Bundesverband IT-Sicherheit e.V. (TeleTrusT) veröffentlicht überarbeitete Fassung der Handreichung "Stand der Technik".
Berlin Risk
Durch die Diversifizierung der Lieferketten soll deren Integrität widerstandsfähiger werden.
Allerdings müssen zu ihrer Sicherung die Geschäftspartner im Einkauf sorgfältig geprüft werden.
Seit 2017 ist ein risikobasierter Ansatz im Geldwäschegesetz und nunmehr auch im Lieferkettengesetz vorgeschrieben. Bestimmte Warnindizien (Red Flags) steuern die Durchführung der Sorgfaltspflichten (Due Diligence) und erlauben eine Priorisierung der Prüfung von Lieferanten, die ein höheres Complianceund Reputationsrisiko darstellen.
Die Operationalisierung des risikobasierten Due-Diligence-Ansatzes funktioniert übrigens für die Bekämpfung von Korruption und Geldwäsche oder von Verletzungen von umwelt-, arbeits- und menschenrechtlichen Standards auf ähnliche Weise. Im Kern geht es um die systematische Abfolge von KYC und Risk Screening. KYC heißt ursprünglich Know Your Costumer, steht aber ebenso für Know Your Client oder Know Your Contractor. Das Unternehmen verschafft sich dabei ein genaues Bild seiner Partner in der Lieferkette: Management, tatsächliche Eigentümer, Firmenstruktur, Geschäftsbeziehungen und -abläufe. Das ist die Voraussetzung dafür, eine große Zahl von Lieferanten nach Red Flags screenen zu können. Beim Screening werden die Lieferanten im öffentlich zugänglichen Datenraum nach negativen Informationen überprüft, von Hinweisen auf mögliches Fehlverhalten bis hin zu Verurteilungen für tatsächliche Straftaten. Hinzu kommen etwaige Verbindungen zu Hochrisikoländern, politisch exponierten Personen und internationale oder nationale Sanktionen. Am Ende erfolgt die Bewertung der identifizierten Risiken hinsichtlich der Integrität des Geschäftspartners, differenziert nach bestimmten Risikokategorien, wie im Schaubild dargestellt.
Die risikobasierte KYC Due Diligence unterstützt letztlich insbesondere folgende gezielte Maßnahmen des Compliance- und Reputationsmanagements im Einkauf: Geschäftsbeziehungen zu Lieferanten, die ein inakzeptables Risiko darstellen, werden verhindert oder beendet. Sofortige Maßnahmen zur Risikominderung werden zur Voraussetzung dafür, Vertragsbeziehungen mit Lieferanten einzugehen oder fortzusetzen. Vertragliche Vereinbarungen regeln die Etablierung von Kontrollmaßnahmen bei Lieferanten zur Senkung von Residualrisiken. Ebenso werden Monitoring- und Auditrechte bei Lieferanten vertraglich festgehalten.