In 6 Schritten zur Compliance-Risikoanalyse

«Zum Erfolg gehört vor allem, Risiken zu vermeiden.» verkündete Warren Buffett und ist gut damit gefahren. Und ein grosses Stück trägt Compliance dazu bei. Es geht darum rechtliche Risiken im Unternehmen zu vermeiden. Der erste Schritt dahin ist herauszufinden, wo diese Risiken im Alltagsgeschäft stecken und wie sie aussehen. Das ist die Risikoanalyse und hier erfährst du, wie du sie startest.

Was ist die Compliance-Risikoanalyse?

Was ist das eigentlich? Und warum ist das so wichtig? Wenn du mich fragst, geht es bei der Risikoanalyse darum herauszufinden, wo im Alltagsgeschäft welche rechtlichen Risiken stecken. Du kannst sie nur reduzieren, wenn du weisst was es ist und bei wem es ist.

Wie man das macht? Ich sehe es als systematisches Fragen und Zuhören. Es ist eine Umfrage beim Business nach den rechtlichen Risiken. Die Risken und die Personen, die diese verursachen muss der Compliance Manager finden, um die richtigen Massnahmen am richtigen Ort einsetzen zu können. Diese «Bedürfnisanalyse» muss ausgewertet und dokumentiert werden.

Dokumentieren solltest du auch die Methode als solche, damit nachvollziehbar ist, wie du zu den Ergebnissen gekommen bist und damit du es über die Jahre wiederholen, verfeinern und verbessern kannst.

Schritt 1: Erstelle einen Risikokatalog

Es geht ja darum, den richtigen Personen, die richtigen Fragen zu stellen. Dafür benötigst du einen Fragenkatalog, den Risikokatalog. Was einfach klingt, ist oft ein langer Lernprozess. Denn je mehr du weisst, desto besser kannst du fragen. Aber das braucht am Anfang etwas Zeit.

Als Compliance Manager kennst du die Gesetze und internen Regeln. Du kannst abschätzen, welche Regelverstösse sich wie schwer auswirken würden und welche Nachteile für das Unternehmen, die Geschäftsleitung oder einzelne Mitarbeitende entstehen könnten. Was du am Anfang aber nicht weisst ist, welche Personen im Unternehmen in ihrem Geschäftsalltag gegen welche Regeln verstossen könnten und warum. Wo lauern die Gefahren in dem konkreten Geschäftsmodell? Um das zu erfahren, musst du das Business kennen lernen und fragen.

Solche rechtlichen Fragen verständlich zu stellen ist eine Herausforderung und verlangt von dem Compliance Officer ein tiefgehendes Verständnis von der täglichen Arbeit der Mitarbeitenden. Korruption beispielsweise kann vielfältige Erscheinungsformen annehmen. Damit Mitarbeitende erkennen, ob ein Risiko in ihrem Alltag eine Rolle spielt, müssen diese auf ihren spezifischen Arbeitsalltag zugeschnitten oder mit Beispielen beschrieben werden. Das ist das eine und wenn das Unternehmen komplex und in verschiedenen Bereichen oder Ländern tätig ist, dann kannst du auch nicht mehr mit allen über alles reden.  Deshalb braucht es einen Plan. Und dieser ist, wenn du auf der grünen Wiese startest, nicht ganz einfach. Die gute Nachricht aber ist, er wird mit jeder Runde besser.

Der Risikokatalog ist also das Drehbuch für deine schriftliche Fragebögen oder Gespräche mit dem Business . Und bereits diese Risikoanalyse als solches ist risikobasiert. Wie kommt man nun zu einem guten Drehbuch?

Risikobasiert fragen

Zeit und Ressourcen für Compliance sind im Unternehmen begrenzt. Demgegenüber steht eine nahezu unüberschaubare Liste an rechtlichen Pflichten. Das können nationale, internationale, externe und interne Regeln sein. Nicht allen Risiken kannst du mit der gleichen Intensität begegnen. Denjenigen Mitarbeitenden mit den grössten Risiken musst du zuerst und mit der grössten Unterstützung zur Seite stehen. Da hilft die Risikoanalyse, um die Aktivitäten zu priorisieren und die richtigen Compliance-Massnahmen für die richtigen Personen zu gestalten. Deshalb verlangen alle Standards, dass die Compliance-Massnahmen gezielt, d.h. risikobasiert eingesetzt werden.

Von «perfekt» befreien

Es gibt nicht den perfekten Start! Überhaupt starten ist wichtiger als es perfekt zu machen. Starten und dann nach und nach verbessern, das ist das Ziel. Eine gute Vorbereitung hilft am Anfang viel,  aber erst mit der Zeit werden die Fragen immer gezielter und besser. 

Umfang eingrenzen

Die Zahl an rechtlichen Risiken erscheint endlos. Wo anfangen? Du musst dich auf das Wesentliche beschränken. Du gehst vom Groben ins Feine. Eingrenzen kann man inhaltlich, organisatorisch oder auch zeitlich. Das ist aus zwei Gründen wichtig, einerseits, weil du nicht alles auf einmal abfragen kannst und andererseits, weil das Ziel ist, die entdeckten Risiken anschliessend zu minimieren. Du musst die aufgekommenen Themen auch abarbeiten können. Deshalb kann es wichtig sein gerade soviel umzugraben, das auch bepflanzt werden kann und in der nächsten Runde wird das Feld vergrössert.

Eingrenzen lässt sich die Risikoanalyse auf verschiedene Arten: Zum einen müssen die wichtigsten Themen zuerst adressiert werden. Das ist der inhaltliche Umfang. Zum anderen müssen diejenigen organisatorischen Einheiten, beispielsweise Divisionen oder Tochtergesellschaften, mit besonders hohen Risiken zuerst erfasst werden. Das ist der organisatorische Umfang. Oder die Themen können zeitlich gestaffelt abgearbeitet werden. 

Inhaltlich

In einer ersten Runde gehst du die dinglichsten Risiken zuerst an.

Starte mit einer Liste an gesetzlichen Themen. Schon diese kann gefühlt endlos sein und deshalb musst du Prioritäten setzen. Die möglichen Regelverstösse mit den grössten, oft existenzgefährdenden Risiken sind die wichtigsten. Starte mit einer Liste an Compliance-Themenbereichen, wie beispielsweise Korruption, Wettbewerbsrecht, Exportkontrolle, Datenschutz, Arbeitsrecht, Fraud etc. Bei vielen Unternehmen sind das zwischen 5 und 10 Themenbereiche, um die sich Compliance intensiv kümmert. Diese Themen stellst du dem Geschäftsmodell des Unternehmens gegenüber. Überlege, welche Compliance-Risiken bei der Art der getätigten Geschäfte an welchen Orten besonders stark auftreten könnten. Was könnte im schlimmsten Fall passieren? Eine Bank hat andere Risiken als ein Autozulieferer. Der Blick geht also immer zwischen den bindenden Regeln und dem konkreten Geschäftsmodell des Unternehmens hin und her.

Hier können Branchenverbände oder Studien helfen, die Listen mit typischen Risiken in bestimmten Bereichen bereithalten. Oder du wirfst einen Blick auf den Verhaltenskodex von Konkurrenten. Welche Themen haben andere Unternehmen adressiert?  So kommst du zu einer Liste mit Compliance-Themenbereichen.

Auch hier gibt es keine Garantie, dass du alles gesehen hast. Vielleicht musst du dich mit wenig Ressourcen sogar bewusst zuerst auf einige wichtige Themen beschränken und weitere im nächsten Jahr aufnehmen. Da hilft es auch zu schauen, welche Compliance-Themenbereiche bereits durch andere Abteilungen im Unternehmen abgedeckt werden. Plane, welche Themen sofort aufgearbeitet werden müssen und welche auf das nächste Jahr verschoben werden können.

Organisatorisch

Dann entscheidest du, wie weit die Umfrage im Unternehmen in einem ersten Schritt reichen soll. Sind die Ressourcen begrenzt, musst du dich in einem Konzern beispielsweise auf bestimmte Divisionen oder Tochtergesellschaften in ausgewählten Ländern beschränken. Entscheidend ist, wie exponiert diese Bereiche sind. Ein hohes Risiko muss zuerst angegangen werden. Die Risikoanalyse kann dann im Folgejahr erweitert werden.

Zeitlich

Denkbar wäre auch, die Risikogespräche zu staffeln und in jedem Jahr eine bestimmte Anzahl an Tochtergesellschaften zu erfassen. Wichtig ist, dass diese Auswahl nicht willkürlich, sondern risikobasiert erfolgt. Dokumentiere deine Überlegungen. Damit erhältst du eine Liste mit den wesentlichen Compliance-Themenbereichen und den organisatorischen Einheiten, die befragt werden sollen. Doch wie werden aus diesen Themen konkrete Fragen?

Nun hast du den Scope der Risikoanalyse erfasst und die Themen sind aufgelistet.

Szenarien machen es konkreter und verständlicher

Jetzt geht es darum, die Compliance-Themen weiter zu konkretisieren. Denn wenn dein Drehbuch bisher «Korruption» enthält und du nun das Business fragst, ob Korruption in ihrem Geschäftsalltag tatsächlich ein Risiko ist, könnte die Antwort «Nein» sein. Es ist zu wenig konkret. Wie würde Korruption in meinem Alltag denn aussehen? Genaue Fragen sind notwendig, die vielleicht sind: «Wenn ihr mit Amtsträgern verhandelt oder eine Genehmigung braucht, wird dann nach besonderen Gebühren gefragt?» «Werden neue Aufträge durch Berater oder andere Mittler akquiriert?» Diese Beispiele werden auch Szenarien genannt. Der Risikokatalog sollte mit solchen Szenarien angereichert werden. Dafür geht der Blick wieder zwischen den rechtlichen Pflichten und dem Geschäftsalltag hin und her. Teile das Unternehmen in kleinere Einheiten, beispielsweise Regionen, Geschäftsbereiche, Produktlinien etc. Versuche dir den Alltag in diesem Business vorzustellen und was das rechtlich bedeutet. Welche Fallstricke lauern dort? Vielleicht lässt sich mehr in Organisationshandbüchern oder Geschäftsberichten herausfinden. Eventuell musst du  aber auch erst erfragen, wie der  Geschäftsalltag in einer bestimmten Einheit aussieht.

Diese Szenarien ergeben dann deine heatmap und verfeinern die Themen.

Daten nutzen

Um weitere Risiken zu erkennen oder zu sehen, wie sich existierende Risiken verändern, solltest du zusätzliche Informationsquellen nutzen. Damit kannst du dem Business noch besser auf den Zahn fühlen oder neue Herausforderungen ansprechen. Du siehst dunkle Wolken schneller heraufziehen und das kann echten Nutzen stiften. Solche Quellen für Informationen kannst du unternehmsintern oder -extern finden. Beispiele für interne Quellen:

• Geschäftsberichte
• Organisationshandbücher
• Strategiepapiere
• Interne Meldungen
• Interne Anfragen
• Erkenntnisse aus internen Untersuchungen
• Erkenntnisse des internen Audits
• Berichte des Risikomanagements

Beispiele für externe Quellen:

• Veränderungen am Markt
• Statistiken behördlicher Untersuchungen
• Gerichtsentscheidungen
• Fälle bei Konkurrenten oder anderen Unternehmen
• Korruptionsindex

Überlege, welche Information sich wie im Business auswirken könnte. Beispielsweise kann ein starker Preisdruck in bestimmten Märkten dazu führen, dass die Verkäufer eher zu Preisabsprachen neigen. Ein neuer Konkurrent in solchen Märkten kann existierende Kartelle auffliegen lassen. Dokumentiere, welche Quellen ausgewertet wurden. Und auch hier gilt wieder klein anfangen und stetig verbessern.

Brutto- oder Nettorisiko

Die Risikokataloge für verschiedene Funktionen oder Geschäftsbereiche sind nun mit Szenarien angereichert. Das ist das Drehbuch für die Risikoanalyse. Das so ermittelte Risiko ist das Bruttorisiko. Das ist das existierende Risiko, bevor irgendwelche Massnahmen zur Reduktion zum Einsatz kommen. 

Du solltest aber auch nach bereits existierenden Compliance-Massnahmen fragen: Gibt es einen Code of Coduct?  Gibt es eine Richtlinie oder Schulungen und so weiter? Diese Massnahmen reduzieren das Risiko und führen dann zum Nettorisiko.

Schritt 2: Die Risiko-Eigner finden

Jetzt weisst du, nach welchen Risiken du suchen möchtest und musst nun bestimmen, bei wem du suchst. Welche Personen können diese Risiken verursachen? Suche zuerst nach den Funktionen. Bestimmte Jobs sind aus Compliance-Sicht risikobehafteter als andere. Für das Wettbewerbsrecht könnten es beispielsweise die Verkäufer sein. Kickback Zahlungen sind ein Risiko des Einkaufs etc.. Organigramme der jeweiligen Einheit können weiterhelfen, die konkreten Personen zu finden. Wenn du nun feststellst, dass es zu viele Personen sind und eine solche Anzahl an Gesprächen nicht zu bewältigen ist, ist ein Plan gefragt. Wie wäre es, die Gespräche zu staffeln und beispielsweise festzulegen: In diesem Jahr spreche ich mit dem Einkauf und im nächsten Jahr mit dem Verkauf? Oder genügt ein mittelbares Gespräch? Ich befrage den CEO, beispielsweise der Tochtergesellschaft und er beschafft sich die Informationen seinerseits? Oder ich spreche mit einer übergeordneten Leitungsebene, diese wissen, wie das Geschäft läuft. Oder du verschickst eine Umfrage an bestimmte Funktionen. Dann wählst du diejenigen, bei denen mehr „red flags“ aufleuchten aus für ein vertieftes Gespräch.

Bei allen Überlegungen nicht vergessen, die Methodik und Vorgehensweise zu dokumentieren. Halte fest, warum du welchen Ansatz gewählt hast. Daraus kannst du Schlüsse für die nächste Runde ziehen. Was hat funktioniert und was nicht?

Schritt 3: Die Umfrage durchführen

Die Umfragen können auf verschiedene Arten erfolgen und müssen ausgewertet werden.

Selbst- oder Fremdassessment

Die Compliance-Risiken kannst du in workshops oder in Interviews durchführen und bewertet. Dann spricht man von einem Fremdassessment. Du führst es durch und bewertest das Risiko gemeinsam mit dem Business.

Du kannst die Beantwortung der Fragen aber auch der jeweiligen organisatorischen Einheit selbst überlassen. Dann ist es ein Selbstassessment. Du verschickst die Fragbögen, die vom Business beantwortet werden sollen. Sie schätzen die Höhe und Wahrscheinlichkeit des Risikos in der Umfrage selbst ein. Auf diesem Weg erhältst du rasch viele Informationen. Es ist aber weniger sicher, ob die Fragen wirklich auch immer verstanden wurden. Sie bekommen mit einer Online-Umfrage auch kein Gefühl für Ihre «Kunden» und deren Geschäftsalltag

Oft werden workshops und Interviews durchgeführt, um Themen erklären zu können. Nicht alle juristischen Untiefen sind für den Laien verständlich und manchmal sieht der Alltag eines Mitarbeitenden anders aus als das, was sich der Jurist bei der Vorbereitung vorgestellt hat. Manchmal tauchen in der Diskussion auch Themen auf, an die du im Vorfeld nicht gedacht hast. Diese Gespräche sind deshalb sehr wertvoll, aber für beide Seiten zeitintensiv. Etwas Zeit kann gespart werden, wenn du dem Business vorab einen Fragebogen zur Vorbereitung schickst. Gespräche haben ausserdem den erheblichen Vorteil, dass das Business für rechtliche Risiken sensibilisiert wird und die Ansprechpersonen kennenlernt. Das sind zugleich dann auch noch Trainingseinheiten. 

Die verschiedenen Wege lassen sich aber auch geschickt kombinieren. Lege risikobasiert fest, welche Bereiche oder Länder du persönlich besuchen möchtest und welche einen Fragebogen erhalten. Im darauffolgenden Jahr könntest du dann diejenigen Einheiten besuchen, die im vergangenen Jahr „nur“ einen Fragebogen erhalten haben.

Tool

Die Ergebnisse müssen festgehalten und ausgewertet werden. Dafür eignet sich eine einfache Exceltabelle oder auch ein Worddokument. Geht es darum, dass später auch die Umsetzung von Massnahmen überwacht werden soll oder verschiedene Mitarbeitenden darin arbeiten müssen, gibt es auch spezielle Anbieter. Vielleicht nutzen andere Einheiten im Unternehmen bereits ein entsprechendes toll, das sich auch für Compliance eignen würde.

Schritt 4: Die Antworten auswerten

Wichtig ist die Auswertung, denn die Risikoanalyse dient als Grundlage für entsprechende riskominimierende Massnahmen. Ausserdem ist sie Grundlage für einen Bericht an den Verwaltungsrat oder die Geschäftsleitung, denn diese tragen einen Teil der Verantwortung für Compliance und müssen informiert sein. Ausserdem sprechen sie das Budget und die Ressourcen und müssen deshalb wissen, was wo benötigt wird. Schon zu Beginn der Risikoanalyse empfiehlt es sich deshalb zu überlegen, wie  du die Daten auswerten möchtest.

Die Art der Auswertung ist von Unternehmen zu Unternehmen verschieden. Manchmal sind es Risikopunkte auf einer Skala, Ampeln oder Felder in einer Matrix. Häufig wird von Compliance auch dieselbe Matrix mit Eintrittswahrscheinlichkeit und Schadenshöhe genutzt, die auch das Risikomanagement verwendet. Diese hat den Vorteil, dass die Risiken alle in einer Übersicht abgebildet werden können. Ausserdem sind die Geschäftsleitung oder der Verwaltungsrat mit dieser Bewertung vertraut und eine einheitliche Art der Bewertung macht die verschiedenen Risiken im Unternehmen vergleichbar. Dann müssen Sie nicht erklären, welche Kategorie welche Bedeutung hat. Überlegen Sie, was für Sie und die Unternehmensleitung praktikabel und erfolgsversprechend ist.

Schritt 5: Alles dokumentieren

Und nun zum Schluss das Dokumentieren nicht vergessen. Notiere alle Schritte und Überlegungen, die du gemacht hast. Das hilft dir und anderen nachzuvollziehen, warum welche Entscheidungen getroffen wurden. Ausserdem kannst du  bewusster reflektieren, was im Nachhinein gut und was weniger gut gelungen ist. Dann gehst du über die Bücher und verbesserst die Risikoanalyse für die nächste Runde.

Schritt 6: Der passende Zeitpunkt

Vielleicht fragst du dich noch, wann der richtige Zeitpunkt ist, die Risikoanalyse durchzuführen. Diesen Zeitpunkt gibt es ja bekanntlich nie. Dem Business kommst du aber sehr entgegen, wenn du die Analyse mit anderen Funktionen im Unternehmen abstimmst und vielleicht organisatorisch zusammenlegst. Gerade das Risikomanagement kommt mit einem ähnlichen Ansatz und viele andere Abteilungen, beispielsweise HR oder Qualität & Sicherheit führen ebenfalls Workshops, Umfragen und Interviews durch. Hier empfiehlt es sich, diese zu koordinieren, damit die Belastung für das Business nicht zu gross wird. 

Zudem musst du entscheiden, wie häufig wer befragt wird. Ist es jährlich oder alle zwei Jahre oder wechseln die Themen ab? Die Entscheidung hängt sehr von der Grösse des Unternehmens, der Art der Risiken und natürlich auch von deinen Ressourcen ab. 

Nun wünsche ich dir viel Erfolg bei der Risikoanalyse! Und hier findest du noch eine Infografik als Überblick.  

Dein Überblick