Grundlage eines Compliance Management Systems ist die systematische Ermittlung der Compliance-Risiken. Sind sie erkannt, können Maßnahmen definiert werden, um die Risiken zukünftig zu minimieren. Doch wie können sie identifiziert werden?

Um Compliance Risiken zu identifizieren und diese anschließend zu behandeln, müssen sie den Unternehmensbereichen zugeordnet werden. Dafür sollte eine Risikomatrix mit den entsprechenden Risikofeldern des Unternehmens erstellt werden. Das ist ein sich ständig wiederholender Prozess.

Compliance Risiko Definition

Compliance-Risiken sind Risiken aus rechtswidrigen bzw. unredlichen Handlungen oder Unterlassungen. Sie können zu

  • Strafen, Bußgeldern oder anderen staatlichen Sanktionen,
  • Risiken für Leib und Leben,
  • einem erhöhten Reputationsrisiko oder
  • einer erheblichen Vermögensgefährdung

führen.

Compliance-Risiken entstehen durch vorsätzliche oder fahrlässige Verletzung von Recht, Normen oder auch freiwilligen Vereinbarungen. Risiken sind z.B. Bestechung, Kartellverstöße, Veruntreuung, Datenschutzverletzungen. Verstöße können zu Strafen, Bußgeldern oder anderen staatlichen Sanktionen führen, sowie zu einer erheblichen Vermögensgefährdung und Rufschädigung.

Das gilt nicht nur für Großunternehmen, sondern ebenso für den Mittelstand. Das Bundeskriminalamt führte im August 2017 eine Recherche zum Thema „Innentäter in Unternehmen“ durch. Dabei zeigte sich, dass „die gesamte Breite unternehmensschädigender Delikte“ durch „Innentäter“ begangen werden. Das BKA warnt aber auch vor „unbewusstem“ Täterverhalten bei der Pflege von sozialen Kontakten.

Für den CMS-Compliance-Barometer 2017 wurden Compliance-Verantwortliche aus 180 großen Unternehmen mit mindestens 500 Mitarbeitern anonym und repräsentativ vom renommierten Marktforschungsinstitut Ipsos GmbH befragt. Deutsche Unternehmen haben ihre Compliance-Strukturen sowie interne Schulungsprogramme im Vergleich zu den Vorjahren kontinuierlich ausgebaut. Während 2015 lediglich 28 Prozent der Befragten über eine eigene Compliance-Abteilung verfügten, sind es aktuell vierzig Prozent. Hingegen ist die Bereitschaft der Geschäftsleitungen, Compliance-Themen zu unterstützen, seit 2015 von 79 Prozent auf 71 Prozent gesunken. Der CMS Compliance-Index hat sich 2017 auf einen hohen Wert von 67,1 von möglichen 100 Zählern stabilisiert.

Compliance Risikoanalyse

Die Compliance-Gefährdungsanalyse bildet die Grundlage für präventive Maßnahmen, um erkannte Compliance-Risiken zu minimieren. Für die Analyse ist es sinnvoll, eine Umfrage bei den Angestellten und freien Mitarbeitenden durchzuführen, wobei die Erfahrungen der Praktiker wichtig sind, z.B. Techniker, Chemiker, Computerfachleute oder Kundenberater. Diese wissen am besten, welche Fehler im alltäglichen Geschäft passieren können und welche Folgen sie haben. Am besten fragt man die Mitarbeiter auch gleich, welche Verbesserungsvorschläge sie haben und offeriert eine Belohnung für Ideen, die sich umsetzen lassen.

Für die Bewertung und Einordnung der Risiken sind die Kenntnisse von Gesetzen sowie der obligatorischen und freiwilligen Normen erforderlich. Bei Geschäften im Ausland ist das Recht in den betreffenden Ländern zu beachten.

Besonders wichtig sind solche Analysen auch bei Unternehmensnachfolgern, Käufen oder Fusionen. Dabei muss man nicht nur technische Risiken analysieren, sondern auch juristische.

Compliance Matrix

Nach der Definition von Pluspedia versteht man unter Compliance-Matrix wörtlich übersetzt Übereinstimmungsmatrix, also eine Tabelle. Damit lässt sich überprüfen, inwieweit vorgegebene Kriterien erfüllt werden.

Compliance-Aspekte sollten nie isoliert betrachtet, sondern in die Matrix für das Unternehmen und die bestehenden Betriebsabläufe integriert werden. Als geeignete Lösung empfehlen Fachleute die Vernetzung von Governance, internes Kontrollsystem und dem Risiko- & Compliance Management Systemen sowohl in informatorischer und methodischer Hinsicht als auch prozessual und organisatorisch.

Eine andere Möglichkeit ist, eine Risiko-Kontroll-Matrix (RKM) einzurichten, die die Compliance-Ziele für die laufenden Prozesse und deren Kontrolle beschreibt und die Hauptrisiken berücksichtigt. In der Tabelle ist aufzuführen, wer für jeden Bereich die Verantwortung trägt und welche externe Kontrollinstanz überprüft, ob die Ziele erreicht sind. Diese kann dann die Resultate ihrer Kontrollen auch in die Tabelle einfügen.

Compliance: Bestehende Prozesse anpassen

Compliance ist immer Sache der Geschäftsleitung. Diese muss ein positives Vorbild sein und in Zusammenarbeit mit allen Abteilungsleitungen Richtlinien mit praktischen Anweisungen für das Risikomanagement ausarbeiten, sowie Anweisungen gegen vorsätzliches oder fahrlässiges Verhalten geben, das zu Fehlleistungen führt.  

In größeren Betrieben ist es sinnvoll, eine spezielle Compliance-Abteilung zu gründen. Diese muss mit allen anderen Abteilungen zusammenarbeiten und diesen ihre Aufgaben zuteilen, sowie geeignete Verbesserungsvorschläge der Mitarbeitenden umsetzen.

Zum Compliance gehören mindestens folgende wichtigen Bestandteile:

  • Regelmäßige Information und Training der Angestellten Information über kriminelle Praktiken
  • Ein wirksames internes Kontrollsystem
  • Regelmäßige Buchhaltungsprüfungen, am besten immer von externen Beratern
  • Unterschriftenregelungen für zwei Personen und eine weitere unabhängige Kontrollinstanz
  • Rechnungsstellung und Rechnungsführung nie von einer Person erledigen lassen, sondern beide Funktionen trennen
  • Regelmäßige Analyse gefährdeter Bereiche
  • Anlaufstelle oder Plattform für Whistleblower, wobei zu vermeiden ist, dass diese nachher schikaniert werden.

Als Grundlage für juristisch korrektes Verhalten bieten verschiedene Organisationen einen Kodex an, für Deutschland sind folgende wichtig.

  • Deutscher Corporate Governance Kodex (DCGK): Dieser enthält wesentliche gesetzliche Vorschriften zur Leitung und Überwachung deutscher börsennotierter Gesellschaften und enthält in Form von Empfehlungen und Anregungen international und national anerkannte Standards über verantwortungsvolle Unternehmensführung.
  • Governance Kodex für Familienunternehmen: Dieser enthält Leitlinien, die eine Kommission aus namhaften Unternehmern und Wissenschaftlern für die verantwortungsvolle Führung von Familienunternehmen entwickelt hat.