Compliance-Gefährdungsanalyse: Risiken identifizieren, G ... / 3.2.3 Compliance-Maßnahmenplan

Der Compliance-Aktionsplan sollte dabei nur Maßnahmen für den Fall erhöhter Compliance-Risiken abdecken, also bei Risikobeurteilung Drei bzw. Rot. Verbesserungsmaßnahmen bei normalen oder geringen Compliance-Risiken sollten im Rahmen der Standardprozesse von den hierfür verantwortlichen Führungskräften wahrgenommen werden. Solche Aktivitäten können im späteren Verlauf in das Compliance-Programm aufgenommen werden. Für den Start einer Compliance-Funktion ist hiervon wegen der zusätzlichen Schnittstellenfragen und Herausforderungen aber abzuraten.

Jede einzelne Rot- oder Dreier-Risikobewertung, der sich der Compliance-Beauftragte nach näherer Erörterung im persönlichen Gespräch anschließt, sollte zu einer unternehmensweiten Rot- oder Dreier-Risikobewertung für das gesamte Unternehmen führen. Selbst wenn erhöhte Compliance-Risiken nur für bestimmte Abteilungen oder Risikoteilaspekte vorliegen, drohen sie im Falle ihrer Realisierung auf das gesamte Unternehmen durchzuschlagen. Die zielgerichtete Fokussierung ist dann eine Frage der Maßnahmen zur Risikoreduzierung.

Die finale Risikoeinschätzung sollte unseres Erachtens durch den Compliance-Beauftragten und/oder das das Compliance Board in eigener Verantwortung erfolgen – nicht in rechnerischer Ableitung aus den in der Befragung abgegebenen einzelnen Risikobewertungen. Das ist zwar eine übliche Methode, hiergegen spricht aber schon die unterschiedliche Risikowahrnehmung der verschiedenen Berufsgruppen im Unternehmen.

Das sind auch die Gründe dafür, dass das Merkblatt keine Risiko-Scoring-Modelle oder Muster für eine Risikomatrix anbietet. Solche Darstellungsformen auf Makroebene sind zu Präsentationszwecken gegenüber der Geschäftsleitung schön und eindrucksvoll, haben unserer Erfahrung nach als Grundlage für ein tatsächliches, effektives Management erhöhter Compliance-Risiken im Unternehmen aber nur bedingten Wert.

Der hier vorgeschlagene Compliance-Maßnahmenplan erfasst im Übrigen auch diejenigen Maßnahmen, die erforderlich sind um erhebliche Schwachstellen bei den Compliance-eigenen Prozesse auszugleichen, sei es, dass notwendige Compliance-Prozesse noch nicht vorliegen oder derartige Schwächen aufweisen, dass sie einem risikoorientierten Normalmaßstab nicht genügen.