3.2.1 Compliance-Unternehmensprofil
Liegen die Antworten der befragten Führungskräfte und Mitarbeiter vor und sind die erforderlichen Einzelgespräche geführt worden, erstellt der Compliance-Beauftragte auf Basis der ausgefüllten Arbeitsblätter ein Compliance-Unternehmensprofil, das aufzeigt, welche tatsächlichen Berührungspunkte aufgrund der Aktivitäten des Unternehmens zu Compliance-Themen bestehen.
3.2.2 Compliance-Risikobeurteilung
Auf dieser Grundlage und den Ergebnissen aus Risikobefragung und Mitarbeitergesprächen erstellt der Compliance-Beauftragte dann eine unternehmensweite Einschätzung der relevanten Compliance-Risiken. Diese enthält für Themenfelder mit einem unternehmens- oder abteilungsweiten erhöhten Compliance-Risiko, Vorschläge zur Risikoreduzierung, die nach Prüfung und Erörterung in der Risiko- und Compliance-Koordinationsgruppe (Compliance Board) im "Compliance-Risikobeurteilung und Aktionsplan" festzuhalten sind.
Gliederung des Arbeitsblatts
- Corporate Governance Support
- Mitarbeiter und Fremdressourcen
- Tätigkeitsschwerpunkt
- Produkte und Dienstleistungen
- Gesetzlich vorgesehene Beauftragte oder Gütesiegel
- Wege zum Kunden (Vertrieb +Service +After Sales)
- Kundenstruktur
- Beschaffung und Einkauf
Die Risikobeurteilung erfolgt in drei Stufen:
3.2.2.1 Die Risikobeurteilung erfolgt in drei Stufen:
Stufe |
Risiko- und Folgenbewertung |
Verantwortung/ Zuständigkeit und Folgen |
1 (Weiß) |
Nicht erheblich |
- Aufrechterhaltung und Verbesserung der operativen Standardverfahren durch Fachverantwortliche
|
2 (Gelb) |
Normal, allgemeines Risiko rechtswidriger oder unredlicher Handlungen |
- Aufrechterhaltung und Verbesserung der operativen Standardverfahren durch Fachverantwortliche
- Allgemeine Compliance-Schulung und Sensibilisierung, jährliche Compliance-Gefährdungsanalyse
|
3 (Rot) |
Erhöhtes Risiko rechtswidriger oder unredlicher Handlungen mit Straf-/Bußgeldandrohung, erheblichen Vermögens- oder Reputationsschäden |
- Persönliches Informations- und Beratungsgespräch mit dem Compliance-Beauftragten
- Ergänzung operative Standardverfahren durch besondere Compliance-Präventionsmaßnahmen unter Mitwirkung/Federführung des Compliance-Beauftragten
|
3.2.3 Compliance-Maßnahmenplan
Der Compliance-Aktionsplan sollte dabei nur Maßnahmen für den Fall erhöhter Compliance-Risiken abdecken, also bei Risikobeurteilung Drei bzw. Rot. Verbesserungsmaßnahmen bei normalen oder geringen Compliance-Risiken sollten im Rahmen der Standardprozesse von den hierfür verantwortlichen Führungskräften wahrgenommen werden. Solche Aktivitäten können im späteren Verlauf in das Compliance-Programm aufgenommen werden. Für den Start einer Compliance-Funktion ist hiervon wegen der zusätzlichen Schnittstellenfragen und Herausforderungen aber abzuraten.
Jede einzelne Rot- oder Dreier-Risikobewertung, der sich der Compliance-Beauftragte nach näherer Erörterung im persönlichen Gespräch anschließt, sollte zu einer unternehmensweiten Rot- oder Dreier-Risikobewertung für das gesamte Unternehmen führen. Selbst wenn erhöhte Compliance-Risiken nur für bestimmte Abteilungen oder Risikoteilaspekte vorliegen, drohen sie im Falle ihrer Realisierung auf das gesamte Unternehmen durchzuschlagen. Die zielgerichtete Fokussierung ist dann eine Frage der Maßnahmen zur Risikoreduzierung.
Die finale Risikoeinschätzung sollte unseres Erachtens durch den Compliance-Beauftragten und/oder das das Compliance Board in eigener Verantwortung erfolgen – nicht in rechnerischer Ableitung aus den in der Befragung abgegebenen einzelnen Risikobewertungen. Das ist zwar eine übliche Methode, hiergegen spricht aber schon die unterschiedliche Risikowahrnehmung der verschiedenen Berufsgruppen im Unternehmen.
Das sind auch die Gründe dafür, dass das Merkblatt keine Risiko-Scoring-Modelle oder Muster für eine Risikomatrix anbietet. Solche Darstellungsformen auf Makroebene sind zu Präsentationszwecken gegenüber der Geschäftsleitung schön und eindrucksvoll, haben unserer Erfahrung nach als Grundlage für ein tatsächliches, effektives Management erhöhter Compliance-Risiken im Unternehmen aber nur bedingten Wert.
Der hier vorgeschlagene Compliance-Maßnahmenplan erfasst im Übrigen auch diejenigen Maßnahmen, die erforderlich sind um erhebliche Schwachstellen bei den Compliance-eigenen Prozesse auszugleichen, sei es, dass notwendige Compliance-Prozesse noch nicht vorliegen oder derartige Schwächen aufweisen, dass sie einem risikoorientierten Normalmaßstab nicht genügen.