Beziehungen zu Dritten sind zunehmend in den Nachrichten präsent. Und das nicht aus guten Gründen. Datenverstöße im Zusammenhang mit Dritten nehmen zu, Lieferketten bleiben aufgrund geopolitischer und arbeitsrechtlicher Probleme angespannt, und es gibt weiterhin Probleme bei der Mitarbeiterbindung, um den Anforderungen der Unternehmen gerecht zu werden.
Da wir das Jahr 2023 in einem komplizierten wirtschaftlichen Klima beenden, ist es für Risikomanagementteams von Drittanbietern von entscheidender Bedeutung, zu planen, wie sie mit ihren größten Risiken umgehen wollen. Basierend auf unserer Analyse sind die größten Risiken, über die man sich im neuen Jahr Gedanken machen sollte, folgende:
- Risiko der Cybersicherheit
- Reputationsrisiko
- Risiko der Geschäftskontinuität
- Sicherheits- und Zuverlässigkeitsrisiko
- Risiken in Bezug auf Umwelt, Soziales und Unternehmensführung
- Bestechung und Korruption
Dieser Blogbeitrag behandelt die wichtigsten Risiken durch Dritte und erläutert, warum diese insbesondere zu Beginn des neuen Jahres von Bedeutung sind.
Risiko der Cybersicherheit von Anbietern
Das Cybersicherheitsrisiko durch Dritte wird definiert als potenzielle Gefährdung der Vertraulichkeit, Integrität oder Verfügbarkeit der IT-Infrastruktur und Daten, die ein Unternehmen aufgrund der Zusammenarbeit mit Dritten, seien es Anbieter, Lieferanten oder andere Geschäftspartner, eingeht. Es wird oft mit dem Risikomanagement für IT-Anbieter gleichgesetzt – das in der Regel in den Zuständigkeitsbereich des Informationssicherheitsteams fällt –, aber es wird zunehmend als strategisches Geschäftsrisiko angesehen und findet auch außerhalb der IT- und Sicherheitsteams Beachtung. Laut Proofpoint schenken tatsächlich immer mehr Vorstandsmitglieder der Cybersicherheit mehr Aufmerksamkeit als je zuvor.
Zu den größten Risiken für Lieferketten im 21. Jahrhundert zählen Datenverstöße und andere Cybervorfälle. Diese Vorfälle können Lieferanten, deren Kunden und sogar die Kunden ihrer Kunden gefährden. In vielen Fällen verfügen große Unternehmen über robuste Cybersicherheitsprogramme, die jedoch nicht immer auf Drittorganisationen ausgedehnt werden, die möglicherweise über wesentlich weniger Cybersicherheitskenntnisse und -fähigkeiten verfügen. Selbst die größten Unternehmen mit den robustesten Sicherheitsprogrammen sind daher weiterhin potenziellen Risiken durch kleinere Lieferanten ausgesetzt, die wahrscheinlich nicht über die gleichen Ressourcen für die Sicherung kritischer Daten verfügen.
Unsere aktuelle Studie bestätigt das Cybersicherheitsrisiko, das mit der Lieferkette verbunden ist, da 41 % der Unternehmen in den letzten 12 Monaten von einer schwerwiegenden Datenpanne bei Dritten betroffen waren. Der Hackerangriff auf MOVEit File Transfer ist ein Beispiel dafür. Die Sicherheitslücke wurde erstmals im Mai 2023 bekannt gegeben, und bis Ende September waren mehr als 1.000 Unternehmen und über 60 Millionen Menschen davon betroffen. Das gesamte Ausmaß der Datenverletzungen, die aus dieser Sicherheitslücke resultieren, ist noch nicht bekannt und wird wahrscheinlich auch erst in einigen Monaten feststehen. Dennoch kann nicht genug betont werden, wie viele Unternehmen aufgrund dieser Sicherheitslücke Opfer von Datenverletzungen geworden sind.
Cybersicherheitsrisiken durch Dritte betreffen nicht nur Datenverstöße. Es gibt auch Angriffe auf die Software-Lieferkette, wie beispielsweise die Log4Shell-Sicherheitslücke vom Dezember 2021, die branchenübergreifend massive Patching-Maßnahmen auslöste, und den SolarWinds-Hack von 2020, bei dem Hacker die Codebasis des Unternehmens kompromittierten, um in Tausenden von Organisationen Backdoors zu installieren. Vor kurzem hatte der Citrix NetScaler Zero-Day das Potenzial, Tausende von Organisationen mit einem Remote-Code-Execution-Bug zu beeinträchtigen.
Einige weitere Cybersicherheitsrisiken, die 2024 zu beachten sind, sind:
- Gestohlene Anmeldedaten – In vielen Fällen stehlen Cyberkriminelle nicht direkt Daten, wenn sie die E-Mail-Konten oder Netzwerke eines Unternehmens ausnutzen. Stattdessen verkaufen sie kompromittierte Benutzernamen und Passwörter im Dark Web gegen Bitcoin oder eine andere Kryptowährung. Schätzungen zufolge sind im Dark Web über 24 Milliarden gestohlene Anmeldedaten verfügbar. Der Diebstahl von Anmeldedaten verringert das Risiko für Cyberkriminelle, da sie ihre exfiltrierten Daten sofort zu Geld machen können, ohne sich in einzelne Konten einhacken zu müssen. Für Gruppen, die als Initial Access Broker fungieren, ist das Exfiltrieren von Benutzernamen und Passwörtern die Art und Weise, wie sie ihr Geld verdienen.
- Virtueller IT-Zugriff – Unternehmen gewähren Anbietern häufig Zugriff auf bestimmte Systeme, um Dienstleistungen oder Transaktionen zu erleichtern. Dies ist nicht nur bei Managed Services Providern und anderen Outsourcern von Geschäftsprozessen üblich, sondern auch bei Anbietern, die das Kreditorenbuchhaltungssystem zur Einreichung von Rechnungen nutzen möchten. Es ist auch einer der begehrtesten Einstiegspunkte für Angreifer und wahrscheinlich der Grund für die jüngste Zunahme von Angriffen auf Managed Services Provider.
- Komplexität von Vorschriften und Compliance – Laut einer aktuellen Studie von Prevalent sehen sich 60 % der Unternehmen einer verstärkten behördlichen Kontrolle ausgesetzt. Zahlreiche Compliance-Anforderungen befassen sich mit Cybersicherheitsrisiken durch Dritte. Vorschriften wie HIPAA, CMMC, DSGVO, CCPA und andere schaffen direkte Kontrollen dafür, wie Unternehmen Daten weitergeben oder Dritten Zugriff auf Daten gewähren dürfen. Werden die Compliance-Anforderungen nicht verstanden und erfüllt, kann dies für Unternehmen enorme rechtliche, regulatorische und PR-Probleme nach sich ziehen.
Im Jahr 2024 müssen Unternehmen, die Cybersicherheitsrisiken minimieren möchten, überprüfen, welche Lieferanten Zugriff auf ihre Systeme haben und über welche Zugriffsrechte diese Dritten verfügen. Das Prinzip der geringsten Privilegien lässt sich hier sehr gut auf Lieferanten und Dienstleister anwenden. Die Beschränkung des Zugriffs auf das unbedingt Notwendige kann oft genügend Hindernisse schaffen, um Angreifer zu frustrieren. Unternehmen sollten außerdem das Risiko einer Gefährdung ihrer Lieferanten durch eine gründliche Analyse ihrer im Internet exponierten Vermögenswerte verstehen. Hinzu kommt, dass sie die Sicherheitsrichtlinien ihrer Lieferanten kennen und wissen müssen, wie sicher kritische Daten sind, wenn sie zwischen den Parteien ausgetauscht werden.
Darüber hinaus müssen Unternehmen ihre Anforderungen hinsichtlich der Einhaltung gesetzlicher Vorschriften und die ihrer Lieferanten überprüfen, um sicherzustellen, dass alle Beteiligten sich darüber einig sind, welche Vorschriften einzuhalten sind. Die Verfolgung dieser Vorschriften und die Durchführung von Risikobewertungen für Lieferanten mit einer Lösung wie der von Prevalent kann wesentlich dazu beitragen, genau zu verstehen, welches Risiko jeder einzelne Lieferant darstellt. Angesichts der anhaltenden Sicherheitsvorfälle bei Drittanbietern wird eine vollständige Erfassung der Cybersicherheitsrisiken in der Lieferkette immer wichtiger.
Reputationsrisiko in der Lieferkette
Reputationsrisiken umfassen Gefahren für den Namen, den Goodwill oder die Glaubwürdigkeit eines Unternehmens, die sich letztendlich auf dessen Umsatz auswirken können. Reputationsrisiken sind zwar schwer zu quantifizieren und können viele Formen annehmen – sei es durch eigenes Verschulden oder durch Geschäftsbeziehungen mit Dritten –, doch können sie zu Betriebsstörungen, Geldstrafen, Strafen und Umsatzverlusten führen, die ebenso schwerwiegend sind wie greifbarere Risiken.
Zu den Reputationsrisiken von Lieferanten zählen:
- Verstöße gegen ethische Verhaltensregeln oder gesetzliche und behördliche Vorschriften, beispielsweise wenn ein Lieferant wegen der Beschäftigung illegaler Kinderarbeit oder Zwangsarbeit zur Herstellung von Waren bestraft wird.
- Geschäfte mit sanktionierten Unternehmen oder Personen, beispielsweise solchen, die auf der Liste des US-Finanzministeriums(Office of Foreign Assets Control, OFAC) oderder Sanktionsliste des Vereinigten Königreichs stehen.
- Zusammenarbeit mit einem staatlichen Unternehmen in einem Land, das im Verdacht steht, Terrorismus zu unterstützen, oder in dem Bestechung und Korruption weit verbreitet sind.
- Wenn eine politisch exponierte Person (oder PEP), die für einen Lieferanten arbeitet, kompromittiert wurde.
Negative Nachrichten oder negative Medienberichte über unethische Einstellungspraktiken, Probleme mit der Produktqualität, kriminelle Aktivitäten und Umweltkatastrophen zählen ebenfalls zum Reputationsrisiko. Diese negativen Ereignisse können Druckkampagnen gegen Unternehmen auslösen, die mit dem Lieferanten Geschäfte machen. Das Problem ist, dass das Reputationsrisiko schwer zu erkennen und zu überwachen ist und sich nur schwer quantifizieren lässt. Darüber hinaus kann es schwierig sein, die Auswirkungen negativer Presseberichte auf Ihr Unternehmen zu quantifizieren. Dennoch hat die Reputation einer Marke in den letzten Jahren als Spiegelbild des Geschäftserfolgs an Bedeutung gewonnen.
Als Reaktion auf diese Reputationsrisiken müssen Unternehmen eine umfassende Vorabprüfung ihrer Lieferkettenpartner durchführen, die Informationen zu Menschenrechten, Korruptionsbekämpfung und Umweltpraktiken umfasst. Zusätzlich zur Vorabprüfung müssen regelmäßige Bewertungen anhand der besten Praktiken und Vorschriften der Branche durchgeführt werden.
Im Jahr 2024 sollten Unternehmen auch eine kontinuierliche Überwachung ihrer Reputation in Betracht ziehen. Zu den Überwachungsquellen sollten Nachrichten über Lieferanten, Finanzdaten, Sanktionen, politisch exponierte Personen (PEP), staatliche Unternehmen und mehr gehören, um wichtige Ereignisse zu erkennen. Darüber hinaus sollten Unternehmen sichihrer N-ten Parteien bewusst sein. Das Risiko endet nicht bei Ihren Lieferanten. Deshalb ist es wichtig, die Beziehungen zwischen Ihrem Unternehmen und Dritten, Vierten und N-ten Parteien zu identifizieren und zu visualisieren, um Abhängigkeiten und Risiken aufzudecken.
Schließlich muss die Compliance-Berichterstattung vereinfacht werden. Viele Regulierungssysteme verlangen von Unternehmen, dass sie die Aktivitäten in ihren Lieferketten überwachen. Der schnellste und unkomplizierteste Ansatz für die Audit-Berichterstattung besteht darin, alle Risikobewertungen von Lieferanten automatisch einer Regulierung oder einem Rahmenwerk zuzuordnen.
Risiko der Geschäftskontinuität im Zusammenhang mit Dritten
Risiken für die Geschäftskontinuität in der Lieferkette können viele Formen annehmen. Beispielsweise könnte ein wichtiger Lieferant Insolvenz anmelden und nicht mehr in der Lage sein, seine Verträge zu erfüllen. Tatsächlich zeigen einige Studien, dass 25 % der Unternehmen im vergangenen Jahr vom finanziellen Ausfall eines Lieferanten betroffen waren.
Fusionen und Übernahmen können auch eine Änderung der Strategie oder eine Marktkonsolidierung signalisieren, die sich auf die Erbringung von Dienstleistungen, Preise oder Vertragsbedingungen auswirken können. Darüber hinaus können sich Führungswechsel oder rechtliche Probleme auf die Kultur, die Strategie und die Fähigkeit eines Unternehmens auswirken, seine Ziele zu erreichen.
Bei der Bewertung potenzieller Anbieter ist es von entscheidender Bedeutung, die finanzielle Situation des Unternehmens, die bestehenden vertraglichen Verpflichtungen und andere Faktoren zu kennen, die sie daran hindern könnten, Ihren Vertrag effektiv zu erfüllen. Je weniger Due-Diligence-Prüfungen vor der Einbindung eines Anbieters durchgeführt werden, desto wahrscheinlicher ist es, dass Sie eine erhebliche Geschäftsunterbrechung erleben.
Implementieren Sie einen formellen und dokumentierten Plan zur Geschäftskontinuität und Ausfallsicherheit von Drittanbietern, um diese Risiken zu bewältigen. Anbieter sollten einheitlich anhand einer vorab festgelegten Reihe von Kennzahlen bewertet werden, die einen einfachen Vergleich konkurrierender Anbieter ermöglichen und potenzielle Lieferanten identifizieren, die möglicherweise Schwierigkeiten haben, ihre vertraglichen Verpflichtungen zu erfüllen.
Sicherheits- und Zuverlässigkeitsrisiko durch Dritte
Sicherheit und Zuverlässigkeit sind zwei wichtige Aspekte des Risikomanagements, die sich mit der Prävention und Minderung potenzieller Gefahren und Ausfälle befassen, die die Leistung, Qualität oder Funktionalität eines Produkts, Systems oder Prozesses beeinträchtigen können. Sicherheit und Zuverlässigkeit sind oft miteinander verbundene, aber nicht identische Konzepte. Sicherheit konzentriert sich auf den Schutz von Menschen, Eigentum und Umwelt vor Schäden, während Zuverlässigkeit sich auf die Wahrscheinlichkeit konzentriert, dass ein Produkt, System oder Prozess unter bestimmten Bedingungen für einen bestimmten Zeitraum seine beabsichtigte Funktion erfüllt.
Sicherheit und Zuverlässigkeit können als Risikokategorie betrachtet werden, wenn die potenziellen Folgen und die Wahrscheinlichkeit von unerwünschten Ereignissen bewertet werden, die aufgrund von Fehlern, Mängeln oder Fehlfunktionen in einem Produkt, System oder Prozess auftreten können. Sicherheits- und Zuverlässigkeitsrisiken können erhebliche Auswirkungen auf die Kundenzufriedenheit, den Ruf, die Compliance und die Rentabilität eines Unternehmens haben. Daher ist es unerlässlich, Sicherheits- und Zuverlässigkeitsrisiken während des gesamten Produktlebenszyklus, vom Entwurf über den Betrieb bis zur Entsorgung, zu identifizieren, zu bewerten und zu managen.
Eine der Normen, die einen Rahmen für das Sicherheits- und Zuverlässigkeitsrisikomanagement bietet, ist ISO 13849-1, die Sicherheitskategorien und Leistungsstufen für die sicherheitsbezogenen Teile eines Steuerungssystems definiert. Sicherheitskategorien basieren auf der strukturellen Anordnung und Zuverlässigkeit der Komponenten, während Leistungsstufen auf der Wahrscheinlichkeit gefährlicher Ausfälle und der Diagnosedeckung des Systems basieren.
Eine weitere Norm, die sich mit dem Risikomanagement im Bereich Sicherheit und Zuverlässigkeit befasst, ist die IEC 61508, die Sicherheitsintegritätsstufen für die funktionale Sicherheit elektrischer, elektronischer und programmierbarer elektronischer Systeme definiert. Sicherheitsintegritätsstufen basieren auf der Ausfallwahrscheinlichkeit bei Bedarf und der durchschnittlichen Häufigkeit gefährlicher Ausfälle des Systems.
Für Risikomanagementteams von Drittanbietern kann dies bedeuten, dass sie Fragen zu den allgemeinen Sicherheitspraktiken und Wartungsplänen wichtiger Lieferanten stellen müssen. Sicherheitsrisiken sind besonders in der Schwerindustrie, wie z. B. der Fertigung, oder im Rohstoffsektor, wie z. B. Bergbau oder Öl und Gas, von entscheidender Bedeutung. Die Zuverlässigkeit der Maschinen ist ebenfalls ein Faktor, weshalb es so wichtig ist, die Wartungspraktiken zu verstehen. Das Verständnis dieser Praktiken bei den Lieferanten kann Unternehmen dabei helfen, Notfallpläne in ihren Arbeitsablauf zu integrieren, falls ein Sicherheits- oder Zuverlässigkeitsvorfall eintritt und die Lieferkette unterbrochen wird.
Risiken für Lieferanten in den Bereichen Umwelt, Soziales und Unternehmensführung (ESG)
Umwelt-, Sozial- und Governance-Risiken beziehen sich auf ein breites Spektrum unternehmerischen Handelns. Oftmals sind sie schwer zu erkennen, bis sie auf den Titelseiten großer Nachrichtenportale erscheinen. Zu diesem Zeitpunkt ist der Ruf des Unternehmens möglicherweise bereits beschädigt oder in Gefahr, beschädigt zu werden. Diese Risikokategorie, die üblicherweise als „ESG“ bezeichnet wird, umfasst:
- E = Umwelt: Maßnahmen und Berichte zu den Werten und Verpflichtungen der Organisation hinsichtlich des Umgangs mit der Natur und der Umwelt. Dazu gehören die Berichterstattung und Überwachung der Umweltinitiativen der Organisation in Bezug auf Klimawandel, Abfallwirtschaft, Umweltverschmutzung, Ressourcennutzung und -verknappung, Treibhausgase und Ähnliches.
- S = Sozial: Maßnahmen und Berichte zu den Werten und Verpflichtungen der Organisation hinsichtlich ihres Umgangs mit Menschen. Dazu gehören Mitarbeiter- und Kunden-/Partnerbeziehungen, Menschenrechte (z. B. Bekämpfung von Sklaverei), Vielfalt und Inklusion, Bekämpfung von Belästigung und Diskriminierung, Schutz der Privatsphäre von Personen (sowohl Mitarbeitern als auch anderen), Arbeitsbedingungen und Arbeitsnormen (z. B. Kinderarbeit, Zwangsarbeit, Gesundheit und Sicherheit) sowie die Art und Weise, wie sich das Unternehmen engagiert und der Gesellschaft und den Gemeinschaften, in denen es tätig ist, etwas zurückgibt.
- G = Governance: Maßnahmen und Berichte über die Kultur und das Verhalten der Organisation im Kontext und in Übereinstimmung mit ihren Werten und Verpflichtungen. Dazu gehören Finanz- und Steuerstrategien, Whistleblowing und Meldung von Problemen, Resilienz, Bekämpfung von Bestechung und Korruption, Sicherheit, Vielfalt und Struktur des Vorstands/der Geschäftsleitung sowie allgemeine Transparenz und Rechenschaftspflicht.
ESG-Risiken nehmen zu, da Unternehmen einer immer strengeren Kontrolle durch Aufsichtsbehörden, Wirtschaftsprüfer und Verbraucher ausgesetzt sind. Zu den Umweltrisiken zählen der Klimawandel und die Frage, wie Unternehmen mit sich verändernden Wetterbedingungen und Naturkatastrophen umgehen wollen. Neben anderen klimabezogenen Risiken wird auch „ewigen Chemikalien“ wie PFAS zunehmend Aufmerksamkeit geschenkt.
Das Management von ESG geht Hand in Hand mit Risiko und Compliance. Eine ordnungsgemäße Überwachung von ESG erfordert Fachwissen im Bereich des Risikomanagements von Drittanbietern und die Einhaltung der damit verbundenen Vorschriften. Die ESG-Verantwortlichkeiten von Unternehmen und das Management von Risiken durch Drittanbieter überschneiden sich aufgrund der Komplexität moderner Lieferketten stark.
Auch der regulatorische Druck nimmt zu. Die US-Börsenaufsichtsbehörde SEChat Vorschriften vorgeschlagen, wonach„bestimmte klimabezogene Informationen in ihren Registrierungserklärungen und Jahresberichten“anzugeben sind, darunter auch „vor- und nachgelagerte Wertschöpfungsketten“. Das Parlament der Europäischen Union (EU)hat Mandate vorgelegt, wonachEU-Unternehmen „die negativen Auswirkungen ihrer Aktivitäten auf die Menschenrechte, wie Kinderarbeit und Ausbeutung von Arbeitnehmern, sowie auf die Umwelt, wie Umweltverschmutzung und Verlust der biologischen Vielfalt, identifizieren und gegebenenfalls verhindern, beenden oder mindern müssen“.
ESG-Risiken könnenaufgrund der Vielschichtigkeit dieser Kategorie schwer zu mindern sein. Wie bei finanziellen Risiken ist es wichtig, ESG-Prüfungen in den ersten Due-Diligence-Prozess für potenzielle Lieferanten einzubeziehen – noch bevor Verträge unterzeichnet werden. Da Unternehmen aufgrund zahlreicher ESG-bezogener Vorschriften nun für Probleme wie Bestechung und Sklaverei in ihren Lieferketten zur Verantwortung gezogen werden, ist es von entscheidender Bedeutung, Beziehungsanalysen und 4th- und Nth-Party-Risikoanalysen durchzuführen, um potenzielle Probleme in der Lieferkette aufzudecken, die ein negatives Licht auf Ihr Unternehmen werfen könnten.
- ESG bei der Beschaffung nicht übersehen: Um das ESG-Risiko potenzieller Lieferanten schnell zu überprüfen (oder sich über bestehende Lieferanten zu informieren), sollten Sieein Vendor Risk Intelligence Network abonnieren. Diese Netzwerke sind Repositorien für On-Demand-Risikoberichte zu Lieferanten, die aus abgeschlossenen Bewertungen und externen Überwachungsdaten zusammengestellt werden. Ein gutes Netzwerk bietet Einblicke in verschiedene Arten von Risiken, darunter auch ESG.
- ESG-Fragen in regelmäßige Risikobewertungen einbeziehen: Um einen individuelleren Überblick über die ESG-Risiken Ihrer bestehenden Lieferanten zu erhalten, können Siefragebogenbasierte Risikobewertungen für Lieferanten durchführen. Mit der richtigen TPRM-Plattform können Sie die Antworten auf die Bewertung automatisch Ihren Geschäftsanforderungen sowie verschiedenen Branchen- und behördlichen Vorschriften zuordnen.
- Seien Sie sich bewusst, dass ESG-Risiken jederzeit auftreten können: Behalten Sie den Überblick über ESG-bezogene Ereignisse, sobald diese auftreten, indem Sieeine kontinuierliche Überwachung der Risiken durch Dritte inIhrem gesamten Lieferanten-Ökosystem durchführen.Lösungen zur Risikoüberwachung könnenRecherchen aus Tausenden von Quellen miteinander verknüpfen, um alles zu identifizieren, von negativen Presseberichten bis hin zu Compliance-Verstößen, die Ihre Lieferanten betreffen.
Im Jahr 2024 dürften diese Risiken noch akuter werden. Der Klimawandel ist angesichts zahlreicher extremer Wetterereignisse wie den Waldbränden in Kanada im Juni 2023, den Eisstürmen in Texas im Februar und den ungewöhnlichen Hitzewellen in Australien im September eine zunehmend wichtige Risikokategorie. Dies erfordert eine genauere Betrachtung der Umweltrisiken, insbesondere im Hinblick auf die Widerstandsfähigkeit der Lieferketten.
Darüber hinaus scheinen die Risiken im Bereich der sozialen Verantwortung zuzunehmen. Wie bereits erwähnt, werden weltweit immer mehr Vorschriften zu moderner Sklaverei und Kinderarbeit erlassen. Regierungen in Europa, Nordamerika und im asiatisch-pazifischen Raum beginnen, den Arbeitsbedingungen in Produktionsstätten weltweit mehr Aufmerksamkeit zu schenken. Da immer mehr Verbraucher sozialbewusste Kaufentscheidungen treffen, müssen Unternehmen ihre Richtlinien zur sozialen Verantwortung genauer unter die Lupe nehmen und ihre Lieferanten zur Rechenschaft ziehen.
Bestechungs- und Korruptionsrisiken in den Beziehungen zu Drittparteien
Das Risiko von Bestechung und Korruption wird auch 2024 eine Herausforderung bleiben. Der US-amerikanische Foreign Corrupt Practices Act (FCPA) wird weiterhin streng gegenüber Unternehmen durchgesetzt, die in den Vereinigten Staaten geschäftlich tätig sein möchten, und auch andere Rechtsordnungen verfügen über Antikorruptionsgesetze für lokale und ausländische Unternehmen. Insgesamt stellen Beziehungen zu Dritten eines der größten Risiken für Unternehmen im Hinblick auf Bestechung und Korruption dar.
Bei der Untersuchung von FCPA-Maßnahmen zur Bekämpfung von Bestechung und Korruptionstellte die Stanford Law School fest, dass über 90 % der Vorfälle einen externen Vermittler involvieren. Alle Dritten, die als Vertreter eines Unternehmens agieren – wie beispielsweise Händler, Handelsvertreter, Makler, Berater, Spediteure oder Lobbyisten – können das Unternehmen der Gefahr einer Haftung wegen Bestechung und Korruption aussetzen.
Tatsächlich kann ein Unternehmen für die Handlungen seiner Drittparteien haftbar gemacht werden, selbst wenn das Unternehmen behauptet, keine Kenntnis von einem Vorfall zu haben. Oftmals reicht für eine Anklage bereits eine „hohe Wahrscheinlichkeit“ der Bestechung oder der Nachweis, dass ein Unternehmen „absichtlich blind“ gegenüber der Korruption einer Drittpartei in seinem Namen war.
Die Durchsetzung von ABAC-Gesetzen wird ausgeweitet. Im Vereinigten Königreich hatdas Serious Fraud Office (SFO)seine Durchsetzungsmaßnahmen ausgeweitet. Und dieRichtlinie derEuropäischenUnion über die Sorgfaltspflicht in den Bereichen Menschenrechte, Umwelt und gute Unternehmensführung wirdvon Organisationen, die in EU-Ländern tätig sind, eine erhebliche Sorgfaltspflicht verlangen, wobei ABAC unter den Abschnitt „Gute Unternehmensführung“ fällt.
Im Jahr 2024 werden die Bedenken hinsichtlich Bestechung und Korruption unter Unternehmen in Ländern mit aggressiver Strafverfolgung weiter zunehmen. Angesichts der Bedeutung der Vereinigten Staaten als internationaler Markt und Quelle für Fertigwaren dürfte auch der lange Arm des US-amerikanischen FCPA weiterhin bestehen bleiben. Unternehmen, die der Zuständigkeit des FCPA und anderer Antikorruptionsmaßnahmen unterliegen, tun gut daran, die finanzielle Situation ihrer Lieferanten zu analysieren, um sicherzustellen, dass sie nicht in Aktivitäten verwickelt sind, die eine Korruptionsuntersuchung auslösen könnten.
Risiken durch Dritte heute und in Zukunft
Unternehmen sehen sich mit einem zunehmend problematischen Umfeld hinsichtlich Risiken durch Dritte konfrontiert. Die Anzahl und Vielfalt der Risiken in den oben genannten Kategorien, darunter Cyberangriffe, Kontinuitätsrisiken, Reputationsrisiken und weitere, werden die Geschäftstätigkeit im Jahr 2024 wahrscheinlich erschweren.
Große und kleine Unternehmen sollten ihre TPRM-Strategien für 2024 kritisch hinterfragen und dabei die Komplexität ihres Risikoumfelds berücksichtigen sowie die tatsächlichen Auswirkungen der in diesem Bericht beschriebenen Risiken quantifizieren. Darüber hinaus sollten Unternehmen diese Risikokategorien auf der Grundlage ihrer Unternehmensstrategien priorisieren. So könnte beispielsweise die Cybersicherheit im Jahr 2024 ein größeres Problem darstellen als das Reputationsrisiko, was Risikomanager dazu veranlassen könnte, den Schutz des Unternehmens vor Cyberbedrohungen in den Vordergrund zu stellen. Ebenso könnte die Geschäftskontinuität eine höhere Priorität haben. Letztendlich müssen Unternehmen diese Entscheidungen treffen und sich auf die Reduzierung oder Minderung der Risiken konzentrieren, die für ihr Geschäft am wichtigsten sind.
Wenn du mehr darüber erfahren möchtest, wie Prevalent dir beim Management deines Drittanbieter-Risikoprogramms helfen kann, melde dich noch heute für eine Demo an.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
