Business-Intelligence

Compliancerisiken proaktiv reduzieren durch Hintergrundrecherchen zu Personen und Unternehmen
Von Gabriel Andras und Sebastian Hubert

Beitrag als PDF (Download)

Einleitung

Die klassische Volkswirtschaftslehre hat traditionell drei wirtschaftliche Produktionsfaktoren, nämlich Arbeit, Kapital und Boden, unterschieden. In der jüngsten Vergangenheit der Ökonomie taucht in der Diskussion der Produktionsfaktoren auch der Faktor „Information“ als eigenständiger Werttreiber auf. Unter dem nicht exakt abzugrenzenden Begriff „Business-Intelligence“ werden in der Wirtschaftswelt unterschiedliche Disziplinen von Informationssammlungen zusammengefasst, die neben klassischen volks- und betriebswirtschaftlichen Fragestellungen auch im Bereich Compliance als Teil eines organisationsweiten Compliancemanagementsystems in zunehmendem Umfang Anwendung finden.

Einen zentralen Bestandteil der compliancebezogenen „Business-Intelligence“ stellen hierbei Hintergrundrecherchen zu Unternehmen und Personen dar. Unternehmerischer Treiber solcher Recherchen ist die präventive Reduktion von Regelverstößen und Interessenkonflikten oder -kollisionen sowie – in der Regel damit verbundenen – Reputationsrisiken, die sich aus der Geschäftsbeziehung eines Unternehmens zu anderen Unternehmen oder Personen ergeben können.

Hintergrundrecherchen: praktische Anwendungsbereiche

Eine besondere Relevanz von Hintergrundrecherchen ergibt sich im Banken- und Versicherungsbereich. In diesen Branchen haben regulatorische Anforderungen zur Prävention vor Geldwäsche und Terrorismusfinanzierung über das sogenannte Know-your-Customer-Prinzip (KYC) und die Identifizierung „politisch exponierter Personen“ (PEP) sowie die Erlangung und Verifizierung von Unternehmensangaben (etwa Besitzverhältnisse, Management, Tätigkeit, Branche und Firmenstruktur) bereits Einzug gehalten.

Gesetzliche sowie regulatorische Anforderungen zur Überprüfung von Geschäftspartnern ergeben sich für alle Wirtschaftszweige – teilweise indirekt ableitbar als Teilaspekt von geforderten angemessenen Präventionsmaßnahmen – zum Beispiel aus dem deutschen Corporate Governance Kodex, dem Foreign Corrupt Practices Act (FCPA), dem UK Bribery Act, der OECD Richtlinie Nr. 6 der „Good Practice Guidance on Internal Controls, Ethics, and Compliance; ICC Guidelines on Agents, Intermedia-ries and Other Third Parties“.

Wesentliche Fälle, in denen compliancebezogene Hintergrundrecherchen zur Anwendung kommen, können beispielsweise sein:

  • sogenannte Businesspartnerchecks im Vorfeld von Vertragsabschlüssen, Joint Ventures und Unternehmensübernahmen/M&A-Aktivitäten sowie im Rahmen von Know-your-Customer-Prozessen, vornehmlich dann, wenn die Vertragspartner in compliancekritischen Regionen oder Geschäftsfeldern aktiv sind;
  • Verifizierung von Angaben von Bewerbern für Führungspositionen und Vertriebspositionen oder für Tätigkeiten mit Vertrauens- und Sicherheitscharakter (sogenannte Pre-Employment-Screenings). Dies bezieht im Übrigen nicht nur externe Bewerber ein, sondern wird von vielen Unternehmen auch bei internen Beförderungen angewendet;
  • Forensic Investigations, also anlassbezogene Sonderuntersuchungen bei vermuteten Complianceverstößen, wie zum Beispiel Korruption, Wettbewerbsdelikten, Arbeitsrechts-, Ethik- und Umweltschutzverstößen, Industriespionage und Produktpiraterie;
  • Verifizierung der Verlässlichkeit und Glaubwürdigkeit von marktrelevanten Informationen, Medienberichten und Publikationen. Zum Beispiel wäre eine entsprechende Frage, wie objektiv belastbar ein Medienbericht oder ein Marktreport unter Berücksichtigung der Reputation des Verfassers, der verwendeten Datenquellen sowie der Inhalte und Schlussfolgerungen ist.

Effektivitätsschub durch digitale Vernetzung

Klar ist auch, dass erst die heutige digital vernetzte Welt dem Bereich „Business-Intelligence“ einen enormen Schub versetzt hat. Im „Old Economy“-Zeitalter war die Beschaffung solcher Hintergrundinformationen im Wesentlichen eine zeitintensive, detektivisch geprägte Laufarbeit mit äußerst ungewissem Erfolg. Heute sitzen in vielen Unternehmen oder bei Beratungsgesellschaften eigens dafür ausgebildete Researchspezialisten, die am Computer notwendige Informationen beschaffen, sinnvoll miteinander verknüpfen und zielorientiert auswerten. Hierzu bieten unter anderem auch Hochschulen spezielle Ausbildungsformate an, wie beispielsweise Studiengänge zum Thema Informations- und Knowledgemanagement.

Die Informationsgewinnung erfolgt in der Regel unter Nutzung öffentlich zugänglicher Quellen – sogenannter Open Source Intelligence (OSINT). Dazu zählen unter anderem öffentlich verfügbare Behördendaten, wie etwa Handelsregister, Melderegister, Insolvenzregister, aber auch Compliancedatenbanken, Wirtschaftsdatenbanken, die Informationen zu Unternehmen enthalten, Kreditinformationsdienste sowie Pressearchive-/-datenbanken und weitere über das Internet frei verfügbare Quellen (etwa Unternehmens- und Telefonverzeichnisse). Neben OSINT werden auch ergänzende, eher aus dem behördlichen Umfeld stammende Verfahren verwendet, wie die sogenannte Imaginary Intelligence (IMINT), welche die Verwertung von Bild- und Videoaufzeichnungen zum Gegenstand hat, sowie das sogenannte HUMINT, d.h. die Erkenntnisgewinnung aus mündlichen Informationen. In rechtlicher Hinsicht ist neben der Beschaffung und Auswertung von öffentlich zugänglichen Daten insbesondere die Beachtung von datenschutzrechtlichen Rahmenbedingungen ein essentieller Grundpfeiler rechtlich und ökonomisch nutzbarer Informationen. Zum Beispiel ist eine relevante Frage in vielen Unternehmen, die über Pre-Employment-Screening-Konzepte nachdenken, in welcher Form der Bewerber selbst über die Durchführung einer ihn betreffenden Hintergrundrecherche informiert werden soll. Weiterhin sind die Einsicht in Einträge in sozialen Netzwerken und deren Auswertung Gegenstand einer kontroversen rechtlichen Debatte.

Risikodefinition bestimmt den Umfang der Recherchen

Im Hinblick auf den Umfang der durchzuführenden Recherchen existieren in Bezug auf die Recherchetiefe einer Geschäftspartnerüberprüfung wenige konkrete regulatorische Vorgaben. Wesentlich ist, dass die Recherchen angemessen, dokumentiert, begründet und dazu geeignet sind, eine Einschätzung des Geschäftspartners vornehmen zu können. Er soll den Pflichten entsprechen, die im Rahmen einer Geschäftsbeziehung zu erfüllen sind. Der Rechercheumfang sollte in Abhängigkeit vom Risiko festgelegt werden, das im Zusammenhang mit der Geschäftspartneraktivität gesehen wird. Viele Kriterien zur Risikobewertung eines Geschäftspartners sind bereits im internen Kontrollsystem eines Unternehmens verankert. Üblicherweise werden das Risiko und somit der Umfang der Recherche durch ausgewählte Rahmendaten des Geschäftspartners bestimmt. Dazu gehören die Art der zu erbringenden Leistung (etwa die Erbringung von Vertriebs- und Beratungsleistungen), die Art und der Umfang der Vergütung (zum Beispiel erfolgsabhängige Vergütungen) sowie geographische Kriterien. Eine Einordnung des länderbezogenen Risikos erfolgt dabei über die Nutzung von öffentlich verfügbaren, länderbezogenen Indizes, zum Beispiel des bekannten von Transparency International veröffentlichten Korruptionswahrnehmungsindexes (Corruption Perception Index – CPI) sowie des Bestechungszahlerindexes (Bribe Payers Index – BPI). Je nach Risikoklasse sind Abstufungen der Recherchetiefe und des Rechercheumfangs sinnvoll:

  • Geringes Risiko oder Basischeck: Im Rahmen eines Basischecks werden compliancerelevante Aspekte auf der Grundlage von bekannten oder vorliegenden Geschäftspartnerstammdaten geprüft. Ein solches vereinfachtes Suchverfahren ist auf einen Arbeitsaufwand von wenigen Arbeitsstunden limitiert. Die Recherche umfasst hierbei die Prüfung von Namen und Unternehmen anhand von im Vorfeld festgelegten internationalen Sanktionslisten, PEP-Datenbanken und über das Internet zugänglichen öffentlichen Registern sowie einer limitierten schlagwortbasierten Internet- und Medienrecherche. Diese Basisrecherche ermöglicht auch eine zusätzliche Überprüfung der Aktualität und Korrektheit der Stammdaten. Die Zusammenfassung der Ergebnisse sollte unter Beachtung von Kosten-Nutzen-Überlegungen in einem vereinfachten, tabellarischen Format inklusive einer Empfehlung für eine Ausweitung der Suche bei Feststellung von möglichen Inkonsistenzen oder Unregelmäßigkeiten erfolgen.
  • Mittleres Risiko oder erweiterter Basischeck: Der erweiterte Basischeck beinhaltet eine vollumfängliche OSINT-Recherche unter Nutzung online zugänglicher Quellen auch im Sitzland des Geschäftspartners. Für die Informationsgewinnung sind auch regelmäßig Kenntnisse der Landessprache erforderlich. Die Dauer dieser Recherche kann einige Arbeitstage in Anspruch nehmen, da der erweiterte Basischeck neben den Inhalten des Basischecks auch eine Aufarbeitung der gesellschafts- und organrechtlichen Strukturen von Unternehmen oder der wirtschaftlichen Aktivitäten in Form von Gesellschaftsbeteiligungen oder Organfunktionen bei natürlichen Personen beinhalten kann. Die Ergebnisse werden in einem standardisierten Berichtsformat mit entsprechendem Raum für die Darstellung und, sofern erforderlich, die Bewertung der Rechercheergebnisse aufbereitet.
  • Hohes Risiko: Die zuvor beschriebenen im Schwerpunkt onlinebasierten Recherchen werden durch Vor-Ort-Recherchen ergänzt, zum Beispiel wenn Unternehmensinformationen nicht online verfügbar sind und man bei der entsprechend verantwortlichen lokalen Behörde Akteneinsicht nehmen muss – was nebenbei bemerkt auch in Deutschland der Fall sein kann – oder aber auch die Geschäftsadresse verifiziert oder lokalisiert werden muss, wie dies zum Beispiel häufig in Ländern des afrikanischen Kontinents notwendig ist. Mittlerweile bieten diverse Kartendienste im Internet zwar einen guten Einstieg, jedoch werden hier die Adressen nicht immer exakt und aktuell dargestellt. Dies ist umso schwieriger, wenn es sich beispielsweise um Länder handelt, die andere Schriftsysteme oder Adressformate verwenden.

Allgemeine Hinweise

Im Rahmen der Recherchen sollte vornehmlich auf Primärquellen (Informationen von Behörden, Daten aus öffentlich zugänglichen Registern etc.) zurückgegriffen werden, da die dort verfügbaren Informationen aktueller, aber vor allem belastbarer sind als Informationen, die von Drittanbietern in kommerziellen Datenbanken oder Verzeichnissen (etwa Wirtschaftsdatenbanken) angeboten werden. Ist man bei Nichtverfügbarkeit von Primärquellen auf die Nutzung von Sekundärquellen angewiesen, so sollten – sofern verfügbar – identifizierte Informationen mit mindestens einer weiteren Sekundärquelle gegengeprüft werden.

Weiterhin empfiehlt es sich insbesondere bei komplexen Netzwerkstrukturen, die Ergebnisse der Suche mit Unterstützung von Visualisierungstools optisch darzustellen. Diese Vorgehensweise erlaubt zum Beispiel eine bessere Identifizierung von Netzwerkknoten oder vergleichbaren Mustern und unterstützt damit die Auswertung und Verknüpfung der gesammelten ­Daten.

 

gandras@deloitte.de

shubert@deloitte.com