Cross-funktionale Risikoanalyse

INHALTE DES BEITRAGS

Prävention statt Reaktion
Hinweise der Behörden
Herangehensweise
Fazit

Lassen Sie uns zu Beginn zunächst noch einmal die wesentlichen Elemente eines „Internal Compliance Program“ (ICP) in Erinnerung rufen. Diese sind
– Management Commitment,
– Risikoanalyse,
– Organisation und Ressourcen,
– Schulung und Sensibilisierung,
– Prozesse und Abläufe,
– Dokumentation und Archivierung,
– physische Sicherheit & IT-Sicherheit,
– Audits und Korrekturmaßnahmen.

In der ZOLL.EXPORT Ausgabe Juni 2022 haben wir uns bereits ausführlich dem Management Commitment gewidmet. In jenem Beitrag wurde detailliert erläutert, warum der Rückhalt des Managements in der Exportkontrolle der Schlüssel für eine langfristig starke Compliance-Performance ist, und es wurde aufgezeigt, wie man die Unternehmensführung geschickt von der Wichtigkeit der Exportkontrolle überzeugen kann.

In diesem Fachartikel, der an den vorhergehenden Beitrag anknüpft, soll nun im zweiten Schritt das ICP-Fundament (Rückhalt des Managements) um den ICP-Rahmen (Risikoanalyse) erweitert werden. Wohldurchdacht adressiert, ebnen diese beiden Elemente zusammen den Weg für die erfolgreiche Umsetzung aller weiteren ICP-Elemente.

 

Prävention statt Reaktion

Es herrscht Konsens darüber, dass die Risikoanalyse einen präventiven Charakter hat und entsprechend dazu dienen soll, Risiken bereits früh zu identifizieren, sodass etwaigen Verstößen rechtzeitig vorgebeugt werden kann. Außerdem ist man sich einig, dass die Risikoanalyse Aufschluss darüber gibt, welchen speziellen Bereichen und Tätigkeiten im Unternehmen besonderer Sorgfaltsfokus zuteilwerden muss, um diesen mit geeigneten Risikosteuerungsinstrumenten adäquat begegnen zu können. Darüber hinaus lassen sich im gleichen Zug auch jene Unternehmensbereiche identifizieren, welche eine geringe Verletzlichkeit in Verbindung mit der Exportkontrolle aufweisen und daher wenig bis keine Due-Diligence-Kapazitäten beanspruchen.

Ein „One fits all“-Ansatz ist abzulehnen. Jedes Risikoprofil ist einzigartig. Daher sind auch die daraus resultierenden Maßnahmen individuell auszugestalten. Nichtsdestotrotz kann sowohl bei der Skizzierung des Risikoprofils als auch im weiteren Verlauf der Risikoanalyse und im Risikomanagement auf einen Leitfaden zurückgegriffen werden. Die Erläuterung dieses Fahrplans soll der Kern der nun folgenden Überlegungen sein.

 

Hinweise der Behörden

Zu was raten uns die unterstützenden Leitfäden der Behörden beim ICP-Element Risikoanalyse?

BIS (Export Compliance Guidelines) und OFAC (A Framework for OFAC Compliance) empfehlen einen risikobasierten Ansatz für die Konzeptionierung und Pflege des ICP. Risiken stellen potenzielle Gefahren und Schwachstellen dar, und diese können, wenn sie nicht ordentlich gesteuert werden, Verstöße herbeiführen und negative Konsequenzen für das Unternehmen und dessen Reputation mit sich bringen.

Diese Hinweise der US-Behörden bestärken uns zum einen darin, die Risikoanalyse im Verhältnis zu den anderen ICP-Elementen zeitlich vorgelagert durchzuführen, jedoch wird auch deutlich, dass Risikoanalyse ein kontinuierlicher Prozess sein muss und damit Anpassungen der Risikosteuerungsmaßnahmen zur Folge haben kann.

Im Merkblatt „Firmeninterne Exportkontrolle“ des BAFA lesen wir unter dem Punkt „Risikoanalyse“, dass ein ICP wirksame, geeignete und verhältnismäßige Maßnahmen bezogen auf individuelle unternehmensspezifische Risiken ergreifen soll.

Aus diesem Satz lassen sich gleich drei wichtige Punkte extrahieren:
– Angemessenheit: Die ICP-Maßnahmen sollen verhältnismäßig sein.
– Individualität: Die ICP-Maßnahmen sollen sich auf die speziellen Risiken des Unternehmens beziehen.
– Effektivität: Die ICP-Maßnahmen sollen geeignet sein, um die identifizierten Risiken wirksam zu adressieren.

Darüber hinaus lässt sich abschließend festhalten, dass alle Empfehlungen darauf abzielen, die Wirtschaftsbeteiligten, insbesondere die Exportkontrollbeauftragten, dabei zu unterstützen, eine unternehmensweite Exportkontroll-Compliance sicherzustellen.

 

Herangehensweise

Wie können wir die Risikoanalyse nun möglichst pragmatisch und schlüssig durchführen?

Das nachstehende Konzept aus sechs Schritten hat sich in der Praxis bewährt und ist zudem, unabhängig von unternehmensindividuellen Faktoren, universell als konzeptioneller Fahrplan anwendbar. Es ist ein fortlaufender Prozess, welcher jedoch im Idealfall bei der Erstellung des Risikoprofils beginnt und dann in chronologischer Reihenfolge abgearbeitet wird. Einmal vernünftig initiiert, läuft der Risikomotor wie von selbst, da Verantwortlichkeiten für Pflege, Überprüfungen und ggf. notwendige Anpassungen im Rahmen des Prozesses sauber definiert werden.

Risikoprofil
Die ICP-Maßnahmen eines Unternehmens sollen verhältnismäßig sein. Es sollen also, unter Berücksichtigung von Größe, Struktur, Kundenportfolio, Länderkreis und Güterart etc., Vorkehrungen in angemessenem Umfang getroffen werden.

Es liegt auf der Hand, dass Konzerne mit hunderttausenden Mitarbeitenden, Umsätzen in Milliardenhöhe, internationalen Wirtschaftsbeziehungen und sensitivem Güterkreis weitaus mehr Aufwand und Ressourcen in ihr ICP investieren müssen als der kleine Spielwarenhersteller mit weniger als 100 Mitarbeitenden, wenigen Millionen Euro Umsatz und größtenteils deutschen Kunden. Um sich jedoch dem vagen Begriff der „Angemessenheit“ möglichst professionell und objektiv annähern zu können, ist ein Gerüst aus Kriterien in Verbindung mit einer Bewertungslogik denkbar.

Im ersten Schritt sind daher einige Merkmale wie die bereits zuvor genannten als Vergleichparameter festzulegen. Abbildung 2 zeigt eine beispielhafte Auswahl.

Für eine bessere Vergleichbarkeit und Einschätzung bedarf es im zweiten Schritt einer Bewertungslogik mit Risikointervallen. Es muss deutlich werden, unter welchen Voraussetzungen ein Unternehmen bei den einzelnen Kriterien tendenziell ein hohes bzw. niedriges Risiko aufweist. Hat die Risikoskala bspw. zehn Stufen, so muss ersichtlich sein, wann einem Unternehmen eine 1 bzw. 10 oder eine der sonstigen Stufen dazwischen zuzuweisen ist. Damit dies gelingt, sollten zunächst die beiden Extreme (1 und 10) definiert und anschließend logische Zwischenschritte gebildet werden. Ein Beispiel:

Unternehmensgröße
Stufe 10: mehr als 100.000 Mitarbeitende
Stufe 1: weniger als 50 Mitarbeitende

Umsatz
Stufe 10: mehr als 50.000 Mio. Euro
Stufe 1: weniger als 5 Mio. Euro

Güterkritikalität
Stufe 10: überwiegend Kriegswaffen
Stufe 1: ausschließlich zivile Güter

Kundenkreis
Stufe 10: überwiegend Embargoländer
Stufe 1: ausschließlich Deutschland

Verwendung
Stufe 10: ausschl. sensible Branchen
Stufe 1: ausschl. unkritische Branchen

Unternehmensstandorte
Stufe 10: mehrere in Embargoländern
Stufe 1: ausschließlich in Deutschland

Sensibilisierung
Stufe 10: keinerlei Awareness
Stufe 1: hohe Awareness

Technologietransfer
Stufe 10: international und täglich
Stufe 1: keinerlei Technologietransfer

Expertise
Stufe 10: keinerlei Fachexpertise
Stufe 1: großes Expertenteam

US-Exportkontrolle
Stufe 10: umfangreicher US-Bezug
Stufe 1: keinerlei US-Bezug

Abbildung 3 veranschaulicht anhand von vier Beispielen, wie darüber hinaus auch die einzelnen Zwischenstufen ausdifferenziert werden können.

Der Vorteil der Abstufungen ist, dass der Bewerter nicht auf seine subjektiven Einschätzungen zurückzugreifen braucht. Dadurch wird Neutralität sichergestellt, und es können, bei Anwendung der gleichen Parameter und Abstufungen, hervorragende Vergleiche zwischen Risikoprofilen verschiedener Unternehmen gezogen werden.

Bei Verwendung der vorliegenden zehn Kriterien und einer Abstufung von 1 bis 10 entsprechen 100 Punkte einem maximal risikoträchtigen und 10 Punkte einem besonders risikoarmen Unternehmensprofil. Für die Visualisierung des Risikoprofils eignet sich ein Spinnennetzdiagramm. Abbildung 4 zeigt ein beispielhaftes Risikoprofil mit 64 von 100 Punkten.

Bei einem Risikoprofil von 64 Punkten darf man von einem Unternehmen bereits einiges an Ressourcenaufwand und Professionalität im Rahmen der ICP-Konzeptionierung und -Umsetzung erwarten.

Anhand des Risikoprofils kann nun bereits sowohl der Budgetbedarf als auch die angemessene Personalstärke für die Exportkontrollfunktion grob überschlagen werden. Außerdem zeichnen sich bereits die zu fokussierenden Schwerpunkte für die anschließende Risikoanalyse ab.

In diesem Beispiel sollten besonders der Länderkreis der Kunden (etwaige Embargos und Sanktionen), Technologietransfer (ggf. genehmigungspflichtige Technologieexporte) sowie US-Exportkontrolle (EAR, ITAR) besondere Beachtung finden.

Risikoidentifikation
Im Rahmen der Risikoidentifikation ist nicht nur die Funktion „Exportkontrolle“, sondern sind auch die von ihr tangierten Fachbereiche zu prüfen. Anhand von Interviews mit Vertretern der relevanten Fachbereiche können deren Kernprozesse gemeinsam durchgesprochen und auf Einfallstore für Exportkontrollverstöße hin überprüft werden. Diese Fachgespräche eignen sich jedoch nicht ausschließlich zur Identifikation von Compliance-Lücken. Der Austausch und die daraus gewonnenen gegenseitigen Einblicke können darüber hinaus ggf. vorhandene Silostrukturen aufbrechen und wertvolles interdisziplinäres Optimierungspotenzial aufzeigen. Nachstehend einige in die Risikoanalyse einzubeziehenden Fachbereiche und deren typischen Anknüpfungspunkte.

Risikobewertung
Da aufgrund begrenzter Ressourcen nicht jedes identifizierte „Bruttorisiko“ sofort mit Maßnahmen adressiert werden kann, braucht es eine schlüssige Priorisierung. Unter Berücksichtigung von Eintrittswahrscheinlichkeit und Schadensausmaß können die Risiken in einer Risikomatrix einer Risikokategorie (hoch, mittel, gering) zugeordnet und anschließend nach ihrer Wichtigkeit sortiert werden. Im Ergebnis kann glaubhaft begründet Schritt für Schritt vorgegangen werden, anstatt den zum Scheitern verurteilten Versuch zu unternehmen, allen Risiken gleichzeitig Rechnung tragen zu wollen.

Risikomitigation
Wie können die identifizierten Bruttorisiken nun auf ein akzeptables „Netto-“ bzw. „Restrisiko“ gesenkt werden?

Je nach Risikoausprägung können hier unterschiedliche Risikosteuerungsinstrumente (Grundsätze, Maßnahmen, Kontrollen) Abhilfe verschaffen. Wichtig ist, dass ggf. aufgedeckte strukturelle Risiken mittels Arbeits- und Organisationsanweisungen eliminiert werden, um im Rahmen einer Außenwirtschaftsprüfung nicht Gefahr zu laufen, Vorsatz oder grobe Fahrlässigkeit unterstellt zu bekommen.

Risikodokumentation
Eine saubere Dokumentation der identifizierten Risiken und des Fortschritts der Risikosteuerung dient als Nachweis für Ihre Sorgfaltsvorkehrungen. Investieren Sie die Zeit. Spätestens bei der nächsten Außenwirtschaftsprüfung erweist sich ein übersichtliches Risikokontrollboard als starker Schutzschild.

Das heißt:
– Bündelung aller identifizierten Risiken in einer Tabelle
– Priorisierung der Risiken nach Kritikalität
– Zuweisung von Verantwortlichkeiten bzw. Rollen je Risiko
– Definition geeigneter Risikosteuerungsmaßnahmen
– Verwendung der gewonnenen Informationen für das Management-Reporting

Risikomonitoring
Stellen Sie zu guter Letzt sicher, dass ein strukturiertes Nachhalten der Fortschrittsüberwachung gewährleistet wird:
– Benennung einer Verantwortlichkeit für die Gesamtkoordination
– Überwachung des Fortschritts der zu implementierenden Risikosteuerungsinstrumente
– regelmäßiges Reporting an Exportkontrollbeauftragten bzw. Ausfuhrverantwortlichen

Achten Sie darauf, dass die Risikomitigation der einzelnen Risiken terminiert wird, sodass eine Erwartungshaltung gegenüber den zuständigen Risikomanagern entsteht und schlüssige Meilensteine definiert werden können. Ein regelmäßiges Prüfen des Risikoprofils auf Aktualität rundet die Risikoanalyse ab und garantiert, dass Änderungen, welche sich auf das Risikoprofil des Unternehmens auswirken können, berücksichtigt werden.

 

Fazit

Um den Aufwand für das eigene ICP einordnen zu können, bedarf es einer strukturierten Vorgehensweise bei der Risikoanalyse. Insbesondere das Risikoprofil erlaubt beim professioneller Herleitung eine objektive Einordnung der eigenen Risikoverhältnisse und gibt Aufschluss über die Angemessenheit bzw. den aufzuwendenden Ressourcenbedarf für den Aufbau und die Pflege Ihres ICP.

Im Rahmen der anschließenden Risikoanalyse und des Risikomanagements ist wichtig, dass die identifizierten Risiken gemäß ihrer Kritikalität priorisiert und anschließend Verantwortlichkeiten je Risiko zugewiesen werden. Eine für die Koordination der Risikomitigation abgestellte Person überwacht die Durchführung der Risikosteuerungsmaßnahmen, stellt die Fortschrittsdokumentation sicher und überprüft regelmäßig, ob es Veränderungen gibt, welche eine Anpassung der Risikosteuerungsmaßnahmen erfordern.