Due Diligence bei der Überprüfung und Überwachung von Lieferanten

Einleitung

Im Januar 2014 musste Walmart in einer groß angelegten Aktion Fleisch zurückrufen, das in einigen seiner Geschäfte in China verkauft worden war. Untersuchungen hatten zuvor ergeben, dass das Fleisch DNA von Füchsen enthielt. Die chinesische Regierung schaltete sich ein; der verantwortliche Mitarbeiter der Fabrik, die Walmart mit dem Fleisch belieferte, wurde festgenommen; Walmart musste die betroffenen Kunden entschädigen und wurde weltweit zum Gegenstand peinlicher Nachrichten.

Sehr aufschlussreich waren die Aussagen des chinesischen President und CEO von Walmart, Greg Foran, nach diesem Vorfall: „Diese Sache tut uns sehr leid. Sie ist eine harte Lektion für uns, verstärkt in unser Lieferantenmanagement zu investieren."¹

Zwei Monate zuvor, im Weihnachtsgeschäft 2013, hatte ein anderes bekanntes Fortune-500^®-Unternehmen einen Datenschutz-Gau erlebt. Schuld war damals ein Hackerangriff durch eine Drittpartei. Im Dezember 2013 teilte das US-Unternehmen Target mit, dass das Unternehmen Opfer eines umfangreichen Diebstahls von Kreditkartendaten geworden war. Experten nehmen an, dass die Täter Zugang zu ungefähr 40 Millionen Kredit- und EC-Kartennummern sowie zu den persönlichen Daten (einschließlich Namen, E-Mail-Adressen, Telefonnummern und Anschriften) von bis zu 70 Millionen Kunden erlangt haben. Die anschließende Untersuchung ergab, dass die Hacker womöglich einen unabhängigen Target-Lieferanten – ein Heiz- und Kühltechnik-Unternehmen aus Pittsburgh – als Hintertürchen in das Unternehmen benutzten.

Jedes große Unternehmen steht vor der gleichen Herausforderung: Man muss Geschäfte mit dritten Lieferanten machen, um Produkte und Dienstleistungen an den Kunden zu bringen. Gleichzeitig macht man sich durch diese Zusammenarbeit anfällig für eine ganze Reihe von Problemen, sollten Lieferanten einen im Stich lassen. Diese Probleme reichen von Betriebsstörungen bis hin zu rechtlichen Risiken.

Richard Matthews, Head of Product Liability bei der internationalen Kanzlei Eversheds, äußerte sich wie folgt zu dem Fleischrückruf in China: Eine Wiederholung „der ungewöhnlichen Umstände dieses ‚Fuchsfleischskandals' in China" an einer anderen Stelle sei zwar unwahrscheinlich, dennoch zeige dieser Vorfall, „wie wichtig Due-Diligence-Prüfungen von Lieferanten sind und wie anfällig internationale Unternehmen dafür sind, selbst in Märkten mit einem weniger weit entwickelten aufsichtsrechtlichen Rahmen und niedrigeren Erwartungen der Verbraucher einen Reputationsverlust zu erleiden."

Dieses Whitepaper will darauf aufmerksam machen, welche Bedeutung der gründlichen Überprüfung von Drittlieferanten zukommt. Die Zusammenarbeit mit Lieferanten, die ihren Pflichten nicht angemessen nachkommen, ist mit zahlreichen Risiken verbunden. Dazu gehören mögliche Unterbrechungen in der Lieferkette, Reputationsschäden und sogar behördliche Untersuchungen, die eröffnet werden können, wenn die Einhaltung aufsichtsrechtlicher Vorschriften in Frage steht.

Risiken von Geschäften mit Dritten

Die meisten Unternehmen pflegen geschäftliche Beziehungen mit vielen verschiedenen unabhängigen Anbietern, die sie bei der Ausübung ihrer Geschäftstätigkeit unterstützen. Dazu zählen Beziehungen zu Lieferanten, Händlern, Beratern, Buchhaltern und Rechtsanwälten. Kein großes Unternehmen, das wachsen und im Markt erfolgreich tätig sein will, kann auf solche Dritte verzichten. Gleichzeitig birgt die Zusammenarbeit mit Drittparteien aber auch eine Vielzahl neuer Risiken, die gesenkt und verwaltet werden müssen.

Walmart und Target sind besonders offenkundige Beispiele. Es gibt aber auch Dutzende anderer Fälle, die in den letzten Jahren in den Nachrichten waren. Einige von ihnen sind im Folgenden aufgeführt:

• 2012 leitete die SEC (US Security and Exchange Commission) ein Verfahren gegen ein führendes Pharmaunternehmen wegen des Vorwurfs ein, unabhängige Vermittler mit unzulässigen Zahlungen an ausländische Amtsträger beauftragt zu haben.
• 2013 war ein großer Auftragnehmer der Luftfahrtbranche gezwungen, möglicherweise fehlerhafte Teile eines Titan-Lieferanten zu überprüfen. Die US-Staatsanwaltschaft hatte 2007 ein Verfahren wegen falscher Zertifizierung von damals verkauftem Titan gegen eben diesen Lieferanten eingeleitet und den Lieferanten schließlich mit einer Geldstrafe belegt.
• Eine Reihe von Technologieunternehmen tauchte 2012 in peinlichen Nachrichten auf, als festgestellt wurde, dass ein dritter Auftragnehmer in seinen Werken gegen Arbeitsgesetze und Bestimmungen zu Arbeitsbedingungen verstieß (unzulässig viele Überstunden, beengte räumliche Verhältnisse, minderjährige Beschäftige und, in einigen Fällen, schwere Arbeitsunfälle).
• 2011 wurde ein großes britisches Versicherungsunternehmen wegen unzulänglicher Kontrollen der Anti-Bestechungs- und Anti-Korruptionssysteme im Zusammenhang mit Zahlungen des Unternehmens an ausländische Drittparteien mit einer Geldstrafe belegt.

Risiken entlang der Lieferkette
Das Streben nach mehr Effizienz geht mit zunehmendem Outsourcing, dem verstärkten Einsatz von Unterauftragnehmern und der Suche nach kostengünstigeren Lieferanten einher. Vor diesem Hintergrund sind Lieferketten in den letzten Jahren immer komplexer und umfangreicher geworden. Ihr Unternehmen läuft wahrscheinlich Gefahr, den Betrieb unterbrechen oder verzögern zu müssen, wenn Sie an Ihren verschiedenen Standorten nicht die benötigten Werkzeuge, Lieferungen oder Dienstleistungen erhalten.

Im November 2012 brach zum Beispiel ein Feuer in einer Textilfabrik in Bangladesch aus. 112 Arbeiter kamen bei diesem Unglück ums Leben. Viele von ihnen hatten sich aufgrund verschlossener Türen und Fenster nicht in Sicherheit bringen können. Journalisten vor Ort, die im wahrsten Sinne des Wortes in der Asche und in verkohlten Kleidungsetiketten wühlten, machten eine Reihe namhafter Kunden aus, die von dieser Fabrik beliefert wurden.

Die Verantwortlichen für das Beschaffungsmanagement dieser Firmen waren überrascht, dass die Fabrik in Bangladesch überhaupt Kleidung für den Verkauf in ihren Läden produzierte – und wurden buchstäblich von den Folgen der Unterbrechung ihrer Lieferkette überrollt.

Finanzielle Risiken
Es ist gut möglich, dass Ihre geschäftlichen Vereinbarungen mit Dritten Bestimmungen enthalten, die selbst Ihre zuverlässigsten Lieferanten von Zeit zu Zeit zu ignorieren oder zu umgehen versuchen. Ebenso kann es sein, dass Lieferanten mit einer vermeintlich soliden finanziellen Basis sich im Hinblick auf ihre Kapitalausstattung tatsächlich auf dünnem Eis bewegen.

Die Insolvenz von KSL Media im Jahr 2013 hat gezeigt, welche Risiken bestehen, wenn ein Werbekunde in erheblichem Umfang Mittel einem Dritten anvertraut, der sich dann als finanziell instabil erweist. Viele Unternehmen hatten im Voraus für KSL-Leistungen bezahlt – und der vermeintliche Lieferant stellte seine Geschäftstätigkeit vor der Lieferung ein. Unterkapitalisierte oder in finanziellen Fragen unbedacht agierende dritte Geschäftspartner können ein wesentliches Risiko für das Unternehmen darstellen.

Sicherheitsrisiken
Die wohl beunruhigendsten Sicherheitsrisiken von Drittparteien bestehen in unserer heutigen Wirtschaft im Hinblick auf geistiges Eigentum. Fälschungen, Raubkopien, Diebstahl von Betriebsgeheimnissen und Verletzung von Warenzeichen sind allesamt sehr wichtige Angelegenheiten für jedes Unternehmen. Besonders anfällig für den Diebstahl von geistigem Eigentum ist ein Unternehmen jedoch bei der Zusammenarbeit mit dritten Geschäftspartnern.

Einem Bericht des The Conference Board aus dem Jahr 2013 zufolge ist ungefähr die Hälfte der befragten Führungskräfte der Ansicht, dass mit der Zusammenarbeit mit Lieferanten (43 %) und Vermittlern / Geschäftspartnern (48 %) ein hohes Risiko der Verletzung geistiger Eigentumsrechte verbunden ist.² Wettbewerbsbedrohungen wie Interessenkonflikte sowie IT-Probleme in Form von Systemausfällen oder Cyberkriminalität sind weitere Beispiele für Sicherheitsrisiken. Damit bestehen schwerwiegende betriebliche Risiken für ein Unternehmen, wenn Lieferanten ihren Pflichten nicht ordnungsgemäß nachkommen, die messbare finanzielle Folgen nach sich ziehen können.

Neue aufsichtsrechtliche und Compliance-Anforderungen

Neben diesen betrieblichen Risiken im Rahmen der Zusammenarbeit bestehen eine Reihe neuer aufsichtsrechtlicher Anforderungen und eine damit verbundene eigenständige Gruppe von Compliance-Risiken für alle Unternehmen, die Drittparteien einsetzen.

Diese kritischen aufsichtsrechtlichen Vorschriften sind eine ernstzunehmende Sache. Werden sie nicht eingehalten, beschränken sich die Konsequenzen möglicherweise nicht auf eine verhaltene Entwicklung der Quartalszahlen oder einige peinliche Nachrichten. Verstöße können behördliche Untersuchungen und sogar strafrechtliche Verfolgung wegen gesetzeswidrigen Handelns nach sich ziehen. Dazu gehören Anti-Korruptions-Vorschriften, Arbeitsrecht, Vorschriften der Bundesregierung und Steuergesetze auf Bundes-, bundesstaatlicher und lokaler Ebene.

Das beste Beispiel für diese Flut von neuen aufsichtsrechtlichen Anforderungen ist der Bereich Finanzdienstleistungen. Exemplarisch seien hier einige neue US-aufsichtsrechtliche Regelungen angeführt, die Compliance-Risiken für die Zusammenarbeit mit Dritten bergen, falls Sie in der Finanzbranche tätig sind:

Neue Leitlinien zum Risikomanagement
Das Office of the Comptroller of the Currency (OCC) des US-Finanzministeriums veröffentlichte im Oktober 2013 neue Leitlinien für nationale Banken zur Beurteilung und zum Management von Risiken in Verbindung mit Geschäftsbeziehungen zu unabhängigen Dritten. In seiner Verlautbarung machte das OCC deutlich, dass „von einer Bank erwartet wird, dass sie effektives Risikomanagement betreibt – unabhängig davon, ob die Bank diese Tätigkeit selbst intern wahrnimmt oder an einen Dritten ausgelagert hat. Der Einsatz von Dritten mindert nicht die Verantwortung des Vorstands und der oberen Führungsebene einer Bank, sicherzustellen, dass die Tätigkeit sicher und verantwortungsbewusst sowie in Übereinstimmung mit geltendem Recht ausgeübt wird."

Neue „Covered Person"-Vorschriften der SEC
Im Juli 2013 beschloss die SEC Änderungen der Rule 506. Private Investmentfonds sind nach den neuen Regelungen – die auch als „Bad Actor"-Bestimmungen bekannt sind – verpflichtet, Due-Diligence-Prüfungen durchzuführen, um zu bestätigen, dass keine „Covered Person" an einem „Disqualifying Event" beteiligt war. Die geänderte Rule 506 wurde eigens weiter gefasst, um Drittparteien und verschiedene Kategorien von Geschäftspartnern zu umfassen.

CFBP-Anforderungen an Due-Diligence-Prüfungen von Lieferanten
Das neu ins Leben gerufene Consumer Financial Protection Bureau (CFPB) hat im April 2012 eine Mitteilung veröffentlicht, der zufolge Finanzinstitute für Handlungen der von ihnen beauftragten Unternehmen zur Verantwortung gezogen werden können. Die Agentur erwartet nun von Unternehmen, dass diese über ein effektives Risikomanagementverfahren im Hinblick auf die Risiken verfügen, die sich aus den Geschäftsbeziehungen zu Dienstleistern ergeben. Das beinhaltet die Durchführung gründlicher Due-Diligence-Prüfungen, um nachzuweisen, dass die Dienstleister die gesetzlichen Bestimmungen verstehen und anwenden.

Außerdem gibt es selbstverständlich zahlreiche vor Kurzem eingeführte Compliance-Anforderungen, die praktisch sämtliche großen Unternehmen betreffen, die in verschiedenen Ländern weltweit tätig sind. Gesetzliche Vorschriften gegen Bestechung und Korruption wie der britische Bribery Act und der US-amerikanische Foreign Corrupt Practices Act haben allen Führungskräften Angst eingejagt, deren Unternehmen in globalen Märkten tätig sind, in denen Bestechung von Beamten und öffentlichen Angestellten als Bestandteil des üblichen Geschäftsgebarens anerkannt war. Einige US-Bundesstaaten haben außerdem aggressive Maßnahmen ergriffen, um mehr Transparenz entlang von Lieferketten zu verlangen. Dazu gehört beispielsweise der 2012 in Kraft getretene California Transparency in Supply Chains Act.

Dieses Gesetz schreibt vor, dass in Kalifornien tätige Einzelhändler und Hersteller (mit einem Jahresumsatz von über 100 Mio. US-Dollar) darlegen müssen, was sie tun, um Sklaverei und Menschenhandel in ihren direkten Lieferketten für die von ihnen angebotenen Güter auszumerzen. Andere Bundesstaaten prüfen derzeit die Einführung ähnlicher Vorschriften.

Diese aufkommenden aufsichtsrechtlichen Anforderungen, welche für die Geschäftsbeziehungen zu Dritten gelten, stellen ein großes Compliance-Risiko für Unternehmen dar. Schlimmer noch: Die Lieferanten, die weiter von den wichtigsten direkten Lieferanten eines Unternehmens entfernt sind, können die größten Risiken für die Lieferkette bedeuten. Eine Umfrage des Business Continuity Institute ergab, dass die Ursache einer Unterbrechung der Lieferkette in knapp 40 % aller Fälle bei Tier-2- und Tier-3-Lieferanten liegt.³ Das bedeutet, dass Lieferkettenprobleme sich praktisch jederzeit überall auf der Welt bei jedem Lieferanten ergeben können.

Bedeutung von Nachrichten und Aktualisierungen öffentlicher Register

Diese betrieblichen und Compliance-Risiken sind gewaltig. Dennoch ist es in der Realität unbestritten, dass jedes große Unternehmen neue Geschäftsbeziehungen zu Dritten eingehen können muss, wenn es im Markt bestehen will. Was also müssen Führungskräfte tun, um diese Risiken zu senken?

Sie müssen bei der Prüfung ihrer Drittlieferanten rigorose Due-Diligence-Prüfungen durchführen und dann in die laufende Überwachung dieser Lieferanten investieren. Ein wichtiges Element dieser Due Diligence ist die Nutzung neuer Business Information Tools, die Unternehmen heute zur Verfügung stehen und die Ihnen dabei helfen, wichtige Lieferanten zu überprüfen und genau zu überwachen. Leider haben sich viele Führungskräfte in der falschen Sicherheit gewogen, dass sie sich bei der Durchführung dieser Due Diligence auf herkömmliche Informationsquellen zur Überwachung von Lieferkettenrisiken wie Finanzkennzahlen, Hintergrundberichte und – im letzten Jahrzehnt – die eine oder andere Suche in öffentlich zugänglichen Suchmaschinen verlassen können. Viele dieser Methoden haben zwar immer noch ihre Daseinsberechtigung, reichen für sich genommen aber heute nicht mehr aus, da sie mögliche Probleme mit der Geschäftstätigkeit von Lieferanten nicht in Echtzeit erkennen können und womöglich erst ausfindig machen, wenn sie sich zu einem für die Öffentlichkeit wahrnehmbaren Problem ausgewachsen haben.

Für die anfängliche Prüfung von Drittparteien ist es wichtig, Berichte über den potenziellen neuen Lieferanten in den Medien sowie Informationen aus den Datenbanken verschiedener öffentlicher Register zu berücksichtigen. Echtzeitinformationen über Lieferanten können beispielsweise genutzt werden, um mögliche Problembereiche mit einem konkreten Lieferanten zu erkennen, bevor Sie den Vertrag unterzeichnet haben und offizielle Partner sind.

Vorbeugen ist besser als heilen. Es ist mit Sicherheit viel besser, beunruhigende Informationen über einen potenziellen Lieferanten (juristische Angelegenheiten, finanzielle Probleme oder Compliance-Risiken) aufspüren zu können, als diese Dinge erst zu erkennen, wenn ein konkretes Problem entstanden ist und bereits Auswirkungen auf die Geschäftstätigkeit hat.

Doch auch nach dem Abschluss einer neuen Geschäftsbeziehung muss man sich der Tatsache bewusst sein, dass es mit einer einmaligen Überprüfung des Lieferanten nicht getan ist. Es ist wichtig, in die laufende Überwachung der Drittparteien zu investieren, mit denen Ihr Unternehmen zusammenarbeitet.

Finanzkennzahlen und Internetsuchen im Open Web können zwar helfen, schnelle Entscheidungen über Lieferanten und deren solide Finanzlage zu treffen. Sie sind aber schwerlich als Due-Diligence-Prüfung zu werten, da sie nur auf begrenzten Daten beruhen, die im besten Fall zeitverzögert Aufschluss über die Situation Ihrer Drittlieferanten geben. Wenn ein Unternehmen seine Rechnungen nicht mehr begleicht und sich seine finanzielle Bewertung geändert hat, ist es für Sie häufig schon zu spät, um Maßnahmen zu treffen, welche die betrieblichen und juristischen Folgen sowie die Auswirkungen auf die Reputation Ihres Unternehmens minimieren können. Business Information Lösungen können eingesetzt werden, um Nachrichten und öffentliche Register zu überwachen, in denen der Name Ihres Lieferanten auftaucht. Das sind leistungsstarke Tools, die Unternehmen dabei helfen, Lieferanten gründlicher zu überprüfen, bevor sie neue Geschäftsbeziehungen mit ihnen eingehen. Nach dem Vertragsabschluss mit neuen Lieferanten können dieselben Lösungen wertvolle Unterstützung bei der laufenden Due Diligence leisten, indem sie die Tätigkeiten der Lieferanten soweit wie möglich überwachen. Das ist eine wichtige Strategie, wenn es darum geht, Due-Diligence-Prüfungen durchzuführen und Ihr Unternehmen vor Problemen zu schützen, die sich aus der Zusammenarbeit mit Drittparteien ergeben, welche ihren Pflichten nicht ordnungsgemäß nachkommen.

Beschaffungsmanagement-Lösungen von LexisNexis^®

Die Beschaffungsmanagement-Lösungen von LexisNexis® greifen auf die einmalige LexisNexis-Datenbank von Echtzeitnachrichten und öffentlichen Registern zu. Führungskräfte können diese Lösungen einsetzen, um Due-Diligence-Prüfungen durchzuführen, aufsichtsrechtliche Anforderungen zu erfüllen und ein „Frühwarnsystem" aufzubauen, das durch laufende Überwachung frühzeitig auf mögliche lieferantenseitige Probleme aufmerksam macht.

¹https://www.foxnews.com/world/walmart-recalls-donkey-meat-in-china/
²http://www.executiveboard.com/blogs/supply-chain-risk-too-important-to-ignore/
³http://www.bcifiles.com/Mumbai/LyndonBMumbai.pdf

Dieses Dokument dient ausschließlich Informationszwecken. LexisNexis gibt keine Garantie für die Vollständigkeit und Richtigkeit dieses Dokuments. Soweit von Dritten erstellt, geben die Ansichten nicht notwendigerweise die Ansichten von LexisNexis wieder.

Stand: 05/2014