Wer die Qual hat. Unübersichtliche Regularien und Vorschriften bei Themen wie Datenschutz, Korruption, Produkthaftung oder Lieferkettentransparenz beschäftigen u. a. Einkauf- und Compliance-Abteilungen in DAX-Unternehmen schon lange, aber auch mittelständische Unternehmen müssen ihre Wertschöpfungsketten auf den Prüfstand stellen. Das Lieferkettensorgfaltspflichtengesetz (Lieferkettengesetz oder kurz LkSG) betrifft ab 2024 Unternehmen ab 1000 Mitarbeitern.
Zudem wägt die EU-Kommission ab, das Gesetz weiter zu verschärfen, indem beispielsweise auch Unternehmen ab 500 Mitarbeiter in die Pflicht genommen werden bzw. Unternehmen wegen Umsatz und Zugehörigkeit eines Risikobereichs dem LkSG unterliegen sollen. Als direkter Zulieferer und somit Teil der Lieferkette von größeren Firmen unterliegen schon jetzt auch kleinere Unternehmen der indirekten Berichtspflicht.
Trotzdem wird die Notwendigkeit, compliant zu sein, oftmals unterschätzt oder Unternehmen tun sich schwer bei der Umsetzung. Immerhin ergab eine Studie des Meinungsforschungsinstitut YouGov im Auftrag von targens, dass in den nächsten Jahren 41 Prozent der befragten Unternehmen digitale Lösungen in Bezug auf das LkSG einsetzen wollen.
Bild: Targens
Lieferanten als Risiko
Bei der Entscheidung für einen Lieferanten sowohl im In- als auch im Ausland zählen also längst nicht nur Logistik und Kosten. Einkäufer müssen sich außerdem vergewissern, dass sich ihre Geschäftspartner an alle Umwelt- und Sozialstandards sowie arbeitsrechtlichen Vorgaben halten. Sie müssen aber auch darauf achten, dass ihre Geschäftspartner und Lieferanten nicht etwa auf Sanktionslisten stehen, weil sie beispielsweise in Korruption, Geldwäsche oder andere illegale Aktivitäten verwickelt sind. Indirekte Sanktionen sind ebenfalls zu berücksichtigen: Wenn der Geschäftspartner selbst nicht auf einer Sanktionsliste steht, aber ein Gesellschafter mit wesentlichem Einfluss sanktioniert ist. Selbst Überweisungen an Unternehmen aus sanktionierten Ländern können zum Problem werden, da dies durch die internationalen Embargo-Vorschriften verboten ist.
Dabei darf nicht übersehen werden: Im Falle einer Überprüfung genügt es nicht, Auskunft über die direkten und unmittelbaren Lieferanten geben zu können. Steht ein möglicher Gesetzesverstoß im Raum, müssen alle indirekten Lieferanten wie direkte Lieferanten behandelt werden und die gesamte Lieferkette des Lieferanten muss aufgedeckt werden. Dies soll unter anderem verhindern, dass Unternehmen eigene Subunternehmen einsetzen und auf diese Weise das Gesetz umgehen.
Verstößt also ein indirekter Lieferant gegen die Vorschriften, stehen auch Unternehmen, die indirekte Auftraggeber sind, in der Verantwortung. Einkäufer sind somit gut beraten nicht nur die direkten Lieferanten an die Einhaltung der Gesetze zu erinnern, sondern auch indirekte Lieferanten in den Prozess einzubeziehen und Transparenz über ihre gesamten Wertschöpfungsketten zu gewinnen.
Was ist eine Risikoanalyse?
Damit sichergestellt ist, dass alle Geschäftspartner und direkten sowie indirekten Lieferanten rechtmäßig und vertrauenswürdig sind, kann die Durchführung einer Risikoanalyse helfen – für vom Lieferkettengesetz betroffene Unternehmen ist sie sogar Pflicht. Die Risikoanalyse besteht aus zwei Teilen: Zum einen die Ermittlung und zum anderen die Bewertung der Risiken. Dafür werden zunächst alle unmittelbaren Lieferanten eines Unternehmens erfasst.
Basierend auf einem vorher definierten Risikomodell werden diese unmittelbaren Lieferanten in verschiedene Risikostufen eingeordnet. Eine wichtige Rolle spielen dabei die Branche sowie das Herkunftsland des Lieferanten, aber auch externe Informationen wie die Berichterstattung in den Medien, Gerichtsurteile oder Sanktionslisten. Darüber hinaus helfen Selbstauskünfte von Lieferanten, die beispielsweise in Form von Fragebögen erstellt werden.
Beim Arbeiten mit einer solch großen Menge an Daten unterstützen Softwarelösungen. Sie liefern schnelle, umfassende und zuverlässige Ergebnisse und bereinigen auch gleich die Daten, indem sie beispielsweise Falschschreibungen von Namen oder doppelte Eintragungen eliminieren. Sämtliche Informationen lassen sich mit digitaler Hilfe aus unterschiedlichen Quellen im eigenen Bestand sichern und valide Risikobewertungen erstellen, die auf nachvollziehbaren Daten basieren.
Was passiert bei erhöhter Risikostufe?
Die Risikostufe zeigt an, wie wahrscheinlich es ist, dass ein Zulieferer gegen Menschenrechtsverletzungen oder Umweltauflagen verstößt. Eine risikobasierte Compliance-Software liefert hier eine erste Einstufung – und verhindert, dass Mitarbeiter unnötig Zeit in die Überprüfung von letztlich risikoarmen Partnerschaften investieren. Denn nur bei erhöhtem Risiko müssen weitere Überprüfungen schnell und effektiv passieren. Auch hier bieten technische Lösungen Unterstützung. Sie zeigen automatisch an, ob auch die Lieferketten des betreffenden Zulieferers überprüft werden müssen. Mittelbare Lieferanten werden in diesem Fall wie unmittelbare Lieferanten behandelt und ebenfalls einer Risikostufe zugeordnet.
Diese Ergebnisse fließen in die Risikoberechnung des ursprünglich untersuchten unmittelbaren Lieferanten mit ein. Basierend auf den Erkenntnissen können Compliance-Verantwortliche dann über den weiteren Umgang mit diesem Lieferanten entscheiden. So ist es möglich, Lieferanten mit erhöhter Risikoeinstufung im System entsprechend zu klassifizieren und engmaschiger und strenger zu überwachen. Die Konsequenzen ziehen jedoch immer die menschlichen Mitarbeiter des Unternehmens. Denn für die Einhaltung gesetzlicher Vorgaben ist es wichtig, dass Entscheidungen zu verschiedensten Vorgängen auf derselben Datengrundlage getroffen werden und transparent sind.
Compliance – komplex, aber mit den richtigen Tools beherrschbar
Ein Compliance Management System (CMS) bildet den strukturellen und organisatorischen Rahmen für das Risikomanagement eines Unternehmens. Dieses legt Richtlinien und Verhaltenskodex fest, führt Kontrollmechanismen ein und sorgt dafür, dass eine funktionierende Compliance-Kultur im Unternehmen etabliert wird. Bei dem immer größer werdenden Aufwand hinsichtlich der Compliance-Vorschriften sind Technologien wie AI oder Data Analytics wichtige Hilfsmittel, denn ohne sie entsteht eine schier unlösbare Aufgabe.
Neben dem Einführen einer digitalen Compliance-Lösung ist es zudem wichtig, alle Mitarbeiter in die aktive Risikovorsorge einzubeziehen. Neben regelmäßigen Weiterbildungsmaßnahmen spielt hier das vorbildliche Verhalten der Führungskräfte eine wichtige Rolle. Eins steht aber fest: Wer sich vorzeitig mit dem Thema Compliance auseinandersetzt, hat einen klaren Wettbewerbsvorteil – und ist mit dem richtigen Compliance Management System nicht nur beim Thema Lieferkettensorgfaltspflichtengesetz, sondern bei risikobehafteten Geschäftsabläufen generell auf der sicheren Seite.
4 Tipps bei der Wahl einer Compliance-Lösung
Eine Compliance-Software dient zur leichteren, schnelleren Datenakquise und sollte sich dementsprechend an unterschiedlichste Datenquellen wie externe Datenbanken, internationale Nachrichtenquellen und Medienberichte anbinden lassen.
Lösungen können einen Abgleich von Sanktions-, Watch- und PEP-Listen regelmäßig automatisch starten und vor einer gesetzeswidrigen Überweisung schützen. Im besten Fall ist die Compliance-Software cloudbasiert – und somit von überall und von allen verwendbar. Da die Datenbestände eine große Rolle in der Analyse spielen, bieten einige Anbieter an, die Daten zu bereinigen, um z. B. Dubletten zu vermeiden. Das kann sinnvoll sein.
Der Autor:Jens-Thorsten Rauer
Geschäftsführender Direktor der GFT Technologies SE und verantwortet als Group Chief Executive die Region Mittel- und Westeuropa sowie den Auf- und Ausbau des globalen Software-Produktgeschäftes. In dieser Funktion verstärkt er seit April 2023 die Geschäftsführung der Targens GmbH.
Bild: Targens
Zum Unternehmen: Übernahme der Targens GmbH von GFT
GFT hat die Übernahme der Targens GmbH formell am 3. April abgeschlossen und die Geschäftsführungsstruktur angepasst. Die Transaktion wurde im Februar 2023 angekündigt.
Mit Targens gewinnt GFT ein Expertenhaus für Banking, Compliance und Digital Innovation. Die Produkte für Compliance fokussieren auf die Bekämpfung von Finanzkriminalität. Um so schnell wie möglich das volle Potenzial der Übernahme zu realisieren, soll die Marke Targens bis spätestens Ende des Jahres in GFT aufgehen.
Im Zuge der Integration wurde die Geschäftsführung von Targens verstärkt. Jens-Thorsten Rauer, Group Chief Executive Zentral- und Westeuropa von GFT und Volker Fischer, General Manager von GFT Deutschland, wurden in die Geschäftsführung von Targens berufen.
