Um den konkreten Ablauf einer Risikoanalyse zu verstehen, muss zunächst geklärt werden, was überhaupt unter der Definition "Risiko" zu verstehen ist. In der ISO 31000 wird Risiko definiert als Schaden x Eintrittswahrscheinlichkeit. Das bedeutet, dass nicht nur ausschlaggebend ist, ob überhaupt ein Risiko im konkreten Bereich besteht. Vielmehr muss eine Bewertung dahingehend erfolgen, wie hoch die Eintrittswahrscheinlichkeit des Risikos ist und welche Schäden bei Eintritt des Risikos entstehen können. Die Risikoanalyse lässt sich daher in zwei grundsätzliche Durchführungsschritte unterteilen: Die Identifizierung des Risikos und die Bewertung des Risikos.

  1. Innerhalb des ersten Schritts müssen die Verantwortlichen einen konkreten Prozess oder Arbeitsbereich dahingehend betrachten, ob ein Risiko eines Compliance-Verstoßes besteht. An dieser Stelle können die Ergebnisse der Strukturanalyse herangezogen werden, um einen konkreten Überblick über die Prozesse und dazugehörigen gesetzlichen Regelungen zu erhalten. Zunächst muss also eine Ursache oder ein Umstand bestehen, aus dem sich ein konkretes Risiko ergeben kann. Eine solche Risikoquelle kann beispielsweise durch technisches Versagen oder aber durch menschliche Fehlhandlungen entstehen. Aber auch Bedrohungen von außerhalb, wie z. B. Naturkatastrophen oder Pandemien – man denke nur an die aktuelle Situation – müssen in diesen Prozess mit einbezogen werden. Die Ermittlung der Umstände führt dazu, dass sich ein spezielles Risiko ermitteln lässt. Das bedeutet, dass aus dem konkreten Umstand ein Problem entstehen könnte, welches jedoch noch nicht eingetreten ist. Diese präventive Vorgehensweise führt in der Regel dazu, dass unbekannte Fehlerquellen rechtzeitig ermittelt und behoben werden können. Nachdem die möglichen Risiken festgestellt wurden, muss eine Eintrittswahrscheinlichkeit festgelegt werden. Hierbei kommt es insbesondere auf die jeweiligen Gegebenheiten des Unternehmens an sowie auf die Art des Risikos. So sind beispielsweise Risiken durch Naturereignisse und höhere Gewalt naturgemäß schlechter kalkulierbar als Risiken, die durch die eigenen Mitarbeiter entstehen.
  2. In einem zweiten Schritt müssen die ermittelten Risiken dann anhand der Eintrittswahrscheinlichkeit und der möglichen Schadenshöhe bewertet werden. Das bedeutet, dass eine Abwägung erfolgen muss, welcher Schaden durch das Risiko entsteht und welche Konsequenzen durch den Schaden entstehen. An dieser Stelle müssen beispielsweise Risiken, die zum Verlust von personenbezogenen Daten führen, verschärft behandelt werden im Vergleich zu Datenverlustrisiken, die lediglich das eigene Unternehmen betreffen.

Nach der Durchführung einer Risikoanalyse haben Verantwortliche einen detaillierten Überblick darüber,

  • welche Risiken im Unternehmen bestehen,
  • mit welcher Wahrscheinlichkeit die Risiken eintreten können,
  • welche Schäden durch die Risiken entstehen können und
  • welche Auswirkungen die Schäden auf das Unternehmen haben können.

2.1 1. Schritt: Das Risiko identifizieren

In einem ersten Schritt müssen Verantwortliche die Risiken in ihrem Unternehmen durch Compliance-Verstöße ermitteln. Die Vorgehensweise sollte sich dabei an der Strukturanalyse orientieren: Wurde bei der Strukturanalyse eine Unterteilung in Arbeitsbereiche vorgenommen, sollte die Risikoanalyse dem gleichen Schema folgen. In anderen Fällen kann die Analyse anhand konkreter Handlungen und Prozesse vorgenommen werden. Grundsätzlich müssen Verantwortlich sich im ersten Schritt folgende Frage stellen: Wie verhält sich das Unternehmen in dieser Situation und kann das Handeln zu einem Compliance-Verstoß führen? In der Praxis stellt sich häufig bereits in diesem ersten Schritt heraus, dass viele unbekannte Probleme existieren. Das liegt daran, dass Verantwortlichen häufig gar nicht bewusst ist, dass einzelne Handlungen oder Arbeitsweisen bereits das Risiko eines Compliance-Verstoßes beinhalten.

 
Praxis-Beispiel

Risikoidentifikation bei Geschäftsessen

Ein alltägliches Beispiel hierfür ist der Umgang mit Einladungen zu Geschäftsessen: Geschäftsessen mit Geschäftspartnern sind heutzutage alltägliche Prozesse und stellen nicht von Anfang an ein korruptes Verhalten dar. Allerdings können häufige und insbesondere teure oder extravagante Einladungen den Anschein einer Bestechung hervorrufen oder sogar den Eingeladenen tatsächlich beeinflussen. Verantwortliche sollten die Situation daher unter folgenden Aspekten betrachten:

  • Wie häufig kommt es in unserem Unternehmen zu Geschäftsessen?
  • Werden wir eingeladen oder laden wir ein?
  • Um welche Preiskategorie handelt es sich?
  • Erscheinen nur die Mitarbeiter oder auch deren Familien?

Insbesondere bei teuren Geschäftsessen, Übernachtungen sowie der Anwesenheit von Familienmitgliedern kann schnell der Anschein erweckt werden, dass es sich um korruptes Verhalten handelt. Wird ein solches Risiko im Unternehmen festgestellt, sollte anhand der Häufigkeit beurteilt werden, wie hoch die Eintrittswahrscheinlichkeit eines Bestechungsvorwurfes ist.

2.2 2. Schritt: Das Risiko bewerten

Nach der Ermittlung potenzi...

Das ist nur ein Ausschnitt aus dem Produkt Haufe Compliance Office Online. Sie wollen mehr? Dann testen Sie hier live & unverbindlich Haufe Compliance Office Online 30 Minuten lang und lesen Sie den gesamten Inhalt.


Meistgelesene beiträge