Die Zusammenarbeit mit Drittparteien ist für Unternehmen heute unverzichtbar. Ob IT-Dienstleister, Lieferanten oder externe Berater – zahlreiche Geschäftsprozesse werden ausgelagert, um Effizienz zu steigern und Fachwissen zu nutzen. Doch mit dieser Auslagerung gehen auch erhebliche Risiken einher. Datenschutzverletzungen, regulatorische Verstöße oder Reputationsschäden durch das Fehlverhalten externer Partner können gravierende Folgen für Unternehmen haben.
Die Interne Revision trägt eine entscheidende Verantwortung, diese Risiken zu bewerten und angemessene Kontrollmechanismen sicherzustellen. Um dieser wachsenden Bedeutung gerecht zu werden, hat das Institute of Internal Auditors (IIA) nun einen neuen Standardentwurf für die Prüfung von Drittparteien (Third-Party) veröffentlicht. Dieser Entwurf befindet sich aktuell in der öffentlichen Kommentierungsphase, und Revisorinnen und Revisoren sind eingeladen, sich aktiv an der Gestaltung der finalen Anforderungen zu beteiligen.
Unternehmen und Organisationen lagern zunehmend Geschäftsprozesse an externe Dienstleister aus – von IT-Services über Lieferkettenmanagement bis hin zu Finanzdienstleistungen. Diese Abhängigkeiten bringen erhebliche Risiken mit sich, darunter:
Die Interne Revision spielt eine entscheidende Rolle dabei, sicherzustellen, dass Unternehmen angemessene Kontrollmechanismen zur Überwachung ihrer Drittparteien etabliert haben.
Das IIA definiert in dem neuen Topical Requirement klare Anforderungen für die Prüfung von Drittparteien. Wichtige Aspekte sind:
Wichtige Inhalte des neuen IIA-Entwurfs
Das IIA hat mit dem aktuellen Standardentwurf eine klare Leitlinie entwickelt, um die Prüfung von Drittparteien effektiver und strukturierter zu gestalten. Einige zentrale Punkte sind:
✅ Fokus auf Governance von Drittparteien: Prüfung der Governance-Strategien zur Auswahl, Überwachung und Kommunikation mit Drittparteien. Zentral ist Frage der Steuerung der Drittanbieterbeziehung.
✅ Effektives Risikomanagement: Prüfung standardisierter Prozesse zur Identifikation und Bewertung von Risiken im Zusammenhang mit Drittparteien über den gesamten Lebenszyklus der Beauftragung. Die Risikobewertung umfasst dabei finanzielle, operationelle, rechtliche und andere relevante Risiken.
✅ Kontrollen und Überwachung von Drittparteien: Existenz eines gründlichen Due-Diligence-Prozesses zur Auswahl von Drittparteien, eines effektiven Vertragsmanagements und fortlaufender Überwachungsprozesse zur Sicherstellung der Vertragserfüllung.
✅ Transparenz und Berichterstattung: Die Überwachung von Drittparteien sollte nicht nur auf dem Papier existieren. Eine regelmäßige Berichterstattung über Risiken und Schwachstellen ist essenziell, damit das Management fundierte Entscheidungen treffen kann.
Die Kommentierungsphase läuft bis zum 20. April 2025. Alle Interessierten können den vollständigen Entwurf hier einsehen und ihre Rückmeldungen einreichen.