Risikobeurteilung
Die Risikolandschaft (auch Risikosituation oder Risikoexposition) des Unternehmens ist eine wichtige Grundlage für die weitere Ausgestaltung des Compliance-Managementsystem. Die Risikobeurteilung muss einerseits die konkrete Situation des Unternehmens (Grösse, Marktposition, relevante Anspruchsgruppen und Branche) berücksichtigen. Andererseits gibt es allgemeine Risiken, welche alle Unternehmen, unabhängig von der Grösse und dem Tätigkeitsgebiet, treffen können.
Die Risikobeurteilung läuft in verschiedenen Stufen ab. Zunächst müssen die Risiken identifiziert werden und anschliessend müssen diese bewertet werden. Die Risikobeurteilung kann nicht losgelöst von anderen Prozessen stattfinden. Vielmehr stellt die Risikobeurteilung ein Bestandteil des Risiko-Managements dar, welches seinerseits eng mit der Unternehmensstrategie und damit mit den strategischen Risiken verknüpft ist.
Unternehmensgrenzen
Sowohl die rechtlichen Vorgaben als auch die Erwartungen der Anspruchsgruppen beschränken sich nicht mehr nur auf das betroffene Unternehmen selbst, sondern gehen über die Unternehmensgrenzen hinaus.
Die Unternehmensgrenzen werden immer mehr durch strategische Allianzen und engere Beziehungen zu Lieferanten und Unterauftragsnehmern verwischt. Ein Haftungspotential oder Reputationsrisiko besteht nicht nur aufgrund des Verhaltens der eigenen Mitarbeiter, sondern kann sich auch aufgrund des Verhaltens von Geschäftspartnern und Lieferanten ergeben (Drittrisiko). Von den Unternehmen werden deshalb teilweise risikoabhängige Due-Diligence-Prüfungen über die Geschäftspartner gefordert, um diese Risiken zu ermitteln, zu verhüten oder zu mindern.
Im Zusammenhang mit der Korruption sind beispielsweise Minderheitsbeteiligungen an Joint-Venture-Gesellschaften oder der Einsatz von Agenten in korruptionsanfälligen Staaten ein erhebliches Risiko und bilden damit potenzielle Schwachstellen des Compliance-Managementsystems.
Aus kartellrechtlicher Sicht stellt sich die Frage der Zuordnung zum Unternehmen, weil die Regeln des Kartellgesetzes nicht auf konzerninterne Absprachen und Umstrukturierungen anzuwenden sind (Konzernprivileg). Eine genauere Betrachtung ist vor allem bei sog. Gemeinschaftsunternehmen erforderlich.
Rechtliche Grundlagen
Die rechtlichen Grundlagen variieren je nach Unternehmensgrösse, Geschäftstätigkeit, Branche und geografischer Komponente. Am sinnvollsten erscheint deshalb eine Zuordnung der Rechtsgebiete zu den betrieblichen Funktionen und Aufgaben. Eine nicht abschliessende Liste mit den wichtigsten Rechtsgebieten, Funktionen und Aufgaben könnte etwa wie folgt aussehen:
| Funktion | Wichtigste Rechtsgebiete | Aufgabe für das Compliance-Managementsystem |
| Einkauf | Kartellrecht
Bestechung und Korruption Exportkontrollrecht |
Vertragsmanagement
Vertragscontrolling Lieferantenmanagement / Procurement |
| Verkauf / Vertrieb | Kartellrecht
UWG Bestechung und Korruption Submissionsrecht Spenden / Sponsoring Exportkontrollrecht |
Vertragsmanagement
Vertragscontrolling |
| Produktion | Umweltrecht
Produktehaftung Branchenvorschriften |
Qualitätsmanagement |
| Logistik | Zoll
Fahrzeiten Schmiergeldzahlungen Betrügerische Handlungen (Fraud) |
Organisations- und Kontrollmanagement |
| IT | Datenschutz | IT-Management |
| Personal | Arbeitsrecht
Ausländerrecht Datenschutzrecht Diskriminierungen |
Personalmanagement |
| Marketing / PR | UWG
Markenrecht, Lizenzen |
Kommunikationsmanagement |
| Investor Relations | Börsenrecht
Gesellschaftsrecht |
Informationsmanagement |
| Finanzen | Rechnungslegungsvorschriften
Offenlegungsvorschriften Geldwäschereirecht Steuerrecht Spenden / Sponsoring |
Finanzmanagement |
| M&A | Kartellrecht
Vertraulichkeit |
Transaktionsmanagement
Due Diligence |
| Tochtergesellschaften und Minderheitsbeteiligungen | Interessenkonflikte | Beteiligungsmanagement |