Compliance – Risikominimierung durch klar definierte Analyse
Das Risiko, durch Non-Compliance nicht nur materielle, sondern auch hohe immaterielle Schäden zu erleiden, ist höher als je zuvor. Die Auswirkungen können teilweise existenzgefährdend sein. Für eine effektive Schadensprävention ist ein funktionierendes CMS für Unternehmen daher unabdingbar. „Maßgebliche Voraussetzung hierfür ist es, dass ein Unternehmen seine eigenen Risiken und das Risikoumfeld genau kennt“, so Harald W. Potinecke, Partner bei CMS Hasche Sigle. Risikoanalysen bestehen aus Risikoidentifizierung, Risikobestimmung und Risikobewertung und sind sowohl vor der Implementierung eines CMS als auch während der Durchführung eines CMS unabdingbar, um dieses ständig zu kontrollieren und zu verbessern. Vor jeder Risikoanalyse ist der zu analysierende Bereich klar zu definieren, über den im Rahmen der Risikoidentifizierung möglichst viele Informationen zusammengetragen werden, um relevante Schwachstellen im Unternehmen aufdecken zu können.
Die so erlangten Informationen geben jedoch nur erste Anzeichen für bestimmte Risikoindikatoren und enthalten noch keine Aussage darüber, ob dieses auch konkret besteht und welche Relevanz es für die Compliance-Situation des Unternehmens hat. Nach der Bestimmung der Risiken sind diese zu bewerten, damit konkrete Handlungsvorschläge entwickelt werden können. Die Bewertung der identifizierten Risiken ist hierbei maßgeblich von der Eintrittswahrscheinlichkeit und der Schadenshöhe eines potenziellen Risikos abhängig. „Je höher eine der beiden Variablen oder beide Variablen zusammen bewertet werden, desto höher ist das Risiko“, so Potinecke weiter. Hierauf aufbauend ist im Rahmen der Risikobewältigung die Entwicklung konkreter Strategien zur Risikovermeidung, -verminderung und -tragung erforderlich.
Nach der Implementierung des CMS ist es notwendig, die Effizienz und die Weiterentwicklung des Systems durch kontinuierliche und wiederholte Risikoanalysen zu prüfen und zu verbessern. Das Business-Partner-Screening, also die Überprüfung von Geschäftspartnern hinsichtlich deren eigener Compliance stellt eine besondere Form der Risikoanalyse dar. Diese Überprüfungen sind zwischenzeitlich insbesondere in der Automobilbranche ein zentraler Bestandteil eines funktionierenden und aktiven Compliance-Management-Systems.