2. Kapitel Grundprinzipien eines Compliance Management Systems › II. Der Weg zu einem effektiven Compliance Management System › 2. Risikoanalyse
2. Risikoanalyse
77
Die oben genannten internationalen Standards bieten eine gute Hilfestellung um die wesentlichen Bestandteile eines CMS für die einzelnen Rechtsgebiete zu ermitteln.[1] Naturgemäß können diese Standards nur sehr allgemeine Vorgaben zur Verfügung stellen, die weder die Industrie, die Größe, noch die internationale Ausbreitung eines Unternehmens berücksichtigen.[2] Damit ein CMS effektiv sein kann, muss es aber bei den geschäftsinhärenten Risiken des Unternehmens ansetzen.[3] Haben etwa Unternehmen in der Öl- und Gasindustrie keine Prozesse und Sicherungen, um zu gewährleisten, dass bei dem Erwerb von Bohrrechten kein rechtswidriges Handeln die Vergabe beeinflusst, helfen dem Unternehmen auch die sorgfältigsten Register für Einladungen und Geschenke nicht dabei, eine Geldbuße abzuwenden.[4]
a) Top-Down-Analyse
78
Zu der Art und Weise, wie eine Risikoanalyse durchgeführt werden sollte, gibt es diverse Ansätze und Methoden. Der kosteneffizienteste und schnellste Ansatz ist eine sogenannte Top-Down-Analyse. Diese beschränkt sich darauf, Gespräche mit der obersten Führungsebene und den Leitern von risikorelevanten Unternehmensbereichen zu führen.[5] Bei diesen Gesprächen lassen sich in der Regel wertvolle Hinweise darauf gewinnen, wo in der Organisation möglicherweise Risiken verborgen sein können. Die Schwäche dieses Ansatzes ist der Umstand, dass die Geschäftsleitung in der Konzernzentrale häufig nicht alle Risiken in den einzelnen Konzerngesellschaften kennt. Eine (zusätzliche) detaillierte Analyse der Risiken in den lokalen Gesellschaften ist daher präziser, aber auch deutlich kostenintensiver. Damit nicht erhebliche Ressourcen und Zeit aufgewendet werden, um teils dutzende lokale Gesellschaften zu prüfen, stehen mittlerweile innovative Ansätze zur Verfügung. Diese sammeln sowohl das lokal vorhandene Wissen, als auch die dort vorhandenen Daten, korrigieren diese und bewerten sie auf Basis einer juristischen Prüfung.
79
Besonders in der Finanzindustrie haben sich mittlerweile feste Standards etabliert, um festzustellen, wie die Risiken in einem Konzern erfasst werden sollen. Diese Ansätze liefern für Unternehmen außerhalb des Finanzsektors wertvolle Hinweise, wie Risiken in Unternehmen effektiv erfasst werden können. Gleichzeitig müssen diese Ansätze für die übrigen Industrien adaptiert werden, weil häufig die Prozesse der übrigen Industrien nicht den Standards der Finanzindustrie entsprechen. Die im Finanzsektor etablierte Prozessrisikoanalyse ist beispielsweise dort nur möglich, weil alle relevanten Prozesse in Banken kartographiert sind. Für den Fall, dass keine umfassenden Prozessbeschreibungen vorhanden sind, müssten diese zunächst mit hohem Aufwand erstellt werden, bevor eine Risikoanalyse wirksam umgesetzt werden kann.
b) Risikoszenarioanalyse
80
Die Risikoszenarioanalyse arbeitet mit bestimmten Szenarien und analysiert mit welcher Wahrscheinlichkeit bestimmte Risikoszenarien eintreten können und welche finanziellen Auswirkungen der Eintritt haben kann. Auch dieser Ansatz ist nur schwer in Industrien außerhalb des Finanzsektors umzusetzen. Die Einschätzung, mit welcher Wahrscheinlichkeit ein Szenario eintritt und welche Konsequenzen dies haben kann, erfordert ein hohes Maß an Kenntnis der entsprechenden Risiken und regulatorischen Rahmenbedingungen. Häufig fehlt das Wissen über belastbare Informationen zu der möglichen Schadenshöhe. In solchen Fällen würde das Unternehmen aber Gefahr laufen, die Risikoanalyse aufgrund einer unsicheren Datenbasis durchzuführen.
c) Risikofaktorenanalyse
81
Die bislang effizienteste Vorgehensweise, um die Risiken in einem Unternehmen außerhalb der Finanzindustrie zu prüfen, ist die Risikofaktorenanalyse.[6] Dabei werden aufgrund von Erfahrungswerten, auch mit Blick auf die internationalen Standards, Risikofaktoren definiert, die das Risiko erhöhen, dass in bestimmten Bereichen rechtswidriges Handeln im Unternehmen vorkommen kann. Hierzu gehören etwa im Bereich der Anti-Korruption die Analyse, in welchem Umfang das Unternehmen Geschäfte mit staatlichen Institutionen oder Organisationen betreibt, in welchem Umfang es auf Vertriebsmittler oder sonstige Dritte zurückgreift, um Geschäft zu akquirieren oder etwa ob es Bargeldzahlungen in lokalen Tochtergesellschaften gibt.[7] Auch die wirtschaftliche Größe und der geographische Tätigkeitsbereich einer lokalen Gesellschaft sind wichtige Faktoren, um das Gesamtrisiko des Konzerns bemessen zu können.[8] Die einzelnen Risikofaktoren lassen sich im zweiten Schritt zu Risikoszenarien bündeln, wie beispielsweise die Bestechung von Amtsträgern (mit oder ohne konkretem Geschäftsbezug) oder die Bestechung im geschäftlichen Verkehr oder horizontale und vertikale Kartellrisiken.[9]
d) Fazit
82
Ziel der Risikoanalyse ist es nicht nur, die wesentlichen Risiken zu identifizieren, sondern darauf aufbauend entscheiden zu können, wo die vorhandenen Ressourcen am sinnvollsten eingesetzt werden müssen, um effektiv die Risiken des Unternehmens zu reduzieren bzw. zu minimieren.
83
Unternehmen sind lebende Organismen. Eine Risikoanalyse kann jeweils nur den Zustand zu einem bestimmten Zeitpunkt erfassen und ist daher regelmäßig zu wiederholen.[10] In welchem Abstand dies zu erfolgen hat, steht zu einem gewissen Grad im Ermessen des Unternehmens. Je nach Risikoexposition und struktureller Veränderungen im Unternehmen, ist generell ein Zeitraum von 1-3 Jahren für die Wiederholung der Risikoanalyse angemessen.
Anmerkungen
ISO 19600, 4.6 Identification, analysis and evaluation of compliance risks, S. 38 ff.; ISO 37001:2016(E), 4.5 Bribery risk assessment, S. 7; DOJ Evaluation of Corporate Compliance Programs in Criminal Antitrust Investigations, I. B. 4. Risk Assessment, S. 7, f.; ICC, The ICC Antitrust Compliance Toolkit, April 2013, 3. Risk identification and assessment, S. 16 ff.; US DOJ, Evaluation of Corporate Compliance Programs, 4. Risk assessment, S. 7 f.
Hauschka/Moosmayer/Lösler/Pauthner/Stephan Corporate Compliance, § 16 Rn. 69.
Wiedmann/Greubel CCZ 2019, 88, 90; Bürkle BB 2018, 525, 526.
Vgl. Sonnenberg JuS 2017, 917, 919 f.
Hauschka/Moosmayer/Lösler/Pauthner/Stephan Corporate Compliance, § 16 Rn. 57 ff.
Hauschka/Moosmayer/Lösler/Pauthner/Stephan Corporate Compliance, § 16 Rn. 81 ff.