Zusammenfassung
Die Errichtung einer Compliance-Organisation im Unternehmen ist ein komplexer und umfangreicher Prozess. Für Verantwortliche, besonders in großen Unternehmen oder internationalen Konzernen, stellt diese Aufgabe oft erhebliche Herausforderungen dar. Selbst die kontinuierliche Überprüfung und Aktualisierung eines bestehenden Compliance-Management-Systems kann zu Unsicherheiten führen. Unsicherheiten entstehen nicht zuletzt durch die stetige Änderung und Erneuerungen einschlägiger Gesetze und Verordnungen. Dementsprechend erweist sich die Einrichtung eines Compliance-Systems als unverzichtbare Aufgabe im Unternehmensalltag. Im Vordergrund steht dabei vor allem die Einrichtung sowie die Aufrechterhaltung.
Häufig werden Betroffene bereits zu Beginn mit einer Problematik konfrontiert: Welche Gesetze und Vorschriften sind für mein Unternehmen überhaupt relevant? Im folgenden Beitrag wird die Compliance-Strukturanalyse als eine Lösungsmöglichkeit für diese Frage dargestellt. In Fokus steht dabei die Durchführung einer solchen Analyse sowie die Bedeutung, welche anhand praxisnaher Beispiele verdeutlicht wird.
1 Die Compliance-Strukturanalyse als Grundlage für eine Compliance-Organisation
Die Errichtung einer Compliance-Organisation im Unternehmen ist ein komplexer und umfangreicher Prozess. Häufig stellt die Situation für Betroffene eine große Herausforderung dar, insbesondere für Verantwortliche von größeren Unternehmen oder internationalen Konzernen. Doch auch die kontinuierliche Überprüfung und Aktualisierung eines bestehenden Compliance-Management-Systems führt häufig zu Unsicherheiten bei den Verantwortlichen. Das liegt nicht zuletzt daran, dass sich die Gesetze und Rechtsverordnungen stetig verändern, erneuern oder gar vollständig ersetzt werden. Hinzu kommt die Problematik, dass keine konkreten gesetzlichen Regelungen bestehen, wie eine Compliance-Organisation errichtet werden muss und welchen Anforderungen sie entsprechen muss.
In der Praxis finden sich zahlreiche Leitfäden, wie z. B. die ISO 37301. Bei dieser ISO handelt es sich um einen internationalen Leitfaden für die Errichtung und Erhaltung von Compliance-Management-Systemen. Dieser Leitfaden erweist sich in der Praxis bereits als große Unterstützung für Unternehmen, allerdings kann die ISO nur unterstützend und nicht abschließend herangezogen werden. Der Grund liegt insbesondere darin, dass es sich bei der ISO um einen allgemeinen Leitfaden handelt, der je nach Art und Tätigkeit eines Unternehmens erweitert und angepasst werden muss. Eine der größten Herausforderungen in diesem Prozess besteht darin zu ermitteln, welche Gesetze und Vorschriften im eigenen Unternehmen relevant sind und beachtet werden müssen. Bei dieser Problematik kann die Durchführung einer Compliance-Strukturanalyse Unternehmen dabei unterstützen, einen systematischen Überblick über Unternehmensprozesse und die damit verbundenen Vorschriften zu erhalten. Eine Strukturanalyse stellt demnach eine systematische Analyse aller Unternehmensprozesse dar. Somit stellt die Strukturanalyse eine wichtige Grundlage für die Errichtung einer Compliance-Organisation im Unternehmen dar. Denn nur wenn Unternehmensprozesse und damit verbundene Vorschriften bekannt sind, können Verantwortliche geeignete Maßnahmen und Schutzvorkehrungen treffen.
2 Der Unterschied zwischen einer Risikoanalyse und einer Strukturanalyse
In der Praxis ist die Bedeutung einer Strukturanalyse den meisten Verantwortlichen völlig unbekannt. Vielmehr werden die Risikoanalyse und die Strukturanalyse häufig verwechselt oder sogar als synonym füreinander angesehen. Dabei handelt es sich bei den beiden Compliance-Analysen um 2 vollkommen unterschiedliche Vorgänge, die bei der Errichtung einer Compliance-Organisation im Unternehmen beide berücksichtigt werden sollten. Bei der Risikoanalyse handelt es sich um einen zweistufigen Prozess, durch den mögliche Gefahren im Unternehmen ermittelt und anschließend bewertet werden können. Das bedeutet, dass konkrete Situationen im Hinblick darauf analysiert werden,
- ob eine Gefahr für das Unternehmen in dieser Situation besteht,
- dadurch ein Schaden für das Unternehmen entstehen kann und
- wie hoch die Eintrittwahrscheinlichkeit des Schadens sowie die damit einhergehenden Konsequenzen sind.
Bei der Risikoanalyse wird somit die Frage nach dem Eintritt einer potenziellen Gefahr gestellt. Die Strukturanalyse hingegen umfasst keine potenziellen Gefahrsituationen, sondern konkret bestehende Unternehmensprozesse. Bei einer Strukturanalyse wird ermittelt,
- welche Prozesse im Unternehmen bestehen,
- welche Vorschriften dabei zu berücksichtigen sind und
- wie sich das Unternehmen in dieser Situation verhält.
Eine Strukturanalyse stellt mithin nicht nur die Grundlage einer Compliance-Organisation dar, sondern auch die Grundlage für eine Risikoanalyse. Denn nur, wenn die Unternehmensprozesse samt Regelungen und Handlungen bekannt sind, kann im Nachgang erforscht werden, welche Risiken in diesen Situationen bestehen und wie sich die Risiken auf das Unternehmen auswirken können. Letztlich wird ein "Ist-Zustand" ermittelt, um einen "Soll-Zustand" erreichen zu kö...