© Getty Images / GaudiLab
© Getty Images / GaudiLab
Sponsored Post

Compliance-Risikoanalyse: No risk, more fun?

Pandemie hin oder her – die Funktionalität eines Compliance-Management-Systems und die Einhaltung von Compliance-Regeln im Unternehmen muss auch in solchen Zeiten gewährleistet sein. Nur so können Compliance-Verstöße verhindert und Haftungsrisiken minimiert werden. Doch dazu müssen Sie Ihre Compliance-Risiken kennen, und zwar sowohl die „üblichen“ als auch neue. Denn die durch SARS-CoV2 verursachte Pandemie rückt Themenfelder wie Kurzarbeit, Arbeitsschutz und Hygienevorschriften in den Fokus.

Das Pferd von vorn aufzäumen

Die Compliance-Risikoanalyse bildet zweifelsohne das Fundament eines nachhaltigen und wirksamen Compliance-Management-Systems und ist daher immer der erste logische Schritt bei der Implementierung eines solchen Systems. Risiken müssen zuerst identifiziert, dann analysiert und anschließend im Kontext der Organisation evaluiert werden. In einem weiteren Schritt werden dann bei der Implementierung des Compliance-Management-Systems passende Ressourcen bestimmt und situationsgerechte Prozesse eingeführt, um die identifizierten Risiken zu managen und im Idealfall zu minimieren.

Das Rüstzeug – Standards & Normen

Alle Standards und Normen für Management-Systeme basieren auf einem risikoorientierten Ansatz. Bei der ISO 19600, dem internationalen Standard für Compliance-Management-Systeme und der Nachfolgenorm ISO 37301, die im Laufe des nächsten Jahres die 19600 ersetzen soll, wird in beiden Fällen gleichermaßen eine Compliance-Risikoanalyse als Grundlage für das Management-System gefordert. Darüber hinaus fordern die Normen, dass die Compliance-Risiken regelmäßig und unter bestimmten Umständen gänzlich neu bewertet werden. In der Praxis müssen die Überprüfung und Neubewertung in der Regel alle 12 bis 18 Monate erfolgen. Ein Ausnahmezustand wie die aktuelle Pandemie führt eher noch zu einer Verkürzung dieser Zeitabstände. Oder um es anders zu sagen: Die Wachen müssen ständig besetzt sein und kontinuierlich nach neuen oder veränderten Risiken Ausschau halten.

Keine Illusionen beim Schlachtplan – Praktische Vorgehensweise bei der Compliance-Risikoanalyse

Im Rahmen der Risikoanalyse müssen potenzielle Möglichkeiten zur Regelübertretung identifiziert werden. Es ist illusorisch, zu glauben, man könne diese vollumfänglich identifizieren – das wird nicht funktionieren.  Ziel sollte vielmehr sein, möglichst viele Risiken zu bestimmen, um das Gesamtrisiko für das Unternehmen weitestgehend zu reduzieren.

In der Praxis gibt es verschiedene Ansätze, um die Compliance-Risikoanalyse durchzuführen. Abhängig von der Größe des Unternehmens sowie von der gegebenen Situation eignen sich einige Methoden besser als andere. Zu den klassischen Top-Down Ansätzen gehören die Methoden Interview und Workshop. Dabei wird die obere Führungsebene zu den Compliance-Risiken ihrer Verantwortungsbereiche befragt, um im Anschluss eine Risikolandkarte für das Unternehmen zu erstellen. Den anderen Weg beschreitet der Bottom-Up-Ansatz, bei dem die Mitarbeitenden „an der Basis“ von den Kolleg*innen aus der Compliance-Abteilung zu den Compliance-Risiken befragt werden. Sehr häufig sehen erstgenannte aufgrund Ihrer direkten Nähe und ihrer täglichen Arbeit andere Compliance-Risiken als die obere Führungsebene. Optimal ist daher der Mix aus Top-Down- und Bottom-Up-Ansatz.

Es geht los – doch wie und womit?

Der Mix aus Top-Down- und Bottom-Up-Ansatz lässt sich mit einer onlinegestützten Befragung realisieren. Dabei beantworten die Mitarbeitenden unterschiedliche Fragen aus verschiedenen Risikobereichen in Abhängigkeit von ihrer Funktion und schätzen so die Risiken aus ihrer Sicht ein. Die Befragung sollte anonym erfolgen, da die ehrlichsten Antworten zu erwarten sind, wenn keine Rückschlüsse auf die einzelne Person gezogen werden können. Gleichzeitig wird man dadurch auch dem Thema Datenschutz gerecht und vermeidet unnötige Konflikte mit dem Betriebsrat.

Eine onlinegestützte Befragung kann problemlos für ein paar tausend Mitarbeiter*innen in verschiedenen Sprachen durchgeführt werden. In Zeiten von Corona bietet diese Methode außerdem einen entscheidenden Vorteil: Die Befragung erfolgt völlig kontaktlos und unabhängig davon, ob sich der Mitarbeitende im Büro oder im Home-Office befindet. Die Ergebnisse der Umfrage werden außerdem systemseitig konsolidiert und zur weiteren Verarbeitung, beispielsweise für eine Risiko-Heatmap oder ein Compliance-Dashboard, aufbereitet.

Wir unterstützen Sie gerne bei der Durchführung Ihrer unternehmensspezifischen Compliance-Risikoanalyse. Sie können mich gerne persönlich per Mail kontaktieren, um mit mir Ihre unternehmensspezifische Compliance-Risikoanalyse zu besprechen. 

Weiterführende Informationen zu diesem und anderen Themen finden Sie auf der Internet-Seite von Idox Compliance.

 

Das könnte sie auch noch interessieren

Foto: Getty Images / Eric Audras

Die neue EU-Richtlinie zum Schutz von Whistleblowern

Es ist jetzt genau einen Monat her, seit dem der Entwurf einer EU-Richtlinie zum Schutz von Whistleblowern veröffentlicht wurde. Und die erste offizielle Beratung durch die EU-Justizminister steht...

Foto: Getty Images / yacobchuk

Was erfolgreiche Compliance-Einheiten ausmacht

Auf diese Frage liefert die aktuelle Berufsfeldstudie des Berufsverbandes der Compliance Manager (BCM) keine Antwort. Sie spiegelt aber an einigen Stellen interessante Ergebnisse zum Stand der...

Foto: Thinkstock / seb_ra

Keine „Vorgesetztenverantwortlichkeit“ im Strafrecht!?

Rechtsprechung und Strafverfolgungsbehörden erhöhen seit Jahren stetig den Druck auf Unternehmen und deren Leitungspersonen. Zuletzt kam ein weiterer Impuls von Seiten der Politik.

Foto: Thinkstock / Michail_Petrov-96

Wir kriegen euch alle!

… oder auch nicht. Das hängt vom Geschick in der Kommunikation der Compliance-Dinge ab. Vor einem Jahr wurde das Ranking der Verhaltenskodizes der DAX-30-Unternehmen veröffentlicht – und hat in...

Mirko Haase, Foto: Laurin Schmid

„Zukünftig wird sich die Ressourcenverteilung ändern.“

Mirko Haase, Präsident des BCM und Chief Compliance Officer von Hilti Corporation, über die Entwicklungen des Compliance-Fachs in den letzten fünf Jahren, die Zukunftsperspektiven und über die...

Foto: Thinkstock / YakobchukOlena

Die EU-DSGVO als Chance nutzen

Die europäische Datenschutzgrundverordnung (EU-DSGVO) tritt am 25. Mai 2018 in Kraft. Während der Stichtag immer näher rückt, müssen sich die Verantwortlichen durch eine Flut an Informationen...

Neuen Kommentar schreiben