Risikoanalyse: So erkennen Sie die wichtigsten Compliance-Risiken in Ihrer Organisation

Zusammenfassung

Überblick

Heutzutage besteht in den meisten Unternehmen bereits ein Compliance-Management-System. Ob sich das System als effektiv und funktionsfähig erweist, hängt in der Regel davon ab, ob bestehende oder potenzielle Risiken erkannt wurden und Präventionsmaßnahmen getroffen worden sind. Bei diesem Prozess ist die Durchführung einer Risikoanalyse unerlässlich geworden.

In diesem Beitrag werden die einzelnen Durchführungsschritte einer Risikoanalyse erklärt sowie durch konkrete Beispiele ausführlich veranschaulicht.

1 Risikoanalyse als Ausgangspunkt für den Aufbau einer Compliance-Organisation

Die Durchführung einer Risikoanalyse stellt die Grundlage für den Aufbau einer Compliance-Organisation dar. Während des Prozesses werden alle Bereiche des Betriebes dahingehend analysiert, ob ein Risiko von Compliance-Verstößen besteht und welche Auswirkungen mit einem solchen Verstoß auf das Unternehmen einhergehen können. Bei der Durchführung der Risikoanalyse müssen sich die Verantwortlichen somit mit möglichen Vorfällen bereits im Vorfeld auseinandersetzen. Der Vorteil einer Risikoanalyse besteht darin, dass potenzielle Gefahren erkannt werden, bevor sie sich realisieren und dadurch rechtliche sowie wirtschaftliche Konsequenzen für das Unternehmen entstehen. Außerdem können Verantwortliche aufgrund der Ergebnisse konkrete Präventionsmaßnahmen ermitteln, die den Eintritt des potenziellen Risikos verhindern oder zumindest verringern. Neben den präventiven Vorteilen können durch eine Risikoanalyse ferner bestehende Gefahren ermittelt und beseitigt werden. Bei der Durchführung der Risikoanalyse kann der internationale Leitfaden "ISO 31000 – Standard für das Risikomanagement" herangezogen werden. Bei einer ISO handelt es sich um eine internationale Norm der internationalen Organisation für Normung, welche einheitliche Standards in nahezu allen Bereichen statuiert und veröffentlicht. Die ISO sollte jedoch lediglich als Unterstützung herangezogen und nicht als konkreter Maßstab angewendet werden, da sich die Gegebenheiten je nach Art und Größe des Unternehmens unterscheiden können und dadurch Anpassungen notwendig sein können. Grundsätzlich müssen Verantwortliche sich folgende drei Fragen stellen:

1. Wo sehe ich ein konkretes Risiko in diesem Bereich?
2. Welcher Schaden könnte im schlimmsten Fall entstehen, wenn das Risiko sich realisiert?
3. Welche Konsequenzen würde ein Schaden mit sich bringen?

2 Konkreter Ablauf einer Risikoanalyse

Um den konkreten Ablauf einer Risikoanalyse zu verstehen, muss zunächst geklärt werden, was überhaupt unter der Definition "Risiko" zu verstehen ist. In der ISO 31000 wird Risiko definiert als Schaden x Eintrittswahrscheinlichkeit. Das bedeutet, dass nicht nur ausschlaggebend ist, ob überhaupt ein Risiko im konkreten Bereich besteht. Vielmehr muss eine Bewertung dahingehend erfolgen, wie hoch die Eintrittswahrscheinlichkeit des Risikos ist und welche Schäden bei Eintritt des Risikos entstehen können. Die Risikoanalyse lässt sich daher in zwei grundsätzliche Durchführungsschritte unterteilen: Die Identifizierung des Risikos und die Bewertung des Risikos.

1. Innerhalb des ersten Schritts müssen die Verantwortlichen einen konkreten Prozess oder Arbeitsbereich dahingehend betrachten, ob ein Risiko eines Compliance-Verstoßes besteht. An dieser Stelle können die Ergebnisse der Strukturanalyse herangezogen werden, um einen konkreten Überblick über die Prozesse und dazugehörigen gesetzlichen Regelungen zu erhalten. Zunächst muss also eine Ursache oder ein Umstand bestehen, aus dem sich ein konkretes Risiko ergeben kann. Eine solche Risikoquelle kann beispielsweise durch technisches Versagen oder aber durch menschliche Fehlhandlungen entstehen. Aber auch Bedrohungen von außerhalb, wie z. B. Naturkatastrophen oder Pandemien – man denke nur an die aktuelle Situation – müssen in diesen Prozess mit einbezogen werden. Die Ermittlung der Umstände führt dazu, dass sich ein spezielles Risiko ermitteln lässt. Das bedeutet, dass aus dem konkreten Umstand ein Problem entstehen könnte, welches jedoch noch nicht eingetreten ist. Diese präventive Vorgehensweise führt in der Regel dazu, dass unbekannte Fehlerquellen rechtzeitig ermittelt und behoben werden können. Nachdem die möglichen Risiken festgestellt wurden, muss eine Eintrittswahrscheinlichkeit festgelegt werden. Hierbei kommt es insbesondere auf die jeweiligen Gegebenheiten des Unternehmens an sowie auf die Art des Risikos. So sind beispielsweise Risiken durch Naturereignisse und höhere Gewalt naturgemäß schlechter kalkulierbar als Risiken, die durch die eigenen Mitarbeiter entstehen.
2. In einem zweiten Schritt müssen die ermittelten Risiken dann anhand der Eintrittswahrscheinlichkeit und der möglichen Schadenshöhe bewertet werden. Das bedeutet, dass eine Abwägung erfolgen muss, welcher Schaden durch das Risiko entsteht und welche Konsequenzen durch den Schaden entstehen. An dieser Stelle müssen beispielsweise Risiken, die zum Verlust von personenbezogenen Daten führen, verschärft behandelt werden im Vergleich zu Datenverlustrisiken, die lediglich das eigene Unternehmen betreffen.

Nach der...