Weka Plus

Korruptionsrisiken: Anforderungen an die Compliance

Eine Compliance-Risikoanalyse, insbesondere im Hinblick auf Korruptionsrisiken, kann mit einem vertretbaren Aufwand durchgeführt werden. Dazu sind gewisse Parameter zu setzen, und ein enger Austausch mit dem Business ist erforderlich. Schliesslich muss der Mut zu eigenen Entscheidungen auch ohne zu tiefe Detailverliebtheit vorhanden sein. Wie das geht, zeigt diese Ausarbeitung am Beispiel einer Antikorruptionsrisikoanalyse.

14.02.2025 Von: Katharina Hastenrath
Korruptionsrisiken

Passende Arbeitshilfen

A. Ausgangslage

Die Risikoanalyse ist einer der wichtigsten Bausteine eines CMS. Sie bietet einige Herausforderungen, mit denen sich nachfolgender Beitrag befasst.

B. Compliance-Risikoanalyse/Compliance Risk Assessment: Was ist das?

Eine zutreffende Definition findet sich bei Wieland: «Das Compliance Risk Assessment ist die systematische Identifikation und Bewertung sowie Dokumentation und Berichterstattung von Konstellationen, die das Potenzial aufweisen, das unternehmerische Ziel der Übereinstimmung mit relevanten gesetzlichen, internen und freiwilligen Verpflichtungen zu gefährden. Dabei dient das Compliance Risk Assessment als Grundlage für die Allokation unternehmerischer Ressourcen mit dem Ziel der effektiven und effizienten Sicherstellung von Compliance im Unternehmenskontext.»

Es geht also um eine systematische, nachvollziehbare und sauber dokumentierte Analyse von Rechts- und Reputationsrisiken. Wie sieht dies im Detail aus? Dazu sogleich unter Punkt C.

C. Anforderungen nach Gesetz und Literatur

I. Gesetzliche Anforderungen

International verlangen diverse Gesetze und andere Normierungen eine Compliance-Risikoanalyse, so etwa in den US Federal Sentencing Guidelines, im Resource Guide to the US Foreign Corrupt Practices Act, im Brasilianische Clean Company Act, den UKBA Guidelines, im Spanish Criminal Code, den 13 Good Practices on Internal Controls, Ethics and Compliance (OECD), Transparency International – Nine Business Principles for Countering Bribery, im ISO-Standard 37301 usw.

Soweit es keine ausdrückliche Norm gibt, wird die Pflicht für ein CMS in der Schweiz aus der allgemeinen Legalitätspflicht und Legalitätskontrollpflicht der Organe eines Unternehmens unstreitig abgeleitet. Teil des CMS ist dabei zwingend eine Compliance-Risikoanalyse.

II. Anforderungen nach der Literatur

Swiss Compliance Cockpit

Effiziente Verwaltung und Umsetzung von Compliance-Richtlinien im Unternehmen

ab CHF 248.00

1. Grundsätze einer Risikoanalyse

Die Literatur fordert eine gründliche Analyse der unternehmensindividuellen Risikosituation, um einen Überblick über wesentliche Compliance-Risiken zu erhalten, die Compliance-Organisation daran auszurichten und entsprechende Compliance-Massnahmen zu definieren und nach einem Massnahmenplan prioritär geordnet umzusetzen.1)

Das «Wie» der Ausgestaltung der Risikoanalyse steht dabei grundsätzlich im unternehmerischen Ermessen, so sind in etwa ein Self-Assessment mittels Fragebögen, quantitative und qualitative Analysen z.B. mittels Interviews,2) die Auswertung von Unternehmensdaten, eine Top-down- und Bottom-up-Analyse oder die Beiziehung interner Experten aus risikoorientierten Einheiten (z.B. aus Rechtsabteilung, Risikomanagement, Vorstandsstab) denkbar.3)

2. Das «Wie» der Durchführung

a) Brutto/Netto-Risikoansatz

Zwar wird die Compliance-Risikoanalyse, wie vorstehend bereits dargelegt, fast einhellig als Grundlage für das CMS betrachtet, wie diese aber genau aussehen soll, dazu gibt es kaum befriedigende Erkenntnisse. Eine Möglichkeit, der Brutto/Netto-Ansatz, wird strittig diskutiert, da sich diese Methode nur für konkret zu bestimmende, auf eine präzise Ursache zurückzuführende Compliance-Risiken eignet. Otremba bringt dies treffend auf den Punkt:

«Für die grundsätzliche, abstrakte Risikoexposition eines Unternehmensbereiches, die sich, aus zahlreichen internen und externen Risikoindikatoren zusammensetzt, führt der Versuch einer präzisen Schätzung beider Faktoren hingegen häufig zu Pseudo-Genauigkeiten, deren Nutzen deutlich geringer als der mit der Bestimmung zusammenhängende Aufwand ist. Zudem sind sowohl der Fachbereich als auch die Compliance-Verantwortlichen mit zuverlässigen Angaben zu beiden Einflussgrössen aufgrund fehlender konkreter Anhaltspunkte häufig überfordert. Für die Compliance-Steuerung auf der Basis abstrakter (aber hinreichend fundierter) Risikoprofile reicht es, Transparenz über geschäftsmodellrelevante Risikoindikatoren zu erlangen und diese in Risikoprofilen, beispielsweise anhand einer Ampellogik oder einer dreistufigen Risikokategorisierung hoch-mittel-niedrig, zusammenzufassen. Auf dieser Basis kann dann die risiko- und bedarfsorientierte Umsetzung individueller Compliance-Massnahmen erfolgen.»4)

Jetzt weiterlesen mit Weka+

  • Unlimitierter Zugriff auf über 1100 Arbeitshilfen
  • Alle kostenpflichtigen Beiträge auf weka.ch frei
  • Täglich aktualisiert
  • Wöchentlich neue Beiträge und Arbeitshilfen
  • Exklusive Spezialangebote
  • Seminargutscheine
  • Einladungen für Live-Webinare
ab CHF 24.80 pro Monat Jetzt abonnieren Sie haben schon ein W+ Abo? Hier anmelden

Seminar-Empfehlungen

Weitere Beiträge zu diesem Thema

Code of conduct
W+
/ Code of conduct

Wie formulieren Sie den Verhaltenskodex?
Spesen-Abrechnung
W+
/ Spesen-Abrechnung

Compliance bei beruflichen Auslagen
Öffentliches Recht
/ Öffentliches Recht

Was Unternehmen in der Schweiz wissen müssen
Compliance System aufbauen
W+
/ Compliance System aufbauen

Compliance effizient führen
Unlauterer Wettbewerb
W+
/ Unlauterer Wettbewerb

Verhaltensrichtlinie im Wettbewerb
Whistleblower
W+
/ Whistleblower

Whistleblowing als Frühwarnsystem
Newsletter W+ abonnieren