Pandemie hin oder her – die Funktionalität eines Compliance-Management-Systems und die Einhaltung von Compliance-Regeln im Unternehmen muss auch in solchen Zeiten gewährleistet sein. Nur so können Compliance-Verstöße verhindert und Haftungsrisiken minimiert werden. Doch dazu müssen Sie Ihre Compliance-Risiken kennen, und zwar sowohl die „üblichen“ als auch neue. Denn die durch SARS-CoV2 verursachte Pandemie rückt Themenfelder wie Kurzarbeit, Arbeitsschutz und Hygienevorschriften in den Fokus.
Das Pferd von vorn aufzäumen
Die Compliance-Risikoanalyse bildet zweifelsohne das Fundament eines nachhaltigen und wirksamen Compliance-Management-Systems und ist daher immer der erste logische Schritt bei der Implementierung eines solchen Systems. Risiken müssen zuerst identifiziert, dann analysiert und anschließend im Kontext der Organisation evaluiert werden. In einem weiteren Schritt werden dann bei der Implementierung des Compliance-Management-Systems passende Ressourcen bestimmt und situationsgerechte Prozesse eingeführt, um die identifizierten Risiken zu managen und im Idealfall zu minimieren.
Das Rüstzeug – Standards & Normen
Alle Standards und Normen für Management-Systeme basieren auf einem risikoorientierten Ansatz. Bei der ISO 19600, dem internationalen Standard für Compliance-Management-Systeme und der Nachfolgenorm ISO 37301, die im Laufe des nächsten Jahres die 19600 ersetzen soll, wird in beiden Fällen gleichermaßen eine Compliance-Risikoanalyse als Grundlage für das Management-System gefordert. Darüber hinaus fordern die Normen, dass die Compliance-Risiken regelmäßig und unter bestimmten Umständen gänzlich neu bewertet werden. In der Praxis müssen die Überprüfung und Neubewertung in der Regel alle 12 bis 18 Monate erfolgen. Ein Ausnahmezustand wie die aktuelle Pandemie führt eher noch zu einer Verkürzung dieser Zeitabstände. Oder um es anders zu sagen: Die Wachen müssen ständig besetzt sein und kontinuierlich nach neuen oder veränderten Risiken Ausschau halten.
Keine Illusionen beim Schlachtplan – Praktische Vorgehensweise bei der Compliance-Risikoanalyse
Im Rahmen der Risikoanalyse müssen potenzielle Möglichkeiten zur Regelübertretung identifiziert werden. Es ist illusorisch, zu glauben, man könne diese vollumfänglich identifizieren – das wird nicht funktionieren. Ziel sollte vielmehr sein, möglichst viele Risiken zu bestimmen, um das Gesamtrisiko für das Unternehmen weitestgehend zu reduzieren.
In der Praxis gibt es verschiedene Ansätze, um die Compliance-Risikoanalyse durchzuführen. Abhängig von der Größe des Unternehmens sowie von der gegebenen Situation eignen sich einige Methoden besser als andere. Zu den klassischen Top-Down Ansätzen gehören die Methoden Interview und Workshop. Dabei wird die obere Führungsebene zu den Compliance-Risiken ihrer Verantwortungsbereiche befragt, um im Anschluss eine Risikolandkarte für das Unternehmen zu erstellen. Den anderen Weg beschreitet der Bottom-Up-Ansatz, bei dem die Mitarbeitenden „an der Basis“ von den Kolleg*innen aus der Compliance-Abteilung zu den Compliance-Risiken befragt werden. Sehr häufig sehen erstgenannte aufgrund Ihrer direkten Nähe und ihrer täglichen Arbeit andere Compliance-Risiken als die obere Führungsebene. Optimal ist daher der Mix aus Top-Down- und Bottom-Up-Ansatz.
Es geht los – doch wie und womit?
Der Mix aus Top-Down- und Bottom-Up-Ansatz lässt sich mit einer onlinegestützten Befragung realisieren. Dabei beantworten die Mitarbeitenden unterschiedliche Fragen aus verschiedenen Risikobereichen in Abhängigkeit von ihrer Funktion und schätzen so die Risiken aus ihrer Sicht ein. Die Befragung sollte anonym erfolgen, da die ehrlichsten Antworten zu erwarten sind, wenn keine Rückschlüsse auf die einzelne Person gezogen werden können. Gleichzeitig wird man dadurch auch dem Thema Datenschutz gerecht und vermeidet unnötige Konflikte mit dem Betriebsrat.
Eine onlinegestützte Befragung kann problemlos für ein paar tausend Mitarbeiter*innen in verschiedenen Sprachen durchgeführt werden. In Zeiten von Corona bietet diese Methode außerdem einen entscheidenden Vorteil: Die Befragung erfolgt völlig kontaktlos und unabhängig davon, ob sich der Mitarbeitende im Büro oder im Home-Office befindet. Die Ergebnisse der Umfrage werden außerdem systemseitig konsolidiert und zur weiteren Verarbeitung, beispielsweise für eine Risiko-Heatmap oder ein Compliance-Dashboard, aufbereitet.
Wir unterstützen Sie gerne bei der Durchführung Ihrer unternehmensspezifischen Compliance-Risikoanalyse. Sie können mich gerne persönlich per Mail kontaktieren, um mit mir Ihre unternehmensspezifische Compliance-Risikoanalyse zu besprechen.
Weiterführende Informationen zu diesem und anderen Themen finden Sie auf der Internet-Seite von Idox Compliance.
