Änderung der Compliance-Risikobewertung zum größeren Nutzen der Gesellschaft
Die Bewertung des Compliance-Risikos ist in der Regel ein jährlicher Prozess oder wird mindestens alle zwei Jahre durchgeführt. Wir beiSpeekisind der Meinung, dass sie jedes Jahr durchgeführt und sogar alle sechs Monate überprüft werden sollte. Wir glauben auch, dass die Art und Weise, wie Risikobewertungen durchgeführt werden, möglicherweise aktualisiert werden muss, um die Sichtweise des Unternehmens auf Risiken zu ändern.
Bei der Bewertung der Auswirkungen eines Risikos sollten Sie unserer Meinung nach (neben den traditionellen monetären oder finanziellen Auswirkungen) auch die Auswirkungen auf Menschen, Ihre Marke und den Planeten berücksichtigen. Wir werden jeden dieser Bereiche betrachten, um unsere Position zu erläutern und einige Hinweise zu diesem wichtigen Prozess zu geben.
Die jährliche Risikobewertung mit einer Überprüfung alle sechs Monate
Die Compliance-Risikobewertung ist ein außerordentlich wertvolles Instrument für den Compliance-Beauftragten. Sie legt die Prioritäten fest, auf die Sie sich in der nächsten Periode konzentrieren werden, und zeigt deutlich die Bereiche mit dem höchsten Risiko auf, die Sie berücksichtigen müssen.
Wir beiSpeekisind der Ansicht, dass Risikobewertungen mindestens einmal jährlich, vorzugsweise jedoch alle sechs Monate durchgeführt werden sollten. Hier sind drei Gründe, warum wir diese Position vertreten.
1. Die Geschwindigkeit des Wandels in Ihrer Branche
In den meisten Branchen hat die Pandemie enorme Veränderungen mit sich gebracht. Sie hat die Art und Weise verändert, wie Sie verkaufen, vermarkten und an Kunden liefern. Es ist unerlässlich, diese Veränderungen zu berücksichtigen. Branchenveränderungen in Verbindung mit Veränderungen in den Bereichen Finanzierung, Kapitalbeschaffung, Investitionen und Cashflow können auch zu einer anderen Priorität bei Ihrer Risikobewertung führen. Klar ist jetzt, dass sich die Dinge sehr schnell ändern. Ein Jahr zu warten, um diese Änderung an Ihrer Risikobewertung vorzunehmen, könnte zu lange sein.
2. Veränderungen in der Gemeinschaft und bei den Interessengruppen
Ihre Stakeholder äußern ihre Meinung zu Ihrem Unternehmen und zur Lage der Welt. Hören Sie ihnen zu – möglicherweise müssen Sie Ihre Herangehensweise an bestimmte Themen aufgrund ihrer Erwartungen ändern. Soziale Themen ändern sich rasend schnell, daher ist es ratsam, sie zu beobachten und ihnen einen Schritt voraus zu sein. Wir haben dies an der fast augenblicklichen erneuten Fokussierung auf Rassismusfragen am Arbeitsplatz gesehen. Es gibt viele gesellschaftliche Themen, die lautstark diskutiert werden, und Unternehmen müssen sie sehr schnell berücksichtigen, wenn sie sich weiterentwickeln.
3. Technologische Veränderungen
Auch die Technologie verändert sich rasant. Ehe wir uns versahen, gab es 5G, KI, die Cloud, selbstfahrende Autos und Drohnen am Himmel. Es ist wichtig, sich gründlich Gedanken darüber zu machen, wie man mit diesen Veränderungen umgeht und was diese technologischen Fortschritte für Ihre Compliance-Initiativen bedeuten. Aus dem oben Gesagten geht hervor, dass Änderungen der Gesetze oder des regulatorischen Umfelds in der Regel kein Grund sind, zu einer regelmäßigeren Risikobewertung überzugehen. Auch dies sind wichtige Veränderungen, aber sie dauern in der Regel länger. Gerichtsverfahren scheinen Jahre zu dauern, und neue Gesetze können fünf Jahre brauchen, bevor sie in Kraft treten. Zwar sollten Gesetzesänderungen bei jedem Überprüfungsprozess im Vordergrund stehen, doch sind sie möglicherweise nicht so zeitkritisch wie einige der anderen oben genannten Punkte.
Ihre Art der Prioritätensetzung sollte sich ändern.
Wir alle wissen, dass die Auflistung der Risiken in einer Risikobewertung nur die halbe Miete ist – man muss auch die Bereiche bestimmen, auf die man sich konzentrieren will. Das ist wirklich eine Frage der Priorisierung. Unternehmen haben sich in der Regel auf Bereiche konzentriert, in denen die Auswirkungen groß sind und die Wahrscheinlichkeit eines negativen Ereignisses hoch ist. Generell sollte sich an diesem Vorgehen nichts ändern. Wassichjedoch ändernsollte, ist die Definition von „Auswirkungen“.
In der Vergangenheit haben wir gesehen, dass die Auswirkungen im Wesentlichen anhand des potenziellen finanziellen Verlusts bestimmt wurden. Diese Art von Verlust kann durch potenzielle Geldstrafen, Untersuchungskosten oder Geschäftsausfälle aufgrund von Umsatzrückgängen entstehen. In den meisten Fällen wurde die Folgenabschätzung stark von den finanziellen Verlusten beeinflusst.
Unserer Ansicht nach sollte die Berechnung der „Auswirkungen“ dahingehend geändert werden, dass sie die folgenden nichtfinanziellen Aspekte einbezieht.
1. Die Auswirkungen auf die Menschen
Betrachten Sie nicht nur die Kosten für das Unternehmen in Bezug auf finanzielle Risiken, sondern auch die Kosten für die Menschen (einschließlich Mitarbeiter, Partner und die Gemeinschaft). Die Risiken für Menschen sind genauso wichtig wie die finanziellen Risiken. So können beispielsweise Bußgelder wegen Korruption (neben Verstößen gegen das Kartellrecht) am höchsten sein, während Bußgelder im Zusammenhang mit Belästigung, Diskriminierung und Ungleichheit im Vergleich dazu verschwindend gering sein können. Es ist jedoch irreführend, nur die finanziellen Aspekte zu betrachten. Sie müssen neben den finanziellen Risiken für das Unternehmen auch die Risiken für die Menschen berücksichtigen – für ihre körperliche und geistige Gesundheit und für ihre Karriere. An einem bestimmten Punkt Ihrer jährlichen Risikobewertung müssen Sie entscheiden, ob der Wert Ihrer Mitarbeiter den Wert der Reduzierung von Strafen für schwerwiegende Verstöße überwiegt.
2. Die Auswirkungen auf Marke und Reputation
Wenn Sie bei Ihrer Bewertung noch nicht über Markenrisiken nachdenken, könnten Ihnen wichtige Risiken entgehen. Beispielsweise kann eine im Ausland gezahlte Bestechung einen gewissen Einfluss auf die Marke haben. Wenn jedoch ein leitender Angestellter in einen Belästigungsvorfall mit einem ihm unterstellten Mitarbeiter verwickelt ist, wird dies zweifellos den Ruf des Unternehmens beeinträchtigen. Die mit einem solchen Vorfall verbundenen „direkten Kosten” (Untersuchungskosten, Geldstrafen usw.) mögen zwar gering sein, doch die Kosten, die durch einen negativen Imageverlust, Kundenverluste und anhaltende Schädigung der Marke entstehen, können weitaus höher sein. Bei der Durchführung Ihrer Risikobewertung ist es wichtig, stets die Marke im Blick zu behalten. Welche Auswirkungen hätte ein negatives Ereignis auf die Marke? In der Regel werden Sie feststellen, dass die langfristigen Kosten für die Marke weitaus höher sind als die direkten Kosten.
3. Die Auswirkungen auf die Gesellschaft und unseren Planeten
Der dritte und wohl größte Risikobereich ist das Risiko für unseren Planeten. Diese Risiken stehen höchstwahrscheinlich im Zusammenhang mit allgemein bekannten ökologischen und sozialen Risiken. Die Risiken des Klimawandels und der Nachhaltigkeit sollten in die Bewertung der Compliance-Risiken einbezogen werden. Auch hier gilt: Selbst wenn die Kosten für Bußgelder oder Untersuchungen nach einem Versagen gering sein mögen, können die Auswirkungen auf das Unternehmen oder den Planeten unermesslich sein. Das Risiko eines Fabrikbrands, einer Ölpest durch ein Firmenschiff oder sogar der Zerstörung einer heiligen Stätte oder eines Gebäudes kann erheblich sein und sich tatsächlich nachteilig auf das Unternehmen und die Gesellschaft auswirken, in der es tätig ist.
Die Botschaft an alle Compliance-Verantwortlichen lautet, noch einmal darüber nachzudenken, wie Compliance-Risiken gemessen werden sollen. Eine Risikobewertung könnte jährlich oder vielleicht alle sechs Monate erfolgen, und die Auswirkungen eines Compliance-Verstoßes sollten aus verschiedenen Perspektiven betrachtet werden, nämlich aus der Perspektive der Menschen, der Marke und des Planeten.