Читать книгу Compliance - Markus Böttcher - Страница 180

35

Die Feststellung, in welchen Bereichen des Unternehmens besondere Risiken bestehen oder zu erwarten sind, also die Definition der Risikobereiche, zum Teil auch Risk Assessment genannt, bildet die Grundlagen für ein maßgeschneidertes und damit effizientes Compliance-Programm des Unternehmens.

36

Diese zu identifizierenden Compliance-Risiken können sich je nach Standort und Fachbereich massiv voneinander unterscheiden, da sie von den rechtlichen Gegebenheiten in einzelnen Ländern ebenso abhängen wie von den relevanten Geschäftsschwerpunkten des Unternehmens. So kann z.B. die Einführung eines neuen Kartellrechtsgesetzes in Spanien dazu führen, dass der länderverantwortliche Compliance Officer das Kartellrecht aufgrund bestehender geschäftlicher Praktiken als künftigen Risikoschwerpunkt identifiziert, wogegen bspw. die Einführung eines neuen unternehmensinternen Datenverarbeitungssystems andere Compliance-Verantwortliche dazu veranlassen wird, den Bereich Datenschutz als Compliance-Risiko zu benennen. Auch die Entwicklung neuer Geschäftsmodelle oder innovativer Produkte kann zur Identifizierung eines neuen Compliance-Risikos führen.

37

Für die realistische Bewertung und Einschätzung eines Compliance-Risikos empfiehlt sich zudem die intensive Zusammenarbeit mit den jeweiligen Geschäftsbereichen und dem Risiko-Management. Besteht im Unternehmen noch keine (funktionierende) Compliance-Abteilung, kann die Aufgabe der Identifizierung der Risiken auch gut zum Anlass genommen werden, diese, der Bewertung der Risiken entsprechend, aufzubauen.

38

Die Identifizierung von Compliance-Risiken ist kein Selbstzweck, sondern soll möglichst zügig dazu führen, dass bestehende Lücken im ggf. bereits bestehenden Compliance-Programm geschlossen werden bzw. ein für das Unternehmen sinnvolles Compliance-Programm überhaupt erst ins Leben gerufen wird.

39

Die Definition der lokalen und fachlichen Risikobereiche ist keine einmalige Angelegenheit, sondern sollte regelmäßig, z.B. zweimal jährlich, bei Bedarf auch häufiger, durchgeführt werden. Es empfiehlt sich, einen Fragebogen zu entwerfen, in dem konkret nach den Schlüsselrisiken, geordnet nach Dringlichkeit, den für das Risiko verantwortlichen Personen oder Abteilungen im Unternehmen und einer detaillierten Risikobewertung gefragt wird (Wie schätzen Sie die Schwere und die Häufigkeit des Risikos ein?). Darüber hinaus sollten auch mögliche Reputationsrisiken sowie bestehende oder zu schaffende Kontrollmöglichkeiten sowie konkrete Vorschläge zur Risikobekämpfung abgefragt werden.

40

Die identifizierten Risiken sind sodann einer Bestandsaufnahme und einer Auswertung nach Höhe und Bedeutung für das Unternehmen zu unterziehen. Auch für diesen Arbeitsschritt sollte die Compliance-Abteilung die Unterstützung des Risikomanagements bekommen: Risikobewertungsprozesse müssen in der Regel nicht neu erfunden werden; das entsprechende Know-how ist in den meisten Unternehmen bereits in der ein oder anderen Form vorhanden.

41

Sobald die für das Unternehmen „bedeutsamen“ Risiken herausgefiltert wurden, stellt sich die Frage, wie diese Risiken zu bekämpfen bzw. zu kontrollieren sind. Hierfür bedarf es eines Planungsprozesses, in dem für jedes identifizierte Risiko ein „Schlachtplan“ festgelegt wird, anhand dessen der Umgang mit diesem Risiko bestimmt wird. In diesem Planungsprozess ist insbesondere zu berücksichtigen, dass nicht jedes Risiko vollständig bekämpft werden kann, weshalb ggf. eine „Risikotoleranzebene“ definiert werden sollte.

Stellt sich im Rahmen der Bestandsaufnahme und der Auswertung möglicher Compliance-Risiken im Unternehmen heraus, welche Hauptrisiken für das Unternehmen bestehen (z.B. Kartellrecht, Korruption, Datenschutz, Vertrieb etc.), sollten diese in den für das anstehende Geschäftsjahr durchzulaufenden Compliance-Plan integriert werden.