Compliance-Strukturanalyse: Welche Gesetze und Vorschriften sind für Ihre Organisation relevant?

Zusammenfassung

Überblick

Eine strukturierte und funktionierende Compliance-Organisation ist heutzutage in den meisten Unternehmen ein fester Bestandteil im beruflichen Alltag. Im Hinblick auf das künftige Verbandssanktionengesetz wird es für nahezu jedes Unternehmen unabdingbar werden, sich mit der Errichtung und Aufrechterhaltung eines Compliance-Management-Systems auseinanderzusetzen. Doch häufig werden Betroffene bereits zu Beginn mit einer Problematik konfrontiert: Welche Gesetze und Vorschriften sind für mein Unternehmen überhaupt relevant?

In dem Beitrag wird die Compliance-Strukturanalyse als Lösungsmöglichkeit für diese Fragestellung dargestellt. Dabei wird insbesondere die Durchführung einer Compliance-Strukturanalyse im Detail erläutert und die Bedeutung anhand von Beispielen aufgeführt.

1 Die Compliance-Strukturanalyse als Grundlage für eine Compliance-Organisation

Die Errichtung einer Compliance-Organisation im Unternehmen ist ein komplexer und umfangreicher Prozess. Häufig stellt die Situation für Betroffene eine große Herausforderung dar, insbesondere für Verantwortliche von größeren Unternehmen oder internationalen Konzernen. Doch auch die kontinuierliche Überprüfung und Aktualisierung eines bestehenden Compliance-Management-Systems führt häufig zu Unsicherheiten bei den Verantwortlichen. Das liegt nicht zuletzt daran, dass sich die Gesetze und Rechtsverordnungen stetig verändern, erneuern oder gar vollständig ersetzt werden. Hinzu kommt die Problematik, dass keine konkreten gesetzlichen Regelungen bestehen, wie eine Compliance-Organisation errichtet werden muss und welchen Anforderungen sie entsprechen muss.

In der Praxis finden sich zahlreiche Leitfäden, wie z. B. die ISO 19600. Bei dieser ISO handelt es sich um einen internationalen Leitfaden für die Errichtung und Erhaltung von Compliance-Management-Systemen. Dieser Leitfaden erweist sich in der Praxis bereits als große Unterstützung für Unternehmen, allerdings kann die ISO nur unterstützend und nicht abschließend herangezogen werden. Der Grund liegt insbesondere darin, dass es sich bei der ISO um einen allgemeinen Leitfaden handelt, der je nach Art und Tätigkeit eines Unternehmens erweitert und angepasst werden muss. Eine der größten Herausforderungen in diesem Prozess besteht darin zu ermitteln, welche Gesetze und Vorschriften im eigenen Unternehmen relevant sind und beachtet werden müssen. Bei dieser Problematik kann die Durchführung einer Compliance-Strukturanalyse Unternehmen dabei unterstützen, einen systematischen Überblick über Unternehmensprozesse und die damit verbundenen Vorschriften zu erhalten. Eine Strukturanalyse stellt demnach eine systematische Analyse aller Unternehmensprozesse dar. Somit stellt die Strukturanalyse eine wichtige Grundlage für die Errichtung einer Compliance-Organisation im Unternehmen dar. Denn nur wenn Unternehmensprozesse und damit verbundene Vorschriften bekannt sind, können Verantwortliche geeignete Maßnahmen und Schutzvorkehrungen treffen.

2 Der Unterschied zwischen einer Risikoanalyse und einer Strukturanalyse

In der Praxis ist die Bedeutung einer Strukturanalyse den meisten Verantwortlichen völlig unbekannt. Vielmehr werden die Risikoanalyse und die Strukturanalyse häufig verwechselt oder sogar als synonym füreinander angesehen. Dabei handelt es sich bei den beiden Compliance-Analysen um 2 vollkommen unterschiedliche Vorgänge, die bei der Errichtung einer Compliance-Organisation im Unternehmen beide berücksichtigt werden sollten. Bei der Risikoanalyse handelt es sich um einen zweistufigen Prozess, durch den mögliche Gefahren im Unternehmen ermittelt und anschließend bewertet werden können. Das bedeutet, dass konkrete Situationen im Hinblick darauf analysiert werden,

• ob eine Gefahr für das Unternehmen in dieser Situation besteht,
• dadurch ein Schaden für das Unternehmen entstehen kann und
• wie hoch die Eintrittwahrscheinlichkeit des Schadens sowie die damit einhergehenden Konsequenzen sind.

Bei der Risikoanalyse wird somit die Frage nach dem Eintritt einer potenziellen Gefahr gestellt. Die Strukturanalyse hingegen umfasst keine potenziellen Gefahrsituationen, sondern konkret bestehende Unternehmensprozesse. Bei einer Strukturanalyse wird ermittelt,

• welche Prozesse im Unternehmen bestehen,
• welche Vorschriften dabei zu berücksichtigen sind und
• wie sich das Unternehmen in dieser Situation verhält.

Eine Strukturanalyse stellt mithin nicht nur die Grundlage einer Compliance-Organisation dar, sondern auch die Grundlage für eine Risikoanalyse. Denn nur, wenn die Unternehmensprozesse samt Regelungen und Handlungen bekannt sind, kann im Nachgang erforscht werden, welche Risiken in diesen Situationen bestehen und wie sich die Risiken auf das Unternehmen auswirken können. Letztlich wird ein "Ist-Zustand" ermittelt, um einen "Soll-Zustand" erreichen zu können.

3 Relevante Unternehmensbereiche ermitteln

Vor der Durchführung einer Strukturanalyse müssen Verantwortliche zunächst relevante Unternehmensbereiche ermitteln, um dadurch einen Überblick über die derzeitige Situation im Unternehmen zu erhalten. Ziel dabei ist es, einen umfangreichen Überblick über jegliche Unternehmensprozesse zu erhalten, um diese anschließend analy...