Jörg Ekkenga, Dr. Andreas Kramer
Zusammenfassung
Die Compliance-Risikoanalyse ist wichtiger Bestandteil eines Compliance-Management-Systems. Sie unterliegt sowohl deutschen als auch internationalen Regelungen und Gesetzen.
Eine Compliance-Risikoanalyse wird in drei Schritten durchgeführt. Risiken werden identifiziert, ihre Auswirkungen werden bewertet und Maßnahmen werden abgeleitet.
Zur zeiteffizienten und wirtschaftlichen Durchführung der Compliance-Risikoanalyse bieten sich Compliance-Risikoworkshops an, wobei die Priorisierung der Compliance-Risiken im Vordergrund steht und weniger deren exakte Quantifizierung.
Um Ressourcen im Unternehmen zu schonen und Informationsüberlastungen zu vermeiden, sollte die Compliance-Risikoanalyse längerfristig mit der klassischen Risikoanalyse strategischer, operativer, finanzieller und rechtlicher Risiken integriert werden.
1 Bedeutung der Compliance-Risikoanalyse
Dieser Beitrag soll dem Leser die Grundsätze der Compliance-Risikoanalyse näherbringen. Compliance ist die Einhaltung von regulatorischen Verpflichtungen, wobei eine Ausweitung des Begriffs auf freiwillig eingegangene Selbstverpflichtungen möglich ist. Während der Beitrag keine vollständige Beschreibung aller möglichen Analyseformen und -methoden beinhaltet, werden die in der Praxis am häufigsten anzutreffenden Varianten betrachtet.
Zunächst wird verdeutlicht, warum aufgrund der heutigen Gesetzeslage die Durchführung der Compliance-Risikoanalyse für Unternehmen, deren Organe und Mitarbeiter wichtig ist. In den darauffolgenden Abschnitten werden ausgesuchte Durchführungsformen und Analysemethoden vorgestellt sowie deren Vor- und Nachteile gezeigt. Inwieweit eine Integration mit dem im Unternehmen bestehenden Risikomanagement möglich ist, wird in Abschnitt 4 erläutert.
Dass auch kleine mittelständische Unternehmen eine ressourcenschonende und dennoch zielführende Compliance-Risikoanalyse durchführen können, wird in einem Praxisbeispiel online dargestellt.
2 Hintergrund und regulatorische Anforderungen der Compliance-Risikoanalyse
Unternehmen und Organe haben sich im Einklang mit geltendem Recht zu bewegen. Dabei ist eine Vielzahl an (allgemein gültigen und branchenspezifischen) Gesetzen, Verordnungen, Normen und Standards zu beachten.
2.1 Deutsche Regelungen und Gesetze
Compliance-Risikoanalyse ist Teil der allgemeinen Sorgfaltspflicht
Voraussetzung dafür ist ausreichendes Wissen über den unternehmensspezifischen Pflichtenkatalog (hier zu verstehen als die Sammlung oder Aufstellung der regulatorischen Anforderungen an ein Unternehmen). Die Durchführung einer Compliance-Risikoanalyse auf Basis des Pflichtenkatalogs ist Teil der Ausübung der allgemeinen Sorgfaltspflicht, wie sie sich aus § 93 Abs. 1 Aktiengesetz (AktG) bzw. § 43 Abs. 1 GmbH-Gesetz (GmbHG) ergibt, da die daraus resultierenden Informationen zum Risikoprofil des Unternehmens die Grundlage für weitere Entscheidungen sind.
Dieser Grundsatz spiegelt sich auch im Gesetz gegen Ordnungswidrigkeiten (OWiG) wider. Gemäß §§ 130, 30 OWiG handelt das Unternehmen bzw. handeln seine Organe und deren Erfüllungsgehilfen ordnungswidrig, wenn vorsätzlich oder fahrlässig diejenigen Aufsichtsmaßnahmen unterlassen werden, die erforderlich sind, um eine Zuwiderhandlung gegen betriebsbezogene Pflichten zu verhindern und diese Zuwiderhandlung durch gehörige Aufsicht verhindert oder wesentlich erschwert worden wäre.
Pflichten des Vorstands und des Aufsichtsrats gemäß BilMoG und DCGK
Durch das Bilanzrechtsmodernisierungsgesetz (BilMoG) wird dem Aufsichtsrat die Pflicht zur Überwachung eines ganzheitlichen Risikomanagementsystems (RMS) übertragen, das alle wesentlichen Risiken und gemäß Gesetzesbegründung auch Compliance-Risiken einschließen soll. Auch der Deutsche Corporate Governance Kodex (DCGK) bestimmt, dass der Vorstand den Aufsichtsrat "regelmäßig, zeitnah und umfassend über alle für das Unternehmen relevanten Fragen der Planung, der Geschäftsentwicklung, der Risikolage, des Risikomanagements und der Compliance" informiert. Des Weiteren ist es Pflicht des Vorstands, für die Einhaltung der Compliance zu sorgen.
Prüfkriterien gemäß IDW Prüfungsstandard 980
Der im April 2011 veröffentlichte Prüfungsstandard 980 des Instituts der Wirtschaftsprüfer in Deutschland (IDW PS 980) stellt Kriterien für die Prüfung von Compliance-Management-Systemen (CMS) im deutschen Rechtsraum auf. Auch der Prüfungsstandard sieht die Compliance-Risikoanalyse als eines der Grundelemente des CMS an.
2.2 Internationale Regeln und Vorschriften
Internationale Regelwerke behandeln das Thema Compliance schon länger, dazu zählen Bestimmungen wie der Foreign Corrupt Practices Act...