Due Diligence des Verkäufers: Eine Vorabprüfung von Drittanbietern zur Beurteilung von Risiken, internen Kontrollen, Sicherheitslage und Einhaltung gesetzlicher Vorschriften.
Zweck: Um Sicherheitslücken, Reputationsschäden und finanzielle Verluste zu vermeiden und sicherzustellen, dass die Lieferanten mit den Geschäftszielen und Compliance-Anforderungen übereinstimmen.
Checklistenentwicklung (5 Schritte):
1. Risikobereitschaft definieren
2. Lieferantenrisikobewertung durchführen
3. Einhaltung der Rechercheanforderungen
4. Erstellen Sie eine detaillierte Checkliste für die Due-Diligence-Prüfung.
5. Checkliste überprüfen, testen und verfeinern
Bestandteile der Checkliste:
• Allgemeine Unternehmensinformationen, Finanzdaten und Rechtsstellung
• Bewertung des Reputations- und politischen Risikos
• Technische Cybersicherheitsprüfung
• Richtlinienprüfungen (Daten, Notfallwiederherstellung, Änderungsmanagement)
• Protokolle zur Reaktion auf Zwischenfälle und zur Aufrechterhaltung des Geschäftsbetriebs
Werkzeuge benutzt:
• Due-Diligence-Fragebögen
• Risikobewertungsmatrizen
• Automatisierte GRC-Plattformen wie Sprinto
Pro Tip: Setzen Sie gestaffelte Risikoansätze ein, indem Sie Anbieter mit hohem Einfluss verstärkt prüfen.
Lieferanten sind ein entscheidender Bestandteil jedes Geschäftsökosystems. Tatsächlich verfügt heutzutage jedes Unternehmen über eine Liste verbundener Unternehmen und Lieferanten, die es bei der Erfüllung seiner Geschäftsanforderungen unterstützen. Unternehmen müssen jedoch bei der Auswahl ihrer Dienstleister sorgfältig vorgehen. Unvorsichtigkeit kann zu verschiedenen Risiken führen. Vorsicht bedeutet in diesem Fall eine gründliche Due-Diligence-Prüfung.
Ein Due-Diligence-Prozess für Lieferanten wird üblicherweise vor dem Onboarding-Prozess durchgeführt, um sicherzustellen, dass Drittanbieter nachweisen können, dass sie über ausreichende interne Kontrollen verfügen, um ihre Daten zu schützen und Sicherheitsvorfälle zu vermeiden.
Die Sorgfaltspflicht gegenüber Lieferanten geht weit über die Überprüfung von Beschwerden auf Bewertungsportalen hinaus. Es handelt sich um einen umfassenden Begriff, der eine Vielzahl von Prüfungen beschreibt. Unternehmen benötigen einen strukturierten Ansatz für das Management von Drittparteirisiken, um zu erkennen, was für ihr Geschäft wichtig ist und das akzeptable Risikoniveau deutlich zu unterschreiten.
Genau hier erweist sich eine Checkliste zur Lieferantenprüfung als äußerst hilfreich. Dieser Blog erläutert den gesamten Prüfprozess, die Schritte zur Erstellung einer eigenen Checkliste und einen sicheren Weg zur Optimierung von Geschäftsbeziehungen und zur Förderung der Lieferanten-Compliance.

Was versteht man unter Lieferantenprüfung?
Die Lieferantenprüfung ist der letzte Schritt im Lieferantenauswahlprozess. Sie umfasst eine detaillierte Bewertung des Lieferantenrisikos, die Behebung von Sicherheitslücken und die Sicherstellung, dass potenzielle Lieferanten die Compliance-Anforderungen erfüllen können.
Die Due-Diligence-Prüfung beschränkt sich nicht auf die Analyse der Cyberrisiken, sondern dient auch dazu, dem Unternehmen ein Verständnis seiner bestehenden Sicherheitsrichtlinien und -kontrollen zur Verhinderung von Sicherheitsverletzungen und Betriebsunterbrechungen zu vermitteln. Der Prozess umfasst drei wesentliche Komponenten: Vertragsprüfung, Durchführung einer Due-Diligence-Prüfung und die Erstellung einer Due-Diligence-Prüfung. Fragebogen zur Sorgfaltsprüfung, und eine Hintergrundprüfung, um ihre bisherige Erfolgsbilanz zu beurteilen.
Was ist eine Checkliste zur Lieferantenprüfung?
Eine Checkliste zur Lieferantenprüfung ist ein wesentlicher Bestandteil des Lieferantenrisikomanagements. Sie ermöglicht Unternehmen, alle Aspekte der Sorgfaltspflicht zu überprüfen, bevor sie eine Geschäftsbeziehung eingehen. Eine gut strukturierte Checkliste unterstützt die Einkaufs- und Sicherheitsteams dabei, Lieferanten mit unzureichenden Sicherheitsvorkehrungen auszusortieren und fundiertere Entscheidungen zu treffen, um den Ruf des Unternehmens zu schützen.
Die Checkliste zur Lieferantenprüfung geht über Sicherheitsaspekte hinaus – sie hilft Unternehmen auch, die operative Stabilität einzuschätzen, Finanzanalysen durchzuführen und sich einen grundlegenden Geschäftsüberblick zu verschaffen, um die langfristige Eignung zu beurteilen. Der Sicherheitsteil der Checkliste ist für die Lieferantenprüfung vorgesehen. Sorgfaltspflicht im Bereich Cybersicherheit Leben: eine eingehendere Prüfung der Vorgeschichte von Sicherheitsverletzungen, des Reifegrads der Kontrollmechanismen, der Offenlegungen von Unterauftragnehmern und der Fähigkeit zur Reaktion auf Vorfälle, die bei einer allgemeinen Überprüfung der Geschäftstauglichkeit nicht zutage treten würden.
Um Ihnen die Sache zu erleichtern, haben wir eine Beispiel-Checkliste für die Lieferantenprüfung erstellt, die Sie für Ihren Due-Diligence-Prozess verwenden können. Laden Sie Ihre kostenlose Checkliste hier herunter.
Laden Sie Ihre Muster-Checkliste für die Lieferantenprüfung herunter
Schritte zur Entwicklung einer Checkliste für die Lieferantenprüfung
Eine gründliche Due-Diligence-Prüfung minimiert das Unternehmensrisiko. Ein risikobasierter Ansatz hilft Unternehmen, Anbieter auszuwählen, die über die richtigen Sicherheitsmaßnahmen verfügen, um die Angriffsfläche zu reduzieren und bestimmte Risiken abzuwenden.
Hier sind die fünf wichtigsten Schritte zur Entwicklung einer effektiven Due-Diligence-Checkliste:
1. Schätzen Sie Ihre Risikobereitschaft ein.
Jedes Unternehmen hat eine Risikobereitschaft, also eine Toleranz gegenüber bestimmten Risiken. Die Risikobereitschaft bestimmt, welches Risikoniveau die Organisation als akzeptabel ansieht und prägt ihre Sicherheitsmaßnahmen. Compliance-Strategie.
Im ersten Schritt gilt es, die Geschäftsziele zu verstehen und zu ermitteln, wie sich die Leistung der Lieferanten auf diese Ziele auswirken kann. Die Checkliste muss die Risikoprofile der Lieferanten anhand der grundlegenden Risikobereitschaft und deren Übereinstimmung damit bewerten und prüfen.
2. Nehmen Sie eine detailliertere Analyse des Lieferantenrisikos vor.
Die Lieferantenrisikobewertung ist ein umfassender Prozess, der die Wahrscheinlichkeit bestimmter Risiken detailliert beurteilt und Lieferanten anhand wichtiger Aspekte der Cybersicherheitslage, der finanziellen Widerstandsfähigkeit und der Sicherheitspraktiken bewertet.
Der nächste Schritt zur Entwicklung einer effektiven Due-Diligence-Checkliste ist die Durchführung einer gründlichen Lieferantenrisikoanalyse, um Risikobereiche zu identifizieren. Diese Risiken müssen anschließend nach Schweregrad, Eintrittswahrscheinlichkeit und Auswirkungen kategorisiert werden. Dies hilft, Prioritäten zu setzen und die Bereiche zu gewichten, die bei der Lieferantenbewertung stärker berücksichtigt werden. Dieser Schritt zeigt auch den Umfang der erforderlichen Maßnahmen zur Behebung dieser Schwachstellen auf.
Es ist außerdem wichtig zu beachten, dass nicht alle Anbieter dem gleichen Prüfaufwand unterliegen – manche Anbieter haben keinen umfassenden Zugriff auf wichtige Daten, wodurch das von ihnen ausgehende Risiko geringer ausfällt. Daher empfiehlt sich ein gestaffeltes Vorgehen bei der Bewertung des Anbieterrisikos.
3. Überprüfung der Einhaltung von Vorschriften und regulatorischen Anforderungen
Die Einhaltung von Vorschriften durch Lieferanten ist ein entscheidender Aspekt der Due-Diligence-Prüfung. Unternehmen müssen die für Lieferanten geltenden Branchenstandards und -vorschriften gründlich recherchieren. Dies umfasst Compliance-Anforderungen und Cybersicherheitsrahmen, die Lieferanten erfüllen müssen, um mit den Compliance-Richtlinien des Unternehmens übereinzustimmen.
Diese Phase ist deutlich komplexer, da sie typischerweise mit dem Verständnis der geltenden Standards beginnt und anschließend die Frage aufwirft, wie Anbieter diese implementieren können. Abhängig vom Anbieterlevel kann auch eine umfassende Analyse der Anbieterinfrastruktur erforderlich sein. Sicherheitskontrollen und Maßnahmen, um zu verstehen, wie vertraut sie mit Compliance- und regulatorischen Anforderungen sind.
4. Erstellen Sie die Checkliste
Nachdem die Vorarbeiten abgeschlossen sind, ist es nun endlich an der Zeit, die Checkliste zu entwickeln. Die Due-Diligence-Checkliste wird aus zwei Teilen bestehen – dem Due-Diligence-Fragebogen, eine vom Anbieter durchgeführte Bewertung der Sicherheitskontrollen und risikobezogenen internen Richtlinien sowie die Dokumentation aller Kriterien (Unternehmensinformationen, Risikostufe und -bewertung, Organisationsstruktur, Rechtsstellung, operationelle Risiken, Finanzlage, Sicherheitspraktiken, Infrastruktur, Leistung, Compliance, Reaktion auf Sicherheitsvorfälle, Anlagenverwaltung, physische Sicherheit und Datenmanagement).
Der Fragebogen zur Sorgfaltsprüfung unterstützt Unternehmen dabei, die Echtheit von Angaben zu überprüfen und die Sicherheitsmaßnahmen der Anbieter zu verstehen. Er trägt außerdem dazu bei, klare Erwartungen zu formulieren und Interessenkonflikte zu vermeiden. Die Bewertung wiederum hilft internen Beteiligten, bessere Entscheidungen zu treffen und Fehlkäufe zu vermeiden.
5. Checkliste überprüfen und verfeinern
Sobald die Checkliste fertiggestellt ist, muss sie den wichtigsten Sicherheitsteams und dem oberen Management zur Prüfung und für Feedback vorgelegt werden. Das Feedback muss in die Checkliste einfließen, um ihre Vollständigkeit und Relevanz zu gewährleisten. Zudem ist ein Praxistest erforderlich, um Lücken auszuschließen. Dazu wird die Checkliste bei einer kleinen Stichprobe bestehender Anbieter getestet, um ihre Wirksamkeit zu überprüfen.
Die Checkliste muss außerdem auf Grundlage neuerer Änderungen und Ergänzungen der Sicherheitsvorschriften und -rahmenbedingungen sowie der Auswirkungen des Änderungsmanagements auf das Anbieter-Ökosystem verfeinert werden.
Hier finden Sie eine kurze Vorlage, um Ihren Lieferantenrisikobewertungsprozess zu vereinfachen. Passen Sie sie gerne an die spezifischen Bedürfnisse Ihres Unternehmens an:
Grundlegende Unternehmensinformationen:
| Satzung (oder ähnliche Unternehmenscharta) | Ja |
| Geschäftslizenz | Ja |
| Überblick über die Unternehmensstruktur | Ja |
| Biografische Informationen zu Führungskräften und Vorstandsmitgliedern | Ja |
| Standortüberprüfung | Ja |
| Quellenangaben aus glaubwürdigen Quellen | Ja |
Finanzinformation:
| Steuerunterlagen | Ja |
| Bilanzen | Ja |
| Überblick über die Unternehmensstruktur | Ja |
| Wichtige Vermögenswerte | Ja |
| Vergütungsstruktur | Ja |
Politisches und Reputationsrisiko:
| Beobachtungslisten und Sanktionen | Ja |
| Rechtsstreitigkeiten und Verstöße gegen Vorschriften | Ja |
| Listen politisch exponierter Personen (PEP) und Strafverfolgungsbehörden | Ja |
| Interne risikobezogene Richtlinien und Verfahren | Ja |
| Berichte des Consumer Financial Protection Bureau (CFPB) | Ja |
| Negative Nachrichtenberichte und Aktivitäten in sozialen Medien | Ja |
| Beschwerden und negative Bewertungen | Ja |
Cyberrisiko:
| Fragebogen zur Bewertung von Cyberrisiken | Ja |
| Analyse der Angriffsfläche von Anbietern | Ja |
| Einhaltung von Cybersicherheitsrahmen und -vorschriften | Ja |
| Vor-Ort-Besuch zur Beurteilung der Sicherheitsmaßnahmen | Ja |
| Richtlinien, die Änderungsmanagement, Datenaufbewahrung oder Datenschutz regeln. | Ja |
| Gründliche Überprüfung des Informationssicherheitsprogramms des Anbieters | Ja |
| Hat der Anbieter ein akzeptables Sicherheitsbewertungsniveau bzw. eine akzeptable Sicherheitslage erreicht? | Ja |
| Verfügt der Anbieter über Prozesse zur Risikominderung und -behebung? | Ja |
| Sind Zugriffskontrollrichtlinien vorhanden, um den internen Zugriff auf sensible Informationen einzuschränken? | Ja |
| Verfügt der Anbieter über einen Notfallplan? | Ja |
| Verfügt der Anbieter über Notfallpläne? | Ja |
Sie können die Checkliste herunterladen, um weitere Informationen zu erhalten.
Wie treffen Sie die endgültige Entscheidung anhand Ihrer Checkliste zur Lieferantenprüfung?
Die Auswahl eines Anbieters ist eine weitreichende Entscheidung, die eine sorgfältige Prüfung erfordert. Bevor Sie den Vertrag unterzeichnen, sollten Sie in allen Schritten abschließend sicherstellen, dass der Anbieter zuverlässig und sicher ist und Ihre Geschäftsanforderungen erfüllt.
Nutzen Sie diese Checkliste, um sicherzustellen, dass Ihr Lieferant vor der endgültigen Genehmigung alle notwendigen Kriterien erfüllt. Kreuzen Sie bei jeder Frage „Ja“ oder „Nein“ an. Checkliste für das Lieferantenrisikomanagement Ergänzt wird diese Vorlage für die endgültige Genehmigung um die fortlaufenden Risikoüberwachungspflichten, die nach Vertragsunterzeichnung und Betriebsaufnahme des Anbieters anfallen.
| Abschließende Checkliste zur Lieferantenprüfung | Ja | Nein |
| Wurden alle potenziellen Risiken identifiziert und angegangen? | ||
| Entsprechen ihre Sicherheitsmaßnahmen und Kontrollen den Branchenstandards? | ||
| Haben sie eine einwandfreie Erfolgsbilanz ohne ungelöste Compliance-Probleme? | ||
| Sind sie in der Lage, Störungen effektiv zu bewältigen und sich davon zu erholen? | ||
| Verfügen sie über erprobte Protokolle für den Fall von Datenschutzverletzungen oder Systemausfällen? | ||
| Ist ihre Ausfallzeithistorie akzeptabel und verfügen sie über eine Wiederherstellungs-SLA, die Ihren Erwartungen entspricht? | ||
| Wurden Datenschutz-, Prüf- und Haftungsklauseln klar dargelegt? | ||
| Gibt es Ausstiegsstrategien für den Fall, dass der Anbieter die Leistungserwartungen nicht erfüllt? | ||
| Sind sie mit fortlaufenden Compliance-Audits und regelmäßigen Sicherheitsüberprüfungen einverstanden? | ||
| Ist der Anbieter finanziell stabil und somit langfristige Zuverlässigkeit gewährleistet? | ||
| Können sie ihre Dienstleistungen mit dem Wachstum Ihres Unternehmens skalieren? | ||
| Verfügen sie über eine gut funktionierende Kundendienststruktur für dringende Fälle? | ||
| Haben alle relevanten Teams (IT, Sicherheit, Recht und Finanzen) der Entscheidung zugestimmt? | ||
| Hat die Führungsebene nach Prüfung aller Unterlagen ihre Zustimmung erteilt? | ||
| Passt dieser Anbieter zu Ihren langfristigen strategischen Zielen? |
Wichtige Elemente einer Checkliste zur Lieferantenprüfung
Die Lieferantenprüfung lässt sich nicht nach dem Prinzip „Einheitslösung“ durchführen. Jedes Unternehmen hat seine eigenen Sicherheits- und Compliance-Anforderungen und -Vorgehensweisen. Anbieter-Risikomanagement unterschiedlich. Doch während Unternehmen die Details unterschiedlich bewerten, hängen einige entscheidende Elemente von der Entwicklung einer effektiven Checkliste für die Lieferantenprüfung ab.
Allgemeine Informationen: Dieser Abschnitt enthält Details zu den erforderlichen Geschäftslizenzen und anderen grundlegenden Dokumenten, die dem Unternehmen nachweisen, dass die Lieferanten über die relevanten Zertifizierungen für ihre Tätigkeit verfügen. Dazu gehören Dokumente wie der Nachweis des Standorts, die Satzung und eine Übersicht der Organisationsstruktur.
Finanzanalyse: Die Finanzkomponente umfasst alle Informationen, die auf die Zahlungsfähigkeit des Anbieters hinweisen, einschließlich seiner Steuerunterlagen. Um die finanzielle Stabilität beurteilen zu können, ist es unerlässlich, Vermögen und Verbindlichkeiten, Unternehmenskredite, Vergütungsstrukturen, das jährliche Wachstum und die Bilanzen genauer zu prüfen.
Reputationsrisiko und politisches Ansehen: Die politische Stellung und der Ruf eines Anbieters am Markt können weitreichende Auswirkungen auf den Ruf des Unternehmens haben. Dieser Abschnitt der Checkliste muss den Anbieter daher eingehend auf Verstöße gegen gesetzliche Bestimmungen, laufende Gerichtsverfahren, negative Bewertungen in sozialen Medien oder Nachrichten sowie auf mögliche Einträge von Mitgliedern des Managementteams als politisch exponierte Personen oder auf Listen von Strafverfolgungsbehörden hin überprüfen.
Technische Überprüfung der Informationssicherheit: Diese Komponente dient der Ermittlung der Stärke des Informationssicherheitssystems des Anbieters. Die Überprüfung ist technischer Natur und umfasst eine eingehende Analyse von Penetrationstestberichten, internen Prüfberichten, Zertifizierungen und der Historie von Datenschutzverletzungen.
Richtlinienüberprüfung: Dieser Schritt ist eng mit der Vertragsphase verknüpft. Im Wesentlichen müssen die internen Richtlinien des Anbieters geprüft werden, um sicherzustellen, dass sein Datennetzwerk keine Sicherheitslücken aufweist. Unternehmen müssen dabei besonderes Augenmerk auf wichtige Richtlinien wie Änderungsmanagement, Datenwiederherstellung, Notfallmanagement, Datenverschlüsselung, Datenklassifizierung, Datenaufbewahrung und Datenschutz legen.
Führen Sie die Lieferantenprüfung mit Sprinto durch.
Lieferanten sind, wie Angestellte, die Hüter von Informationssicherheit und ComplianceJegliche Nichteinhaltung von Vorschriften kann schwerwiegende Folgen haben, von Sicherheitslücken über Bußgelder und Geschäftsverluste bis hin zu rechtlichen Problemen. Daher ist die Lieferantenprüfung ein wesentlicher Bestandteil der Sicherheitsstrategie Ihres Unternehmens. Allerdings kann die Lieferantenprüfung, wie viele andere Compliance-Aufgaben auch, bei manueller Durchführung äußerst aufwendig sein.
Zum Glück gibt es einen intelligenteren Weg – mit Sprint.
Die Compliance-Automatisierungsplattform von Sprinto unterstützt Sie bei der Automatisierung von Aufgaben im Zusammenhang mit der Lieferantenprüfung – Hintergrundprüfungen, Checklisten und die Sammlung von Compliance-Nachweisen. Sie werden außerdem benachrichtigt, wenn eine Sicherheitskontrolle zu versagen droht, und erhalten Empfehlungen für Korrekturmaßnahmen. Mit dem Sprinto-Compliance-Dashboard erhalten Sie zudem in Echtzeit einen umfassenden Überblick über Ihren Compliance-Status.
Möchten Sie mehr erfahren? Sprechen Sie noch heute mit unseren Compliance-Experten..
Häufig gestellte Fragen
Autorin
Vishal V
Vishal, Content Lead bei Sprinto, verknüpft gekonnt differenzierte Geschichten und vereinfacht komplexe Compliance-Themen mit seiner langjährigen Expertise. Seine unstillbare Neugier treibt ihn an, in jedem Beitrag neue Perspektiven zu finden. Privat ist er ein begeisterter Fotograf, Vogelbeobachter und Musikliebhaber – er verbindet Fachwissen und Entdeckergeist nahtlos in Beruf und Leben.Mehr erfahren
Recherchen und Erkenntnisse, die Ihnen helfen sollen, sich einen Platz am Tisch zu sichern.





















