Die Risikoanalyse ist Basis für den Aufbau eines unternehmensspezifischen Compliance Management Systems: nur wenn klar ist, wo konkret Regelverstöße drohen und welche Folgen diese ggf. für das Unternehmen haben, lassen sich sinnvolle Gegenmaßnahmen ergreifen.
Schematisch können die einzelnen Schritte der Risikoanalyse wie folgt dargestellt werden:
1.
Zunächst werden alle im Unternehmen und dem konkreten Umfeld möglichen Risiken ermittelt und beschrieben. Hier ist – wie meistens im Leben – ein systematisches Vorgehen sinnvoll; aber auch das Sammeln vergangener Regelverstöße und Brainstormig gehören dazu.
2.
Im nächsten Schritt werden die Risiken strukturiert und kategorisiert. Dabei ist eine Systematik nach Leistungsprozessen oder Unternehmensbereichen oft am besten geeignet.
3.
Dann müssen die tatsächlichen Risiken für das Unternehmen analysiert und bewertet werden, indem jeweils die konkret mögliche Schadenhöhe und die Eintrittswahrscheinlichkeit eines Schadens geschätzt werden.
4.
In diesem Zusammenhang müssen auch – ggf. bereits vorhandene – risikomindernde Maßnahmen betrachtet werden; beispielsweise, ob es insoweit bereits Vorkehrungen gibt.
Die Ermittlung der compliancerelevanten Risikofelder sollte unter Einbindung der jeweiligen Fachabteilungen erfolgen – dort ist meist das relevante Wissen darüber vorhanden, wie die Abläufe jenseits irgendwelcher QM-Richtlinien wirklich sind und was alles schiefgehen kann.
Dabei bietet es sich an, zunächst vom Umfeld des Unternehmens her zu denken, also zu untersuchen, welche Risiken aus den Absatz- und Beschaffungsmärkten drohen (Geschäfte in Risikoländern? Unterschiedliche rechtliche Rahmenbedingungen?), dem Geschäftsmodell (hochvolumige Aufträge? Vertrieb genehmigungspflichtiger Produkte? Korruptionsanfälliges Geschäftsfeld?) oder aufgrund der Unternehmensorganisation (viele Tochterunternehmen? Handelsvertreter?).
Es ist ein guter Weg, die so identifizierten Risiken danach zu „ordnen“ und noch einmal die typischen unternehmerischen Funktionsbereiche bzw. Rechtsbereiche im Detail und anhand der konkreten Normen unter die Lupe zu nehmen. Hier kann Ihnen unser Download über Compliancerelevante Normen gute Dienste leisten.
Wenn die möglichen Risiken erfasst und systematisiert sind, geht es darum, diese zu bewerten. Dazu sind zu jedem einzelnen Risiko vier Fragen zu beatworten:
1.
Was ist die Risiko-Wirkung?
Es muss ermittelt werden, welcher Schaden konkret droht. Das kann ein Imageschaden sein, aber auch ein Bußgeld oder ein Vertriebsverbot etc.
2.
Wie ist die Risiko-Höhe?
Dann muss ermittelt werden, wie hoch der Schaden in € ist, wenn das Risiko eintritt. Bei Geldbußen ist das relativ einfach, die Maximalhöhe steht im Gesetz. Bei anderen Schäden müssen Auswirkungen so gut es geht geschätzt und beziffert werden.
3.
Wie groß ist die Risiko-Wahrscheinlichkeit?
Dann muss zu jedem Risiko abgeschätzt werden, mit welcher Wahrscheinlichkeit das Risiko eintreten wird. Prognosen sind bekanntlich schwierig, besonders wenn sie die Zukunft betreffen – anders geht es aber leider nicht.
4.
Was hoch ist der erwartete Schaden?
Schließlich ergibt sich der erwartete Schaden als Produkt von Risiko-Höhe und Risiko-Wahrscheinlichkeit. Wenn ein 5%-iges Risio besteht, dass eine Geldbuße von 50.000 € festgesetzt wird, beträgt der Erwartungswert des Schadens 2.500 € (50.000 € * 0,05).
Es liegt auf der Hand, dass der Fokus auf den Risiken liegen sollte, die einem hohen erwarteten Schaden haben.
Das sind Risiken, die den Fortbestand des Unternehmens bedrohen (unabhängig davon, wie selten sie sind) und Risiken die sich häufig zu verwirklichen drohen. Gedanklich arbeiten Sie sich in der nachfolgenden Grafik von rechts oben nach links unten. Risiken die selten sind und nur geringe Folgen haben falls sie denn eintreten, können Sie getrost vernachlässigen.
Ein schönes Beispiel für das Ergebnis einer Risikoanalyse findet sich im Risiko- und Chancenbericht der Henkel AG & Co. KGaA.
Hier die Übersicht über alle Folgen unserer Miniserie zur Einführung eines Compliance Management Systems:
- In Teil 1 ging es darum, was Compliance ist und warum ein Compliance Management System die Haftung für das Unternehmen und die Unternehmensleitung reduziert.
- In Teil 2 haben wir die relevanten Bereiche und Vorschriften dargestellt, die Sie auf dem Schirm haben müssen.
- In Teil 3 haben wir dargestellt, welche Bausteine zu einem Compliance Management System gehören.
- In diesem Teil 4 haben wir die Risikoanalyse näher beleuchtet.
- In Teil 5 kümmern wir uns schließlich darum, worauf bei der Einführung eines Compliance Management Systems konkret zu achten ist.
Sie haben einen Compliance-Notfall? Kein Problem, wir kümmern uns – nehmen Sie Kontakt auf.