#ComplianceRisikoanalyse
#Compliance Risikoanalyse
Risiken gehören zum Geschäft.
In jedem Unternehmen werden jeden Tag Entscheidungen auf Basis einer Abwägung von Chancen und Risiken eines Vorhabens getroffen. Im Fokus stehen dabei häufig strategische, organisatorische und finanzielle Risiken.
Die meisten größeren Unternehmen verfügen über ein entsprechendes Risikomanagement-System und/oder Internes Kontrollsystem (IKS), um die Integrität aller wesentlichen Geschäftsabläufe sicherzustellen und bestandsgefährdende Entwicklungen frühzeitig zu erkennen. Vorstände von Kapitalgesellschaften sind hierzu nach § 91 Abs. 2 AktG sogar ausdrücklich verpflichtet und werden vom Aufsichtsrat nach § 107 Abs. 3 AktG entsprechend kontrolliert. Bei Versäumnissen droht den Vorständen und Aufsichtsräten eine persönliche Haftung.
Im Compliance-Bereich sieht es in vielen Unternehmen anders aus. Compliance-Risiken, also die Ursachen für mögliche Verstöße gegen externe und interne Regeln, werden vor allem in kleinen und mittleren Unternehmen (KMU) (#ComplianceimMittelstand) häufig nicht systematisch analysiert und behandelt. Dabei übersehen die Verantwortlichen, dass ohne eine individuelle Compliance-Risikoanalyse der Aufbau eines effektiven #ComplianceManagementSystems(CMS), das die Unternehmen und seine Mitarbeiter vor Sanktionen schützt, nicht gelingen kann.
Die größeren Unternehmen führen zwar in der Regel Compliance-Risikoanalysen durch, tun sich aber häufig schwer damit, die Compliance-Risikoanalyse mit anderen Corporate Governance-Systemen so zu verzahnen, dass weder Reibungsverluste noch unnötiger Mehraufwand entstehen.
Die Probleme in der Praxis.
Wer zum ersten Mal vor der Aufgabe steht, eine Compliance-Risikoanalyse in einem Unternehmen durchzuführen, läuft Gefahr, sich entweder in der Vielzahl von Themen und Methoden zu verzetteln oder wesentliche Aspekte zu übersehen bzw. in ihrer Bedeutung falsch einzuordnen.
Compliance umfasst als Querschnittsmaterie so unterschiedliche Bereiche wie das gesamte Feld der Wirtschaftskriminalität, Arbeits- und Produktsicherheit, Kartell- und Wettbewerbsrecht, Außenwirtschaftsrecht, Datenschutz und IT-Sicherheit, Schutz von Geschäftsgeheimnissen, Steuer- und Umweltrecht. Nicht jedes Thema hat für jedes Unternehmen dieselbe Bedeutung. Vielmehr sind die Unternehmensstruktur, die Branche und Wettbewerbssituation, die Produkte und Dienstleistungen, Vertriebsmodelle, geographischen Märkte und ggf. weitere Faktoren im Rahmen einer ersten Relevanzanalyse zu berücksichtigen, um die wesentlichen Themen zu identifizieren und zu priorisieren.
Für die eigentliche Risikoidentifikation und ‑bewertung ist zwischen verschiedenen methodischen Ansätzen (“top down“, “bottom up“ oder beides?) zu wählen. Vor allem mit der Beurteilung der Eintrittswahrscheinlichkeit eines Compliance-Risikos und seinen möglichen Schadensfolgen tun sich viele Unternehmen in der Praxis schwer. Schließlich stellt sich die Frage, wie die Ergebnisse zu dokumentieren, mit adäquaten Maßnahmen zu hinterlegen und nachzuverfolgen sind und wie häufig die Compliance-Risikoanalyse zu wiederholen ist.
Klar ist: Eine Compliance-Risikoanalyse darf keine „Alibi-Veranstaltung“ sein, sondern muss die Unternehmensleitung ganz praktisch in die Lage versetzen, die aktuelle Risikosituation für das Unternehmen einschätzen und bei Bedarf geeignete Maßnahmen zur Steuerung der wesentlichen Compliance-Risiken ergreifen zu können.
Individuelle Compliance-Risikoanalyse mit LUCID.
Ganz egal, ob wir „auf der grünen Wiese“ starten oder Ihr Unternehmen bereits über ein zertifiziertes CMS verfügt:
- Wir begleiten Sie – unabhängig von der Branche und Größe Ihres Unternehmens – persönlich und pragmatisch bei der Planung und Durchführung einer adäquaten Compliance-Risikoanalyse.
- Wir helfen Ihnen, die richtigen Maßnahmen für Ihr Unternehmen abzuleiten und zu implementieren.
- Wir unterstützen Sie dabei, die Compliance-Risikoanalyse sinnvoll mit vorhandenen Prozessen, Systemen und Strukturen zu verzahnen, klare Verantwortlichkeiten zu definieren und alle wesentlichen Schritte und Ergebnisse ordnungsgemäß zu dokumentieren.