Risikoanalyse und Risikomanagement

Doch nicht nur für dessen Implementierung, sondern auch für die Einschätzung, wie groß die unternehmerische Risikobereitschaft sein darf, ist es für Unternehmen zwingend erforderlich, die eigenen Risikopotenziale mithilfe einer Risikoanalyse (sog. Compliance-Risk-Assessment) aufzudecken und diese genau zu kennen. Die Auseinandersetzung mit Chancen und Risiken ist Kernbestandteil ökonomischer Planungsprozesse. Dabei ist es entscheidend, die Interdependenzen zwischen Chancen und Risiken frühzeitig zu (er)kennen und strukturiert in die Entscheidungsfindung einfließen zu lassen. Einzelne Risikofaktoren stehen zudem untereinander in Wechselwirkung.

Aus rechtlicher Sicht kommt dem Compliance-Risk-Assessment auch eine haftungsvermindernde Komponente zu: Eine effektive Risikoerkennung ist immer ein Zeichen dafür, dass die Unternehmensleitung ihren Aufsichtspflichten hinreichend nachkommt. Dies kann, als Bestandteil funktionierender CMS-Strukturen, nachhaltig Haftungsrisiken in Unternehmen und für Führungskräfte (persönlich) vermeiden oder wenigstens vermindern und damit zum erfolgreichen Fortbestand des Unternehmens beitragen. Nicht zuletzt dieser haftungsrelevante Aspekt unterstreicht die Notwendigkeit der Durchführung eines Compliance-Risk-Assessments.

Die im Rahmen des Compliance-Risk-Assessments durchgeführte systematische und ganzheitliche 

• Sammlung, 
• Analyse, 
• (Be-)Wertung und
• Steuerung 

von Compliancerisiken kann als Grundvoraussetzung für die Implementierung und Optimierung eines wirksamen Compliance-Management-Systems (CMS) angesehen werden. Das Compliance-Risk-Assessment ist insofern das Herzstück eines jeden CMS. 

Ein effektives und sich dynamisch an die unternehmens- und branchenspezifischen Risiken angepasstes CMS enthält somit auch ein ausführliches, speziell auf das Unternehmen zugeschnittenes Compliance-Risk-Assessment. Nur mit Hilfe eines aus sich heraus gesunden Systems können etwaige drohende 

• Complianceverstöße, 
• Pflichtverletzungen und 
• Nachlässigkeiten 

frühzeitig erkannt und mit entsprechenden Maßnahmen bekämpft werden, um zivil- und strafrechtliche Haftungsrisiken für das Unternehmen und die Geschäftsleiter, Aufsichtsorgane sowie für leitende Angestellte nebst damit einhergehenden hohen Geldstrafen und Reputationsschäden abwenden zu können.

Ein Compliance-Risk-Assessment besteht grundsätzlich aus fünf aufeinanderfolgenden Phasen und bildet einen fortdauernden Kreislaufprozess: Ausgehend von (1) der Risikoidentifikation, (2) der Risikopriorisierung und -bewertung gelangt man über die (3) Risikosteuerung schließlich zum (4) Risikomonitoring sowie dem (5) Risikoreporting als letzten Schritt des Prozesses.

• Risikoidentifizierung
  In der ersten Phase des Compliance-Risk-Assessments, der (1) Risikoidentifizierung, werden alle potenziell im Unternehmen bestehenden Compliancerisiken ermittelt. Ziel hierbei ist es, alle wahrscheinlichen Risiken – etwa im Rahmen eines Risiko-Workshops ausgehend von der Geschäftsleitung oder wesentlichen Prozess- und Risikoeignern – als Gesamtheit zusammenzutragen.
• Risikopriorisierung
  Um eine anschließende detaillierte Einzelbetrachtung der für das jeweilige Unternehmen wichtigsten Compliancerisiken zu ermöglichen, kann im Rahmen der (2) Risikopriorisierung und -bewertung eine Vorselektion, etwa nach Relevanz, Organisationseinheit oder Deliktsart, vorgenommen werden. Die Bewertung der identifizierten Compliancerisiken kann sodann anhand deren Eintrittswahrscheinlichkeit und des Schadenspotenzials erfolgen.
• Risikosteuerung
  Auf Basis der aus den beiden vorangegangenen Schritten des Compliance-Risk-Assessments gewonnenen Informationen über potenzielle Compliancerisiken im Unternehmen, kann nun die (3) Risikosteuerung erfolgen. Im Zuge dieses Prozessschrittes werden Bewältigungsstrategien sowie Präventionsmaßnahmen ausgelotet. Je nach unternehmens- und branchenspezifischer Risikoart und -schwere können diese auf eine Risikovermeidung, Risikoreduzierung, Risikobegrenzung oder Risikoweitergabe ausgerichtet sein.
• Risikomonitoring
  Die nächste Phase des Compliance-Risk-Assessments, das (4) Risikomonitoring, dient der Überwachung von Veränderungen der im Unternehmen vorliegenden Compliancerisiken. Darüber hinaus wird unter Berücksichtigung dieser sich kontinuierlich verändernden Risikosituation die Wirksamkeit implementierter Bewältigungsstrategien und Präventionsmaßnahmen erfasst.
• Risikoreporting
  Das (5) Risikoreporting schließlich, die letzte Phase des Compliance-Risk-Assessments, umfasst die Übermittlung der gewonnenen Informationen über die im Unternehmen vorhandenen Compliancerisikopotenziale an die Unternehmensleitung sowie die jeweils relevanten Fachbereiche und Beteiligten. Vor Durchführung des Compliance-Risk-Assessments sollte dieses allerdings in erster Linie im Rahmen der Zuteilung von Verantwortlichkeiten in das Unternehmen eingebettet werden. Mittels Zuweisung von Verantwortlichkeiten, dem Zusammenstellen eines interdisziplinären Projektteams und der Bereitstellung entsprechender Ressourcen kann ein effektiver Compliance-Risiko-Management-Prozess etabliert werden. Daneben spielt für die erfolgreiche Realisierung eines Compliance-Risk-Assessments auch die Integration in die operative Planung eine bedeutsame Rolle. So sollte insbesondere eine Verknüpfung mit dem klassischen Unternehmensrisikomanagement erfolgen; Definition und (Be-)Wertung der auf das Unternehmen einwirkenden wesentlichen Compliancerisiken sollten in diesem Zusammenhang und Stadium im Einklang mit der Unternehmensstrategie und den Wertevorstellungen erfolgen.

Wir unterstützen Sie, Risiken zu erkennen und durch (präventive) Maßnahmen die negativen Effekte auf Ihr Unternehmen, Ihre Reputation sowie Ihre persönlichen Haftungsrisiken zu verhindern. Durch unternehmensbezogene Maßnahmen wie

• Erfassen des Risikopotenzials des individuellen Unternehmens,
• Reaktion auf aktuelle Vorkommnisse und Einschätzung etwaiger Risiken,
• präventive Beratung zu branchenspezifischen Risikofeldern,
• Aufbau, Implementierung und Durchführung eines Risikoassessmentsystems,
• Eingliederung in vorhandene Compliance-Management-Strukturen,
• Aufbau und Implementation notwendiger Compliance-Management-Strukturen,
• Etablierung entsprechender Hinweisgebersysteme zur Risikoerfassung und -minimierung und
• Durchführung sämtlicher Schritte und Maßnahmen bei Risikoanalyse (präventiv wie anlassbezogen)

kann systematisch und im Akutfall flexibel Gesetzes- und Regelverstößen begegnet werden.
Hierfür bewerten wir den Status quo Ihres implementierten Compliance-Management-Systems, sowohl als Gesamtkonzept oder im Rahmen ausgewählter Elemente, um auf Ihr Unternehmen spezifisch zugeschnittene und bedarfsgerechte Maßnahmen zu integrieren.