Compliance-Due-Diligence bei Geschäftspartnern mit hohem Risikoprofil
Elnur – stock.adobe.com

Deutscher AnwaltSpiegel – Abonnement

Erhalten Sie alle zwei Wochen das Online-Magazin direkt in Ihr Postfach.

Kostenlos anmelden

Compliance-Due-Diligence bei Geschäftspartnern mit hohem Risikoprofil

Risikominimierung durch Kombination von „Remote“- und „Onsite“-Prüfungen

14. März 2024, von Michael Hummelt und Agnes Hanko

Beitrag als PDF (Download)

 

Die Durchführung einer Compliance-Due-Diligence bei Geschäftspartnern ist als wesentlicher Bestandteil eines ordnungsmäßigen Compliance-Management-Systems anerkannt. Die entsprechenden Prüfungen sind in diesem Zusammenhang nicht nur auf neue, sondern auch auf langfristig bestehende Geschäftsbeziehungen anzuwenden.

Eine Pflicht hierzu kann sich sowohl aus nationalem Recht (zum Beispiel GwG, OWiG), aus internationalen Regelungen (zum Beispiel UK Bribery Act, Foreign Corrupt Practices Act) oder als Reaktionen auf internationale Sanktionen ergeben. ­Darüber hinaus kann eine angemessene Compliance-Due-Diligence Reputationsrisiken des Unternehmens reduzieren, die durch eine mangelhafte Integrität von Geschäftspartnern entstehen und dem Unternehmen zugerechnet werden.

Das „DICO – Deutsches Institut für Compliance“ hat in seinem Standard „S01 – Geschäftspartner-Compliance“ bereits wesentliche Leitlinien formuliert. In Ergänzung hierzu stellen wir im Folgenden konkrete Prüfungshandlungen zur Risikominimierung im Rahmen einer Compliance-Due-Diligence bei Geschäftspartnern mit hohem Risikoprofil vor.

Risikoklassifizierung als Basis angemessener Prüfungshandlungen

Aus praktischen und risikobasierten Erwägungen kann dem Unternehmen nicht zugemutet werden, sämtliche Geschäftspartner mit gleicher Intensität zu prüfen. Aus diesem Grund sind die Geschäftspartner den zu definierenden Risikoklassifizierungen zuzuordnen.

Die Parameter für die Zuordnung sind immer unternehmensabhängig, wobei aber regelmäßig die folgenden Determinanten für eine Risikoklassifizierung maßgeblich sein können:

  • Sitz (Corruption Perceptions Index von Transparency ­International)
  • Tätigkeit
  • Auftragsvolumen
  • Einbindung in die Kontrollumgebung des Unternehmens
  • eigene regulatorische Anforderungen

Ein daraus resultierendes hohes Risikoprofil sollte regel­mäßig intensive Prüfungshandlungen bei den Geschäftspartnern zur Folge haben.

In der Praxis haben sich die folgenden Prüfungshandlungen zur Risikominimierung – auch unter Kosten-Nutzen-Aspekten – für das Unternehmen bewährt.

Durchführung von intensiven Prüfungen bei Geschäftspartnern mit hohem Risikoprofil

Die Compliance-Due-Diligence bei Geschäftspartnern mit hohem Risikoprofil sollte nicht ausschließlich ­„remote“ ­erfolgen. Vielmehr ist ein Zusammenspiel von Prüfungshandlungen in einer Kombination von „remote“ und ­„onsite“ („vor Ort“) unerlässlich, um Angaben des Geschäftspartners zu verifizieren und so potentielle Risiken durch ­ent­sprechende Maßnahmen mitigieren zu können.

Als Prüfungshandlungen vor Ort kommen insbesondere – nicht abschließend und soweit rechtlich zulässig bzw. durch vereinbarte Auditrechte gedeckt – Interviews, Walkthroughs sowie die stichprobenbasierte Prüfung von Buchhaltungsdaten und entsprechender Dokumentation (Verträge, Leistungsnachweise, Rechnungen, Zahlungsnachweise etc.) in Betracht.

Durchführung von Hintergrundrecherchen („remote“)

Unabhängig vom individuellen Risikoprofil des Geschäftspartners sind Hintergrundrecherchen integraler Bestandteil eines risikobasierten Compliance-Due-Diligence-Prozesses. Dies dient insbesondere der Einhaltung rechtlicher Anforderungen (zum Beispiel GwG, Sanktionslisten) mittels Bestimmung des wirtschaftlich Berechtigten.

Bei Geschäftspartnern mit hohem Risikoprofil empfiehlt sich darüber hinaus eine Feststellung der gesamten Gesellschafterstruktur sowie eine Überprüfung des Managements und ausgewählter leitender Angestellter zur Identifizierung ­potentieller Reputationsrisiken aufgrund vergangenen Fehlverhaltens durch sogenannte Adverse-Media-Recherchen.

Zur Mitigierung von Reputationsrisiken sollte die Adverse-Media-Recherche mittels öffentlich zugänglicher Quellen (zum Beispiel über Suchmaschinen) sowie speziali­sierter – meist kostenpflichtiger – Datenbanken durchgeführt ­werden. Wesentliche Voraussetzungen für eine zielgerichtete Recherche sind eine eindeutige Identifizierung der im Fokus stehenden natürlichen und juristischen Personen sowie die Auswahl geeigneter Suchbegriffe – auch in der lokal gebräuchlichen Sprache – und lokaler Quellen.

Prüfung der Complianceorganisation oder -struktur des Geschäftspartners („onsite“)

Ein weiteres Maß an Sicherheit bietet eine angemessene Complianceorganisation oder -struktur des Geschäftspartners. Durch Interviews und die Prüfung zugrunde­liegender Dokumentation kann im Rahmen des „Onsite-Visits“ insbesondere die wirksame Implementierung der folgenden Schwerpunkte verifiziert werden:

  • Compliancerollen und -verantwortlichkeiten: In Abhängigkeit von Größe und Geschäftsmodell des Geschäftspartners verfügt dieser über eine angemessene Complianceorganisation – insbesondere über definierte und intern kommunizierte Verantwortlichkeiten (Compliance­abteilung / Compliance-Officer).
  • Compliancerichtlinien und -prozesse: Der Geschäftspartner verfügt über wesentliche Compliancerichtlinien (Code of Conduct, Anti-Korruption, Wettbewerbsrecht, Umgang mit Einladungen und Geschenken, Zusammenarbeit mit Business-Partnern etc.), die auch entsprechend in die Gesellschaft kommuniziert sind (Intranet, Anlage zu Arbeitsverträgen etc.).
  • Compliancetrainings: Regelmäßige Durchführung von Compliancetrainings für zuvor definierte, relevante Mit­arbeitende des Geschäftspartners inklusive Teilnahmebestätigung. In Einzelfällen kann auch ein interner ­Abschlusstest für die Teilnehmenden sinnvoll sein, um die gewonnen Erkenntnisse zu bestätigen.
    Hinweisgebersystem: Vorhandensein eines wirksam ­implementierten Hinweisgebersystems inklusive der ­internen und externen Kommunikation zum Vorhandensein der Meldestellen. Ebenso sind die Quantität und Qualität der eingegangenen Hinweise sowie die Reaktion (interne/externe Untersuchungen, Sanktionen etc.) des Geschäftspartners auf diese Hinweise zu verifizieren.
  • Risk-Assessment und Compliance-Due-Diligence bei Geschäftspartnern: Der Geschäftspartner führt selbst ein Risk-Assessment und eine Compliance-Due-Diligence bei seinen Geschäftspartnern durch.
  • Pre-Employment-Screening: Durchführung von Pre-Employment-Screenings, soweit nach lokalen Regularien zulässig.

Prüfung risikobasiert ausgewählter Transaktionen („onsite“)

Im Rahmen des „Onsite-Visits“ sollten zudem durch eine stichprobenbasierte Prüfung von Transaktionen weitere Risiken für das Unternehmen identifiziert werden. Hierbei werden Erkenntnisse aus Interviews und der Auswertung zugrundeliegender Dokumentation gewonnen. Art und ­Umfang der Stichprobe richten sich unter anderem nach der Art der Tätigkeit des Geschäftspartners sowie der Dauer der Geschäftsbeziehung. In der Praxis hat sich hierbei ein Fokus auf folgende Bereiche bewährt:

  • Sales: Ein Verständnis für die Kundenstruktur des Geschäftspartners hilft bei der Identifizierung risikobehafteter Kundengruppen – zu nennen sind hier insbesondere staatliche Stellen und Behördenvertreter. Die Prüfung der zugrundeliegenden Dokumentation solcher Transaktionen kann Risiken unter anderem in den Bereichen Anti-Korruption, Geldwäsche und Sanktionen hervorbringen. Auch kann überprüft werden, ob der Geschäftspartner besondere Konditionen des Geschäftspartnervertrages einhält.
  • Teilnahme an (öffentlichen) Ausschreibungen: Es empfiehlt sich, den Fokus auf Interaktionen mit staatlichen Stellen zu legen. Erfahrungsgemäß lassen sich ­insbesondere potentielle Korruptionsrisiken regelmäßig im Rahmen des Anbahnungsprozesses sowie durch die Analyse ausgewählter Hauptbuchkonten wie beispielsweise Bewirtung, Reisekosten und Spesen, Provisionen oder Beratungs­kosten identifizieren.
  • Sonstige risikobehaftete Transaktionen: Abhängig vom Geschäftsmodell und Risikoprofil des Geschäftspartners empfiehlt es sich über die oben genannten Bereiche hinaus, im Rahmen der Stichprobenauswahl weitere Hauptbuchkonten zu berücksichtigen. Erfahrungsgemäß können hierbei Transaktionen unter anderem in den Bereichen Bargeldzahlungen, Zollzahlungen und sonstige behörd­liche Gebühren, Geschenke, politische bzw. gemeinnützige Spenden, Marketing und Promotionen risikobehaftet sein. Die zugrundeliegende Dokumentation ist unter anderem auf Vollständigkeit, Nachvollziehbarkeit, Transparenz ­sowie tatsächliche Leistungserbringung und Angemessenheit der Gegenleistung zu prüfen. In der Praxis können sich hierbei Sachverhalte identifizieren lassen, die risikomitigierende Maßnahmen erfordern.

Fazit

Unternehmen erhalten durch hybride Prüfungen („remote“ und „onsite“) bei Geschäftspartnern mit hohem Risikoprofil eine hohe Sicherheit über deren Integrität und können durch eine angemessene Reaktion auf identifizierte Schwachstellen Compliancerisiken signifikant reduzieren. Mit überschau­barem Aufwand haben Unternehmen so die Möglichkeit, eine Sanktionsminderung oder gar Enthaftung zu erreichen und Reputationsverluste zu vermeiden. Um die dargestellten Prüfungen bei internationalen Geschäftspartnern angemessen durchzuführen, sollten die Unternehmen nach Möglichkeit lokale Teams einsetzen, die über die erforderlichen Sprachkenntnisse sowie Kenntnisse über kulturelle Besonderheiten und lokale Regularien verfügen.

 

 

Autor

Michael Hummelt Deloitte GmbH Wirtschaftsprüfungsgesellschaft, Düsseldorf Director, Rechtsanwalt (Syndikusrechtsanwalt), Financial Advisory mhummelt@deloitte.de www.deloitte.com/de

Michael Hummelt
Deloitte GmbH Wirtschaftsprüfungsgesellschaft, Düsseldorf
Director, Rechtsanwalt (Syndikusrechtsanwalt),
Financial Advisory

mhummelt@deloitte.de
www.deloitte.com/de

Autor

Agnes Hanko Deloitte GmbH Wirtschaftsprüfungsgesellschaft, Düsseldorf Senior Manager, M.Sc., CIA, Financial Advisory ahanko@deloitte.de www.deloitte.com/de

Agnes Hanko
Deloitte GmbH Wirtschaftsprüfungsgesellschaft, Düsseldorf
Senior Manager, M.Sc., CIA, Financial Advisory

ahanko@deloitte.de
www.deloitte.com/de

Themen

Aktuelle Beiträge

Compliance-Due-Diligence bei Geschäftspartnern mit hohem Risikoprofil
ComplianceBusiness
Compliance-Due-Diligence bei Geschäftspartnern mit hohem Risikoprofil Risikominimierung durch Kombination von „Remote“- und „Onsite“-Prüfungen weiterlesen
Die Bedeutung von Datenschutzteams für KI-Governance
ComplianceBusiness
Die Bedeutung von Datenschutzteams für KI-Governance Drei Szenarien für Organisationen weiterlesen
Novellierung des Lobbyregister­gesetzes
ComplianceBusiness
Novellierung des Lobbyregister­gesetzes Neue Compliancepflichten für ­Unternehmen weiterlesen
© 2024 Deutscher AnwaltSpiegel