichte des Lieferanten in Ihrem Unternehmen, legen Sie Nachweise vor, die die Gründe für die Beendigung der Geschäftsbeziehung erläutern, und halten Sie den Beendigungsprozess fest. Bewahren Sie Unterlagen auf, um Probleme schnell zu lösen und rechtliche Risiken zu vermeiden.
  • Liefranbieter kontinuierlich auf potenzielle zukünftige Risiken überwachen: Risiken enden nicht immer mit dem Abschluss der Offboarding-Aufgaben und der Beendigung des Vertrags. Überwachen Sie potenzielle Risikobereiche für einen bestimmten Zeitraum nach dem Offboarding, um zukünftige Risiken zu managen, wie z. B. Benutzeranmeldedaten, die im Dark Web zum Verkauf angeboten werden.

TPRM für Joint Ventures

Joint Ventures (JVs) stellen besondere Herausforderungen für das Management von Risiken durch Dritte dar, insbesondere wenn Ihr Unternehmen an einer möglicherweise nur vorübergehenden Vereinbarung beteiligt ist. In solchen Fällen müssen Sie den Geschäftspartner möglicherweise als Dritten behandeln.

Kritische Maßnahmen für das Risikomanagement in Joint Ventures

  • Führen Sie umfassende Risikobewertungen durch:
    Führen Sie gründliche Risikobewertungen durch, um potenzielle Risiken für die Infrastruktur und Informationen Ihres Unternehmens zu identifizieren. Dieser grundlegende Schritt ist entscheidend für die Identifizierung von Schwachstellen und die Planung wirksamer Strategien zur Risikominderung.
  • Kontrollanwendungen und Trennung: Implementieren und pflegen Sie geeignete Kontrollen und sorgen Sie für eine klare Trennung, um den spezifischen Herausforderungen des Joint Ventures gerecht zu werden. Bewerten Sie im Laufe der Entwicklung des Joint Ventures, ob zusätzliche Maßnahmen erforderlich sind, um die Interessen Ihres Unternehmens zu wahren.
  • Zusammenarbeit beim Risikomanagement: Bündeln Sie das gesamte Fachwissen von Dritten, um den Erfolg des Joint Ventures sicherzustellen. Organisieren Sie Sitzungen, um allen Beteiligten zu helfen, die identifizierten Risiken, die Strategien zu deren Bewältigung und die Methoden zur Kommunikation dieser Risiken an alle Partner zu verstehen. Dieser kooperative Ansatz fördert Transparenz und gegenseitiges Verständnis, die für ein effektives Management der Risiken eines Joint Ventures unerlässlich sind.
  • Verwalten Sie Lieferanten während des gesamten Beziehungszyklus: Überprüfen und bewerten Sie regelmäßig die Drittanbieter, die für das Joint Venture tätig sind. Überwachen Sie regelmäßig deren Leistung, setzen Sie relevante Vertragsbestimmungen durch und trennen Sie sich von Lieferanten, wenn diese nicht mehr den Standards des Joint Ventures entsprechen oder ihre Dienstleistungen nicht mehr benötigt werden.

Die Konzentration auf diese Bereiche kann das Management von Risiken durch Dritte in Joint Ventures verbessern und zum Gesamterfolg des Unternehmens beitragen. Überprüfen Sie regelmäßig jeden Schritt, um sicherzustellen, dass die Risikomanagementstrategien wirksam bleiben und auf die sich wandelnde Natur des Joint Ventures reagieren.

Nächste Schritte

Erhalten Sie mehr Einblicke in das Management von Risiken durch Dritte während Unternehmensübergängen mit unserem Whitepaper „Strategischer Leitfaden zum Management von Risiken durch Dritte während Fusionen und Übernahmen“. Integrieren Sie TPRM in Ihre MAD-Prozesse, indem Sie unseren Leitfaden zum Onboarding und Offboarding herunterladen. Vereinbaren Sie anschließend einen Termin für eine Demo, um zu erfahren, wie Prevalent Ihnen dabei helfen kann, Ihr TPRM-Programm während Unternehmensübergängen zu automatisieren und zu beschleunigen.

Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.