Door toenemende globalisering maken organisaties meer gebruik van derde partijen, denk hierbij aan leveranciers, distributeurs, maar ook agenten en andere tussenpersonen. Het aangaan van een zakelijke relatie met zo’n partij kan risico’s met zich meebrengen. Third-Party Risk Management (TPRM) is het in kaart brengen van deze risico’s en het implementeren van effectieve beheersmaatregelen.

Veel grote organisaties hebben een uitgebreid netwerk van derde partijen. Hierbij is de uitdaging om te zorgen dat alle derde partijen in zicht zijn en er een consistente manier is om het bijbehorende risico te beoordelen.

Daarnaast zijn er verschillende wettelijke vereisten waar u als organisatie aan zult moeten voldoen, zoals anticorruptiewetgeving en sanctiewetgeving. Voor anticorruptie kan het van belang zijn om te weten waar de derde partij opereert, maar ook of er politiek prominente personen (politically exposed persons ofwel PEP’s) bij betrokken zijn. Speciale aandacht is er voor zogeheten dual use goods, goederen die naast een civiele toepassing ook een militaire toepassing hebben en daarom aan extra regels gebonden zijn.

Het opzetten van een robuust TPRM vergt kennis en ervaring en de rol van technologie is onmiskenbaar en continu groeiend.

Het vertalen van wettelijke vereisten naar processen

Het is voor veel organisaties niet mogelijk om voor alle derde partijen een uitgebreid duediligenceonderzoek op te starten. Daarom is het belangrijk om een risicogebaseerde aanpak te hanteren, waarbij partijen met een laag risico onderhevig zijn aan een aantal basis-checks en u zich voornamelijk kunt richten op partijen met een verhoogd risico.

Om zo’n risicogedreven aanpak te kunnen uitvoeren, zult u een duidelijk beleid moeten opstellen ondersteund met procedures en werkinstructies. Hierbij zult u over verschillende aspecten moeten nadenken. We lichten er hieronder drie nader toe:

  • Beleid | Het moet duidelijk zijn waar in de organisatie TPRM is belegd, de rollen en verantwoordelijkheden moeten worden ingedeeld en er moet een risk appetite worden opgesteld.
  • Uw derdepartijenlandschap | Het volledige spectrum van derde partijen zal moeten worden geïdentificeerd en op basis van vooraf bepaalde criteria moet worden vastgesteld wat de risicoclassificatie is van elke partij. Zodoende zorgt u dat op iedere partij de juiste mate van onderzoek wordt verricht.
  • Data en technologie | U zult een sterk en gecentraliseerd datamodel nodig hebben dat de relevante informatie over uw derde partijen bevat, u in staat stelt om derde partijen gedurende de gehele relatie te monitoren en wellicht via geavanceerde artificial intelligence (AI)-technieken in staat stelt om vroegtijdig verhoogde risicosignalen op te vangen.

De voordelen van een robuust Third-Party Risk Management

Het is van belang om een robuust TPRM op te zetten. Wij illustreren graag aan de hand van drie voorbeelden wat hiervan de voordelen voor u zijn:

  • Betere mitigatie van risico’s: het hebben van gedocumenteerde processen en een risk appetite maakt dat u zich kunt focussen op die gebieden die voor u een verhoogd risico vormen.
  • Het vergroten van efficiëntie: het hebben van een uniforme aanpak zorgt ervoor dat u op een efficiënte wijze met nieuwe partijen een relatie kunt aangaan en dat uw specialisten zich bezighouden met de juiste vraagstukken.
  • Navolgbaar: het hebben van een gedocumenteerde aanpak zorgt ervoor dat u uw beleid en inrichting duidelijk kunt uitleggen aan de toezichthouder.

Hoe kan KPMG helpen

Wij begrijpen dat voor TPRM er niet één oplossing is die voor iedereen geschikt is. Om u zo goed mogelijk te kunnen ondersteunen bieden wij daarom verschillende oplossingen aan. We lichten ze hieronder graag nader toe:

  • Astrus | Wij bieden Astrus Enhanced Due Diligence-rapporten aan. Deze rapporten worden samengesteld op basis van online bronnen waaronder bedrijfsregisters, sanctielijsten, PEP-lijsten en negatieve media. In totaal wordt gebruikgemaakt van meer dan 40.000 openbare online bronnen in meer dan 80 talen. Doordat de resultaten voor u gebundeld worden in een rapport, is dit een aantrekkelijke en tijdefficiënte manier om informatie over derde partijen in te winnen en het risico te beoordelen.
  • K-3PID | Onze eigen KPMG Third-Party Intelligence Diligence tool kan worden gebruikt om zelf zakelijke relaties te screenen op openbare bronnen zoals bedrijfsregisters, sanctielijsten, PEP-lijsten en negatieve media. Hierbij wordt gesteund op technieken als web scraping, kunstmatige intelligentie en computationele taalkunde (vaak aangeduid met de Engelse term natural language processing). In de tool kunnen de gevonden alerts worden afgehandeld door een analist. De tool heeft een ingebouwde monitoringfunctie en is voorzien van een volledige audit trail.
  • TPRM Navigator | Onze navigator is ontwikkeld om u te kunnen helpen om inzicht te krijgen in de volwassenheid en efficiëntie van uw TPRM. Dit kan u helpen om vast te stellen in welke onderdelen van uw organisatie en op welke aspecten u verbeteringen op uw TPRM kunt doorvoeren, en bij het identificeren en beheersen van risico’s en het voeren van een risk-based TPRM. 

Waarom KPMG

KPMG Forensic bestaat in Nederland sinds 1993 en heeft een wereldwijd netwerk van professionals dat is gespecialiseerd in het verlenen van diensten om klanten te ondersteunen in het bereiken van het hoogst mogelijke integriteitsniveau. Tegelijkertijd helpen wij klanten met het beheersen van de kosten en risico’s voortkomend uit geschillen, onderzoeken en handhaving door onze ondersteuning op het gebied van preventie, detectie en response op fraude, misbruik en vormen van wangedrag.

Ons team omvat ervaren professionals op het gebied van boekhouding, (feiten)onderzoek, risicomanagement, technologie, integriteit en compliance. Deze disciplines werken nauw samen om uw vragen zo passend mogelijk te beantwoorden. Wij ondersteunen organisaties met oplossingen op maat. Met onze jarenlange ervaring zijn wij doeltreffend in de ondersteuning die wij leveren aan organisaties en kunnen wij de gewenste inzichten bieden, ook in zeer complexe en/of gevoelige (bestuurlijke) casuïstiek.

Gerelateerde artikelen