Jedes wirksame Compliance-Programm verlangt eine vorhergehende Risikoanalyse. Wie sonst sollen Compliance-Maßnahmen die richtigen Risiken adressieren. Nicht ohne Grund verfolgen Standards für Compliance-Management-Systeme wie die ISO-Norm 19600 einen risikobasierten Ansatz.
Was sind Compliance-Risiken?
Abgeleitet von der Compliance-Begriffsdefinition sind darunter Unsicherheiten zu verstehen, ob die Regeln, und somit die gesetzlichen, vertraglichen und sonstigen Anforderungen, die für das Unternehmen gelten, von allen Arbeitskräften eingehalten werden. Das DICO – Deutsches Institut für Compliance e. V. definiert dementsprechend eine Compliance-Risikoanalyse als die systematische Suche nach möglichen Ursachen und Auslösern für Compliance-Vorfälle.
Die Risikoanalyse in der Praxis
Compliance-Verantwortliche haben die Aufgabe, alle potenziellen Möglichkeiten zur Regelübertretung zu identifizieren. Dabei empfiehlt es sich, die für das Unternehmen relevanten Risikothemenfelder im Vorfeld auf die Bereiche einzugrenzen, in denen Regelübertretungen auch praktisch vorkommen können. Anschließend kann, als Top-Down-Ansatz, die erste Führungsebene in Interviews befragt werden, um zu ermitteln, ob es in den jeweiligen Abteilungen zu den vorab definierten Risikothemenfeldern entsprechende Compliance-Risiken gibt. Diese werden dann im Rahmen eines Workshops mit der ersten Führungsebene validiert.
Stärkere Durchdringung mittels automatisierter Lösung
Die Interview-Methode ist aufwändig und deckt bei kleinen und mittelständischen Unternehmen nur einen Teil der Belegschaft ab. Bei größeren Unternehmen empfiehlt sich der Einsatz eines automatisierten Compliance-Risk-Assessment-Tools. Dabei werden die Arbeitskräfte mit einer eigens dafür entwickelten Fragetechnik online befragt. So können Unternehmen über die gesamte Belegschaft hinweg ein möglichst vollständiges Bild zu den Compliance-Risiken erhalten.
In Abhängigkeit der Antworten auf Fragen nach Einsatzort, Tätigkeitsbereich, Abteilung etc. (demografische Fragen) werden die Mitarbeiter automatisch durch die Befragung geführt. Der so entsprechend zugeschnittene Fragenkatalog bezieht sich dann nur auf die Risikothemenfelder, von denen die jeweiligen Mitarbeiter betroffen sind. Die Relevanz sowie die Einstufung der Risiken werden über die Antworten der Befragten ermittelt.
Darüber hinaus gibt es Fragen zu risikominimierenden Maßnahmen, die, gepaart mit einer vorbildlichen Compliance-Kultur im Unternehmen, einen positiven Einfluss auf die Compliance-Risiken haben können.
Für international agierende Unternehmen kann eine automatisierte Erfassung der Compliance-Risiken auch gesellschaftsübergreifend und in verschiedenen Sprachen erfolgen. Dies erlaubt den Vergleich über Länder- oder Organisationsgrenzen hinweg.
Darstellung, Vergleichbarkeit und Analyse der Ergebnisse
Zum besseren Verständnis sollten die Ergebnisse in einem speziell gestalteten Risiko-Dashboard visualisiert werden. Verschiedene Diagramme erlauben die grafische Darstellung von Risiken und ihrer Bewertung. Filter- und Drill-Down-Optionen ermöglichen tiefergehende Analysen, z. B. nach Land, Organisation oder Abteilung.
Compliance-Verantwortliche können so die Ergebnisse einer Risikoanalyse auf ideale Weise beim Management präsentieren und erhalten damit gegebenenfalls auch eine Argumentationsgrundlage für das Einfordern weiterer Ressourcen.
