Eine Compliance-Risikoanalyse ist aufwändig. Durch Automatisierung und Digitalisierung können Compliance-Manager mehrere Fliegen mit einer Klappe schlagen.
Für die Implementierung eines Compliance-Management-Systems fordern alle Rahmenkonzepte wie beispielsweise der IDW Prüfungsstandard 980 oder die ISO 19600 die Durchführung einer Risikoanalyse. Deren Ergebnisse dienen als Grundlage für die Entwicklung der Compliance-Maßnahmen des Unternehmens, denn die zu implementierenden Maßnahmen müssen sich an den vorhandenen Risiken ausrichten.
Praktische Umsetzung der Compliance-Risikoanalyse
In der Regel ist die Durchführung der Risikoanalyse sehr aufwendig, da alle potenziellen Regelübertretungen für das Unternehmen identifiziert werden müssen. Das heißt, es müssen im Normalfall alle jeweils geltenden Gesetze in Kombination mit allen Unternehmensbereichen betrachtet werden. Da dies in der Praxis nur schwer umsetzbar ist, sollten Unternehmen im ersten Schritt die für sie relevanten Compliance-Themenfelder identifizieren. Sehr wahrscheinlich können bereits hier einige Themenfelder ausgeschlossen werden. Sei es, weil sie das Unternehmen nicht betreffen, oder weil es einen eigenständigen Beauftragten für das Thema gibt, wie zum Beispiel bei Datenschutz oder Arbeitssicherheit. Klassische Themenfelder, die als relevant in Frage kommen, sind Korruptionsprävention, Wettbewerb, Außenwirtschafts- oder Arbeitsrecht.
Nach der erfolgreichen Identifikation der Themenfelder müssen durch Gespräche mit den Verantwortlichen die Risiken der jeweiligen Abteilungen, zum Beispiel Vertrieb, Einkauf, Personal oder Finanzen, erarbeitet werden. Die so entstandene Liste von Compliance-Risiken wird anschließend nach Dringlichkeit priorisiert, um zu erkennen, wo zuerst risikominimierende Maßnahmen eingeleitet werden müssen. International agierende Unternehmen müssen dies auch für alle Auslandsgesellschaften und alle Länder, in denen es agiert, durchführen. Besonders für sie, aber auch für weniger komplexe Unternehmen ist eine Compliance-Risikoanalyse daher ein aufwändiges Unterfangen, für das man ein größeres Team oder externe Unterstützung benötigt.
Digitalisierte & automatisierte Durchführung einer Compliance-Risikoanalyse
Bei einer solchen, onlinegestützten Erhebungsmethode werden die Mitarbeiter eines Unternehmens zu vorab definierten Risikothemen befragt. Zu themenspezifischen Risikofragen (zum Beispiel „Ist in Ihrem Unternehmen die Vergabe von Zuwendungen wie Geschenken, Einladungen usw. erlaubt?“) gibt es jeweils passende Fragen zu risikominimierenden Maßnahmen (zum Beispiel „Gibt es für den Prozess zur Vergabe von Zuwendungen ein formalisiertes Freigabeverfahren?“ oder „Werden in Ihrer Abteilung Zuwendungen gegenüber Dritten schriftlich dokumentiert?“).
Die Zuordnung der Risiken zu den risikominimierenden Maßnahmen erfolgt über eine Matching-Tabelle, aus der ersichtlich ist, welche Maßnahmen Einfluss auf welches Risiko haben. Dabei können die genannten Maßnahmen die Risiken reduzieren. Da eine vorbildliche Compliance-Kultur im Unternehmen ebenfalls positiven Einfluss auf die Risiken haben kann, wird sie im besten Fall miteinbezogen. Das Unternehmen erhält so eine Einschätzung seiner Risiken in Form einer Prioritätenliste unter Berücksichtigung der risikominimierenden Maßnahmen und unter Berücksichtigung der Compliance-Kultur.
Visualisierung der Ergebnisse
Im Idealfall visualisiert ein Dashboard die Ergebnisse für einen besseren Überblick und bietet Möglichkeiten zum gezielten Drill-Down. Über eine Kombination verschiedener Diagramme (Säulen-, Balken-, Kreis-, Netz- oder Linien) können die Risiken und ihre Einschätzung zum besseren Verständnis grafisch dargestellt werden.
Ein Dashboard ist umso sinnvoller, da bei einer automatisierten Lösung im Prinzip alle Gesellschaften und verbundenen Unternehmen eines Konzerns an der Erhebung teilnehmen können. Dabei wird es Mitarbeitern im Ausland ermöglicht, per Webbrowser in ihrer eignen Sprache an der Erhebung der Risiken teilzunehmen. Durch vorgeschaltete Fragen nach dem Land, der Gesellschaft oder Abteilung können die Ergebnisse später im Dashboard gefiltert werden. So werden Risiken je nach Land oder Organisation schneller sichtbar.
Vorteile einer automatisierten Lösung
Die Vorteile einer automatisierten Lösung sind eindeutig: Grundsätzlich ist es möglich, ein eher aufwendiges Unterfangen durch eine onlinegestützte Methode zu ersetzen. Dabei können zeitgleich möglichst viele Gesellschaften in unterschiedlichen Ländern und in unterschiedlichen Sprachen einbezogen werden. Darüber hinaus können die Ergebnisse über ein Dashboard visualisiert und gemäß demografischer beziehungsweise organisatorischer Angaben gefiltert werden. Aus den Ergebnissen können außerdem weitere Compliance-Einzelmaßnahmen abgeleitet werden, um die Compliance-Risiken für das Unternehmen zu minimieren. Letztlich können die Ergebnisse aus der Compliance-Risikoanalyse mit Hilfe des Dashboards auch bei der Geschäftsführung präsentiert werden.
