© GettyImages / ChakisAtelier
© GettyImages / ChakisAtelier
Compliance-Risikoanalyse

Digitalisierung spart Zeit und Kosten

Eine Compliance-Risikoanalyse ist aufwändig. Durch Automatisierung und Digitalisierung können Compliance-Manager mehrere Fliegen mit einer Klappe schlagen.

Für die Implementierung eines Compliance-Management-Systems fordern alle Rahmenkonzepte wie beispielsweise der IDW Prüfungsstandard 980 oder die ISO 19600 die Durchführung einer Risikoanalyse. Deren Ergebnisse dienen als Grundlage für die Entwicklung der Compliance-Maßnahmen des Unternehmens, denn die zu implementierenden Maßnahmen müssen sich an den vorhandenen Risiken ausrichten.

Praktische Umsetzung der Compliance-Risikoanalyse

In der Regel ist die Durchführung der Risikoanalyse sehr aufwendig, da alle potenziellen Regelübertretungen für das Unternehmen identifiziert werden müssen. Das heißt, es müssen im Normalfall alle jeweils geltenden Gesetze in Kombination mit allen Unternehmensbereichen betrachtet werden. Da dies in der Praxis nur schwer umsetzbar ist, sollten Unternehmen im ersten Schritt die für sie relevanten Compliance-Themenfelder identifizieren. Sehr wahrscheinlich können bereits hier einige Themenfelder ausgeschlossen werden. Sei es, weil sie das Unternehmen nicht betreffen, oder weil es einen eigenständigen Beauftragten für das Thema gibt, wie zum Beispiel bei Datenschutz oder Arbeitssicherheit. Klassische Themenfelder, die als relevant in Frage kommen, sind Korruptionsprävention, Wettbewerb, Außenwirtschafts- oder Arbeitsrecht.

Nach der erfolgreichen Identifikation der Themenfelder müssen durch Gespräche mit den Verantwortlichen die Risiken der jeweiligen Abteilungen, zum Beispiel Vertrieb, Einkauf, Personal oder Finanzen, erarbeitet werden. Die so entstandene Liste von Compliance-Risiken wird anschließend nach Dringlichkeit priorisiert, um zu erkennen, wo zuerst risikominimierende Maßnahmen eingeleitet werden müssen. International agierende Unternehmen müssen dies auch für alle Auslandsgesellschaften und alle Länder, in denen es agiert, durchführen. Besonders für sie, aber auch für weniger komplexe Unternehmen ist eine Compliance-Risikoanalyse daher ein aufwändiges Unterfangen, für das man ein größeres Team oder externe Unterstützung benötigt.

Digitalisierte & automatisierte Durchführung einer Compliance-Risikoanalyse

Bei einer solchen, onlinegestützten Erhebungsmethode werden die Mitarbeiter eines Unternehmens zu vorab definierten Risikothemen befragt. Zu themenspezifischen Risikofragen (zum Beispiel „Ist in Ihrem Unternehmen die Vergabe von Zuwendungen wie Geschenken, Einladungen usw. erlaubt?“) gibt es jeweils passende Fragen zu risikominimierenden Maßnahmen (zum Beispiel „Gibt es für den Prozess zur Vergabe von Zuwendungen ein formalisiertes Freigabeverfahren?“ oder „Werden in Ihrer Abteilung Zuwendungen gegenüber Dritten schriftlich dokumentiert?“).

Die Zuordnung der Risiken zu den risikominimierenden Maßnahmen erfolgt über eine Matching-Tabelle, aus der ersichtlich ist, welche Maßnahmen Einfluss auf welches Risiko haben. Dabei können die genannten Maßnahmen die Risiken reduzieren. Da eine vorbildliche Compliance-Kultur im Unternehmen ebenfalls positiven Einfluss auf die Risiken haben kann, wird sie im besten Fall miteinbezogen. Das Unternehmen erhält so eine Einschätzung seiner Risiken in Form einer Prioritätenliste unter Berücksichtigung der risikominimierenden Maßnahmen und unter Berücksichtigung der Compliance-Kultur.

Visualisierung der Ergebnisse

Im Idealfall visualisiert ein Dashboard die Ergebnisse für einen besseren Überblick und bietet Möglichkeiten zum gezielten Drill-Down. Über eine Kombination verschiedener Diagramme (Säulen-, Balken-, Kreis-, Netz- oder Linien) können die Risiken und ihre Einschätzung zum besseren Verständnis grafisch dargestellt werden.

Ein Dashboard ist umso sinnvoller, da bei einer automatisierten Lösung im Prinzip alle Gesellschaften und verbundenen Unternehmen eines Konzerns an der Erhebung teilnehmen können. Dabei wird es Mitarbeitern im Ausland ermöglicht, per Webbrowser in ihrer eignen Sprache an der Erhebung der Risiken teilzunehmen. Durch vorgeschaltete Fragen nach dem Land, der Gesellschaft oder Abteilung können die Ergebnisse später im Dashboard gefiltert werden. So werden Risiken je nach Land oder Organisation schneller sichtbar.

Vorteile einer automatisierten Lösung

Die Vorteile einer automatisierten Lösung sind eindeutig: Grundsätzlich ist es möglich, ein eher aufwendiges Unterfangen durch eine onlinegestützte Methode zu ersetzen. Dabei können zeitgleich möglichst viele Gesellschaften in unterschiedlichen Ländern und in unterschiedlichen Sprachen einbezogen werden. Darüber hinaus können die Ergebnisse über ein Dashboard visualisiert und gemäß demografischer beziehungsweise organisatorischer Angaben gefiltert werden. Aus den Ergebnissen können außerdem weitere Compliance-Einzelmaßnahmen abgeleitet werden, um die Compliance-Risiken für das Unternehmen zu minimieren. Letztlich können die Ergebnisse aus der Compliance-Risikoanalyse mit Hilfe des Dashboards auch bei der Geschäftsführung präsentiert werden.

 

 

 

Das könnte sie auch noch interessieren

Foto: Getty Images / Joseph Clark

Technische Compliance als Schlüssel zur Effizienz

Technische Compliance im Großanlagenbau gehört zu den am wenigsten beleuchteten Bereichen. Dabei lassen sich viele Konflikte beseitigen, wenn man die „Spielregeln“ kennt.

Foto: Getty Images / yacobchuk

Was erfolgreiche Compliance-Einheiten ausmacht

Auf diese Frage liefert die aktuelle Berufsfeldstudie des Berufsverbandes der Compliance Manager (BCM) keine Antwort. Sie spiegelt aber an einigen Stellen interessante Ergebnisse zum Stand der...

Foto: Thinkstock / Michail_Petrov-96

Wir kriegen euch alle!

… oder auch nicht. Das hängt vom Geschick in der Kommunikation der Compliance-Dinge ab. Vor einem Jahr wurde das Ranking der Verhaltenskodizes der DAX-30-Unternehmen veröffentlicht – und hat in...

Mirko Haase, Foto: Laurin Schmid

„Zukünftig wird sich die Ressourcenverteilung ändern.“

Mirko Haase, Präsident des BCM und Chief Compliance Officer von Hilti Corporation, über die Entwicklungen des Compliance-Fachs in den letzten fünf Jahren, die Zukunftsperspektiven und über die...

Foto: Thinkstock / oneinchpunch

Herangehensweisen an das Compliance-Risikomanagement

Die Identifizierung, Dokumentation und Bewertung von Compliance-Risiken ist essentiell für das Compliance Management, stellt jedoch Compliance-Beauftragte vor viele Fragen. Eine Handreichung.

Foto: Thinkstock / scyther5

Cyber-Sicherheit rückt in den Fokus der BaFin

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) erkennt die Brisanz des Themas „Cyber-Sicherheit“ und stellt erste Weichen für die Zukunft.

Neuen Kommentar schreiben