Zusammenfassung
In vielen Unternehmen ist heutzutage ein Compliance-Management-System etabliert. Die Wirksamkeit und Funktionsfähigkeit dieses Systems hängt jedoch maßgeblich davon ab, ob vorhandene oder potenzielle Risiken identifiziert und entsprechende präventive Maßnahmen ergriffen wurde. Eine unerlässliche Komponente dieses Prozesses ist die Durchführung einer gründlichen Risikoanalyse. Dieser Beitrag erläutert die einzelnen Schritte einer solchen Analyse und veranschaulicht sie anhand konkreter Beispiele.
1 Risikoanalyse als Ausgangspunkt für den Aufbau einer Compliance-Organisation
Die Durchführung einer Risikoanalyse bildet das Fundament für den Aufbau einer effektiven Compliance-Organisation. Während dieses Prozesses werden sämtliche Unternehmensbereiche dahin gehend untersucht, ob sie einem Compliance-Verstoß ausgesetzt sind und welche potenziellen Auswirkungen ein solcher Verstoß auf das Unternehmen haben könnte. Verantwortliche müssen sich während der Risikoanalyse intensiv mit möglichen Vorfällen auseinandersetzen, bevor diese eintreten. Der entscheidende Vorteil einer Risikoanalyse liegt darin, dass potenzielle Gefahren erkannt werden, bevor sie sich realisieren und damit rechtliche sowie wirtschaftliche Folgen für das Unternehmen nach sich ziehen. Darüber hinaus ermöglichen die Ergebnisse der Analyse, gezielt Präventionsmaßnahmen zu ergreifen, um ein potenzielles Risiko zu verhindern oder zumindest zu mindern.
Zusätzlich zu den präventiven Vorteilen können durch eine Risikoanalyse auch bereits bestehende Gefahren aufgedeckt und beseitigt werden. Die internationale Norm ISO 31000, ein Standard für Risikomanagement, kann bei der Durchführung einer Risikoanalyse herangezogen werden. Es gilt jedoch zu beachten: Die ISO-Norm dient lediglich als unterstützendes Instrument und nicht als alleiniger Maßstab, da die Gegebenheiten je nach Art und Größe des Unternehmens variieren und daher Anpassungen erforderlich sein können.
Verantwortliche sollten sich grundlegend folgende Fragen stellen: Wo besteht ein konkretes Risiko in diesem Bereich? Welcher Schaden könnte im schlimmsten Fall entstehen, wenn das Risiko eintritt? Und welche Konsequenzen würde dieser Schaden für das Unternehmen haben?
2 Konkreter Ablauf einer Risikoanalyse
Um den genauen Ablauf einer Risikoanalyse zu verstehen, ist es zunächst wichtig zu klären, was genau unter dem "Risiko" zu verstehen ist. Gemäß der Definition in der ISO 31000 wird Risiko als das Produkt aus Schaden und Eintrittswahrscheinlichkeit definiert. Dies bedeutet, dass es nicht nur entscheidend ist, ob überhaupt ein Risiko in einem bestimmten Bereich besteht, sondern auch, wie hoch die Wahrscheinlichkeit ist, dass das Risiko eintritt und welche Schäden im Falle des Eintretens entstehen können. Die Risikoanalyse lässt sich daher grundsätzlich in 2 konkrete Schritte unterteilen: die Identifizierung des Risikos und dessen Bewertung.
- Innerhalb des ersten Schritts müssen die Verantwortlichen einen konkreten Prozess oder Arbeitsbereich dahingehend betrachten, ob ein Risiko eines Compliance-Verstoßes besteht. An dieser Stelle können die Ergebnisse der Strukturanalyse herangezogen werden, um einen konkreten Überblick über die Prozesse und dazugehörigen gesetzlichen Regelungen zu erhalten. Zunächst muss also eine Ursache oder ein Umstand bestehen, aus dem sich ein konkretes Risiko ergeben kann. Eine solche Risikoquelle kann z. B. durch technisches Versagen oder aber durch menschliche Fehlhandlungen entstehen. Aber auch Bedrohungen von außerhalb, wie z. B. Naturkatastrophen oder Pandemien müssen in diesen Prozess einbezogen werden. Die Ermittlung der Umstände führt dazu, dass sich ein spezielles Risiko ermitteln lässt. Das bedeutet, dass aus dem konkreten Umstand ein Problem entstehen könnte, welches jedoch bisher nicht eingetreten ist. Diese präventive Vorgehensweise führt i. d. R. dazu, dass unbekannte Fehlerquellen rechtzeitig ermittelt und behoben werden können. Nachdem die möglichen Risiken festgestellt wurden, muss eine Eintrittswahrscheinlichkeit festgelegt werden. Hierbei kommt es insbesondere auf die jeweiligen Gegebenheiten des Unternehmens an sowie auf die Art des Risikos. So sind z. B. Risiken durch Naturereignisse und höhere Gewalt naturgemäß schlechter kalkulierbar als Risiken, die durch die eigenen Mitarbeiter entstehen.
- In einem zweiten Schritt müssen die ermittelten Risiken dann anhand der Eintrittswahrscheinlichkeit und der möglichen Schadenshöhe bewertet werden. Das bedeutet, dass eine Abwägung erfolgen muss, welcher Schaden durch das Risiko entsteht und welche Konsequenzen durch den Schaden entstehen. An dieser Stelle müssen z. B. Risiken, die zum Verlust von personenbezogenen Daten führen, verschärft behandelt werden im Vergleich zu Datenverlustrisiken, die lediglich das eigene Unternehmen betreffen.
Nach der Durchführung einer Risikoanalyse haben Verantwortliche einen detaillierten Überblick darüber,
- welche Risiken im Unternehmen bestehen,
- mit welcher Wahrscheinlichkeit die Risiken eintreten können,
- welche Schäden durch die Risiken entstehen können und
- welche Auswirkungen die Schäden auf ...