Compliance Management
Folge 3: Risk Assessment – den Kurs bestimmen und halten

Sorgfältiges Risk Assessment, also Risikoanalyse und -bewertung, ist das zentrale Element eines effektiven Compliance Management Systems (CMS). Werfen wir einen Blick in die gängigen internationalen Compliance-Standards. Diese werden deutlich:

  • UK Bribery Act: „Das Unternehmen bewertet die Natur und das Ausmaß der Exposition gegenüber internen und externen (Korruptions-)Risiken. (…) Risikoanalysen und -bewertungen stellen sicher, dass die bestehenden Risiken identifiziert und entsprechend priorisiert werden, je nach Geschäftsumfang, -aktivitäten, Kunden und Märkten“
  • Foreign Corrupt Practices Act: „Die Compliance Richtlinien und Prozesse werden auf der Basis periodischer Risikoanalysen und -bewertungen entwickelt, welche die individuellen Umstände des Unternehmens berücksichtigen“
  • ISO 37001: „Risikoanalyse und -beurteilung“ werden als zentraler Bestandteil aufgeführt

Warum wird das Thema Risk Assessment so betont? Ohne die konkreten Risiken eines Unternehmens genau bestimmt zu haben, ist auch die Ausrichtung aller anderen Elemente des CMS wirkungsarm. Denn welche Richtlinien und Prozesse soll es konkret geben, wozu soll geschult und kommuniziert werden? Welche Kontrollmaßnahmen sind zu ergreifen? All dies wird vage und allgemein bleiben, wenn es nicht aus einem klaren Risikoverständnis heraus erwächst.

Methodische Schwachstelle

Doch oft ist festzustellen, dass das Thema Risikoanalyse und -bewertung in Rechts- und Compliance-Abteilungen nicht besonders priorisiert wird. Viele Compliance-Verantwortliche fangen direkt damit an, für notwendig gehaltene Richtlinien zu entwerfen oder bestimmte Inhalte zu schulen. Daran ist nichts unbedingt Verkehrtes und dieses Vorgehen ist auch verständlich. Gründliche Risk Assessments sind mit einem gewissen Aufwand verknüpft. Indes: Nur, wenn ein Unternehmen seine Risiken genau kennt, kann es risikospezifische Richtlinien, Schulungen oder Monitoring-Maßnahmen entwickeln, die wirklich auf die Unternehmensrealität abgestimmt sind („risk-based approach“).

Besser: Systematisches Vorgehen

Eine solides Risk Assessment sorgt demgegenüber für den Kompass, der die Compliance-Aktivitäten eines Unternehmens auch mittel- und langfristig auf Kurs hält.

Die Compliance-Risikoanalyse sollte jedenfalls zu Beginn möglichst breit aufgestellt werden und typische, „klassische“ Risikobereiche ins Visier nehmen. Beispiele könnten sein: [1]

Wie auch schon bei der Bestimmung der Aufgabenfelder [2] bedeutet eine breite Anlage der Themen nicht, dass der Compliance-Verantwortliche für alle diese Risikobereiche zuständig ist oder nach Feststellung erheblicher Risiken sein wird. Vielmehr geht es darum, Tätigkeiten oder Umstände zu identifizieren, mit denen erhebliche Haftungsrisiken oder Schäden für das Unternehmen und die handelnden Mitarbeiter verbunden sein können (insbesondere Haftung aus Straf- und Ordnungswidrigkeitenrecht, Kartellrecht) und für solche funktionsübergreifend notwendige Maßnahmen der Risikoreduzierung zu ergreifen.

Ablauf einer Risikoanalyse und -bewertung

Bei der Durchführung eines Risk Assessment hat sich folgender Ablauf bewährt:

Im Prozess der Risikoanalyse und -bewertung ist Folgendes fest im Blick zu behalten:

  • Was genau ist ein „Risiko“ in diesem Zusammenhang? Ein Risiko ist die Möglichkeit einer Rechtsverletzung, die zu erheblichen Folgen, etwas zu Sanktionen (individuell bzw. für das Unternehmen) oder einem Reputationsverlust führen kann. Beispiele: Risiko, dass Mitarbeiter Amtsträger im Ausland bestechen; Risiko, dass Mitarbeiter Absprachen mit Wettbewerbern treffen
  • Im Rahmen eines Risk Assessments schauen wir auf Aktivitäten oder Umstände, die mit solchen Risiken verknüpft sein können. Beispiel: Ein Unternehmen vertreibt zulassungsbedürftige Produkte in China und stützt sich hierbei auf die regulatorische Beratung lokaler Dienstleister. Hiergegen ist nichts einzuwenden. Gleichwohl geben diese Aktivitäten guten Grund, die Kontrollmechanismen für dieses Risiko genau zu prüfen und falls nötig zu stärken (etwas durch einen konsequenten Prozess bei der Beauftragung der Geschäftspartner einschließlich Background Checks). Zu den Risiko-relevanten Aktivitäten und Umstände können folgende gehören:
    Besonderheiten der Industrie (etwa hohe regulatorische Anforderungen im Pharma- oder Medizinproduktebereich)
  • Geographische Aspekte (ungünstiger Korruption Perception Index, [3] politische Instabilität)
  • Bedeutung von Lizenzen und Genehmigungen für ein Unternehmen (z. B. als Bedingung für die Betreibung von Anlagen)
  • Grad der behördlichen Überwachung und Kontrolle, wozu auch gehören kann, dass lokale Behörden gegenüber ausländischen Unternehmen entschiedener durchgreifen als bei Unternehmen des eigenen Landes
  • Umfang und Bedeutung zollpflichtiger Wirtschaftsgüter und unter Einreisebestimmungen stehende Mitarbeiter
  • Erschließung neuer Märkte in Ländern mit wenig entwickelter Infrastruktur
  • Einbindung von Geschäftspartnern (etwa Vertriebshändler, Berater)
  • Beteiligungen (etwa Joint Ventures mit rechtlicher Kontrolle, aber ungünstigen Rahmenbedingungen zur tatsächlichen Ausübung der Kontrolle)
  • Ziel von Risikoanalyse und -bewertung ist es nicht, Risiken zu eliminieren. Geschäftstätigkeit ist ohne Eingehung von Risiken kaum denkbar, manche davon sind der Geschäftstätigkeit sogar immanent und lassen sich nicht eliminieren. Beispiel: Bei starker Abhängigkeit von behördlichen Entscheidungen wird sich das Korruptionsrisiko nie ganz eliminieren lassen. Es kann aber durch die Einsetzung gezielter Maßnahmen wie Beratung, Schulungen oder Compliance Audits bestmöglich kontrolliert werden.
  • Im Verlauf der Durchführung sollte auch klar kommuniziert werden, was ein Risk Assessment nicht ist: Es ist keine interne Ermittlung und auch kein Audit, sondern lebt davon, dass Mitarbeiter möglichst offen zu möglichen Risiken in ihrem Verantwortungsbereich berichten können.

Am Ende einer Risikoanalyse und sollte eine klare Bewertung stehen: Welche Risiken konnten identifiziert werden? Welche Kontrollmechanismen gibt es bereits? Sind diese ausreichend? Welche Verbesserungsmöglichkeiten gibt es? Sie müssen auch hier als Compliance-Verantwortlicher nicht das Rad neu erfinden. Schauen Sie vielmehr, an welche bestehenden Kontrollmechanismen Sie anknüpfen könnten. Vielleicht gibt es schon ein Sanktionslisten-Screening oder einen starken Bestellprozess. Nutzen Sie diese und finden Sie sinnvolle Ergänzungen, um die identifizierten Risiken effektiv zu adressieren. Am Ende eines Risk Assessments wissen Sie dann auch, welche Richtlinien und Prozesse noch fehlen und was genau geschult werden sollte. Mit anderen Worten: Sie finden Ihren Kurs und können Segel setzen.

Ausblick:

In der nächsten Folge geht es weiter mit dem Thema „Compliance-Richtlinien“.

Falls Sie unsicher sind, wie Sie Ihr Compliance Projekt erfolgreich aufsetzen und durchführen können, nehmen Sie gern Kontakt mit mir auf.

[1] Siehe auch die detaillierte Übersicht „Risikokatalog“ von DICO e. V.
[2] Siehe Folge 2 der „12 Months Compliance Challenge“.
[3] www.transparency.de/cpi.