Compliance-Management: Bedeutung, Aufgabenschwerpunkte u ... / 2.4.3 Was bedeutet das für die Risikoerfassung und -beurteilung?

Allgemein gehaltene Selbsteinschätzungsfragebogen, wie etwa die übliche Frage nach den 10 größten Compliance-Risiken, können eine erste Orientierungshilfe geben. Möglicherweise erhöhen sie die Aufmerksamkeit der angesprochen Führungskräfte gegenüber Compliance. Darüber hinaus tragen solche Aktionen zum Aufzeigen von Schwachstellen oder als Grundlage für ein Präventionsmanagement erfahrungsgemäß allerdings nur wenig bei. Sie sollten durch detaillierte Fragen nach risikorelevanten Sachverhalten (Schwachpunkt- oder Risikobiotop-Prüflisten) unterfüttert werden. Das sorgt zugleich dafür, dass Führungskräfte mit den Aussagen behaftet werden können, die sie zu den abgefragten Sachverhalten gemacht haben. Damit wird persönliche Verantwortlichkeit hergestellt, was der Risikoprävention dient.

Eine Visualisierung durch eine farbenfrohe Risiko-Matrix mit der Risikobeurteilung "mittel, möglich, aber nicht ausgeschlossen" ist schön, hilft zu Steuerungszwecken und zum Nachweis Ihrer Sorgfalt aber nicht wirklich weiter. Wenn Sie oder Ihre Führungskräfte ein erhöhtes Compliance-Risiko sehen, sollten generelle Aussagen unterbleiben. Hier sollte in jedem Fall der Compliance-Beauftragte eingeschaltet werden, damit eine genaue Risikobeurteilung erfolgen und Ihnen dann ein Programm für konkrete Abhilfemaßnahmen vorlegt werden kann.

Basis für die Compliance-Risikoanalyse kann die allgemeine Risikoinventur des Unternehmens unter betriebswirtschaftlichen und bilanziellen Gesichtspunkten sein. Vor diesem Hintergrund empfehlen wir allerdings, die Compliance-Risikoanalyse gesondert durchzuführen und dann deren Ergebnisse in die allgemeine Risikoinventur einfließen zu lassen. Wenn die allgemeine Risikoanalyse von vornherein auch Compliance-Risiken abfragt, schadet das nichts. Wir empfehlen dann aber einen Hinweis an Ihre Mitarbeiter, dass die im Rahmen einer allgemeinen Risikoanalyse geforderte Einschätzung von Compliance-Risiken mangels ausreichender Erfahrung nicht auf objektiven Informationen beruht. Ferner sollte bei Anzeichen auf ein erhöhtes Compliance-Risiko sofort der Compliance-Beauftragte eingeschaltet werden, noch bevor eine Einschätzung durch nicht fachkundige Mitarbeiter erfolgt.

Sie sollten mit der Feststellung erhöhter Compliance-Risiken vorsichtig umgehen. Die Feststellung, dass ein normales Compliance-Risiko vorliegt, heißt nicht, dass insoweit Compliance-Störfälle ausgeschlossen sind und infolgedessen kein Handlungsbedarf besteht. Allerdings sollten hierfür die Fach- oder Unterstützungs-Standardprozesse und die allgemein im CMS vorgesehenen Maßnahmen ausreichen. Für die Korruptionsprävention beinhaltet das z. B. ein genaues Rechnungswesen und Kreditorenmanagement, das schwarze Kassen und Scheinrechnungen erschwert, und durch Anti-Korruptionsschulungen, Compliance-Beratungsangebote und ein Hinweisgebersystem usw. unterstützt wird. Demgegenüber verlangen erhöhte Compliance-Risiken sofort besondere Maßnahmen, die der Geschäftsleitung berichtet und deren Umsetzung genau nachgehalten werden muss.

Die Arbeitshilfe "Compliance-Gefährdungsanalyse: Fragebögen für Compliance-Beauftragte" unterstützt Sie bei der Erstellung eines Compliance-Unternehmensprofils, das die Berührungspunkte zu Compliance-Themen aufgrund der Aktivitäten des Unternehmens aufzeigt.