KPMG Klardenker Logo
Third Party Risk Management: Mitarbeitende eines großen Unternehmens diskutieren über Drittparteienrisiken in der Lieferkette..

Third Party Risk Management in fünf Schritten

Mehr Transparenz, mehr Resilienz: So können Unternehmen Drittparteienrisiken minimieren.

14.12.2023 | ca. 4 Minuten Lesezeit

Ob Überflutungen beim Zulieferer in Asien oder ein Cyber-Angriff auf einen Logistikpartner im Nachbarort: Risiken in der Lieferkette sind für Unternehmen in der zunehmend vernetzten Geschäftswelt vielschichtig.

Das ganzheitliche Management der Drittparteienrisiken, das Third Party Risk Management (TPRM), ist daher nicht nur vorteilhaft, sondern essenziell – und es gilt bereits jetzt, diverse regulatorische ESG-Rahmenbedingungen einzuhalten. Für ein effizientes TPRM ist eine umfassende Strategie erforderlich. Wir beleuchten die wichtigsten Hintergründe des komplexen Themenfelds und zeigen in fünf Schritten den Weg zur Entwicklung dieser Strategie auf – kompakt und praxisnah.

TPRM-Risikobereiche und Gesetzgebung im Fokus

Klar ist: Es gibt eine Vielzahl potenzieller Vorfälle, die schwerwiegende Auswirkungen auf den Geschäftsbetrieb und die Reputation von Unternehmen sowie rechtliche Konsequenzen haben können. Compliance-Risiken, strategische Risiken, ESG-Risiken oder operative Risiken in der Lieferkette stehen im Mittelpunkt.

TPRM unterstützt Unternehmen angesichts der Gefahrenlage dabei, Stabilität, Vertrauenswürdigkeit und langfristige Nachhaltigkeit zu gewährleisten. Die jüngsten Entwicklungen in der Gesetzgebung unterstreichen die Notwendigkeit einer TPRM-Strategie:

  • Das Lieferkettensorgfaltspflichtengesetz legt Unternehmen die Verantwortung auf, bei ihren Lieferanten ethische, soziale und ökologische Standards sicherzustellen. Es zielt darauf ab, Menschenrechtsverletzungen, Umweltzerstörung und weitere Risiken in globalen Lieferketten zu verhindern. Für Unternehmen ist die Überwachung der gesamten Lieferkette und eine aktive Risikobewertung nötig, um Geldbußen und weitere rechtliche Konsequenzen zu vermeiden.
  • Die Corporate Sustainability Reporting Directive (CSRD) der Europäischen Union (EU) verpflichtet Unternehmen zur Offenlegung von ESG-Faktoren, was wiederum eine tiefgreifende Integration von TPRM in die Unternehmensstrategie voraussetzt. Zudem erweitert die CSRD die Anforderungen an die Nachhaltigkeitsberichterstattung erheblich. Unternehmen müssen nicht nur über ihre eigenen Aktivitäten berichten, sondern auch über die Nachhaltigkeitsleistung ihrer Lieferanten und Partner. Dies erfordert eine höhere Transparenz über die Geschäftsbeziehungen und eine umfassende Kenntnis konkreter Risiken, die von den jeweiligen Drittparteien ausgehen. Eine lückenlose Datenverwaltung und -analyse ist die Voraussetzung dafür, den neuen Aufgaben nachkommen zu können.
  • Die Entwaldungsverordnung der EU fordert von Unternehmen zu überprüfen, ob die eingekauften Erzeugnisse tatsächlich aus dem angegebenen Ursprungsort stammen und im Herkunftsland rechtskonform und entwaldungsfrei hergestellt wurden. Verlangt werden können sogar bildhafte Geolokalisierungsdaten.

Doch nicht nur der Gesetzgeber, sondern auch Kund:innen, Investor:innen und weitere Stakeholder fordern verstärkt, dass Unternehmen neben wirtschaftlichen Zielen auch ethische und nachhaltige Standards erreichen, einhalten und in ihre Geschäftsprozesse integrieren. Bei der Zusammenarbeit mit Dritten im Bereich der Datenverarbeitung sind außerdem Details aus Datenschutzbestimmungen zu beachten, darunter die EU-Datenschutzgrundverordnung (DSGVO) – und auch in diesem Bereich können Verstöße zu erheblichen Bußgeldern führen.

Kompakter Leitfaden: Wie gelingt die Implementierung?

Was ist notwendig, um ein ganzheitliches Third Party Risk Management in der Unternehmensstrategie zu verankern? Folgende fünf Schritte sind wesentlich:

  • Erhebung der relevanten Risiken in der Lieferkette und Feststellung der wichtigsten Strategien, um die Risiken zu vermeiden
  • Einrichtung eines Screening-Prozesses für alle Geschäftspartner
  • Sicherstellung eines anwendungsgestützten, risikobasierten Entscheidungsprozesses
  • Integration in das Vertragsmanagement und fortlaufendes Monitoring
  • Management der Schnittstellen zu anderen Prozessbausteinen und Datenquellen

Unternehmen, in denen die Schritte konsequent umgesetzt werden, sind einerseits fit für aktuelle und künftige Compliance-Aufgaben und können andererseits gewährleisten, dass das ganzheitliche TPRM als interner Werthebel fungiert – für erhöhte Resilienz und somit Wettbewerbsfähigkeit im Unternehmen.

>> Exkurs: TPRM-Unterstützung durch künstliche Intelligenz und maschinelles Lernen

Die digitale Transformation ist auch beim TPRM folgenreich. Unternehmen setzen künftig vermehrt auf künstliche Intelligenz und maschinelles Lernen, um Risiken in Echtzeit zu identifizieren und zu bewerten. Diese technologischen Fortschritte sollten im Fokus sein, denn sie ermöglichen eine proaktivere Herangehensweise als bisher. Zudem eröffnen sie neue Möglichkeiten, potenzielle Risiken frühzeitiger zu erkennen und negative Effekte einzudämmen.

Der Einsatz von künstlicher Intelligenz und maschinellem Lernen bringt gleich mehrere Vorteile mit sich. Die Automatisierung von Prozessen reduziert menschliche Fehler und beschleunigt im TPRM beispielsweise die Risikobewertung erheblich. Durch die Analyse großer Datenmengen können zudem Muster und Zusammenhänge erkannt werden, die für Menschen schwer oder nur unter einem enormen Ressourcenaufwand zu erfassen wären.

Diverse digitale Anwendungen zur Unterstützung bei Identifizierung, Bewertung und Verminderung von Risiken, die aus der Zusammenarbeit mit Dritten resultieren, sind bereits erhältlich. Die integrierte, workflowgestützte Betrachtung der verschiedenen Anforderungen, gebündelt in einer einzigen Anwendung, rückt zunehmend in den Mittelpunkt. Dabei geht es darum, teils überlappende Anforderungen aus unterschiedlichen Verordnungen und Gesetzen im Blick zu behalten und Synergieeffekte zu ermöglichen.

Lieferkettenmanagement im Fokus: Mehr zum Thema

Lieferkettengesetz: Auswirkungen auf die Supply Chain im Pharmasektor

So sollte die Logistikbranche auf das Lieferkettengesetz reagieren

Verena Hinze
Verena Hinze

Partnerin, Audit, Forensic

Kontaktieren Sie mich
Verena Hinze
Verena Hinze

Partnerin, Audit, Forensic

Kontaktieren Sie mich

Model Risk Management Diagnostic Tool

Wie gut steuern Sie Ihre Modellrisiken?

Nutzen Sie diese Business Analytics, um potenzielle Schwächen im Modellrisikomanagement hinsichtlich der Einhaltung von Vorschriften und Praktiken zu erkennen.

Jetzt Analyse starten