info@winheller.com+49 (0)69 76 75 77 80 Mo. - Fr. von 8 bis 20 Uhr, Sa. von 8 bis 17 Uhr
Persönliche Termine nach Vereinbarung

Compliance Risk Assessment als Grundlage eines funktionierenden Compliance-Management-Systems

Compliance-Management-SystemeUnternehmerisches Handeln ist insbesondere bei Mitgliedern der Unternehmensleitung oftmals ein Drahtseilakt zwischen Risikobereitschaft und (persönlichem) Haftungsrisiko. Eine rechtlich zulässige Entscheidung über die Eingehung eines Risikos setzt voraus, dass ihr eine gründliche Analyse der Risikosituation vorausgegangen ist und geeignete Maßnahmen ergriffen wurden, um den erkannten Risiken zu begegnen.

Dies gilt auch für den Bereich der Compliance – allerdings nicht mit dem Ziel, dass das Compliance-Management-System (CMS) jedes nur denkbare Fehlverhalten von Mitarbeitern oder zurechenbaren Dritten verhindert, sondern um systematisches Fehlverhalten zu vermeiden.

Risikopotenziale müssen aufgedeckt werden

Für die Einschätzung, wie groß die unternehmerische Risikobereitschaft sein darf, ist es für ein Unternehmen zwingend erforderlich, die eigenen Risikopotenziale mit Hilfe eines Compliance Risk Assessments (Risikoeinschätzung) aufzudecken und diese genau zu kennen.

Von besonderer Relevanz bei der Ermittlung der Compliancerisiken sind dabei die Bereiche

  • Korruption,
  • Geldwäsche,
  • Datenschutz,
  • Exportkontrolle und
  • Kartellrecht,

die im Regelfall den Kernbereich des Compliance-Management-Systems bilden. Bestimmende Faktoren bei der Analyse der Risiken sind insbesondere

  • Geschäftstätigkeit,
  • Branche,
  • Struktur des Unternehmens bzw. Konzerns,
  • Internationalisierung,
  • Kapitalmarktorientierung und
  • Börsennotierung.

Unternehmerisches Handeln ist immer risikobehaftet

Wie bereits erwähnt ist das Fundament eines effektiven Compliance-Management-Systems eine vorherige umfassende Risikoeinschätzung, d.h. die systematische Identifizierung, Bewertung und Dokumentation der potenziellen Risiken, die sich auf den Ruf des Unternehmens auswirken und rechtliche Konsequenzen haben können.

Alle operativ tätigen Unternehmen sind regelmäßig Compliancerisiken ausgesetzt. Unternehmerisches Handeln ist nicht ohne Risiken möglich, da die Auswirkungen von Handlungen und Entscheidungen nicht sicher vorhersehbar sind. Auch sind – je nach Branche oder Komplexität der Unternehmensstrukturen – bestimmte Organisationen anfälliger für spezifische Compliancerisiken als andere.

Compliance Risk Assessment hilft bei der Schwerpunktsetzung

Infolge der unverändert steigenden regulatorischen Komplexität und dem gleichzeitig vorherrschenden internen Kostendruck sind Führungskräfte mehr denn je gefordert, begrenzte Ressourcen effektiv zu nutzen. Ohne eine umfassende Risikoanalyse besteht für Unternehmen die Gefahr, falsche Schwerpunkte zu setzen, ineffektive Maßnahmen zu etablieren und möglicherweise relevante Risiken völlig unbeachtet zu lassen.

Zur Verminderung oder im besten Fall Vermeidung von Haftungsrisiken und damit möglicherweise zusammenhängender Sanktionsfolgen für Unternehmen und Organe bzw. Führungskräfte ist das Erkennen von Compliancerisiken daher unerlässlich. Die Haftung von Führungskräften kann sich auch negativ auf die Mitarbeiter sowie die Reputation des Unternehmens auswirken. Ein Compliance Risk Assessment ist somit nicht nur grundlegender Bestandteil, sondern bildet zugleich das Fundament eines effektiven CMS, da es in der Praxis zeigt, ob ein Unternehmen imstande ist, (potenzielle) Compliancerisiken festzustellen und diese einzudämmen.

Implementation des Compliance Risk Assessment-Tools

Vor der Durchführung einer umfassenden Risikoeinschätzung ist zunächst erforderlich, dass ein solches „Tool“ im Unternehmen implementiert wird. Dazu müssen Verantwortlichkeiten zugewiesen, ein interdisziplinäres Projektteam zusammengestellt und entsprechende Ressourcen bereitgestellt werden. Darüber hinaus ist aber für die erfolgreiche Realisierung einer umfassenden Risikoeinschätzung auch die Integration in die operative Planung von entscheidender Bedeutung. So sollte insbesondere eine Verknüpfung mit dem klassischen Unternehmensrisikomanagement erfolgen. Im Einklang mit der Unternehmensstrategie und den Wertevorstellungen erfolgen dann die Definition und Bewertung der auf das Unternehmen einwirkenden wesentlichen Compliancerisiken.

Die fünf Phasen der Risikoeinschätzung

Die Durchführung der Risikoeinschätzung besteht grundsätzlich aus fünf aufeinanderfolgenden Phasen und bildet einen dauerhaften Prozesskreislauf.

  1. In der ersten Phase (sog. Risikoidentifizierung) des Risikoeinschätzungsprozesses werden alle potenziell im Unternehmen bestehenden Compliancerisiken ermittelt. Erklärtes Ziel hierbei ist es, alle wahrscheinlichen und möglichen Risiken als Gesamtheit zusammenzutragen. Dies kann beispielsweise im Rahmen eines Risiko-Workshops ausgehend von der Geschäftsleitung oder wesentlichen Prozess- und Risikoeignern geschehen.
  2. In der zweiten Phase (sog. Risikopriorisierung und -bewertung) kann eine Priorisierung – beispielsweise nach Relevanz, Organisationseinheit oder Deliktsart – vorgenommen werden, um eine anschließende detaillierte Einzelbegutachtung der für das jeweilige Unternehmen wichtigsten Compliancerisiken zu ermöglichen. Die Bewertung der identifizierten Compliancerisiken kann im Anschluss daran nach deren Eintrittswahrscheinlichkeit und des daraus resultierenden Schadenspotenzials
  3. Auf Grundlage der aus den beiden vorangegangenen Schritten der Risikoeinschätzung gewonnenen Informationen über mögliche Compliancerisiken im Unternehmen kann anschließend in der dritten Phase die sog. Risikosteuerung Im Laufe dieser Phase werden Bewältigungsstrategien sowie Präventionsmaßnahmen eruiert. Abhängig von der unternehmens- und branchenspezifischen Risikoart und -schwere können diese auf eine Risikovermeidung, Risikoreduzierung, Risikobegrenzung oder Risikoweitergabe ausgerichtet sein.
  4. Die vierte Phase (sog. Risikomonitoring) dient der Überwachung von Veränderungen der im Unternehmen vorliegenden Compliancerisiken. Darüber hinaus wird unter Berücksichtigung dieser sich kontinuierlich verändernden Risikosituation die Wirksamkeit implementierter Bewältigungsstrategien und Präventionsmaßnahmen erfasst.
  5. In der letzten und fünften Phase des Risikoeinschätzungsprozesses, dem sog. Risikoreporting, werden die gewonnenen Informationen über die im Unternehmen vorhandenen Compliancerisikopotenziale schließlich an die Unternehmensleitung sowie an die jeweils relevanten Fachbereiche und Beteiligten übermittelt.

Justierung und Adaptierung des Compliance-Programms

Im Anschluss an die Durchführung der fünf dargestellten Phasen kann auf Grundlage der festgestellten Erkenntnisse das Complianceprogramm anhand der aufgedeckten Risiken justiert und exakt auf die jeweiligen Bedürfnisse des Unternehmens zugeschnitten werden. Denn erst nach vollständiger Identifizierung und Bewertung sämtlicher Risiken können präventive Prozesse und Kontrollen entwickelt, etabliert und implementiert werden. Ein CMS sollte stets auf Schadensprävention und Risikokontrolle ausgerichtet sein.

Eine fehlerhafte oder ungenügende Analyse potenzieller Compliancerisiken kann dazu führen, dass bereits getroffene Maßnahmen oder das gesamte CMS den Compliancerisiken des Unternehmens nicht gerecht werden und somit unwirksam sind.

Eine umfassende Risikoeinschätzung kann haftungsmindernd wirken

Eine umfassend durchgeführte Risikoeinschätzung kann letztlich aus rechtlicher Sicht auch haftungsmindernd wirken, denn eine effektive Risikoerkennung ist immer auch ein Zeichen dafür, dass die Unternehmensführung ihren Aufsichtspflichten hinreichend nachkommt.

Folge davon ist, dass nachhaltig Haftungsrisiken in Unternehmen und für Führungskräfte (persönlich) vermieden oder zumindest vermindert werden können und damit ein erfolgreicher Fortbestand des Unternehmens gewährleistet wird. Gerade auch aus diesem Grund spielt die Durchführung eines umfassenden Compliance Risk Assessments eine überragend wichtige Rolle innerhalb implementierter CMS-Strukturen.

WINHELLER unterstützt beim Thema Compliance Risk Assessment

Wir helfen Ihnen gerne bei der Etablierung, Implementierung bzw. Überprüfung und Ausrichtung Ihres Compliance Risk Assessment-Tools – sowohl in Bezug auf bereits vorhandene oder noch zu entwickelnde Maßnahmen. Konkret unterstützen wir Sie in diesem Zusammenhang bei:

  • Identifizierung von möglichen Risikopotenzialen bzw., sofern die individuellen Risiken Ihres Unternehmens bereits bekannt sind, Priorisierung und entsprechender Berücksichtigung dieser Risiken,
  • Etablierung und/oder Anpassung individueller Compliance-Management-Strukturen innerhalb Ihres Unternehmens,
  • Sensibilisierung durch Informationen, Schulungen und Risiko-Workshops,
  • Stellung des Compliancebeauftragten für Ihr Unternehmen.

Weiterlesen:
Compliance-Management-Systeme
Compliance-Management-Strukturen: Ein unerlässliches Instrument zur Enthaftung

Dr. Constantin Goette

Dr. Constantin Goette

Rechtsanwalt Dr. Constantin Goette berät an den Standorten Frankfurt am Main und München im Bereich Gesellschaftsrecht und ist auf Corporate Governance, Organhaftung und Compliance spezialisiert.

>> Zum Profil

Hinterlassen Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

WINHELLER-Blog via Newsletter

Abonnieren Sie unsere kostenlosen Newsletter und erhalten Sie regelmäßig die wichtigsten Beiträge aus dem Wirtschafts- und/oder Gemeinnützigkeitsrecht bequem per E-Mail. Wählen Sie einfach Ihren Wunschnewsletter aus. (Pflichtfelder sind mit * markiert).

German Business Law News (4x jährlich)
Nonprofitrecht aktuell (1x im Monat)
Ich möchte den oder die ausgewählten Newsletter abonnieren und erteile zu diesem Zwecke meine Einwilligung in die Verarbeitung meiner oben angegebenen Daten durch WINHELLER. Die „Hinweise zur Datenverarbeitung im Rahmen des Newsletter-Abonnements“ habe ich gelesen.
Mir ist bekannt, dass ich meine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft durch Betätigung des Abmeldebuttons innerhalb des Newsletters widerrufen kann. *