Änderung der Risikobewertung für die Einhaltung der Vorschriften zum größeren Nutzen der Gesellschaft
Die Bewertung des Compliance-Risikos wird in der Regel jährlich oder zumindest alle zwei Jahre durchgeführt. Wir bei Speeki sind der Meinung, dass sie jedes Jahr durchgeführt und sogar alle sechs Monate validiert werden sollte. Wir sind auch der Meinung, dass die Art und Weise, wie Risikobewertungen durchgeführt werden, möglicherweise erneuert werden muss, um die Risikoperspektive des Unternehmens zu ändern.
Bei der Bewertung der Auswirkungen eines Risikos sollten Sie unserer Meinung nach (neben den traditionellen monetären oder finanziellen Auswirkungen) auch die Auswirkungen auf die Menschen, Ihre Marke und den Planeten berücksichtigen. Wir werden auf jeden dieser Bereiche eingehen, um unseren Standpunkt zu erläutern und einige Hinweise für diesen wichtigen Prozess zu geben.
Die jährliche Risikobewertung mit halbjährlichem Check-in
Die Compliance-Risikobewertung ist ein außerordentlich wertvolles Instrument für den Compliance-Beauftragten. Sie legt die Prioritäten fest, auf die Sie sich in der nächsten Zeit konzentrieren werden, und zeigt deutlich die Bereiche mit dem höchsten Risiko auf, die Sie berücksichtigen müssen.
Unser Blick auf Speeki ist der Meinung, dass Risikobewertungen mindestens jährlich, besser halbjährlich durchgeführt werden sollten. Hier sind drei Gründe, warum wir diesen Standpunkt vertreten.
1. Die Geschwindigkeit des Wandels in Ihrer Branche
In den meisten Branchen hat die Pandemie die Dinge enorm verändert. Sie hat die Art und Weise verändert, wie Sie verkaufen, vermarkten und an Kunden liefern. Es ist wichtig, diese Veränderungen zu berücksichtigen. Veränderungen in der Branche in Verbindung mit Veränderungen bei der Finanzierung, der Finanzierung, den Investitionen und dem Cashflow können auch zu einer anderen Priorität bei Ihrer Risikobewertung führen. Klar ist, dass sich die Dinge sehr schnell ändern. Wenn Sie mit der Änderung Ihrer Risikobewertung ein Jahr warten, könnte das zu lange dauern.
2. Veränderungen in der Gemeinschaft und bei den Interessengruppen
Ihre Stakeholder äußern ihre Meinung über Ihr Unternehmen und den Zustand der Welt. Hören Sie ihnen zu - vielleicht müssen Sie Ihren Ansatz in bestimmten Fragen auf der Grundlage ihrer Erwartungen ändern. Gesellschaftliche Themen ändern sich blitzschnell, daher ist es sinnvoll, sie zu beobachten und ihnen zuvorzukommen. Wir haben dies an der fast sofortigen erneuten Konzentration auf Rassenfragen am Arbeitsplatz gesehen. Es gibt viele Gemeinschaftsthemen, die lautstark hervorgehoben werden, und die Unternehmen müssen sie sehr schnell berücksichtigen, wenn sie sich weiterentwickeln.
3. Technologische Änderungen
Auch die Technologie verändert sich rasant. Ehe wir uns versahen, hatten wir 5G, KI, die Cloud, fahrerlose Autos und Drohnen in der Luft. Es ist wichtig, dass Sie wirklich darüber nachdenken, wie Sie diese Veränderungen einhalten können und was diese technologischen Fortschritte für Ihre Compliance-Initiativen bedeuten. Wie Sie aus den obigen Ausführungen ersehen können, sind Änderungen in der Gesetzgebung oder im regulatorischen Umfeld in der Regel kein Grund, zu einer regelmäßigeren Risikobewertung überzugehen. Auch dies sind wichtige Veränderungen, aber sie dauern in der Regel länger. Es scheint Jahre zu dauern, bis ein Fall vor Gericht verhandelt wird, und es kann fünf Jahre dauern, bis neue Gesetze in Kraft treten. Gesetzesänderungen sollten zwar bei jedem Überprüfungsprozess ganz oben auf der Tagesordnung stehen, aber sie sind vielleicht nicht so zeitkritisch wie einige der oben genannten Punkte.
Ihre Art, Prioritäten zu setzen, sollte sich ändern
Wir alle wissen, dass die Auflistung der Risiken in einer Risikobewertung nur die halbe Herausforderung ist - man muss auch die Bereiche bestimmen, auf die man sich konzentrieren muss. Dies ist eigentlich eine Frage der Prioritätensetzung. Unternehmen haben sich in der Regel auf Bereiche konzentriert, in denen die Auswirkungen hoch sind und die Wahrscheinlichkeit eines negativen Ereignisses hoch ist. Generell sollte sich dieser Prozess nicht ändern. Was sich jedoch ändern sollte, ist die Definition von "Auswirkungen".
In der Vergangenheit haben wir gesehen, dass die Auswirkungen im Wesentlichen anhand des potenziellen finanziellen Verlusts bestimmt wurden. Diese Art von Verlust kann sich aus möglichen Geldstrafen, Ermittlungskosten oder Geschäftseinbußen aufgrund von Umsatzeinbußen ergeben. In den meisten Fällen wurde die Folgenabschätzung stark von den finanziellen Verlusten bestimmt.
Unseres Erachtens sollte die Berechnung der "Auswirkungen" dahingehend geändert werden, dass die folgenden nichtfinanziellen Aspekte einbezogen werden.
1. Die Auswirkungen auf die Menschen
Anstatt die Kosten für das Unternehmen in Form von finanziellen Risiken zu betrachten, sollten Sie die Kosten für die Menschen (einschließlich der Mitarbeiter, Partner und der Gemeinschaft) berücksichtigen. Die Risiken für die Menschen sind genauso wichtig wie die finanziellen Risiken. Bußgelder im Zusammenhang mit der Korruptionsbekämpfung könnten beispielsweise die höchsten sein (neben Verstößen gegen das Kartellrecht), und Bußgelder im Zusammenhang mit Belästigung, Diskriminierung und Ungleichbehandlung könnten im Vergleich dazu verschwindend gering sein. Es ist jedoch irreführend, nur die finanziellen Aspekte zu betrachten. Sie müssen neben den finanziellen Risiken für das Unternehmen auch die Risiken für die Menschen berücksichtigen - für ihre körperliche und geistige Gesundheit und für ihre Karriere. In einem bestimmten Stadium Ihrer jährlichen Risikobewertung müssen Sie entscheiden, ob der Wert Ihrer Mitarbeiter höher zu bewerten ist als die Verringerung der Geldbußen für schwerwiegende Verstöße.
2. Die Auswirkungen auf Marke und Ruf
Wenn Sie bei Ihrer Bewertung nicht bereits an Markenrisiken denken, dann könnten Sie wichtige Risiken übersehen. Eine im Ausland gezahlte Bestechung zum Beispiel mag die Marke nur geringfügig beeinträchtigen. Wenn jedoch ein leitender Angestellter in ein Belästigungsproblem mit einer weiblichen Angestellten unter seiner Leitung verwickelt ist, wird dies zweifellos den Ruf des Unternehmens beeinträchtigen. Auch wenn die "direkten Kosten" im Zusammenhang mit einer solchen Angelegenheit (Ermittlungskosten, Bußgelder usw.) gering sein mögen, können die Kosten im Zusammenhang mit dem negativen Ruf, dem Verlust von Kunden und der anhaltenden Schädigung der Marke viel höher sein. Bei der Risikobewertung ist es wichtig, immer an die Marke zu denken. Wie würde sich ein negatives Ereignis auf die Marke auswirken? Sie werden in der Regel feststellen, dass die langfristigen Kosten für die Marke weitaus höher sind als die direkten Kosten.
3. Die Auswirkungen auf die Gesellschaft und unseren Planeten
Der dritte und wohl größte Risikobereich ist das Risiko für unseren Planeten. Diese Risiken sind höchstwahrscheinlich mit den allgemein bekannten ökologischen und sozialen Risiken verbunden. Die Risiken des Klimawandels und der Nachhaltigkeit sollten in die Bewertung der Compliance-Risiken einbezogen werden. Auch hier gilt: Selbst wenn die Kosten für Bußgelder oder Untersuchungen nach einem Fehlverhalten gering sind, können die Auswirkungen für das Unternehmen oder den Planeten unermesslich sein. Das Risiko eines Fabrikbrandes, eines Ölaustritts aus einem Unternehmensschiff oder sogar der Zerstörung einer heiligen Stätte oder eines Gebäudes könnte erheblich sein und sich tatsächlich nachteilig auf das Unternehmen und die Gesellschaft auswirken, in der es tätig ist.
Die Botschaft an alle für die Einhaltung der Vorschriften Verantwortlichen lautet, die Messung von Compliance-Risiken zu überdenken. Eine Risikobewertung könnte jährlich oder vielleicht alle sechs Monate in Erwägung gezogen werden, und die Auswirkungen eines Compliance-Verstoßes sollten aus mehreren Perspektiven betrachtet werden, nämlich aus der Sicht der Menschen, der Marke und des Planeten.