Zusammenfassung
Die Erkennung und Beschreibung von Compliance-Risiken stellt die Grundlage für vorbeugende Maßnahmen dar, mit denen die Realisierung der erkannten Risiken verhindert werden soll. Die Analyse wird mit Hilfe von Fragebögen durch Geschäftsführung und Führungskräfte sowie die Compliance-Beauftragten selbst durchgeführt. Der Beitrag bietet außerdem konkrete Erkenntnisse und Empfehlungen aus der Praxis. Diese Vorgehensweise sorgt für eine wirksame und zugleich kostenschonende Compliance-Einführung.
1 Zielsetzung und Nutzungshinweise
Compliance-Risiken sind Risiken aus rechtswidrigen oder unredlichen Handlungen oder Unterlassungen, die zu
- Strafen, Bußgeldern oder anderen staatlichen Sanktionen,
- einem erhöhten Reputationsrisiko oder
- einer erheblichen Vermögensgefährdung
führen können.
Ziel des Merkblatts ist es, Führungskräften Hilfsmittel dafür zu geben, wie die Erkennung und Beschreibung von Compliance-Risiken im Unternehmen erfolgen und so eine Grundlage für präventive Maßnahmen geschaffen werden kann, um die Realisierung der erkannten Risiken zu verhindern (Gefährdungsanalyse).
An dieser Aufgabe wirken neben der Geschäftsleitung und dem Compliance-Beauftragten eine Reihe anderer Abteilungen und Funktionen im Unternehmen mit. Deren Tätigkeit sollte im Interesse an einer wirksamen und kostenschonenden Compliance-Prävention koordiniert werden. Die Arbeitshilfe Risikomanagement- und Compliance-Koordinationsgruppe: Merkblatt zu Tagesordnung/Arbeitsplan und Muster-Tagesordnung enthält hierzu Vorschläge für einen aufbau- und ablauforganisatorischen Rahmen, der für mittelständische Unternehmen geeignet ist.
Arbeitshilfen zur Gefährdungsanalyse
Zur Durchführung der Gefährdungsanalyse stehen Ihnen zwei Arbeitspakete zur Verfügung
Compliance-Gefährdungsanalyse: Fragebögen für Führungskräfte
In dieser Arbeitshilfe finden Sie die Fragebögen "Welche Compliance-Berührungspunkte hat mein Aufgabenbereich?" und "Welche Compliance-Themen sind für meine Aufgabenbereiche erheblich und wie schätze ich das Risiko hieraus ein?". Adressaten dieser Fragebögen sind Führungskräfte des Unternehmens. Ein "Musteranschreiben" informiert diese über Sinn und Zweck sowie die Vorgehensweise
Compliance-Gefährdungsanalyse: Fragebögen für Compliance-Beauftragte
Mit dieser Arbeitshilfe erstellt der Compliance-Beauftragte ein Compliance-Unternehmensprofil, das aufzeigt, welche Compliance-Themen für das Unternehmen aufgrund dessen Aktivitäten von besonderer Bedeutung sind. Dabei werden die ausgefüllten "Fragebögen für Führungskräfte" berücksichtigt. Anschließend erstellt er in einer weiteren Tabelle die Compliance-Risikobeurteilung und den Aktionsplan für das Gesamtunternehmen
2 Die Gefährdungsanalyse
2.1 Der Nutzen für das Unternehmen – Geordnete Bestandsaufnahme und Anregung zum genauen Hinschauen
Natürlich können für die Beurteilung der Compliance-Risiken eines Unternehmens besondere Kenntnisse erforderlich sein. Das gilt insbesondere für die Fülle straf- oder bußgeldbewehrter arbeits-, sozial-, gesundheits- und gewerberechtlicher Normen und Branchenstandards. Wer ein Unternehmen längere Zeit führt, kennt in der Regel aber dessen wesentliche Compliance-Risiken. Ob er diese in der Bedeutung richtig einordnet, steht auf einem anderen Blatt.
Zudem finden Rechtsverstöße und Unredlichkeiten typischerweise im Verborgenen statt. Die Erfahrung aus größeren Compliance-Fällen zeigt immer wieder, dass die Risikoursachen im Unternehmen bereits bekannt waren, man diese aber verdrängt hat oder nicht darüber sprechen wollte. Der Wert einer Compliance-Gefährdungsanalyse liegt daher in erster Linie nicht so sehr in der Aufdeckung, Kategorisierung und der systematischen Erfassung von Risiken. Vielmehr kommt es darauf an, die Führungskräfte dazu zu veranlassen, sich in einer geordneten Vorgehensweise mit den möglichen oder bekannten Risiken in ihrem Verantwortungsbereich und den zugrundeliegenden Sachverhalten zu befassen, anstatt diese Themen als "unproduktive" Aufgaben beiseite zu schieben.
2.2 Besonderheiten bei Compliance-Risiken
Compliance-Risiken sind unter der Rubrik "Operative Risiken – Rechtsrisiken" Teil des allgemeinen Risikomanagementsystems des Unternehmens. Vor diesem Hintergrund haben sie einige Besonderheiten:
- Generell gilt der Grundsatz: Keine Chancen ohne Risiken. Aufgabe des allgemeinen Risikomanagements ist es daher, Chancen und Risiken unter Abschätzung von Wahrscheinlichkeit, Schadenshöhe und Kosten zu optimieren und mögliche Auswirkungen auf den Unternehmenserfolg zu dokumentieren.
- Demgegenüber akzeptiert der staatliche Durchsetzungsanspruch für straf- oder bußgeldbewehrte Normen grundsätzlich keine wirtschaftliche Risikoabwägung, die sich an Eintrittswahrscheinlichkeiten und Folgebewertung orientiert. Wer so vorgeht – und dies durch seine Risikoerfassung und Berichterstattung auch noch unterstreicht – riskiert den Vorwurf, Rechtsverstöße fahrlässig oder wissentlich in Kauf genommen zu haben.
- Soweit es um straf- oder bußgeldbewehrte Normen geht, besteht deshalb für die Umsetzung von Vorschlägen zur Reduzierung von Compliance-Risiken kein unternehmerischer Spielraum.
- Viele Compliance-Risiken ähneln Katastrophenrisiken. Sie realisieren sich zum Gl...