Gefährdungsanalyse: Compliance-Risiken identifizieren

Grundlage eines Compliance Management Systems ist die systematische Ermittlung der Compliance-Risiken. Sind sie erkannt, können Maßnahmen definiert werden, um die Risiken zukünftig zu minimieren. Doch wie können sie identifiziert werden?

Um Compliance Risiken zu identifizieren und diese anschließend zu behandeln, müssen sie den Unternehmensbereichen zugeordnet werden. Dafür sollte eine Risikomatrix mit den entsprechenden Risikofeldern des Unternehmens erstellt werden. Das ist ein sich ständig wiederholender Prozess.

Compliance Risiko Definition

Compliance-Risiken sind Risiken aus rechtswidrigen bzw. unredlichen Handlungen oder Unterlassungen. Sie können zu

  • Strafen, Bußgeldern oder anderen staatlichen Sanktionen,
  • Risiken für Leib und Leben,
  • einem erhöhten Reputationsrisiko oder
  • einer erheblichen Vermögensgefährdung

führen.

Ursache ist die vorsätzliche oder fahrlässige Verletzung von Recht, Normen oder auch freiwilligen Vereinbarungen. Folgen sind z.B. Bestechung, Kartellverstöße, Veruntreuung, Datenschutzpannen. Das gilt nicht nur für Großunternehmen, sondern ebenso für den Mittelstand. Das Bundeskriminalamt führte 2020 eine zweite Auflage der bereits 2017 durchgeführten Recherche zum Thema „ Innentäter in Unternehmen“ durch. Dabei zeigte sich, dass „die gesamte Breite unternehmensschädigender Delikte“ durch „Innentäter“ begangen werden. Das BKA warnt aber auch vor „unbewusstem“ Täterverhalten bei der Pflege von sozialen Kontakten.

Risikoanalyse

Die Gefährdungsanalyse bildet die Grundlage für präventive Maßnahmen, um erkannte Compliance-Risiken zu minimieren. Für die Analyse ist es sinnvoll, eine Umfrage bei den Angestellten und freien Mitarbeitenden durchzuführen, wobei die Erfahrungen aus der Praxis wichtig sind, z.B. Technik, Computerfachleute oder Kundenberatung. Diese wissen am besten, welche Fehler im alltäglichen Geschäft passieren können und welche Folgen sie haben. Am besten fragt man die Mitarbeitenden auch gleich, welche Verbesserungsvorschläge sie haben und offeriert eine Belohnung für Ideen, die sich umsetzen lassen.

Für die Bewertung und Einordnung der Risiken sind die Kenntnisse von Gesetzen sowie der obligatorischen und freiwilligen Normen erforderlich. Bei Geschäften im Ausland ist das Recht in den betreffenden Ländern zu beachten. Besonders wichtig sind solche Analysen auch bei Unternehmensnachfolgern, Käufen oder Fusionen. Dabei muss man nicht nur technische Risiken analysieren, sondern auch juristische.

Compliance-Matrix

Nach der Definition von Pluspedia versteht man unter Compliance-Matrix wörtlich übersetzt Übereinstimmungstabelle. Darin lässt sich überprüfen, inwieweit vorgegebene Kriterien erfüllt werden. Compliance-Aspekte sollten nie isoliert betrachtet, sondern in die Matrix für das Unternehmen und die bestehenden Betriebsabläufe integriert werden. Als geeignete Lösung empfehlen Fachleute die Vernetzung von Governance, internes Kontrollsystem und dem Risiko- & Compliance Management Systemen sowohl in informatorischer und methodischer Hinsicht als auch prozessual und organisatorisch.

Eine andere Möglichkeit ist, eine Risiko-Kontroll-Matrix (RKM) einzurichten, die die Ziele für die laufenden Prozesse und deren Kontrolle beschreibt und die Hauptrisiken berücksichtigt. In der Tabelle ist aufzuführen, wer für jeden Bereich die Verantwortung trägt und welche externe Kontrollinstanz überprüft, ob die Ziele erreicht sind. Diese kann dann die Resultate ihrer Kontrollen auch in die Tabelle einfügen.

Prozesse anpassen

Compliance ist immer Sache der Geschäftsleitung. Diese muss ein positives Vorbild sein und in Zusammenarbeit mit allen Abteilungsleitungen Richtlinien mit praktischen Anweisungen für das Risikomanagement ausarbeiten, sowie Anweisungen gegen vorsätzliches oder fahrlässiges Verhalten geben, das zu Fehlleistungen führt.  

In größeren Betrieben ist es sinnvoll, eine spezielle Compliance-Abteilung zu gründen. Diese muss mit allen anderen Abteilungen zusammenarbeiten und diesen ihre Aufgaben zuteilen, sowie geeignete Verbesserungsvorschläge der Mitarbeitenden umsetzen. Zu den Aufgaben gehören mindestens folgende wichtigen Bestandteile:

  • Regelmäßige Information und Training der Angestellten über kriminelle Praktiken
  • Ein wirksames internes Kontrollsystem
  • Regelmäßige Buchhaltungsprüfungen, am besten immer von externen Beratern
  • Unterschriftenregelungen für zwei Personen und eine unabhängige Kontrollinstanz
  • Rechnungsstellung und Rechnungsführung nie von einer Person erledigen lassen, sondern beide Funktionen trennen
  • Regelmäßige Analyse gefährdeter Bereiche
  • Anlaufstelle oder Plattform für Whistleblower

Als Grundlage für juristisch korrektes Verhalten bieten verschiedene Organisationen einen Kodex an, für Deutschland sind folgende wichtig.

  • Deutscher Corporate Governance Kodex (DCGK): Dieser enthält wesentliche gesetzliche Vorschriften zur Leitung und Überwachung deutscher börsennotierter Gesellschaften und enthält in Form von Empfehlungen und Anregungen international und national anerkannte Standards über verantwortungsvolle Unternehmensführung.
  • Governance Kodex für Familienunternehmen: Dieser enthält Leitlinien, die eine Kommission aus namhaften Unternehmern und Wissenschaftlern für die verantwortungsvolle Führung von Familienunternehmen entwickelt hat.


Weitere News zum Thema: 

Corporate Governance Kodex wird reformiert