Compliance-Risikoanalyse

Oktober 2014 | Wirtschaftswoche | Risikomanagement

Compliance-Risikoanalyse

Jürgen Krisor Compliance Partner Idox Compliance
Idox Compliance / Unternehmensbeitrag

Herr Krisor, ist die Compliance für Unternehmen wirklich wichtig?
Compliance heißt die Einhaltung von Gesetzen und Richtlinien im Unternehmen, aber auch von freiwilligen Selbstverpflichtungen. Und dafür muss jedes Unternehmen durch geeignete Maßnahmen sorgen. Da die Geschäftsführung aber nicht jedem einzelnen Mitarbeiter auf die Finger schauen kann, muss Compliance im Unternehmen mit einem Compliance-Management-System, kurz CMS, durchgehend verankert sein. Was sich komplex anhört, ist im Prinzip nichts anderes als die Zusammenfassung der Compliance-Maßnahmen in Form eines Verhaltenskodex oder von Schulungen.

 

Warum erfordern solche Systeme ausnahmslos eine Risikoorientierung?
Es ist nahezu unmöglich, alle Compliance-Risiken zu kennen oder sich gar dagegen abzusichern. Aber um wenigstens die bekannten Compliance-Risiken zu adressieren und das Dunkelfeld möglichst klein zu halten, ist die Durchführung einer Compliance-Risikoanalyse unumgänglich. Denn nur wenn ich möglichst viele Risiken kenne, kann ich sie durch ein Compliance-Management-System entsprechend minimieren.

 

Gefühlt nimmt die Regulatorik zu. Sind die Compliance-Risiken in den letzten Jahren tatsächlich gestiegen?
In der Tat wurden immer mehr regulatorische Anforderungen aufgestellt, was leider auch zu mehr Compliance-Risiken als noch vor zehn Jahren führt. Mindestens genauso relevant ist aber die stärkere öffentliche Wahrnehmung von Verfehlungen, die regelmäßig nicht nur in Wirtschaftsmedien, sondern auch in den Tageszeitungen ausführlich diskutiert werden.

 

Wie können Unternehmen Compliance umsetzen?
Dafür gibt es Standards und Best-Practice-Ansätze. Zuerst werden die Compliance-Risiken ermittelt, um darauf aufbauend das CMS mit risikominimierenden Maßnahmen zu gestalten. Einer der bekanntesten Standards ist die ISO-Norm 19600, die im Dezember 2014 veröffentlicht wurde. Ihr entscheidender Vorteil ist ihre grenz- und branchenübergreifende Flexibilität. So kann sie von kleinen, mittleren und großen Unternehmen sowie von Behörden, Vereinen, Verbänden und sonstigen Organisationsformen herangezogen werden.

 

Wie geht man praktisch mit Compliance-Risiken um?
Risiken mit der höchsten Eintrittswahrscheinlichkeit und höchstem Schadenspotenzial müssen zuerst durch entsprechende Maßnahmen minimiert werden. Beispiel unerlaubte Preisabsprachen: Ist das Risiko auf Fachmessen sehr hoch, stellt ein Unternehmen Regeln für den Informationsaustausch auf, schult die Mitarbeiter etwa mittels E-Learning und implementiert einen Genehmigungsprozess für die Teilnahme an Messen.

 

Technologie ist ein gutes Stichwort: Wirkt sich der dortige Fortschritt positiv auf die Compliance aus?
Grundsätzlich ja. Aber wie überall birgt die Digitalisierung auch hier Risiken. Es gibt bereits Compliance-Tools, angefangen von der automatisierten und digitalen Risikoanalyse, über Zuwendungsregister und Case Management Systeme bis hin zu Lösungen zur Erfassung der Wahrnehmung von Compliance im Unternehmen. Inwieweit diese Systeme selbstständig Entscheidungen treffen sollen, steht auf einem anderen Blatt. Hier lauern mitunter neue Compliance-Risiken.

 

Warum sollten Unternehmen heute in Compliance-Management-Systeme investieren?
Neben „klassischen“ Gründen wie Haftungsvermeidung durch Korruptions-, Wettbewerbs- oder Vermögendelikte spielen die Themen Reputationssicherung und Anforderungen von Geschäftspartnern eine immer größere Rolle. Es gibt immer mehr Unternehmen, die von ihren Partnern oder Zulieferern die Existenz oder gar Zertifizierung eines CMS fordern, mindestens aber die Anerkennung des eigenen Verhaltenskodex.

 

www.compliance.idoxgroup.com