Compliance Risk Assessment Compliance Officer Lehrgang Modul 2 DDr. Alexander Petsche 22. September 2015
Compliance Management-Prozess Planning/Risk Assessment, Organization, Personnel Certification Awareness & Prevention Detection Response Code of Conduct/Policies Tip-Off-Portals Tell me! Case-Management Consultation Desk Ask Me! Detection Audit Remediation Classroom training Consequence Management elearning Reporting Communication Quelle: Wieland/Steinmeyer/Grüninger, Handbuch Compliance Management (2010) 2
Vorgaben der ONR 192050 Anforderungen an Compliance Management Systeme 3
ONR 192050 Im Rahmen des CMS muss eine Compliance-Risiko- Bewertung nach einem festgelegten Verfahren erfolgen und dokumentiert werden. Dieses Verfahren muss zumindest folgende Schritte enthalten: die Identifikation der Compliance-relevanten Vorgänge im Hinblick auf die Regeln; 4
ONR 192050 die Identifikation von Compliance-Risiken und Bewertung nach ihrer Eintrittswahrscheinlichkeit und ihren Konsequenzen; die Priorisierung und daraus abgeleitet das Treffen von Maßnahmen. Die Compliance-Risiko-Bewertung muss sich auf alle Organisationsmitglieder erstrecken. 5
ONR 192050 Die Ergebnisse der Compliance-Risiko-Bewertung müssen dokumentiert und der Leitung der Organisation zur Kenntnis gebracht werden. Die Compliance-Risiko-Bewertung muss regelmäßig mindestens einmal jährlich erfolgen. 6
Vorgaben der ONR 49001 Risikobeurteilung 7
ONR 49001 Risikobeurteilung umfasst den gesamten Prozess der Risikoidentifikation, Risikoanalyse und Risikobewertung 8
Risikoidentifikation Die Organisation sollte Quellen von Risiken, Gebiete der Auswirkungen, Ereignisse und Entwicklungen und die Ursachen und Auswirkungen identifizieren. Ziel: umfassende Liste der Risiken aufstellen, welche die Erreichung und Ziele der Organisation unterstützen, verhindern, verschlechtern oder verzögern. Die Risikoidentifikation ist kritisch, weil ein zu diesem Zeitpunkt nicht erkanntes Risiko in weiteren Analysen nicht einbezogen wird. 9
Risikoanalyse Die Risikoanalyse sollte das Verständnis für ein Risiko schaffen. Die Risikoanalyse liefert die Eingabe für die Risikobewertung und für die Entscheidungen, ob und mit welchen Strategien und Methoden Risiken behandelt werden sollen. Die Risikoanalyse betrachtet die Ursachen und Quellen der Risiken, ihre positiven und negativen Auswirkungen und die Wahrscheinlichkeit ihres Eintretens. 10
Risikoanalyse Faktoren, welche die Auswirkungen und die Wahrscheinlichkeit beeinflussen, sollten identifiziert werden. Das Risiko wird analysiert, in dem Auswirkungen und Wahrscheinlichkeiten und andere Merkmale des Risikos bestimmt werden. Meist werden die Risikokriterien, die Risikohöhe und die Risikotoleranzgrenzen mit einer Risikomatrix dargestellt. Bei der zweigeteilten Risikomatrix definiert die Risikotoleranzgrenze, welche Kombination der Wahrscheinlichkeit und der Auswirkungen eines Risikos vertretbar sind oder nicht. 11
Risikoanalyse Bei der Risikomatrix mit drei Toleranz-Bereichen wird oft unterschieden zwischen den nicht vertretbaren Risiken, den bedingt vertretbaren Risiken und den ohne Handlungsbedarf vertretbaren Risiken (große, mittlere und kleine Risiken) 12
Risikobewertung Die Risikobewertung hat die Entscheidungsfindung zu unterstützen. Sie basiert auf den Ergebnissen der Risikoanalyse, die Aussagen über die Notwendigkeiten und die Prioritäten der Risikobewältigung macht. Wenn die Risikohöhe den Risikokriterien nicht genügt, sollte das Risiko behandelt werden. Entscheidungen sollten den größeren Zusammenhang des Risikos berücksichtigen. Sie sollten auch die Risikotoleranz von den betroffenen Parteien außerhalb der Organisation, die vom Risiko nutzen zieht, betrachten. 13
Risikobewältigung Die Risikobewältigung umfasst die Auswahl und Umsetzung einer oder mehrerer Möglichkeiten, um den Risiken zu begegnen. 14
Risikobewältigung Möglichkeiten der Risikobewältigung: Vermeidung des Risikos: Entscheidung, die Tätigkeit, welche das Risiko schafft, nicht aufzunehmen oder nicht fortzusetzen; Erhöhung des Risikoappetits (z.b., wenn es sich ausschließlich um geschäftliche Risiken ohne Sicherheitsrisiken von Menschen, Sachen und der Umwelt handelt); Entfernung der vorhandenen negativ einwirkenden Risikoquellen; Veränderung der Eintrittswahrscheinlichkeit des Risikos; Veränderung der Auswirkungen des Risikos; Teilung des Risikos mit einer oder mehreren anderen Parteien; Freiwillige Risikoübernahme. 15
Vorgehensmodell 16
Erster Schritt: Festlegung des Erhebungsumfanges (I) Identifikation von Einheiten und Prozessen Heranziehung externer Informationsquellen (zb Corruption Perception Index) Klassifizierung der Ländergesellschaften nach Punktewertschemen 17
Erster Schritt: Festlegung des Erhebungsumfanges (II) Kriterien Komplexität Geschäftsmodell/Kundenstruktur Größe (Anzahl Mitarbeiter/Umsatz) Risikosituation CPI Indexwert Bekannte Compliance Fälle Maturity Organisationsstruktur Grad der Compliance 18
Identifikation und Beurteilung von Compliance Risiken / Vorgehensmodell Zweiter Schritt: Risikoidentifikation (I) Vollständige Erfassung und Dokumentation von Risiken Derzeitige und zukünftige Risiken Zusammentragen aller wesentlichen Gesetze,Verordnungen, Richtlinien und freiwilligen Selbstverpflichtungen Deduktion: Schluss von (abstraktem) Gesetz auf dessen Relevanz für die Geschäftstätigkeit Induktion: Ausgehend von Geschäftstätigkeit, Prüfung, welche Gesetze maßgebend sind 19
Identifikation und Beurteilung von Compliance Risiken / Vorgehensmodell Zweiter Schritt: Risikoidentifikation (II) Rückgriff auf Erkenntnisse der Internen Revision, des Risiko- Managements und der Sicherheitsorganisation Klassifizierung der Risiken 1. Corporate Misconduct 2. Vermögensschädigende Handlungen 3. Verletzung sonstiger externer und interner Vorschriften 20
Identifikation und Beurteilung von Compliance Risiken / Vorgehensmodell Dritter Schritt: Risikoanalyse und Bewertung Klassifizierung der Risiken Risikobewertung 1. Bewertung der Eintrittswahrscheinlichkeit 2. Bewertung des Ausmaßes 3. Risiko Rating (Risk Map) 4. Bewertung der Effektivität des Kontrollumfeldes 21
Identifikation und Beurteilung von Compliance Risiken / Vorgehensmodell Vierter Schritt: Managementbefragung Online Fragebogen Persönliche Interviews 22
Identifikation und Beurteilung von Compliance Risiken / Vorgehensmodell Fünfter Schritt: Compliance-Programm und Reporting der Ergebnisse Vermeiden: zb keine Akquisition eines Unternehmens mit hohen Compliance-Risiken Vermindern: Verbesserung von internen Kontrollen und Schulungsprogrammen, etc. Abwälzen: Abschluss von Versicherungen Risiko selbst tragen 23
Baker & McKenzie denkt von Anfang an global. Seit der Gründung. Internationalität liegt uns in den Genen. DDr. Alexander Petsche, MAES (Brügge) Partner Baker & McKenzie Diwok Hermann Petsche Rechtsanwälte LLP & Co KG Schottenring 25 Tel.: + 43 (0) 1 24 250 [DW] 1010 Wien Alexander.petsche@bakermckenzie.com Diwok Hermann Petsche Rechtsanwälte LLP & Co KG ist ein Mitglied von Baker & McKenzie International, einem Verein nach dem Recht der Schweiz mit weltweiten Baker & McKenzie-Anwaltsgesellschaften. Der allgemeinen Übung von Beratungsunternehmen folgend, bezeichnen wir als "Partner" einen Freiberufler, der als Gesellschafter oder in vergleichbarer Funktion für ein Mitglied von Baker & McKenzie International tätig ist. Als "Büros" bezeichnen wir die Kanzleistandorte der Mitglieder von Baker & McKenzie International. www.dhplaw.at