Compliance-Management: Bede... / 2.4 Compliance-Gefährdungsanalyse

Im Ablauf startet das CMS wie schon die Konzeption mit dem Compliance-Risikoprofil und der Gefährdungsanalyse für das Unternehmen.

2.4.1 Der Wert einer geordneten Bestandsaufnahme

Wer ein Unternehmen längere Zeit führt, kennt in der Regel seine wesentlichen Risiken. Ob man sie in der Bedeutung richtig einordnet, steht auf einem anderen Blatt. Natürlich können für die Kenntnis möglicher Compliance-Risiken auch besondere Kenntnisse erforderlich sein. Das gilt insbesondere für die Fülle straf- oder bußgeldbewehrter arbeits-, sozial-, gesundheits- oder gewerberechtlicher Normen. Zudem finden Rechtsverstöße und Unredlichkeiten typischerweise im Verborgenen statt. Die Erfahrung aus größeren Compliance-Fällen zeigt immer wieder: Die Risikoursachen waren im Unternehmen bereits bekannt; man hat diese aber verdrängt oder nicht darüber sprechen wollen.

Der Wert einer Compliance-Gefährdungsanalyse liegt daher in erster Linie nicht so sehr in der Aufdeckung unbekannter Risiken. Wesentlicher ist, dass die Führungskräfte veranlasst werden, sich in einer geordneten Vorgehensweise genauer mit Sachverhalten in ihrem Verantwortungsbereich zu befassen, die zu Risiken führen können. Solche Themen dürfen nicht als "unproduktive" Aufgaben beiseitegeschoben werden.

Eine gute Compliance-Gefährdungsanalyse beginnt daher mit der Frage nach möglicherweise unter Compliance-Gesichtspunkten erheblichen Sachverhalten. So entsteht ein tatsachenbezogenes Risikoprofil des Unternehmens. Hierzu gehört auch, ob und wie ein Unternehmen seine rechtlichen Pflichten identifizieren und Änderungen rechtzeitig erfassen kann.

2.4.2 Besonderheiten von Compliance-Risiken

Compliance-Risiken sind unter der Rubrik "Operative Risiken – Rechtsrisiken" Teil des allgemeinen Risikomanagementsystems des Unternehmens. Vor diesem Hintergrund weisen sie allerdings einige Besonderheiten auf.

Generell gilt der Grundsatz: Keine Chancen ohne Risiken. Das allgemeine Risikomanagement hat daher zur Aufgabe, Chancen und Risiken unter Abschätzung von Wahrscheinlichkeit, Schadenshöhe und Kosten zu optimieren und mögliche Auswirkungen auf den Unternehmenserfolg einzuschätzen.

 

Wichtig

Der staatliche Durchsetzungsanspruch für straf- oder bußgeldbewehrte Normen kennt grundsätzlich keine wirtschaftliche Risikoabwägung, die sich an Eintrittswahrscheinlichkeiten und Folgebewertung orientiert. Wer so vorgeht – und dies durch seine Risikoerfassung und Berichterstattung dokumentiert –, riskiert den Vorwurf, Rechtsverstöße fahrlässig oder wissentlich in Kauf genommen zu haben.

Viele Compliance-Risiken ähneln Katastrophenrisiken. Sie realisieren sich zum Glück so selten, dass Mitarbeiter sinnvollerweise keine eigenen erfahrungsbasierten Eintrittswahrscheinlichkeiten und Folgebewertungen abgeben können. Ferner sind sie häufig mit der persönlichen Verantwortung der zuständigen Führungskräfte verbunden. Das spiegelt sich bei Risikobewertungen im Wege der Selbsteinschätzung wider: Umfeldbedingte, nicht persönlich zuordenbare Risiken werden generell eher hoch eingeschätzt. Das Gleiche gilt für Risiken, die zur Begründung von Budget- oder Personalanforderungen dienen können. Risiken, die auf persönlich zurechenbares Verhalten zurückgehen oder besondere Führungsverantwortung verlangen, werden demgegenüber typischerweise eher niedrig bewertet.

2.4.3 Was bedeutet das für die Risikoerfassung und -beurteilung?

Allgemein gehaltene Selbsteinschätzungsfragebogen, wie etwa die übliche Frage nach den 10 größten Compliance-Risiken, können eine erste Orientierungshilfe geben. Möglicherweise erhöhen sie die Aufmerksamkeit der angesprochen Führungskräfte gegenüber Compliance. Darüber hinaus tragen solche Aktionen zum Aufzeigen von Schwachstellen oder als Grundlage für ein Präventionsmanagement erfahrungsgemäß allerdings nur wenig bei. Sie sollten durch detaillierte Fragen nach risikorelevanten Sachverhalten (Schwachpunkt- oder Risikobiotop-Prüflisten) unterfüttert werden. Das sorgt zugleich dafür, dass Führungskräfte mit den Aussagen behaftet werden können, die sie zu den abgefragten Sachverhalten gemacht haben. Damit wird persönliche Verantwortlichkeit hergestellt, was der Risikoprävention dient.

Eine Visualisierung durch eine farbenfrohe Risiko-Matrix mit der Risikobeurteilung "mittel, möglich, aber nicht ausgeschlossen" ist schön, hilft zu Steuerungszwecken und zum Nachweis Ihrer Sorgfalt aber nicht wirklich weiter. Wenn Sie oder Ihre Führungskräfte ein erhöhtes Compliance-Risiko sehen, sollten generelle Aussagen unterbleiben. Hier sollte in jedem Fall der Compliance-Beauftragte eingeschaltet werden, damit eine genaue Risikobeurteilung erfolgen und Ihnen dann ein Programm für konkrete Abhilfemaßnahmen vorlegt werden kann.

Basis für die Compliance-Risikoanalyse kann die allgemeine Risikoinventur des Unternehmens unter betriebswirtschaftlichen und bilanziellen Gesichtspunkten sein. Vor diesem Hintergrund empfehlen wir allerdings, die Compliance-Risikoanalyse gesondert durchzuführen und dann deren Ergebnisse in die allgemeine Risikoinventur einfließen zu lassen. Wenn die allgemeine Risikoanalyse von vornherein auch Compliance-Risiken abfragt, schadet das nichts. Wir empfe...

Das ist nur ein Ausschnitt aus dem Produkt Haufe Personal Office Platin. Sie wollen mehr? Dann testen Sie hier live & unverbindlich Haufe Personal Office Platin 30 Minuten lang und lesen Sie den gesamten Artikel.


Meistgelesene beiträge