Effektive Compliance-Risikoanalyse Qualifizierung und Quantifizierung von Compliance-Risiken

Transkript

1 Effektive Compliance-Risikoanalyse Qualifizierung und Quantifizierung von Compliance-Risiken Kempinski Hotel Frankfurt Gravenbruch Dr. Franz Clemens Leisch, Partner, München 7. und 8. Oktober 2015

2 Inhaltsverzeichnis Was wird Sie heute erwarten? Zielbild und Übersicht Schritt 1: Risikoidentifikation Schritt 2: Risikobewertung Schritt 3: Festlegung von Soll-Maßnahmen Schritt 4: Erfassung und Bewertung der Ist- Maßnahmen Schritt 5: Formulierung von Handlungserfordernissen Seiten Effektive Compliance-Risikoanalyse - Baker & McKenzie 2

3 Zielbild Was sollte ein Compliance Risk Management System leisten?

4 Zielbild Compliance Risk Management System Ein System, 1. das folgende Aussagen generiert: Aussage über das Bruttorisiko des Konzerns und seiner Tochtergesellschaften. Aussage über das Nettorisiko des Konzerns und seiner Tochtergesellschaften. Aussage über das Brutto- und Nettorisiko jeder Gesellschaft im Hinblick auf definierte Sachrisiken (z.b. Korruption, Geldwäsche, Kartellverstöße, Betrug, Exportkontrollverstöße, Umweltverstöße, Produkthaftung etc.). Aussage zum Delta zwischen gegenwärtigem Stand und gefordertem Stand des CMS der Gesellschaften. 2. das der Geschäftsleitung risikobasierte Entscheidungen ermöglicht, auf welche Themen man sich konzentrieren soll; und wie die Aufgaben zu priorisieren sind. 3. das die Fortschrittsüberwachung ermöglicht. Effektive Compliance-Risikoanalyse - Baker & McKenzie 4

5 Übersicht zum Compliance-Risikomanagement 6 Schritte Risikoidentifikation Überwachung der Umsetzung Risikobewertung Formulierung Handlungserfordernisse Compliance Risikomanagement Erfassung & Bewertung Ist-Maßnahmen Festlegung Soll-Maßnahmen

6 Schritt 1 Risikoidentifikation - Übersicht A B C D Definition der Sachrisiken Definition der Risikofaktoren Auswahl der Unternehmensbereiche Entscheidung über die Methode Integrity (Fraud, Korruption) Competition Embargo/Export Sanctions AML [andere] Abstrakte Risikofaktoren Konkrete Risikoszenarien Procurement Sales Accounting Research & Development [andere] Workshops Desktop Interviews Effektive Compliance-Risikoanalyse - Baker & McKenzie 6

7 Schritt 1 Risikoidentifikation - Definition der Risikofaktoren Abstrakte Risikofaktoren nach Sachrisiko / Bewertungsmodell Produktrisiken Geschäftstyprisiken Länderrisiken Kundenrisiken Umsatz Mitarbeiterzahl etc. Konkrete Risikoszenarien nach Sachrisiko / Bewertungsmodell Risikoszenario 1 Risikoszenario 2 Risikoszenario 3 etc.

8 Schritt 2 Risikobewertung Abstrakte Risikofaktoren nach Sachrisiko (Bsp: Integrity) Risikofaktoren Bewertungsmodell Ergebnis Gewichtung Gesamtergebnis max. Umsatz bis 5 Mio = 3 bis 50 Mio = 6 ab 50 Mio = 10 Mitarbeiterzahl bis 500 = 3 bis = 6 über = Produktrisiken nach Tabelle 3,6 2 7,2 20 Branchenrisiken nach Tabelle 4, Länderrisiken nach Tabelle 6,5 3 19,5 30 Kundenrisiken nach Tabelle Bruttorisiko Gesamt ,7 170 in Prozent % 100% Effektive Compliance-Risikoanalyse - Baker & McKenzie 8

9 Schritt 2 Risikobewertung Konkrete Risikoszenarien nach Sachrisiko (Bsp: Integrity) Risikoszenario SH EintrWS SErwW RepS Bewertungsmodell Ergebnis Gewichtung Gesamtergebnis max. PROCUREMENT intern: passive Korruption intern: Abrechnungsbetrug 1,5 Mio 0,2 300T 3 50T bis 500T = 3 > 500T bis 5 Mio = 6 > 5 Mio = 10 nicht kleiner als Reputationsschaden T 1 250T 0 s.o ACCOUNTING intern: Scheinrechnungen 100T 1 100T 3 s.o SALES intern: aktive Korruption 10 Mio 0,5 5 Mio 10 s.o.; RepS gilt Effektive Compliance-Risikoanalyse - Baker & McKenzie 9

10 Schritt 2 Risikobewertung Konkrete Risikoszenarien nach Sachrisiko (Bsp: Integrity) Risikoszenario SH EintrWS SErwW RepS Bewertungsmodell Ergebnis Gewichtung Gesamtergebnis max. R&D intern: IP-Verletzungen intern: Zulassungserschleichung 5 Mio 0,2 1 Mio 6 s.o Mio 0,2 2 Mio 10 s.o.; RepS gilt Bruttorisiko Gesamt in Prozent 58,3 100% Gesamt Schadenserwartungswert / Korrektur Bruttorisiko 8,65 Mio Korrektur w/ Risikotragfähigkeit: > 5 Mio = Gesamterg. nicht unter 50% > 8 Mio = Gesamterg. nicht unter 70% > 10 Mio = Gesamterg. nicht unter 85% 70% Effektive Compliance-Risikoanalyse - Baker & McKenzie 10

11 Schritt 2 Grafische Darstellung des Gesamtbruttorisikos Umsetzung in Ampelsystem Effektive Compliance-Risikoanalyse - Baker & McKenzie 11

12 Schritt 3 Festlegung von Soll-Maßnahmen Kategorisierung Festlegung von Einzelmaßnahmen, z.b. Risk Assessment Leadership Standards and Controls Training and Communication Monitoring and Auditing Response and Sustainability Korruptionsrichtlinie Genehmigungsprozess Geschenke und Einladungen Geschäftspartnerüberprüfungsprozess Schulungsplan Integrity Überwachungsprozesse/Kontrollplan etc. Effektive Compliance-Risikoanalyse - Baker & McKenzie 12

13 Schritt 3/4 Festlegung Sollmaßnahmen / Abfrage Ist-Zustand Effektive Compliance-Risikoanalyse - Baker & McKenzie 13

14 Schritt 4 Erfassung und Bewertung der Ist-Maßnahmen Reporting Bsp M5: Stichprobenprüfung Entertainment Expenses Sachrisiken Maßnahmen Nettorisiko Integrity M1 Intensity 1= 12 Intensity 2 = 8 Intensity 3 = 4 Risk analysis actual vs target: 2P/10P Bruttorisiko: 76% Competition M2 Intensity 1= 12 Intensity 2 = 8 Intensity 3 = 4 Leadership actual vs target: 4P/10P Embargo Bruttorisiko 80% Bruttorisiko 48% M3 M4 Intensity 1= 12 Intensity 2 = 8 Intensity 3 = 4 Intensity 1= 12 Intensity 2 = 8 Intensity 3 = 4 Standards and controls Training and communication actual vs target: 0P/ 10P actual vs target: 10P/ 10P AML Bruttorisiko 28% M5 Intensity 1= 12 Intensity 2 = 8 Intensity 3 = 4 Monitoring and auditing actual vs target: 4P/ 10P [Andere] Gross risk : M6 Intensity 1= 12 Intensity 2 = 8 Intensity 3 = 4 Response and sustainability actual vs target: 5P/ 10P Schwellenwerte: 50% / 70% Intensity 1= 12 Intensity 2 = 8 Intensity 3 = 4 Total a vs t: 25P/60P Effektive Compliance-Risikoanalyse - Baker & McKenzie 14

15 Schritt 4 Vom Brutto- zum Nettorisiko Übersicht über die Methode Bruttorisiko - Maßnahmen = Nettorisiko (Erfüllungsgrad CMS) Sachrisiken in % Maßnahmen Erfüllungsgrad(%) Gewichtung Erfüllungsgrad(%) Sachrisiken Erfüllungsgrad(%) Systembestandteile Integrity Maßname 1 Maßname 2 Integrity Risk Assesment Competition Maßname 3 Competition Leadership Maßname 4 Embargo Maßname 5 Embargo Standards and Controls AML Maßname 6 Maßname 7 AML Training and Communication [Andere] Maßname 8 Maßname 9 [Andere] Monitoring and Auditing Maßname 10 [Andere] [Andere] Etc. Response and Sustainability

16 Schritt 4/5 Grafische Darstellung der Bewertungsergebnisse Ableitung Handlungserfordernisse (i) Effektive Compliance-Risikoanalyse - Baker & McKenzie 16

17 Schritt 4/5 Grafische Darstellung der Bewertungsergebnisse Ableitung Handlungserfordernisse (ii) Effektive Compliance-Risikoanalyse - Baker & McKenzie 17

18 Schritt 4/5 Aggregierte Bewertungsergebnisse Ableitung Handlungserfordernisse

19 Schritt 4/5 Darstellung Restrisiko (aggregiert nach Clustern) Sachrisiko-Heatmap Effektive Compliance-Risikoanalyse - Baker & McKenzie 19

20 Schritt 4/5 Darstellung Restrisiko (aggregiert nach Clustern) Systemrisiko-Heatmap Effektive Compliance-Risikoanalyse - Baker & McKenzie 20

21 Schritt 4/5 Darstellung Restrisiko (aggregiert nach Clustern) Kombinierte Sach- und Systemrisiko-Heatmap

22 Beispiel eines revisionssicheren Systems Analysesystematik zur Bewertung und Priorisierung der Compliance-Risiken Analyse und Gewichtung der identifizierten Risiken erfolgt nach einheitlichen Kriterien (Eintrittswahrscheinlichkeit und Ausmaß der Auswirkungen). Für die Bewertung stellt das System individuell definierbare Risiko-Matrizen zur Verfügung (Anzahl der Felder, Bandbreiten, Farbgebung, etc.). Risiko-Effekte sind im Rahmen der Bewertung für verschiedene Ressourcen differenzierbar (z.b. Schadenshöhe, Reputationswirkung, etc.). Risiko-Effekte können quantitativ und/oder qualitativ abgebildet werden. Das System ermöglicht eine Brutto-, Netto- und Zielbewertung der Compliance- Risiken. Effektive Compliance-Risikoanalyse - Baker & McKenzie 22

23 Baker & McKenzie denkt von Anfang an global. Seit der Gründung. Internationalität liegt uns in den Genen. Dr. Franz Clemens Leisch Partner Baker & McKenzie Partnerschaft von Rechtsanwälten, Wirtschaftsprüfern und Steuerberatern mbb Theatinerstraße München T: Franz.Leisch@bakermckenzie.com Die Baker & McKenzie - Partnerschaft von Rechtsanwälten, Wirtschaftsprüfern und Steuerberatern mbb ist eine im Partnerschaftsregister des Amtsgerichts Frankfurt/Main unter PR-Nr eingetragene Partnerschaftsgesellschaft nach deutschem Recht mit Sitz in Frankfurt/Main. Sie ist assoziiert mit Baker & McKenzie International, einem Verein nach Schweizer Recht. Mitglieder von Baker & McKenzie International sind die weltweiten Baker & McKenzie-Anwaltsgesellschaften. Der allgemeinen Übung von Beratungsunternehmen folgend, bezeichnen wir als "Partner" einen Freiberufler, der als Gesellschafter oder in vergleichbarer Funktion für uns oder ein Mitglied von Baker & McKenzie International tätig ist. Als "Büros" bezeichnen wir unsere Büros und die Kanzleistandorte der Mitglieder von Baker & McKenzie International. Baker & McKenzie

24 24 Dr. Franz Clemens Leisch Compliance

25 25 Dr. Franz Clemens Leisch Compliance

26 26 Fraud Tree Dr. Franz Clemens Leisch Compliance