Compliance-Risikoanalyse: Praxisbeispiel aus dem Mittelstand

Zusammenfassung

Um sich in seinem Unternehmen dem Thema Compliance, also der Einhaltung von Gesetzen, Regeln und Richtlinien, zu nähern, sollte man zunächst eine systematische Erhebung der Compliance Risiken durchführen. Die Autoren haben in dem Beitrag "Compliance-Risikoanalyse: Nutzen, Umsetzung und Integration in das RM-System" dargestellt, wie eine Risikoanalyse durchgeführt werden kann. Hier soll nun die Umsetzung anhand eines mittelständischen Unternehmens gezeigt werden.

1 Ausgangssituation

Im hier beschriebenen Beispiel wurden die Autoren um Unterstützung beim Aufbau eines CMS gebeten. Das zum kleinen Mittelstand gehörende Unternehmen (< 500 Mitarbeiter) der Automobilbranche war durch die Anforderungen seiner Geschäftspartner zur Compliance in der Supply Chain unter Druck geraten. Wie in einem Unternehmen dieser Größenordnung durchaus üblich, gab es in der Organisation keine eigenständige Risikomanagement Abteilung oder Interne Revision. Das Risikomanagement im Unternehmen wurde vornehmlich "informell" durch das Controlling und die Geschäftsführung durchgeführt. Gleichwohl war ein umfangreiches Qualitäts- und Umweltmanagement gem. DIN EN ISO 9001 und DIN EN ISO 14001 im Unternehmen eingerichtet, welches regelmäßig geprüft und zertifiziert wurde. Das Unternehmen mit Hauptsitz in Deutschland hatte Tochtergesellschaften im europäischen Ausland, darunter auch England. Wachstumsmärkte des Unternehmens waren der arabische Raum sowie der mittlere Osten.

2 Herausforderungen

Die erste Herausforderung für das Unternehmen war der Faktor Zeit. Gerade für Mittelständler kann eine Unterbrechung des operativen Geschäfts, aufgrund der negativen Auswirkungen auf den Zahlungsfluss, schnell zu einem bestandsgefährdenden Risiko werden. Es galt also, dem Unternehmen schnellstmöglich die Wiederaufnahme der Geschäftsaktivitäten mit seinen Geschäftspartnern zu ermöglichen.

Die zweite Herausforderung waren die Märkte, in denen sich das Unternehmen bewegte, sowie die Gesellschaftsstandorte. Aufgrund der Tochtergesellschaft in England war es Anliegen der Geschäftsführung, die Anforderungen des in Kürze in Kraft tretenden UK Bribery Act zu erfüllen, eines der weitreichendsten Anti-Korruptionsgesetze weltweit. Dies stellte sich umso schwieriger dar, da die erklärten Wachstumsmärkte des Unternehmens teilweise in Ländern und Gebieten mit hoher wahrgenommener Korruption lagen. Zu erwähnen in diesem Zusammenhang sei ebenfalls, dass sich die Anforderungen der Geschäftspartner an den Vorgaben des FCPA orientierten, und daher Unternehmen mit Geschäftsaktivitäten in den besagten Wachstumsmärkten besonders kritisch beobachtet wurden.

Letztlich war die Unternehmensgröße zu beachten. Obwohl die im vorherigen Absatz genannten regulatorischen Anforderungen einen hohen Anspruch an die Qualität des aufzubauenden CMS stellten, war gleichwohl die Verhältnismäßigkeit von Aufwand und Nutzen zu wahren. Zu beachten ist dabei vor allem, dass bei übermäßigem und übertriebenem Projektaufwand die Mitarbeiter des Unternehmens die Sinnhaftigkeit des Projektes in Frage gestellt hätten. Gerade in kleineren Unternehmen herrscht eine große Angst vor Überreglementierung und unnötiger Bürokratisierung.

3 Gewählte Analysemethode

Aufgrund des Zeitfaktors sowie der Unternehmensgröße wurde eine top-down Risikoanalyse in Form von Einzelgesprächen gewählt. Zunächst wurde das rechtliche und regulatorische Umfeld des Unternehmens analysiert und in einem unternehmensspezifischen Pflichtenkatalog zusammengetragen. Dann wurden gemeinsam mit der Geschäftsführung die relevanten Ansprechpartner, allesamt in Führungspositionen, identifiziert. Innerhalb von zwei Tagen wurden dann 10 ca. einstündige Interviews mit Personen aus den Bereichen Vertrieb, Einkauf, Produktion, Finanzen, Qualitätsmanagement und IT geführt. Die Interviews wurden dabei so strukturiert, dass alle Gespräche die in der Branche zu erwartenden Compliance-Bereiche zum Inhalt hatten. Zudem wurden einzelne Interviewpartner zu Spezialthemen ihres Fachbereichs befragt. Basierend auf der Einschätzung der Compliance-Risiken durch die Interviewpartner wurde dann eine Verifizierung der qualitativen Bewertung durch die Geschäftsführung vorgenommen.

Bei der gewählten Vorgehensweise wurde bewusst auf eine quantitative Bewertung der Compliance-Risiken verzichtet. Folgende Vorteile ergaben sich aus diesem pragmatischen Ansatz:

• Das Erläutern der gewählten Vorgehensweise stieß auf Verständnis bei den Interviewpartnern, da sie keinen unnötigen oder übertriebenen Aufwand für die Risikoanalyse sahen.
• Die vollständige Risikoanalyse inkl. Verifizierung durch die Geschäftsführung konnte innerhalb von drei Tagen durchgeführt werden.
• Die einstündigen Einzelinterviews waren sehr ressourcenschonend, verursachten also einen geringen Aufwand für das Unternehmen.

Zu beachten bei dieser Form der Risikoanalyse ist jedoch, dass die Interviewführenden ein hohes Maß an compliance-spezifischen und branchenspezifischen Fachwissen benötigen, um tatsächlich die relevanten Risiken zu identifizieren und auf "Augenhöhe" mit den Intervi...