Die Risikoerfassung beginnt zunächst mit einer Befragung von Führungskräften und ausgewählten Mitarbeitern. Das Befragungspaket besteht aus folgenden Teilen:
Begleitschreiben zum Befragungspaket
Arbeitsblatt 1: Welche Compliance-Berührungspunkte hat Ihr Aufgabenbereich?
Arbeitsblatt 2: Welche Compliance-Themen sind für meine Aufgabenbereiche erheblich und wie schätze ich das Risiko hieraus ein?
In die Befragung sollten alle Mitarbeiter einbezogen werden, die auch in das Pflichtendelegationssystem für Führungskräfte und Beauftragte einbezogen sind (siehe hierzu Pflichtendelegation: Die wichtigsten Grundlagen für die Compliance-Organisation.
Die Ursachen für Compliance-Risiken liegen häufig in verdeckten operativen Schwächen oder werden zunächst auf der betrieblichen Arbeitsebene erkennbar. Deshalb kann es sich empfehlen, den Kreis der Befragten zusätzlich auf weitere Mitarbeiter mit Führungsaufgaben und die Mitarbeiter in Stabsabteilungen mit Corporate Governance Kontroll- und Unterstützungsaufgaben auszuweiten. Das kann gegebenenfalls in Form kurzer Workshops organisiert werden, an denen der Compliance-Beauftragte teilnimmt. Damit wird zum einen eine "Fragebogenbürokratie" vermieden. Zum anderen startet dann schon mit der Risikoanalyse die Compliance-Schulung und Sensibilisierung in das Unternehmen hinein.
3.1.1 Welche Compliance-Berührungspunkte hat Ihr Aufgabenbereich? (Arbeitsblatt 1)
Die Risikoerfassung beginnt mit der Frage nach Aspekten des Unternehmensprofils, die Bedeutung für Compliance-Anforderungen und Risiken haben. Es geht darum festzustellen, ob und welche Berührungspunkte für Compliance-Risiken im Aufgabenbereich des befragten Mitarbeiters bestehen. Das Arbeitsblatt 1 fragt nach Gesichtspunkten, die der allgemeinen Erfahrung nach von Bedeutung sind. Es sollte unter Berücksichtigung der tatsächlichen Aktivitäten im Verantwortungsbereich des befragten Mitarbeiters gekürzt oder ergänzt werden.
Gliederung des Arbeitsblatts:
- Welche Produkte oder externe sowie interne Dienstleistungen umfasst Ihr Verantwortungsbereich?
- Bestehen für die Aktivitäten in Ihrem Verantwortungsbereich besondere Erlaubnispflichten, Durchführungsanforderungen oder Meldepflichten aufgrund gesetzlicher, behördlicher oder Berufsverbandvorgaben und/oder Branchenstandards?
- Sind für Ihren Verantwortungsbereich durch behördliche Anforderungen oder durch Berufsverbände und Sicherungseinrichtungen besondere Beauftragte oder die Verleihung bestimmter Gütersiegel vorgesehen?
- Unterstützen Sie andere Abteilungen im Unternehmen beim Erkennen, Beachten und der Erfüllung gesetzlicher Anforderungen oder von Branchenstandards?
- Mitarbeiter und Fremdressourcen in Ihrem Verantwortungsbereich
- Wie sind die Wege zum Kunden (Vertrieb + Service + After Sales) in Ihrem Verantwortungsbereich organisiert?
- Wie sind Beschaffung und Einkauf für Ihren Verantwortungsbereich organisiert?
- Ist Ihr Verantwortungsbereich einem Umfeld mit erhöhten Korruptionsrisiken ausgesetzt?
- Ist Ihr Verantwortungsbereich einem Umfeld mit erhöhten Kartellrisiken ausgesetzt?
3.1.2 Welche Compliance-Themen sind für Ihren Aufgabenbereich erheblich und wie schätzen Sie das Risiko hieraus ein? (Arbeitsblatt 2)
Mit dem Arbeitsblatt 2 werden die Befragten dann für ihren Aufgabenbereich um ihre Risikoeinschätzung für themenbezogene Compliance-Risikofelder gebeten.
Dabei sollen sich die Beteiligten auf eine persönliche Einschätzung unter Berücksichtigung des eigenen beruflichen Verantwortungsbereichs konzentrieren. Spiegelte die Risikobefragung der Führungskräfte letztlich vor allem die allgemeine Risikoeinschätzung der Öffentlichkeit wieder, wäre ihr Zusatznutzen für das Compliance Management allenfalls beschränkt. Über die Risikoeinschätzung der Öffentlichkeit und aus Expertensicht sollte der Compliance-Beauftragte ohnedies Bescheid wissen.
Der Fragebogen verzichtet bewusst auf Angaben zur Wahrscheinlichkeiten von Schadenshöhe und Häufigkeit. In einem gutgeführten Unternehmen sollten Straf- oder Bußgeld bewehrte Rechtsverstöße oder Verhaltensweisen, die mit einem besonderen Reputationsrisiko verbunden sind, so selten vorkommen, dass Mitarbeiter hierzu keine vernünftige erfahrungsbasierte Wahrscheinlichkeitsbeurteilung abgeben können. Compliance-Risiken sollten außerdem von den operativ verantwortlichen Mitarbeitern selbst keiner wahrscheinlichkeitsbasierten Chancen- bzw. Risikooptimierung unterzogen werden. Stattdessen orientieren sich die Fragebögen an der Managementperspektive von Führungskräften und stellen darauf ab, ob und auf welcher Ebene nach Auffassung der Befragten risikomindernde Maßnahmen erforderlich seien.
Die im Arbeitsblatt in der linken Spalte aufgeführten Funktionsfelder können der allgemeinen Erfahrung nach für Compliance-Risiken von Bedeutung sein. Die Liste sollte gegebenenfalls unter Berücksichtigung der tatsächlichen Aktivitäten des Unternehmens gekürzt oder ergänzt werden.
3.1.3 Prüflisten für einzelne Compliance-Themen
Die themenbezogene generelle Risikoeinschätzung in Arbeitsblatt 2 sollte durch Prüflisten vor- bzw. nachbereitet werden, um mögliche Anhaltspunkte für erhöhte Compliance-Risiken in der betrieblichen Praxis...