Jörg Ekkenga, Dr. Andreas Kramer
3.3.1 Schritt 1: Identifizierung von Compliance-Risiken
Ansätze zur Identifizierung von Compliance-Risiken
Zur Identifizierung von Compliance-Risiken, insbesondere bei der Erstdurchführung, gibt es verschiedene Ansätze. Wir empfehlen, sich zunächst einen Überblick über das rechtliche und regulatorische Umfeld des Unternehmens zu verschaffen.
Wie eingangs dargestellt, geht es darum, die relevanten Rechtsgebiete und die daraus erwachsenen spezifischen Anforderungen an das Unternehmen im Vorfeld zu ermitteln. Dabei soll keine Vollerhebung aller gesetzlichen Vorschriften für ein Unternehmen vorgenommen werden, sondern die branchen- und unternehmensspezifischen Besonderheiten identifiziert und daraus erwachsende Compliance-Gefahren erkannt werden.
Während z. B. für eine Lebensmittelkette die Kenntnisse von Hygienevorschriften im Lebensmittelbereich wichtig sind, ist dies für ein Bauunternehmen unerheblich, da es sich wahrscheinlich mehr um Themen der Arbeitssicherheit sorgen sollte. Eine solche Vorqualifikation des rechtlichen und regulatorischen Umfelds sollte mit juristischem Sachverstand vorgenommen werden. Sie hilft dem Compliance-Beauftragten, bei der Risikoidentifizierung die Diskussion mit den Befragten auf die wichtigen Themen zu lenken.
PESTEL-Analyse
Zu den Analysemethoden, die häufig für die Identifizierung von Compliance-Risiken herangezogen werden, gehört die PESTEL-Analyse. Dabei handelt es sich um eine Analyse des makropolitischen Umfelds und dessen Einfluss auf das Unternehmen. PESTEL ist die Abkürzung für die betrachteten Themenfelder: Political, Economical, Sociocultural, Technological, Environmental und Legal. Abbildung 1 zeigt die Erläuterung der einzelnen Themenfelder.
Abb. 1: Erläuterung der Themenfelder der PESTEL-Analyse
Fraud-Triangle
Ein weiteres Hilfsmittel zur Risikoidentifizierung ist das Fraud-Triangle, das die Voraussetzungen für wirtschaftskriminelles Handeln untersucht (s. Abb. 2). Der Grundgedanke ist, dass ein Täter drei Faktoren benötigt, um seine kriminelle Handlung durchzuführen:
- Er braucht Motivation, um seine betrügerische Handlung zu begehen, also z. B. einen Anlass, der im persönlichen Umfeld des Täters liegen kann. Häufig stecken finanzielle Gründe hinter den Taten oder empfundene Ungerechtigkeit am Arbeitsplatz.
- Als Nächstes muss der Täter Gelegenheit haben, seine Tat durchzuführen. Hier sind häufig fehlende bzw. ineffiziente Kontrollen oder die technische Fähigkeit des Täters die Auslöser.
- Am Ende muss der Täter mit seiner Tat leben können, daher braucht es als dritten Faktor noch die Rechtfertigung. Der Täter muss es vor sich selbst rechtfertigen, indem er argumentiert, dass ihm etwas zustehe oder andere es ja auch machen würden. Er neutralisiert die Tat für sich, wenn er denkt, dass "einmal keinmal ist".
Wenn man diese drei Faktoren bei der Risikoidentifizierung hinzuzieht, kann man versteckte Compliance-Risiken entdecken.
Abb. 2: Fraud-Triangle und versteckte Compliance-Risiken
COSO-II Framework
Häufig wird für eine umfassende Risikoidentifizierung auch das COSO-II-Framework herangezogen. Das COSO-II-Framework ist ein Modell zur umfassenden Betrachtung des unternehmerischen Steuerungs- und Kontrollumfelds. Abbildung 3 zeigt die Dimensionen des COSO-II-Framework:
Das COSO-II-Framework fordert dazu auf, die folgenden Bereiche des Unternehmens näher zu untersuchen:
- Geschäfts- und Organisationsstruktur
- Unternehmensphilosophie und Art der Unternehmensführung
- Personalpolitik
- Informationspolitik
- Unternehmenskultur
- Risikopolitische Grundsätze
- Kontrollkultur
Dieser ganzheitliche Blick auf das Steuerungs- und Kontrollumfeld des Unternehmens öffnet den Blick für die Identifizierung weiterer Compliance-relevanter Felder. Insbesondere die Güte des internen Kontrollsystems bezogen auf die Vermeidung von Compliance-Verstößen lässt sich hierüber genauer analysieren.
Abb. 3: Dimensionen des COSO-II-Framework
Dialog zur Risikoidentifizierung
Welche Analysemethodik man auch immer zugrunde legt, unsere Empfehlung ist, den Dialog mit den Teilnehmern zur Risikoidentifizierung zunächst ohne Vorgaben oder vorgefertigte Risikokataloge zu beginnen. Wir erachten es als wertvoll, wenn sich die Teilnehmer zunächst unbeeinflusst und mit ihrem eigenen Verständnis zum Thema Compliance äußern.
Wenn der Prozess der unbeeinflussten Risikoidentifizierung abgeschlossen ist, sollte man die Befragten auf einzelne Compliance-Felder wie z. B. Wettbewerbsrecht, Datenschutz, Fraud, Korruption etc. hinweisen und ihre Sicht hierzu abfragen. Erst am Schluss fragt man gezielt nach einzelnen Compliance-Risiken, die vorher möglicherweise noch nicht genannt wurden. Dieses Vorgehen ermöglicht aus unserer Sicht die umfassendste Identifizierung von Compliance-Risiken.