#28 Risk Assessments: Risiken als Grundlage für Ziele und Strategie - mit Prof. DDr. Alexander Petsche

00:00:03: Ohne Compliance Risk Assessment, ohne Risikonalyse ist es eigentlich ein Blindflug.

00:00:07: Dann können wir zwei gemeinsam diskutieren, welche Risiko könnte haben zum Unternehmen X und dass es in Wirklichkeit nichts Besseres als Gass

00:00:14: ist.

00:00:15: In der Meinung eines der größten Risiken in der Compliance ist tatsächlich auch die Betriebsblindheit.

00:00:19: Das heißt, um auch die neuen Mitarbeiterinnen und Mitarbeiter an Bord zu holen, würde ich jetzt nicht jedes Jahr, aber zumindest alle zwei, drei Jahre ein großes Risk Assessment machen, aber bei den Themen spezifisch bleiben, um die Organisation laufend mit dem Thema Compliance zu beschäftigen.

00:00:33: Zumindest, dass das Risiko betrifft.

00:00:38: Herzlich willkommen zu einer neuen Folge von Code of C, dem True Compliance Podcast von LUB.

00:00:43: Hier sprechen wir über Compliance aus der Praxis für die Praxis.

00:00:46: Mein Name ist Martin Rechizeder, ich bin Compliance-Office, ich bin Mitgründer von LUB und für die nächsten Minuten Ihr Gastgeber.

00:00:53: Wir sind heute in der neunten Interviewfolge, der zweiten Staffel auf unserer Reise von der Planung, zur Implementierung und dem Betrieb eines Compliance Management Systems angekommen.

00:01:03: Und wir haben ja das Element der Kultur mit den Ton From und Etthetop und der Organisation haben wir ja mit dem Christoph Klarholt letztes Mal schon beendet.

00:01:13: Und wir wechseln heute in die nächsten Elemente unseres CMS und das ist das Thema Risk Assessment und wir nehmen noch mit Strategie und Ziele.

00:01:22: Und das machen wir mit einem der bekanntesten Gesichter und einem der besten Köpfe zum Thema Compliance in Österreich.

00:01:28: Das machen wir mit meinem Freund und mit meinem Mentor, Prof.

00:01:31: Dr.

00:01:32: Dr.

00:01:32: Alexander Petsche.

00:01:34: Lieber Alexander, herzlich willkommen.

00:01:35: Schön, dass du wieder bei mir bist.

00:01:37: Danke

00:01:37: für die Einladung.

00:01:38: Ich freue mich sehr.

00:01:39: Du bist ja ein Wiederholungsstäter.

00:01:41: Du bist ja schon das zweite Mal bei mir.

00:01:42: Du warst ja auch Gast in der dritten Folge.

00:01:45: Da haben wir ja schon eine kleine Reise durch das CMS gemacht.

00:01:48: Das heißt, für diejenigen, die einen kleinen Wrap-up brauchen, bitte gerne in die dritte Folge noch einmal rein hören.

00:01:54: Wir starten jetzt aber in das Thema Risk Assessment.

00:01:56: Und zwar ist das Thema heute Risk Assessments Risiken als Grundlage für Ziele und Strategie.

00:02:02: Und bevor wir das tun, gibt es ja immer das eine oder andere wiederkehrende Element.

00:02:06: Und das erste wiederkehrende Element, begrüßt auf Sie, ist ja immer unser Mutmacher.

00:02:10: So, beim ersten Mal, wo du bei mir zu Gast hast, dass du auf den Mutmacher verzichtet, weil du nicht, du brauchst nichts, um mutig zu sein, heute, heute gönnen wir uns Kaffee und Wasser.

00:02:20: Das tun wir.

00:02:21: weil wir später noch Sport machen gemeinsam.

00:02:24: Das tun wir aber auch insbesondere deswegen, weil wir den Kram ein bisschen anfreuchten und unsere Stimme ein bisschen lockern.

00:02:30: Das heißt, Brust beim Wasser.

00:02:32: Unser zweites wiederkehrendes Element ist ja unser Code of Sea Check-in.

00:02:35: Und da kommst du mal nicht herum.

00:02:38: Also das ist was, das musst machen.

00:02:39: Das kennst du auch, das Prozedere.

00:02:42: Ich hab wieder Sätze vorbereitet, die du mir beantworten musst oder die du vervollständigen wirst.

00:02:47: Also, lieber Alexander, herzlich willkommen zum Code of Sea Check-in.

00:02:58: So, zum Aufwärmen, lieber Alexander, darf ich dich ersuchen.

00:03:01: Mir folgende Sätze zu vervollständigen.

00:03:03: Dein erster Satz ist, erfolgreiche Compliance erfordert.

00:03:08: Mut.

00:03:10: Der zweite Satz, Compliance scheitert meiner Ansicht nach, wenn.

00:03:15: Der Vorstand ist nicht mitträgt.

00:03:17: Wenn man wieder beim ersten Element.

00:03:19: So, und dann habe ich noch einen Entwederudersatz für dich.

00:03:22: Alexander, Compliance, entweder Hemmschuh oder Wettbewerbsvorteil.

00:03:28: Das ist leicht, Wettbewerbsvorteil.

00:03:31: Vielen Dank für den Wettbewerbsvorteil.

00:03:33: Wettbewerbsvorteil, das ist eigentlich schon die perfekte Überleitung in das heutige Thema.

00:03:38: Und zwar, wir reden über Risiken.

00:03:40: Und wenn ich von Compliance rate, dann habe ich immer eine eigene Drehers von Compliance, mein eigenes Verständnis.

00:03:45: Und dies auch immer Compliance ist Vertrauen, das ist Verantwortung übernehmen und Verantwortung übertragen und... ein angemessenes Risikomanagement.

00:03:53: Das heißt, wir kommen an den Risiken nicht umher.

00:03:56: Jetzt ist meine erste Frage schon an dich.

00:03:58: Warum ist, warum erfordert Compliance einen Blick auf Risiken?

00:04:02: oder warum sind Compliance und Risiken eigentlich so eng miteinander verknüpft?

00:04:08: Naja, das ist eine ganz wichtige Frage, weil die meisten Compliance Management Systeme, die ich kenne und auch gesehen habe in der Praxis, Vermissen eigentlich das Compliance Risk Assessment.

00:04:18: Das heißt, die Unternehmen implementieren dann Compliance Management Systeme ohne Risiko zu kennen.

00:04:24: Ich würde das so vergleichen, wie man geht zum Arzt und der Arzt macht keine Untersuchung, sondern verschreibt gleich einmal Pillen, macht vielleicht drei Operationen, weil ich denke, das könnte schon das sein und das ist ja eigentlich grob fahrlässig.

00:04:36: Das heißt, Und was passiert dann nämlich?

00:04:39: Es passiert dann nämlich Folgendes im Unternehmen, dass es keine Objektivierung der Risken gibt und keine objektive Untersuchung und Einordnung.

00:04:45: Und das führt dazu, dass jeder in der Organisation dann eine subjektive Wahrnehmung hat.

00:04:50: welches Risiko eigentlich wie in welcher Ausblickung besteht und was man dagegen tun soll.

00:04:55: Da gibt es dann so Reaktionen in Industriekonzernen, die dann sagen, warum haben wir jetzt große Datenschutzkomplexes gemacht?

00:05:00: Rauf und runter hat uns ein Vermögen gekostet.

00:05:02: Eigentlich haben wir gar kein Datenschutzrisiko, sagt der Nachbar A. Der Nachbar B sagt natürlich, wir haben doch ein ratenschutzrechtliches Risiko, wir haben zumindest den Mitarbeiter.

00:05:09: Und so bleibt es dann sehr subjektiv, es wird nicht objektiviert, die Maßnahmen sind dann subjektiv und eigentlich stößt das dann auf sozusagen Widerstand in der Organisation, weil weil es ja keine objektive Grundlage gibt.

00:05:20: Wenn man etwas behandeln möchte, muss man es zuerst analysieren.

00:05:24: Und das Risik, das Risk Assessment und das Verständnis für die Risiken ist die Grundlage eines jeden Compliance Management Systems und nicht nur das System selber, also der Abläufe und der Risikobekämpfung.

00:05:36: und Einordnung sind auch die Grundlage für die Compliance Organisation.

00:05:41: Das heißt, die Compliance Organisation muss auch dem Risiko entsprechend ausgerichtet sein.

00:05:46: So, das sind die zwei Parameter.

00:05:47: Ohne Compliance Risk Assessment, und ich sage es noch einmal, das sehe ich am Mass, das Unternehmen alles mögliche haben, nur kein Risk Assessment.

00:05:54: und dann eigentlich... Jahre später das erste Mal das Risikoanalysieren.

00:05:59: und ohne Risikoanalysen ist es eigentlich ein Blindflug.

00:06:02: Dann können wir zwei gemeinsam diskutieren, welches Risiko könnte haben das Unternehmen X und das sind in Wirklichkeit nichts.

00:06:09: Nichts Besseres als

00:06:10: Gäßes.

00:06:12: Wir haben ja jetzt begonnen bei der Reise durch das CMS mit der Kultur, das heißt mit dem Tone From und Ette-Trop.

00:06:19: Du hast ja jetzt vorhin auch gesagt und bei dem Satz, den du vervollständigen solltest, dass es ohne dem Willen des Vorstands in Wahrheit nicht geht.

00:06:25: Das ist eigentlich der größte Hemmschuh, wenn die Konzern oder die Unternehmensleitung das nicht möchte.

00:06:31: Das heißt, das ist damit die Startbasis.

00:06:34: Jetzt sind wir bei den Risiken und du sagst, Wenn man sich mit den Risiken beschäftigt, weiß man auch, woran es krankt.

00:06:39: Und auf Basierend, auf dem muss ich auch meine Organisation aufbauen.

00:06:42: Aus der Praxis war sie... dass das mit den Risiken immer ein bisschen schwierig ist, weil man muss ja ein bisschen was vorweisen können, dass das denn in Wahrheit fängt man mit einer Organisation an, man fängt ein bisschen mit Papier an, aber man darf sich da nicht verlieren in dem.

00:06:55: Und jetzt ist genau dieser Punkt, um genau diesen Fehler nicht zu machen und um Menschen, die jetzt in der Compliance beginnen, auch eine kleine Anleitung zu geben, ist es so wichtig, auch diesem Element diese Folge zu widmen, nämlich dem Risiko.

00:07:07: Jetzt sagst du, Risk Assessments sind die Basis für eine erfolgreiche Compliance.

00:07:12: Wann und wie mache ich denn ein Risk Assessment?

00:07:15: Also wenn man sagt, du hast jetzt dieses Datenschutz Beispiel genannt, also es kommt eine neue Regulaturik, ein neues Gesetz, die Unternehmen sagen, muss ich umsetzen, sonst muss ich Strafen zahlen und dann zahlt man Unmengen an Beratungshonor an, um das Risiko zu minimieren, dass man dann am Ende möglicherweise gar nicht hat.

00:07:31: Aber wann und wie?

00:07:34: Schau ich mir dann an, ob ich ein Risiko habe und wie mache ich denn diese Risk Assessment?

00:07:38: Ja, also einen Punkt, das ich glaube ich richtigerweise erwähne, natürlich braucht es eine gewisse Compliance-Organisation, um überhaupt das zu tun, wovon ich jetzt sprechen werde.

00:07:46: Es muss jemand verantwortlich sein, sich als Manager drum zu kümmern.

00:07:50: Das Risk Assessment sollte eigentlich dann so rasch und mühlich gemacht werden.

00:07:53: Und das Risk Assessment ist keine Aufgabe vom Stab stellen, das habe ich auch immer wieder gesehen, dass sich jetzt kluge Köpfe zusammensetzen und dann theoretisch darüber nachdenken, was könnte für uns ein Komplexrisiko sein?

00:08:04: Das ist der falsche Zugang, weil tatsächlich muss man sich mit den Personen beschäftigen, die dem Risiko ausgesetzt sind.

00:08:11: Wir sagen dazu Risiko eigener.

00:08:14: Das heißt, die, die an der Front stehen, kennen das Risiko nicht der Vorstand oder der Aufsichtsrat oder die Rechtsabteilung oder Quality Management, sondern eigentlich die, die an der Front stehen.

00:08:24: Das heißt, man muss in einem sozusagen wirkshopartigen Herangehensweise mit den Kolleginnen und Kollegen in den Austausch gehen.

00:08:35: Und dieser Austausch ist spannend, weil der Austausch muss einerseits vertrauensbasiert sein, das heißt, die Rolle des Compliance Officers ist am Beginn der Implementierung eine sehr vertrauensbasierte Herangehensweise, weil Leute müssen sich eröffnen und erzählen, was täglich passiert.

00:08:51: Wenn die schon Angst haben von Compliance Officers, wird das nicht funktionieren.

00:08:53: Das heißt auch, dass die Rolle des Compliance Officers und seine Aufgaben des Compliance Officers sich über die Zeit ändern werden.

00:09:00: Am Anfang, wenn der Reifegrad der Compliance noch nicht fortgeschritten ist, ist der Compliance Officer ein Sparring-Partner, ein Zuhörer, ein wohndruckter Schuh, damit er dann die Mannschaft entsprechend auch leiten kann in weiterer Folge.

00:09:16: Und in der Phase ist dieser Austausch mit den Risiko-Eignern so wichtig, weil die nämlich einem dann genau vorführen werden oder erklären werden, wie das Risiko ausgeprägt ist.

00:09:26: Und warum sage ich jetzt ausgeprägt, das war jetzt ein ganz wichtiger Stichwort, weil, wenn wir das Risiko jetzt mal richtig und gut machen, dann reden wir nicht theoretisch über ein Kartellrechtsrisiko, wir reden nicht theoretisch über ein Korruptionsrisiko, sondern wir wissen genau, in welchem Geschäftsprozess sich das Risiko befindet.

00:09:42: Also habe ich zum Beispiel Vermittlerverträge, die in schwierigen Ländern Projekte für mich akquirieren, habe ich schwierige Märkte, wo man Marktabsprachen macht, dann weiß ich das ganz konkret, wo es passiert und wie es passiert.

00:09:53: Weil das Risk Assessment, wenn es gut gemacht ist, steigt tief in die Prozesse hinein und ich kann dann aus dem Risk Assessment herauskommen, diesen Prozess unterbrechen oder ich kann in diesen Prozess eingreifen oder in diesen Prozess Compliance Elemente einbauen.

00:10:07: Lass mich das Beispiel bringen in meinem Vermittlerverbrauch, da kann ich zum Beispiel Audit-Clausel einbauen, ich kann den Screening einbauen von Vermittlern, ich kann Audit-Rechte einbauen, das heißt ich kann schon im Prozess Bis hin zu, ich kann mich erinnern, bei Siemens, da war die Vorgabe von Erlangen, dass da gab es einen Standardvertrag und vom Standardvertrag durfte nur abgegangen werden, wenn der Zentralvorstand dem zugestimmt hat.

00:10:28: Da kann man sich schon vorstellen, wie oft das passiert ist, nämlich nie hat jemand gefragt, ob man abweichen darf, bevor man den Zentralvorstand fragt, dann macht man es lieber nicht.

00:10:37: Und das heißt, nur wenn ich es richtig mache, bin ich im Prozess, ich sehe das Risiko ganz konkret von mir vor Augen.

00:10:44: Ich sage ja nicht, ich habe einen irgendwo im Körper den Krebs, aber ich weiß nicht, weil ich ihn, sondern ich weiß ganz genau, wo der ist, wieviel Millimeter und wie ich den rausschneiden kann.

00:10:52: Das sagt mir das Risk Assessment.

00:10:53: Und wenn ich das nicht habe, dann fehlt mir eigentlich die Grundlage für jedes Handeln.

00:10:57: Und das ist der aber ist, das Risk Assessment ist ein... ist ein mühsamer Prozess, weil es ist sehr interaktiv, das Gute ist, ist gleichzeitig auch eine Schulung, weil ich muss ja dann die Mitarbeiterinnen und Mitarbeiter mit dem Soll konfrontieren.

00:11:10: Also im Sinne von, was macht ihr eigentlich?

00:11:13: und eigentlich die Vorgabe rechtlich wäre.

00:11:14: Das heißt, das ist schon einmal die erste Schulungsmaßnahme und wenn man es noch viel klüger macht, dann nimmt man eigentlich diese Risiko eigen und das sind vielleicht fünfzig oder hundert Personen, je nachdem wie groß unser Leben ist.

00:11:24: auf die Compliance-Implementierungsreise mit.

00:11:27: Das sind dann schon meine Verbündeten, weil denen sage ich, okay, was braucht ihr jetzt eigentlich, um das Risiko in den Griff zu bekommen?

00:11:34: An Tools.

00:11:35: Wie können wir euch unterstützen?

00:11:37: Was hilft euch da?

00:11:37: Ist es ein Standardvertrag?

00:11:39: Ist es eine Policy?

00:11:40: Braucht ihr ein Webinar?

00:11:41: Was auch immer.

00:11:42: Wie bringen wir das sozusagen in die Mannschaft hinein?

00:11:45: Und dann nehme ich eigentlich die Risiko eigener,

00:11:48: um die es eigentlich

00:11:48: geht.

00:11:49: Das sind ja meine Klienten.

00:11:50: Lebe ich meine Klienten mit auf die Reise.

00:11:53: auch schon in der Implementierung.

00:11:54: Und sie bekommen dann als Produkt genau das, was sie schon wissen.

00:11:57: Also im Sinne von, da kommt dann nicht die Meldung aus der Organisation, wir beginnen jetzt mit Compliance und ein halbes Jahr später gibt es eine Polizie und alle denken sich, oh Gott, die passt ja gar nicht zu uns, Out of the Blue, warum ist das so?

00:12:10: Das heißt, da gibt es auch diese Überraschungsmomente nicht und ich habe eine starke Rückendeckung.

00:12:15: Und ich werde auch in den Risk Assessment erkennen, welche Gruppen sind eher gefahren geneigt und welche Gruppen weniger.

00:12:21: Also welche sind eher mehr Reglerfin, wo gibt es Schwierigkeiten, wo gibt es Hardliner, wo gibt es Opposition.

00:12:27: Da spüre ich auch schon den Risk Assessment.

00:12:29: Ich kann mich erinnern werden, so Kickoff-Veranstaltungen auch mit Top-Führungskräften, wo dann die eine oder andere Flührungskraft gemeint hat, wozu braucht man überhaupt Compliance, wird auch völlig schwach sind.

00:12:38: Und diese Art von Diskussion hat sich dann im Risk Assessment gegeben.

00:12:41: Und das ist auch wieder gut aufzulösen.

00:12:43: Weil das ist so ein Startpunkt eigentlich für die Compliance-Implementierung.

00:12:47: Jetzt hast du ganz wesentliche Punkte gesagt.

00:12:49: Und es freut mich, weil du auch Themen angesprochen hast, die ich gerade im letzten Bootcamp nämlich auch angesprochen habe und Themen, die ... die auch mich die ganze Zeit umtreiben und beschäftigen.

00:12:59: Du hast von der Rolle des Compliance-Offices gesprochen, du hast von Prozessen gesprochen und in Wahrheit bestätigt das.

00:13:05: Genau das, was ich gesagt habe, wann ist man in der Compliance erfolgreich und wann wird man als Compliance-Office vom Verhinderer zum Ennebler, wenn man seine eigene Rolle definiert, wenn man weiß, was ist der eigene Wirkungskreis, wenn man nahe am Business stattfindet.

00:13:18: Das Business ist die Legitimation für Compliance und darum muss ich auch nahe am Business sein, um auch die Risiken verstehen zu können.

00:13:26: So, jetzt sprichst du von einem Workshop-Charakter, das heißt auch von der Nähe der Compliance zu den Risiko-Eignen, also den Risk-Ohnern.

00:13:34: Nimmst du bei den Risk-Assessments diese Risiko-Eignen, also wenn ich jetzt sage zum Beispiel der Einkauf, nimmst du dann nur den Einkauf um über Risiken im Einkauf zu sprechen.

00:13:44: oder nimmst du Einkauf mit Vertrieb, mit Entwicklung, mit Finanz, packst du alle in ein Risk-Assessment oder nimmst du Risk-Assessment pro Risikoeigner.

00:13:56: Also ich mische es tatsächlich.

00:13:59: Ich mache es meistens so, dass ich eine sehr breite Gruppe zum Anfang habe, nämlich es ist für jeden wichtig, ein Grundverständnis für Compliance zu entwickeln und da kann jede Führungskraft sich ruhig auch anhören an den Risikogebieten, weil man mitdenken muss.

00:14:14: Man ist es auch so, dass meine Organisation auch seine Position verändert.

00:14:17: Das heißt, ich glaube, eine Führungskraft sollte durchaus auch mit Risken zumindest bekannt sein und das wollte kein Fremdwort sein, die ihn jetzt nicht im täglichen Leben angehen.

00:14:29: Das heißt, ich starte meistens eine sehr breite Gruppe.

00:14:33: Und in dieser breiten Gruppe werden Risiken grundsätzlich identifiziert und dann, für die Risikoanalyse gehe ich tatsächlich, dann werden die Gruppen kleiner und dann werden die Risiken bei den richtigen Risiko-Risiko-Eignern deponiert und positioniert und dort in die Tiefe betrachtet.

00:14:50: Aber es kann durchaus Sinn machen, für den Finanzchef zu hören, dass es einen Katellerechtsrisiko gibt.

00:14:56: Weil am Ende des Tages, wenn es eine Geldbuße gibt, muss er das Geld locker machen.

00:15:00: Es kann für den Quality Manager auch interessant sein, zu hören, dass er Korruptionsrisiko ist.

00:15:04: Weil vielleicht sind wir in der Qualitätsentwicklung deswegen so schlecht in manchen Bereichen, weil wir unsere Geschäfte immer doch Korruption gemacht haben.

00:15:10: Also ein bisschen von netzer denken, glaube ich, da schadet niemanden.

00:15:14: Für die Analyse dann selbst, nämlich wo im Geschäftsprozess kann es passieren.

00:15:18: Da wären die Gruppen natürlich kleiner.

00:15:21: Grundsätzlich würde ich jetzt behaupten, dass so ein Risk Assessment dann nicht nur eine Stunde dauert, sondern so ein Workshop darf dann auch mehrere Tage dauern.

00:15:30: Das würde ich jetzt einmal behaupten.

00:15:33: Das Problem in der Praxis ist oft, dass man sich die Zeit nicht nimmt oder dass die Zeit auch nicht da ist, sondern das ist in Wahrheit ein dickender Box, zu sagen, ich mache jetzt ein Risk Assessment.

00:15:41: Aber es ist schön zu hören, dass man sich diese Zeit auch nehmen sollte und muss.

00:15:45: Also dem stimme ich natürlich zu.

00:15:48: Bin ich Compliance Officer in einem großen internationalen Unternehmen.

00:15:53: Wenn ich jetzt sagen würde, ich mache jetzt ein Risk Assessment.

00:15:55: Also angenommen, ich würde jetzt beginnen mit einem Risk Assessment.

00:15:58: Wir sind ja schon einen Schritt weiter.

00:16:00: Aber hypothetisch, ich fange jetzt an.

00:16:03: Und ich habe auch tatsächlich die Risikoeigner zusammen.

00:16:05: Das heißt, ich habe meine Unternehmensleitung dazu, also nicht überreden können, sondern meine Unternehmensleitung sagt großartig, wir machen Compliance, großartig ein Risk Assessment.

00:16:14: Ich bekomme meine Risikoeigner an einen Tisch.

00:16:18: Wo fange ich denn an?

00:16:18: Du hast jetzt vorhin gesagt, natürlich auch mit verbunden, mit einer Schulung, mit einem Training soll, ist Vergleich.

00:16:24: Aber mit welchen Risiken fange ich denn an?

00:16:28: Also, wann ist es denn ein Compliance-Risiko?

00:16:31: Was ist kein Compliance-Risiko mehr?

00:16:33: Also, das ist ja, wie viel Regulatorik muss ich denn mitnehmen, um die Risiken erkennen zu können, ist Regulatory Watch eine neue Aufgabe der Compliance.

00:16:43: Also, wo fange denn an?

00:16:44: Nämlich zu sagen, ich mache jetzt ein Solist-Vergleich und ich hol mir dann daraus, ziehe ich mir dann die Risiken, die sich aus diesen Workshops auch ergeben.

00:16:52: Ich schalte ja in der Praxis oft schon daran, dass ich gar nicht weiß, wo fange denn an, weil ich erschlage ja meine Kolleginnen und Kollegen mit einer Fülle an Themen, Wie strukturiere ich die Themen, die ich da erheben muss oder die Risiken, die ich erheben muss?

00:17:09: Ich glaube, das ist einer der schwierigsten Sachen, wie man die Einfach-Schneiserichte hinbekommt.

00:17:15: Und das ist natürlich recht.

00:17:15: Die Ressourcen und Zeiten sind begrenzt, aber ich muss ja auch nicht zum Arzt gehen alle Jahre und mich untersuchen lassen.

00:17:20: Ich kann auch warten, bis der Herzinfarkt kommt.

00:17:22: Das ist auch okay und das ist auch legitim, also insofern... Aber dumm!

00:17:26: Aber dumm, aber natürlich, man zahlt ungern in die Profilaxe ein, weil sie so wenig spürbar ist und deswegen findet man sie eigentlich unnötig.

00:17:36: Aber mir ist es sehr recht, wenn das nicht passiert, weil die Anwälter leben ja davon, dass die Krise entsteht und nicht, dass alles gut funktioniert, das ist ja sozusagen nicht unser Geschäftsmodell.

00:17:45: Deswegen fair enough.

00:17:46: Aber ich glaube, deswegen bin ich für dieses breite und großen Kickoff-Meeting, Kickoff-Risk Assessment.

00:17:53: weil in diesen Workshops man sehr frei und ohne Bewertung einzelne Risken ansprechen kann.

00:18:02: Und da kommen oft Anmerkungen von Technikern oder von anderen, die man nicht zum Radar hätte, die auch Risken präsentieren.

00:18:13: und die man eigentlich sonst vergessen hätte.

00:18:15: Und das ist ja das Schlimme, wenn wir es im Risker selbst nicht hinbekommen, alle Risken zu erfassen, dann bleiben uns Risken über, um die sich dann keiner kümmert.

00:18:24: Wer dann das Risiko übernimmt, dem ist eine von Verantwortung, das ist dann eine andere Frage.

00:18:28: Es muss nicht die Compliance-Organisation sein, aber irgendwo muss es gepackt sein.

00:18:31: Wir wissen ja von VW, dass dann der Chief Compliance-Office gesagt hat, ich tu was noch in der Skope of Compliance.

00:18:37: Aber wenn ihm hilft dieser Satz, wenn man Milliardenstrafen bekommt und Klagen am Hals hat, das heißt, das hilft niemanden.

00:18:43: Es muss eine Möglichkeit geben.

00:18:44: in einer ersten Phase so breit wie möglich die Risken zu diskutieren.

00:18:49: Oft haben ja Unternehmen schon Risikanalysen.

00:18:52: Also Risk Management kann sein oder es gibt einen Internal Audit oder es gibt schon Artverwandte Fächer, die auch schon Risken noch was haben.

00:18:58: Da kann man sich anklicken, da kann man sozusagen schon mal hineinschauen und sich da mitmachen, wenn man so will.

00:19:03: Aber es braucht diesen einen Startpunkt, wo möglichst breit alle Risken diskutiert werden.

00:19:10: Und dann werden sie nach der Reihe abgeschichtet und dann werden sie nach der Reihe betrachtet, analysiert und dann am Ende des Tages zugeordnet Funktionen.

00:19:20: Also wer kümmert sich um welches Risiko?

00:19:23: Und das soll nicht ein Risiko überbleiben.

00:19:24: Mir ist das einmal passiert, da muss ich ganz offen sagen, also nicht mehr, sondern ein Klienten von mir, wo wir wirklich ein halbes Jahr Risikos erst mal gemacht haben.

00:19:30: Das war ein langer Prozess.

00:19:31: Das war einer der ersten österreichischen Unternehmen, die zertifiziert sind, weil es ein Pionier im Bereich Compliance.

00:19:36: Und hat das sehr, sehr ernst genommen.

00:19:38: Und wir haben deswegen auch in größeren Runden und an kleineren Runden Risker setzt man es gemacht über ein halbes Jahr.

00:19:44: Wir haben einen super Ergebnis gehabt.

00:19:46: Wir haben genau daraus ein Handbuch geschnitzt.

00:19:48: Wir haben ungefähr hundert Personen involviert.

00:19:51: Alle haben das mitgetragen.

00:19:52: Alle waren heilfroh, dass wir es haben.

00:19:54: Und wir haben aber ein Risiko übersehen, weil es irgendwo nicht erwähnt wurde.

00:19:57: Und das Risiko hat sich dann Materialisiert und dann hat der Forscher gefragt, wie konnte uns das passieren?

00:20:03: Jetzt haben wir so viel Geld in die Hand genommen, aber einen Risiko haben wir nicht.

00:20:07: Und das war deswegen, weil eine Gruppe von Mitarbeitern das Risiko verschwiegen haben, weil das so eine alte Leiche war, die unangenehm war und da hat man das einfach nicht adressiert.

00:20:17: Und was man nicht gesehen wird, am Ultraschall, wenn man keins macht, sieht man es nicht.

00:20:22: dann kann man es nicht behandeln.

00:20:23: Und das kann dann sehr unangenehm sein.

00:20:26: Nicht, dass es sehr wahrscheinlich ist, aber es ist etwas, was nicht wünschenswert in die Situation zu gelangen.

00:20:32: Das heißt, man muss hier schon einen Aufwand treiben, es nützt nichts.

00:20:36: Wenn ein Unternehmen schon fortgeschritten ist, so sagst du jetzt zum Beispiel, ihr seid international, ihr habt schon viel in der Compliance, das ist klar.

00:20:42: Dann ist es vielleicht eine Spule echter, man kann, was ich dann mache, in solchen Situationen, ich mache Einzelinterviews oder mit kleineren Personengruppen, wo wir schon wissen, aus dem internen Audit herauskommen oder sonstigen Erkenntnisquellen, das sind unsere Risken, da hat man schon Erfahrung ein und dann spricht man mit ganz gezielt, mit Risikoeignen, aber auch in Gruppen.

00:21:02: Weil Gruppe ist gut, weil die Gruppe sich dann wechselseit irgendwie befruchtet.

00:21:06: In der Gruppe kommt da Dynamik und dann challenge man sich selber.

00:21:09: Sonst habe ich nur einen Ansprechpartner, kann er mal als möglich erzählen.

00:21:12: Aber der andere sagt, na so ist doch nicht gar nicht, bei mir ist es anders.

00:21:14: Und da gibt es eine gute Dynamik, die sozusagen auch viele Informationen nachvor.

00:21:18: Dann ist es so wie eine Art, ich will nicht sagen, wie in der Schule, aber so eine Art, wer erzählt mehr?

00:21:23: Das ist so der Competition dann.

00:21:24: Wer trägt am meisten bei?

00:21:25: Das ist so ein... eine Gruppendynamik, die da entsteht und die eigentlich sehr förderlich ist.

00:21:30: Ich gehe nur mal ganz kurz zurück zu dem, was du gesagt hast, nämlich mit dem Techniker, der ja auch technische Risiken aufzeigt.

00:21:36: und dein Hinweis auf den Compliance-Office von VW, den nehme ich da jetzt als kleinen Aufhänger, wenn ich nämlich das, was du sagst, übertrage in meiner eigene Praxis und ich mir jetzt überlege, wie würde ich dein Beginn Passieren nämlich auf dem, was du gesagt hast, das darf auch kein Risiko verloren gehen und wir sollten vielleicht auch zuhören.

00:21:56: Du hast vorhin auch von Spearing gesprochen als die Aufgabe von Compliance und ich würde das zusätzlich nur sagen, Aktives zuhören.

00:22:03: Ist eine Kunst, die zwar nicht jeder beherrscht, aber das ist etwas, was ich in der Compliance tun muss.

00:22:07: Insbesondere beim Risk Assessment, dann würde ich ja jetzt in der Praxis nicht anfangen mit einem Solist vergleich, sondern ich würde im Workshop mir tatsächlich eine bunte Mannschaft an Kolleginnen und Kollegen suchen und würde dann einfach Wahrscheinlich gewisse Themen klustern, weil der Trigger war jetzt dieses technische Risiko.

00:22:27: Ich würde das technische Risiko hätte ich jetzt gar nicht als Compliance-Thema gesehen.

00:22:31: Also wohl als Produktcompliance, aber das ist ja nicht Teil meiner Compliance-Organisation oder meiner Compliance-Verantwortung in dem Unternehmen, in dem ich tätig bin.

00:22:38: Und daher kommt wahrscheinlich auch der Satz von dem Compliance-Office von VW.

00:22:42: Der hat gesagt, der Produktcompliance, das ist in der Technik, das ist nicht bei mir und kenne ich nicht, höre ich nicht, nicht mein Thema.

00:22:49: Beim Risk Assessment triggert mich das aber, weil vielleicht sollte man gewisse Themen auch klastern, sagen Finanzrisiko, Vertriebsrisiko, Einkaufsrisiko, Arbeitssicherheit, technisches Risiko, Diskriminierung, Datenschutz vielleicht klastern, man zu Beginn einfach gewisse Themen, macht ein simples Post-It, das man auf eine Wand hängt und lädt die Kolleginnen und Kollegen ein, ihre Risiken oder Ideen von Risiken einfach an die Wand zu hängen.

00:23:17: So, das ist die erste Aufgabe, was ich jetzt den Kolleginnen und Kollegen geben würde, wäre, seit es kreativ und welche Risiken erkennt ihr in eurem eigenen Umfeld, glasterts das nach den Themen und dann würde ich das sammeln und auch wieder abbrechen.

00:23:30: Also dann würde ich sagen, das sammle ich jetzt, glaster ich und dann in einem nächsten Schritt, in einem weiteren Termin mit den selben Kolleginnen und Kollegen, den soll ist, Vergleich zu machen.

00:23:39: Und so sagen, ihr habt dort diese Risiken erkannt.

00:23:42: So soll das sein, das ist quasi was das Gesetz sagt, das ist das, was wir in den internen Regelungen auch bisher schon haben.

00:23:48: So müssen die Prozesse sein.

00:23:50: Um dann zu sagen, haben wir tatsächlich Abweichungen oder wie sind die Abweichungen zu diesem Sol, um das ist festzustellen, aber auch um zu sagen, das ist ein Thema, das nehmen wir in der Compliance nicht, aber es ist dennoch ein Risiko, um es dann in die richtige Abteilung zu geben.

00:24:04: Das heißt, im ersten Schritt würde ich noch gar keinen Solisvergleich machen, würde auch selbst noch gar kein Risiko einmelden als Compliance, sondern ich würde sagen, sei es kreativ, in einem zweiten Termin den Solist-Vergleich mit dem Aussondern der Risiken, die ich mir gar nicht nehme, weil ich mir in der Compliance auch nicht jedes Risiko nehmen kann und würde dann in einem dritten Schritt, und darum qualte man das mit der Interaktion und mit dem Risiko eigenen so, weil dann würde ich in einem dritten Schritt mit den jeweiligen verantwortlichen oder den Risiko eigenen genau an diesen Glaster-Themen arbeiten.

00:24:33: Und es ist ja nicht so, dass das eine Risiko nur für den Einkauf ist, das andere Risiko nur für den Vertrieb, sondern ich würde Themen zusammenpacken und dort auch gemeinsam abarbeiten, um diese Competition, die du sagst, auch ein bisschen zu fördern und um auch diese Dynamik zu fördern.

00:24:47: Das heißt, für mich wäre das jetzt eigentlich, wären das jetzt drei Schritte, nur zur Identifikation.

00:24:53: und auch Ich weiß nicht, ob ich die Bewertung der Risiken schon mitnehmen würde, aber zur Identifikation der Risiken wären das für mich drei Schritte.

00:25:00: Würdest du das in der Praxis, würdest du das jetzt zum mitgehen?

00:25:03: Ich mache das in der Praxis ganz, ganz ähnlich.

00:25:05: Ich mache es sogar noch ein bisschen, so ich sagen, brutaler im Sinne von meinen ersten Gesprächen, die ich führe, da sage ich überhaupt selber gar keine Risken.

00:25:14: So nicht Frage, was halt, ich sage schon als Framework.

00:25:18: Das Framework ist Legal Risk.

00:25:20: Also, wo streife ich an eine Rechtsordnung?

00:25:24: Das Framework gebe ich.

00:25:26: Und dann sage ich, wo sehen Sie die fünf größten Risken?

00:25:28: Oder zehn größten Risken?

00:25:29: Mache ich oft mit Fragebogen.

00:25:31: Oft im Vorbereitung des Riskels setzen wir uns versendlich an eine große Mitarbeiteranzahl.

00:25:36: Fragebogen.

00:25:36: Ganz einfache Fragebogen, die aber offene Fragen sind.

00:25:40: Das sind natürlich dann mühsam zu lesen und zu klasten und zu verstehen.

00:25:43: Aber es muss ein Manager oder eine verantwortliche Person doch selber sich die Gedanken machen müssen, wo könnte es sein, dass ich einen Rechtsrahmen anstreife?

00:25:57: Das möchte ich den Leuten gar nicht abnehmen, weil die fangen dann oft, da geben Sie mal Beispiel, da gibt es ja kein Beispiel, ich frage ja Sie, in Ihrem täglichen Doing, wo glauben Sie, streifen Sie an?

00:26:07: Wo sehen Sie die größten Risken?

00:26:08: Und das ist sehr spannend, weil da kommen oft Dinge, an die man gar nicht gedacht hat.

00:26:12: Oder man sieht den Bildungsstand, also im Sinne von, wie weit sind die Leute eigentlich?

00:26:17: Haben die überhaupt ein Awareness?

00:26:18: Und was es da in Wirklichkeit geht?

00:26:20: Also man erfährt eigentlich sehr, sehr viel durch so offene Fragen.

00:26:22: Und dann kommt das, was du sagst, dann kommt eher eine Educational-Part.

00:26:27: Also dann kommt sozusagen hineingespielter Rechtsrahmen ein wenig.

00:26:30: Und dann geht man in die dritten Stufe, erschaut man sich diese Risiken dann an mit den Risikoeignen, wobei der wirklich ausschlaggebende Punkt ist, dass man extrem unionrichtig bleibt.

00:26:40: Ich mache dir, darf ich dir ein Beispiel machen?

00:26:42: Ich habe mal ein Kartellrechtsrisiko analysiert und dann sagt einer der Forschungsmitglieder, nein, Herr Dr.

00:26:47: Petsch, wir haben kein Kartellrechtsrisiko, wir haben nichts unterschrieben.

00:26:51: Ja, also das merkt schon, er kommt von einem, das existiert nur da in Realität, wenn es eine schriftliche Vereinbarung gibt.

00:26:58: Also nicht daran gedacht, abgestimmte Verhaltensweise oder so andere Dinge oder mündliche Verträge.

00:27:02: Und deshalb zieht man ja schon, woher jemand kommt.

00:27:05: Und jetzt ist es aber so.

00:27:06: Ich muss aus dem Business kommen.

00:27:08: Z.B.

00:27:08: im Kartellrecht würde ich fragen, warum kann es sein, dass sie so hohe Marktwerte haben in dem Gebiet und Trainierenwettbewerber kommt?

00:27:14: Warum ist unsere Kundenstruktur so gerne unverändert?

00:27:17: Wir haben eigentlich drei große Wettbewerber, aber immer das werden Kunden.

00:27:20: Wie kann das sein?

00:27:22: Das fragt man natürlich weniger provokativ.

00:27:24: Aber damit kommen dann Realitäten zu Tagen, die man eigentlich immer so ... Haben wir ein Katell gebildet, wie die sagen, nein, sicher nicht.

00:27:34: Also kommt eine negative Reaktion.

00:27:36: Aber wenn man erst als Business betrachtet, nur neutral formuliert und dann kommen dann so Meldungen, naja, wir werden nie attackiert in unserem Bereich, weil das ist einfach angenehmer und das ist von anderen auch angenehmer, dann erfährt man sehr viel.

00:27:48: Und die Wirklichkeit ist ein Hardcore-Katel hat sich herausgestellt, aber wir haben das mit normalen menschlichen Worten sozusagen identifiziert.

00:27:56: Und da war das Ergebnis Kartellrechtsrisiko hundert Prozent jeden Tag verwirklicht.

00:27:59: Das gefällt mir total gut, weil man, du weißt das ja, wir hatten ja gemeinsam einen Workshop zum Thema Legal Design, also juristische Sprache zu entrechten, um auch quasi die Sprache der Zielgruppe zu sprechen.

00:28:11: Das gefällt mir total.

00:28:12: Es ist nur, wenn du mir jetzt sagst, du gibst das Framework und sagst... quasi die Rechtsrisiken.

00:28:19: Wie soll ich sagen?

00:28:20: Also wenn ich jetzt zum Beispiel in meiner Organisation sagen würde, wir kümmern uns aber nur um die Rechtsrisiken, würde ich wahrscheinlich siebzig Prozent des Publikums verlieren.

00:28:27: Weil die sagen, na ja, für die Rechtsrisiken habe ich die Rechtsabteilung, dann nehme ich mich gleich zurück.

00:28:32: Also vielleicht würde ich den Rahmen gar nicht setzen.

00:28:34: Also vielleicht würde ich einfach sagen, erzutz mal eure Risiken.

00:28:37: Und dahin weiß ich mit die fünf bis zehn kritischen Risiken.

00:28:40: Ja, sonst habe ich ja... Jedes mögliche Risiko und ich muss mich nicht um die kritischen Risiken kümmern.

00:28:47: Also vielleicht würde ich das sagen mit fünf bis zehn Risiken, aber ich würde vielleicht das mit dem Rechtsahmen nicht sagen, weil sonst... Da hast

00:28:53: du recht, du hast recht.

00:28:54: Weil

00:28:54: sonst hat der Schränk gesucht.

00:28:55: Ja, da hast du recht.

00:28:56: Und du versteckst sie.

00:28:58: Ich bin übergegangen, du hast recht, ich bin übergegangen, habe gefragt, wo sehen sie ihre größten Compliance-Risken?

00:29:03: Da kannst du dann jeder selber überlegen, was das bedeutet.

00:29:05: Man kann auch fragen, wo sind sie die größten Risken, aber da kommt halt natürlich, ich flehe den Kunden, ich hab mir eine Feuersbrunst, ich hab keine Ahnung, aber da muss man seine Mannschaft kennen.

00:29:14: Ich glaub, das hängt sehr stark von der Mannschaft ab, wie die ausgerichtet ist, aber man soll zu weit wie möglich fragen und keine Angst haben davor, dass möglicherweise viel Information kommt.

00:29:22: Wenn man eng fragt, kommt sowieso nichts.

00:29:25: Das heißt, man muss... Und da kommen oft sehr ausgefallene Dinge, an die man selber gar nicht gedacht hätte, und dafür soll man ja sehr dankbar sein.

00:29:31: Und dann geht man in den zweiten und dritten Schritt, so wie du gesagt hast.

00:29:34: Was man sehr gut gefällt, ist, dass du keine Anleitung gibst und dass du auch keine Antwort lieferst, sondern dass du die Kolleginnen und Kollegen auch nachdenken lässt, weil es auch ihre Verantwortung ist.

00:29:44: Und das ist ja genau das, von dem wir die ganze Zeit immer sprechen.

00:29:47: Compliance ist ja eine Verantwortung, die alle haben, die hat ja nicht der Compliance-Office, sondern die haben ja alle.

00:29:52: Und für den Bereich, für den ich mich auch verantwortlich zeige, muss ich ja in Wahrheit die Risiken kennen und muss ich ja in Wahrheit wissen, was ist in der Rahmen, in dem ich mich bewege.

00:30:00: dass auch da bitte eine kleine Info die Rechtsabteilung kennt nicht jedes Gesetz, nur wer Gesetz drauf steht und auch die Compliance kennt nicht jedes Risiko, nur wer vielleicht da irgendeine Regelung oder eine Richtlinie dahinter ist.

00:30:13: Also das müssen die Bereiche und die Verantwortlichen schon selbst wissen.

00:30:16: Und aus dem Grund ist es auch so wichtig, dass sie da freie Antworten können und nicht angeleitet werden an der einen oder anderen Stelle.

00:30:24: Wir haben jetzt einen ersten Schritt für das Thema Risk Assessment, haben wir jetzt gesetzt.

00:30:28: Wir haben einen Workshop, wir lassen die Leute reden, wir frameen das in einem nächsten Schritt und geben quasi Solist-Vergleich und dann erarbeiten wir mit den Zielgruppen, erarbeiten wir dann die konkreten Risiken, die wir haben, nämlich du hast das eher gesagt, die fünf.

00:30:44: Nehmen wir die fünf kritischen Risiken.

00:30:46: Das heißt, wir haben am Ende dieses Workshops und der kann auch mehrere Tage dauern.

00:30:49: Also bitte unbedingt Zeit nehmen für dieses Thema.

00:30:52: Haben wir Risiken.

00:30:53: Ich würde jetzt nur ganz kurz sagen, jetzt bin ich in einer internationalen Organisation, dass jetzt diese Risk Assessments mache ich auch an den Standorten.

00:31:01: Ist das, ich nehme zum einen, das ist auch eine Empfehlung von dir, das nicht nur zentral zu steuern und zu sagen, wenn wir die Risiken hier haben, werden wir die woanders auch haben, sondern diese, diese Risk Assessments auch vor Ort zu machen.

00:31:11: Ja, das ist ganz wichtig.

00:31:13: Es wird dann komplex, wenn du international tätig bist und in mehreren Geschäftsfeldern.

00:31:16: Wirklichkeit muss man für sich das Geschäftsfeld machen und für jede Region, weil das Koopzonsrisiko ist vielleicht in China anders als in Österreich oder in Brasilien.

00:31:25: Und deswegen muss man auch Geschäftsfeld und Region betrachten.

00:31:28: Das macht natürlich... aufwendiger, muss man ganz offen sagen.

00:31:32: Aber vielleicht geht man auch hier stufenweise vor.

00:31:34: Man könnte ja sagen, unsere Hauptmärkte, also wo wir für die Hauptsicher- aktiv sind, dort betrachten wir am meisten und dann in den kleinen Ländern vielleicht weniger oder später, das ist natürlich auch gefährlich, weil in manchen Rechtsordnungen ist ja so, ich habe einen Katellerechtsverstoß bei der kleinsten Tochtergesellschaft irgendwo, wo ich Come Operations habe und dann ist das Buskel zehn Prozent vom Konzernum-Satz.

00:31:54: Also das hilft mir dann diese Betrachtung nicht wirklich weiter, weil ich das Risiko, In Wirklichkeit ist es sehr oft so in großen Konzernen, dass ich das Risiko mehr einkauf mit ganz kleinen Entitäten, die ich kaum überwache und wo ich auch kaum Geschäft mache, aber das Risiko unverhältnismäßig hoch ist und in den Konzernen hineinschwappt.

00:32:10: Und das, glaube ich, ist... Also das muss man dann auch abwägen, wo betrachtet man.

00:32:14: Man kann auch sagen, die Risikoländer betrachte ich nach bestimmten Kriterien.

00:32:18: Als erstes, wo ich sage, da könnte nämlich an, dass das Risiko höher ist.

00:32:22: Und geht tatsächlich so vor.

00:32:24: Ich glaube, das ist ein aggregiertes Konzern-Compliance-Risiko.

00:32:28: Habe ich noch nie wirklich selber hinbekommen, weil das unheimlich schwierig ist.

00:32:33: Ich kann nicht einen Risiko aggregieren.

00:32:34: Ich kann nicht sagen, in einem ist das Risiko zehn, in anderen fünf.

00:32:37: Deswegen sind wir bei sieben, fünf als Konzern.

00:32:39: Das hat keine Aussagekraft.

00:32:41: So, ich glaube, man muss die Einzeländer betrachten.

00:32:42: Du hast doch angesprochen.

00:32:45: Die Frage der Regelmäßigkeit, ja, die Benchmarks.

00:32:47: Es gibt ja also Normen im Bereich der Compliance.

00:32:50: und sonstige wie United States Sentencing Guidelines oder UK Bribe React Guidelines, die sagen, dass das Risiko Assessment regelmäßig gemacht gehört, zumindest einmal im Jahr.

00:33:02: Das klingt jetzt bedrohlich und um Gottes Willen, denn ein Riesenbirden kommt auf mich zu.

00:33:05: Das ist nicht der Fall, wenn man es einmal gut gemacht hat, ist es draufsetzen sehr, sehr leicht, weil das Risiko kann sich nur auf zwei Arten verändern.

00:33:13: Es kann entweder die Rechtslage sich ändern, es verschärft sich zum Beispiel ein Gesetz, oder ich beginne mit einem neuen Geschäftsfeld oder neuen Produkt oder neue Region und dann betrachte ich es.

00:33:22: Oder ich kaufe was zu, dann kann ich mir anschauen, was habe ich mit aus Compliance sich dazu gekauft.

00:33:26: Aber es verändert sich die Compliance, die Compliance-Risken ja nicht ohne diese Faktoren.

00:33:32: Und deswegen glaube ich, ist das draufsetzen, das wiederholen, Das nochmal hinschauen, glaube ich, etwas ziemlich leichtes, wenn man es einmal gut

00:33:39: gemacht hat.

00:33:40: Ich möchte nur ganz kurz einhaken bei den kleinen Einheiten und mit den Risiken, dass man sich durch kleine Einheiten auch einkauft.

00:33:46: Wir machen mit kleinen Einheiten, die wir zukaufen, machen wir einen Compliance Health Check.

00:33:51: Das heißt, wir schicken Fragebögen und Assessments an die Belegschaft der jeweiligen kleinen Einheit, um einmal das Potenzial zu erheben, was für Risiko haben wir denn dort, verbunden mit auch einer kleinen Awareness-Kampagne, auch sofort mit Schulungen.

00:34:05: Und da kann ich sagen, das macht tatsächlich Sinn.

00:34:08: Also man darf diese kleinen Einheiten und das Risiko, das in den kleinen Einheiten besteht, nicht unterschätzen.

00:34:14: Das ist aber auch Das Ergebnis eines Learnings, das wir haben, das macht sich aber definitiv bezahlt.

00:34:20: Und das Zweite, was ich nur sagen wollte, ist, weil du gesagt hast, jährlich ein Risk Assessment, also wir machen, wir hatten ein Gausses Risk Assessment.

00:34:30: Ich habe es in dem Podcast schon ein paar Mal gesagt, mit den zwanzig exponiertesten Personen, ich würde dich heute anders machen, ich würde es genauso machen, wie wir das jetzt gerade besprechen und das werden wir auch noch einmal wiederholen.

00:34:40: Aber seitdem wir dieses initiale Risk Assessment gemacht haben, haben wir gewechselt zu Themen spezifischen Risk Assessments, die wir tatsächlich jährlich machen und wo wir zumindest einmal den Versuch haben, einmal im Quartal ein gewisses Thema auch abzuhandeln.

00:34:56: Und das machen wir nicht im Workshop, sondern das machen wir digitalisiert, indem wir konkrete Fragebögen an die jeweilige Zielgruppe, nämlich die Risikoeigner auch schicken.

00:35:06: Das ist für den Moment gut, da bekommen wir gute Auswertungen, wir bekommen die Ergebnisse sofort und leiten aus den Ergebnissen auch sofort etwas ab.

00:35:14: Aber es zeigt mir jetzt das Gespräch, dass wir da jetzt für ein schon wieder, dass sich ein großes Assessment, nämlich mit einer gewissen Themenvielfalt, wieder machen.

00:35:26: Ich würde es jetzt nicht jedes Jahr machen, weil ich das Verständnis aus der Organisation auch nicht habe und ich selbst auch nicht der Meinung bin, dass ich jetzt jedes Jahr mir im Rahmen eines großen Workshops dieses Thema nehmen muss, sondern ich würde tatsächlich bei den Demensspezifischen Risk Assessments bleiben.

00:35:40: Aber so alle zwei bis drei Jahre ein großes, weil sich auch die Menschen im Unternehmen ändern.

00:35:46: Also es ändern sich ja nicht nur die Themen und es ändern sich ja nicht nur die Regulatorik oder auch das Business.

00:35:51: Insbesondere ändern sich die Menschen und die Verantwortungen.

00:35:55: Und das ändert sich vielleicht nicht jedes Jahr, aber in einem zweijahres Rhythmus oder in einem dreijahres Rhythmus habe ich plötzlich eine neue Führungskraft oder habe ich neue Manager oder neue Mitarbeiterinnen und Mitarbeiter.

00:36:06: Die, und ich bin der Meinung eines der größten Risiken in der Compliance, ist tatsächlich auch die Betriebsblindheit.

00:36:12: Das heißt, um auch die neuen Mitarbeiterinnen und Mitarbeiter an Bord zu holen.

00:36:18: Würde ich jetzt nicht jedes Jahr, aber zumindest alle zwei, drei Jahre ein großes Risiko sei es mitmachen, aber bei den Themen spezifischen bleiben, um die Organisation laufend mit dem Thema Compliance zu beschäftigen, zumindest mit was das Risiko betrifft, aber dann alle zwei bis drei Jahre ein großes, wo ich sage, da hole ich mir tatsächlich mit der Themenvielfalt auch den Status quo wieder in die Organisation.

00:36:39: Das wäre jetzt was, was ich machen würde.

00:36:41: Ja, absolut korrekt.

00:36:42: Und es gibt jetzt keine Genau, es gibt das nicht.

00:36:47: Ich glaube, das ist jede Organisation.

00:36:48: Es wurde ja immer angepasst an der Organisationsform.

00:36:50: Und wenn man sich auf bestimmte Risken konzentriert in einem Jahr und nach einer bestimmten Kriterium, das so gradenartig abarbeitet, ist glaube ich auch okay.

00:36:59: Du hast natürlich recht, wenn man das Risken, das heißt, man hat einen großen Scham, wenn man die Kollegen immer wieder sozusagen mit Risken ... konfrontiert, das klingt jetzt viel zu martialisch, aber dass sie auch darüber nachdenken und es bleibt compliance-present.

00:37:13: Und das Whisker-Sessment dient eigentlich dazu, weil das Whisker-Sessment ist ja von der Formulierung so... Das geht ja den Risiko eigen an.

00:37:20: Das heißt, diese Awareness ist dann bei ihm geparkt und wird immer wieder so sagen, wach gehalten.

00:37:25: Und das ist, glaube ich, das Wichtige, dass die Kolleginnen und Kollegen verstehen, das ist eigentlich ihr Risiko, nicht das Risiko.

00:37:31: Also, ich habe kein Compliance-Office gesehen oder eine Rechtsabteilung, die non-compliant agiert hat.

00:37:36: Das sind ja nicht, sondern die operativ an der Front stehen, die dem Risiko ausgesetzt.

00:37:41: Und deswegen ist das diese Awareness, glaube ich, immer immer wichtig, dass sie immer wieder präsent ist.

00:37:47: Etwas anderes kann man auch machen, das ist natürlich ein bisschen subtiler und da würde man nicht oft vom Mail sagen, das ist ein Risk Assessment, aber ich bediere sehr stark dafür, dass sich die Compliance verantwortlichen Manager in Business Meetings hineinsetzen, dort wo Business gesprochen wird, weil dann bekommen sie eigentlich unheimlich viel mit, ohne dass sie überfragen müssen.

00:38:08: Also wenn es um neue Produktentwicklungen geht, wenn es um den Markteintritt, einen neuen Markt geht, wenn es Business-Meeting, Vertriebs-Meeting, ich habe mich erinnert, wir haben immer so gesagt, Compliance Meets Business.

00:38:22: Dass ich mich rein reklamiere in Business-Meeting ist einfach Präsenz.

00:38:25: Ich bin nun gar keine aktive Rolle, vielleicht habe ich es einfach zuhören und beobachte und mir Gedanken machen kann proaktiv.

00:38:31: Und dann nicht sozusagen später daherkommen, Produkt wurde eingeführt, das haben wir ein Problem.

00:38:35: Oder neues Land wurde erobert, haben wir ein Problem.

00:38:38: Und das, was du gesagt hast, ist, glaube ich, ganz, ganz wichtig.

00:38:40: Du hast gesagt, wenn wir was zukaufen, dann gehen wir mit der Compliance hinein.

00:38:44: Das ist gut, weil zwei Dinge.

00:38:47: Das eine ist, oft hat ja das Unternehmen, das man zukauft, gerade wenn es ein Mittelständler ist, so ein sehr kleines Unternehmen, überhaupt keinen Reifegrad in der Compliance.

00:38:54: Die kennen das gar nicht.

00:38:56: Das heißt, ich muss hier mal in meiner Compliance-Organisation integrieren.

00:38:59: Da braucht es auch eine bestimmte Verantwortung dafür und auch eine bestimmte... Erwärme ist und dann aufwachen.

00:39:07: Und gleichzeitig muss ich, wenn ich das akquiriere, gleich mein Compliance-Risiko-Risiko verstehen, dass ich mir damit eingekauft habe.

00:39:14: Und anscheinend falls dagegen wirken.

00:39:15: Nach dem United States Sentencing Guidelines ist es so, dass wenn ich ein Korruptionsrisiko erkenne, nach einem Zugauf muss ich das sofort melden der Behörde und offenlegen.

00:39:25: um allfälligen Strafen zu entgehen.

00:39:27: Also es gibt sozusagen auch Regulative, die mich eigentlich verpflichten, dorthin zu schauen, wenn ich etwas kaufe.

00:39:33: Und das wäre ja wirklich blöd.

00:39:34: Ich habe oft erlebt, wirklich oft erlebt, ich sage das jetzt ganz brutal, dass man sich durch einen Fliegenschiss, den man irgendwo eingetreten hat, dann ein ihres Risiko eingetreten hat.

00:39:45: Und ohne es zu wissen, und das ist eigentlich völlig absurd.

00:39:49: Das ist es tatsächlich und ich kann aus der eigenen Praxis sagen, also es ist gut, sich auch mit diesen Themen zu beschäftigen.

00:39:54: und du hast jetzt einen wesentlichen Punkt, nämlich auch für mich gesagt.

00:39:58: Es hat immer was auch mit Erwärmes zu tun.

00:40:00: Es hat immer was auch mit einer Sensibilisierung zu tun.

00:40:03: Also die Risk Assessment nehme ich jetzt nicht ausschließlich dafür, um Risiken zu identifizieren, sondern insbesondere auch im

00:40:10: Gespräch zu bleiben.

00:40:11: Ja und um zu sensibilisieren.

00:40:13: Was tu ich denn mit den Risiken, die ich dann tatsächlich identifiziere?

00:40:17: Ich beschäftige die Organisation mit den Maßnahmen und du hast gesagt, bitte mit einbinden der Kolleginnen und Kollegen auch bei der Minimierung der Risiken und bei den Maßnahmen, die gesetzt werden.

00:40:28: Das heißt, ich muss ja die Organisation mit dem Thema Risiko beschäftigen, sowohl in der Minimierung als auch bei der Erhebung Identifikation.

00:40:39: Und darum beschäftige ich in Wahrheit die Organisation sehr gerne immer mit den Risiken, war immer auch verbunden mit einer Sensibilisierung, dass es da kommt, immer auch ein Schulungscharakter, schwingt da immer mit.

00:40:50: Und was du auch noch gesagt hast, was wir vorher schon besprochen haben, was aber immer wieder durchkommt, man kann es eigentlich gar nicht oft genug sagen.

00:40:58: Nehmt es Teil an den Business-Gesprächen, nehmt es Teil an den wesentlichen Business-Entscheidungen, das heißt noch einmal bitte, das Business ist die Legitimation für die Compliance.

00:41:06: So, jetzt haben wir die Risiken identifiziert.

00:41:09: Wir haben sie erhoben, wir haben sie bewertet.

00:41:11: Wir machen jetzt auch etwas mit den Risiken, das ist der nächste Schritt.

00:41:15: Da wechseln wir dann quasi in das Compliance-Programm, wo wir dann Richtlinien schreiben, Schulungen entwickeln und und und.

00:41:21: Die Kategorien im Hinweisgebersystem auch anpassen, weil das Hinweisgebersystem für mich auch eine... eine wirklich wesentliche Erkenntnisquelle für Risiken ist.

00:41:32: Das heißt, für mich ist ja das Hinweisgebersystem auch Teil eines, ich würd's jetzt sagen, risk assessment, weil es ja nicht...

00:41:38: Aber Erkenntnisquelle.

00:41:39: Richtig, es ist zwar jetzt nicht systematisch und nicht so, dass ich das systemisch mach mit dem Hinweisgebersystem, aber es ist eine Erkenntnisquelle.

00:41:48: Das heißt, ich passe das Hinweisgebersystem bei den Kategorien auch immer an an die Risiken, die ich aus der Organisation dann auch bekomme.

00:41:54: So, ganz kurz noch Alexander.

00:41:58: Wir haben jetzt über die Erhebung gesprochen, über die Bewertung, über die Minimierung.

00:42:02: Welche Risiken sollte man jetzt als Compliance einmal grundsätzlich am Schirm haben?

00:42:08: Wenn man jetzt nämlich aus diesem Podcast rausgeht, möchte die Zuhörerinnen und Zuhörer nicht mit der unbeantworteten Frage zurücklassen.

00:42:18: Aber welche Risiken sollte man jetzt konzentrieren?

00:42:21: Das ist natürlich immer businessabhängig.

00:42:22: Sagen wir mal drei bis fünf Compliance-Risiken, die man sich jedenfalls anschauen sollte und wo es sich vielleicht auch empfiehlt, eine Podcast-Folge dazu zu machen.

00:42:32: Welche Risiken würdest du sagen, mit denen müssen wir uns beschäftigen und das sind so entweder neue Themen, die man noch gar nicht am Schirm hat, aber auch so klassiker.

00:42:42: Also, ich mein, vielleicht fangen wir mit den neueren Themen an und das ist ja spannend, weil die Compliance muss ja auch dazu lernen selber und auch beobachten, was sich im rechtslichen Rahmen tut.

00:42:52: Und

00:42:52: eigentlich, nein, nein, nein, und auch ständig fit bleiben.

00:42:55: Also, wir haben das eigentlich mit Covid-Brutals gelernt, wo bei der wenigem Tagesrhythmus, das Rausgehen aus dem Haus, unterschiedlich geregelt war, das Treffen mit Menschen und die Abstand zu Menschen und wie großer Elefant, kleiner Elefant.

00:43:08: Wir haben ja ständig lernen müssen und sich uns anpassen nach Hygienevorschriften etc.

00:43:14: Da ist eigentlich die Compliance sehr fit geworden.

00:43:17: Das Spannende ist ja, wir haben damals geglaubt, Compliance wird in Krisenzeiten an Bedeutung flieren und es gibt Studien dazu, insbesondere in Großbritannien, wo es ganz klar ist, in Krisenzeiten steigt die Bedeutung von Compliance, weil das regulativ schärfer wird.

00:43:29: Und die Lage angespannt ist.

00:43:31: Und jetzt, wenn man sich die neuesten Sachen anschaut, ist es natürlich Artificial Intelligence, alles um künstliche Intelligenz.

00:43:36: Es hat Haftungsfragen, aber auch mit Benutzerfragen,

00:43:39: etc.,

00:43:39: etc.

00:43:40: zu tun.

00:43:41: Und dann auch gibt es eben dazu Direktiven, was man mit Artificial Intelligence machen darf und was nicht so.

00:43:47: Dann haben wir das Ganze alles, was rund um Grün ist.

00:43:49: Das ist schon ein bisschen älter, aber ist auch noch modern.

00:43:51: Vor allem deswegen modern, weil es ein bisschen Rückschritt gegeben hat auf europäischer Kommissionsebene, was man jetzt Unternehmen auflasten soll oder nicht.

00:43:58: Das heißt, der Beckgrün, was fällt

00:43:59: da so an?

00:44:00: Naja, ich schier, also in meinem Mental-Socialen Governance, wobei Governance wird ganz, ganz wenig betrachtet, in der Governance fällt natürlich hinein, den ganzen Korruptions-Thematik, zumindest nach der Definition.

00:44:09: und Kartellrechtsverstöße, also wie organisiere ich mich rechtssicher.

00:44:13: Da kommt das, das G hat eine große Implikation für die Compliance.

00:44:17: Also viele, die eigentlich mit Compliance nichts am Hut haben, aber dann plötzlich ISG-Ratings machen wollen, kommen darauf, dass sie Compliance brauchen, weil das G, das Compliance, beinhaltet.

00:44:26: Das ist eine Frage der Governance natürlich.

00:44:29: Das sind schon die modernen Themen.

00:44:30: und dann gibt es das Sexual Harassment und Mental Health und Workplace.

00:44:38: und so weiter.

00:44:39: Das sind sozusagen neue Themen, die wir uns beschäftigen.

00:44:42: Und dann gibt es am Ende des Tages diese, ich würde sagen, All Time Highs, wie in der Musik, also die Beatles.

00:44:50: Beatles and Rolling Stones.

00:44:52: Beatles and Rolling Stones ist All Time Highs, die Korruption.

00:44:56: Ist das Kartellrecht, ist das Datenschutzrecht, wobei das ist eigentlich ein Newcomer gewesen damals, war New Kid on the Block vor zehn Jahren, aber ist mittlerweile schon ein Alltime High, ist schon arriviert, gehört schon zum Club der älteren Boys.

00:45:10: Und dann haben wir, das kam hatten wir nicht immer, aber wir sind in Europa mehr geschüttelt worden des Sanktionsrechts, das heißt Außenhandelsrecht, wen darf ich liefern, wenn darf ich das Geschäftsparten haben, wir kennen das durch den Ukrainekrieg.

00:45:21: Es hat sich das dramatisch verschärft und da sind gerade österreichische Unternehmen oft in einer schwierigen Situation, weil Russland für uns ein wichtiger Markt war.

00:45:28: Libyen übrigens auch und da gibt es immer wieder Themen nach wie vor.

00:45:32: Und dann haben wir das sagen, dass vom Außenhandelsrecht kommen, haben wir das die Geldwäscherei, weil auch das ist eine Geschäftspartnergeschichte.

00:45:43: Wir haben dann Umweltrecht für die produzierenden Unternehmen.

00:45:48: Und wir haben das gesamte öffentliche Recht, wie Anlagenrecht, Anlagengenehmigungen etc.

00:45:55: Betriebsanlagengenehmigungen.

00:45:56: All das spielt in die Compliance tatsächlich hinein.

00:46:00: Und dann kommt das Arbeitsrecht.

00:46:01: Das ist eigentlich auch ein Klassiker, aber es ändert das Gesicht mit Mobbing und Sexual Arrestment.

00:46:06: Das Arbeitsrecht mit Arbeitssicherheit.

00:46:08: Und beim Data Protection, habe ich vergessen, da gibt es eine Date of Security.

00:46:11: Das ist ein Schlenker in einen anderen Bereich hinein, aber kommt eigentlich aus dem heraus.

00:46:16: Und so gibt es halt laufend Gebiete, die zu betrachten sind.

00:46:21: Also ich würde sagen, es sind meistens so um die Zehen herum.

00:46:25: Aber ich gebe es ungern vor.

00:46:28: weil es bei manchen eben nicht so ausgeprägt ist.

00:46:31: Das, was du vorhin gesagt hast, gehört noch mal betont, glaube ich.

00:46:35: Das Risk Assessment ist in drei Phasen eingeteilt.

00:46:38: Die Phase eins ist die Risiko-Identifikation.

00:46:40: Das bedeutet, ich identifiziere mal die Risken.

00:46:43: Das bedeutet, gegen welche Rechtsvorschrift könnte ich potenziell bei meinem Tun verstoßen.

00:46:50: Und das ist eine ohne Bewertung.

00:46:52: Das ist jetzt nun mal eine reine Betrachtung meines Handelns und meines Prozesses.

00:46:57: Und mit welchen Rechtsordnungen und Rechtsvorschriften komme ich da in Berührung.

00:47:01: Die zweite Phase ist die Risikoanalyse.

00:47:04: Das heißt, ich betrachte das Risiko und welchen Geschäftsprozess.

00:47:07: Ich gehe die tiefer hinein.

00:47:08: wie es sie ausgeprägt und dann kommt die Bewertung.

00:47:11: Und die Bewertung ist eine Sache der Perurisierung, nämlich welche Risken sind eigentlich für mich hoch und welche haben einen hohen Impact.

00:47:18: Und auf diese werde ich mich konzentrieren, weil Compliance Management System, Management heißt Managen.

00:47:24: Managen bedeutet Entscheidungen zu treffen und ich werde sozusagen kleine Risken, die auch einen geringen Impact haben, wahrscheinlich weniger behandeln, das sind Ressourcenthema wie Risken, die sehr hoch sind und mit einem sehr hohen Impact.

00:47:36: Und das kann von Unternehmen zu Unternehmen einen Unterschließenden.

00:47:39: In manchen Unternehmen wird das Korruptionsrisiko hoch, in den meisten wird es gering sein.

00:47:42: Und jetzt kommt eines dazu.

00:47:43: Man bewertet die Risken auch in anbetrachter Maßnahmen, die man getroffen hat.

00:47:48: Das heißt, wenn ich das Risiko setzbar wiederhole, und ein paar Jahre später, wird sich auch das Risiko vielleicht deswegen verändert haben, wenn wir meine Compliance-Maßnahmen gegriffen haben.

00:47:57: Ich habe das mehrmals schon gesehen, wo das Compliance-Risiko der Korruption, wo wir gesagt haben, das hat sich eigentlich nach unten verändert.

00:48:05: Wir können, das ist ein mittelgroßes Risiko, es ist nicht mehr groß, weil wir folgende Maßnahmen ergriffen haben.

00:48:11: Also da bewertet man auch die Maßnahmen.

00:48:13: Und das ist ja auch gut, da kann man die Menschen ja auch zeigen.

00:48:16: Das, was wir gemacht haben, hat ja was gebracht.

00:48:18: Vielen Dank für die Ausführungen zu den Risiken und nochmal für das Zusammenfassen der drei Schritte Identifikation, Analyse und Bewerten.

00:48:25: Bei den Risiken habe ich mir jetzt mitgenommen.

00:48:28: Was wir uns in den folgenden Episoden vielleicht nur näher anschauen zu halten, ist das Thema Artificial Intelligence, also insbesondere mit dem AI-Ekt, das Thema Korruption, Kartellrecht, Menschenrechte im Sinne auch des ISG.

00:48:40: Ich habe mir nur mitgenommen, Datenschutz und IT Security, Geldwäsche und Trade Compliance, also im Sinne des Außenhandelsrechts.

00:48:47: Ja, man könnte auch noch der Steuerrecht mitnehmen, also der Tax Compliance, aber das ist natürlich sehr speziell.

00:48:51: Aber da gibt es noch zwei Gebiete in Wirklichkeit, das ist die Umsatzsteuer- und die Verrechnungspreisproblematik, aber sonst ja.

00:48:57: Da kann man ja vielleicht ein kurzes Boot geben, damit und zu machen.

00:48:59: So, die Diskriminierung haben wir im Juni schon einmal gehabt.

00:49:04: Also die Diskriminierung würde ich jetzt an dieser Stelle mal kaken.

00:49:06: Aber ist für mich natürlich ein wesentliches Thema, ein wesentlicher Verantwortungsbereich für die Compliance.

00:49:13: So, ich würde jetzt das Thema Risiko Assessment oder Risk Assessment würde ich jetzt an dieser Stelle abschließen.

00:49:17: Ich glaube, wir haben einen guten Überblick gegeben über wie wichtig ist ein Risk Assessment?

00:49:25: Geht man an den Risk Assessment auch heran?

00:49:27: Wie führt man den Risk Assessment auch durch?

00:49:29: Welche Personen sollten an den Risk Assessment teilnehmen?

00:49:32: Welche Risiken sollte man sich ansehen?

00:49:34: Das ist eine wunderbare Liste, die du uns da jetzt geliefert hast.

00:49:37: Und

00:49:37: vielleicht noch ein Setz Schumate, wenn ich dich gut beglechen darf.

00:49:40: Bitte.

00:49:41: Risk Assessment macht doch mörderisch viel Spaß, weil man lernt sehr viel.

00:49:45: Wenn man mit den Leuten spricht, man lernt sehr viel.

00:49:47: Man holt sie ab, man lernt, man lernt, man lernt.

00:49:49: Auch als Compliance Officer.

00:49:51: Und manche Compliance Officer bieten mich, ich soll das Risk Assessment machen und ich soll dann melden, was dann rausgekommen ist.

00:49:57: Nein, nein, bitte, das machen wir schon gemeinsam, weil sie lernen wahnsinnige Filter von mir einfach zuhören und die Präsenz.

00:50:03: Also das macht wirklich Spaß.

00:50:04: Man lernt das Unternehmen von der Bicke aufkennen, man versteht es und man beginnt dann mal, man beginnt das Unternehmen zu... dringend mit der Compliance und das ist wirklich ein sehr extrem wertvolles Element und macht doch wirklich Spaß.

00:50:19: Ich liebe das.

00:50:20: Compliance macht Spaß, macht es nämlich tatsächlich.

00:50:23: Also Compliance macht definitiv macht definitiv Spaß.

00:50:26: Ob die Zuhörer

00:50:27: merken, dass wir schmunzeln.

00:50:28: Ja, absolut.

00:50:29: Das machen wir die ganze Zeit.

00:50:30: Also Compliance ist wirklich, das ist ein ganz besonderes Thema, das ist ein sehr wertvolles Thema, das ich gesagt habe und das macht die Arbeit in der Compliance Spaß, weil man mit Menschen arbeitet und wenn man Bock hat mit Menschen zu arbeiten, dann ist man in der Compliance absolut richtig.

00:50:44: So, ich habe gesagt, wir schließen das Thema, das Thema Risiko schließen wir jetzt einmal kurz ab, im Sinne des Der Risk Assessments, jetzt habe ich ja zu Beginn gesagt, die Folge bedeutet ja, oder lautet ja, Risk Assessments die Grundlage für Strategie und Ziele.

00:50:57: Und Strategie und Ziele sind ja nach meinem Verständnis ein eigenes Element, weil es doch sehr wichtig ist, weil es Orientierung gibt für die Compliance Organisation und quasi auch einen Anker setzt.

00:51:08: Wer bin ich?

00:51:09: für was bin ich zuständig, wo will ich denn auch hin?

00:51:12: Es ist nur kein Element, das jetzt für mich eine ganze Folge oder eine ganze Episode geben würde.

00:51:17: Darum nehmen wir das Thema nur kurz mit.

00:51:20: Wie wichtig ist eine Compliance-Strategie für eine Compliance-Organisation?

00:51:25: Also, dass, wenn man sich die ISO Standards durchliest, da wird immer von Compliance-Ziel und von Compliance-Strategie gesprochen.

00:51:32: Ich glaube, in der Praxis wird das nicht so dezidiert diskutiert oder überhaupt nicht betrachtet.

00:51:38: Mit Compliance-Strategie meine ich, meint man, Wie will ich meine Compliance generell ausrichten im strategischen Form?

00:51:47: Was ist sozusagen mein strategischer Zugang zu Compliance?

00:51:49: Was bedeutet für mich die Compliance?

00:51:51: langfristige Unternehmen und mit Zielen?

00:51:53: Das ist dann runtergebrochen, viel konkreter, was ich erreichen möchte.

00:51:58: Also das kann man auch an Zielen, man kann auch Ziele definieren in der Compliance, die man erreichen möchte.

00:52:03: Es ist nicht immer leicht zu greifen, aber möglich.

00:52:06: Und ich mache nur ein Beispiel, Kompleinstrategie ist unsere Strategie immer am Graubereich zu schrammen?

00:52:14: oder ist unsere Strategie eigentlich steht auf die Art, Kompleinst zu sein?

00:52:19: oder ist unsere Strategie, wir wollen hundertprozentig rechtskonform sein in allen, was wir tun, das sind strategische Fragestellungen und die muss man eigentlich, das ist nicht eine Frage des Kompleinstofficeurs, sondern Unternehmensstrategie ist sage des Vorstands.

00:52:32: Bis hin zum Aufsichtstrat vielleicht, wie man sich in der Compliance ausrichten, was ist eigentlich mein Zugang, strategischer Zugang zu Compliance?

00:52:41: Was soll das im Unternehmen schaffen?

00:52:43: und wie weit gehe ich da?

00:52:44: Und da gibt es eben mehrere Ausbringungsvarianten und dieses Compliance-Strategie.

00:52:50: Wenn man die Strategie richtig formuliert hat oder vor sich auf Augen hat, dann tut man sich in der Umsetzung leichter, weil macht ein Beispiel, wenn ich sage, nein, eigentlich möchte ich es immer ausreizen, wo es geht, dann mache ich in der Korruption eine Matrix und sage okay, die Einladungswerte sind polandunterschiedlich, weil ich gehe mir ans Limit.

00:53:06: Ja?

00:53:07: Oder wenn ich sage, nein, nein, nein, so, ansonsten möchte ich nicht immer gehen.

00:53:10: Das ist nicht gut.

00:53:11: Ich möchte als Konzern eine weltweite Vorgabe haben, die ist immer gleich.

00:53:15: Und ob das dann an der Grenze schramt oder nicht, ist mir egal.

00:53:19: Aber ich stehe für etwas.

00:53:20: Ich habe eine kompläne Skulptur.

00:53:22: Dann will ich nicht über hundert Euro einladen oder fünfzig oder was auch immer die Weltgrenze ist.

00:53:27: Und das geht halt ganz konzernweit.

00:53:28: Dann gehe ich eigentlich weg von der Ausrichtung.

00:53:31: Ich möchte immer in die Kante gehen, sondern ich gehe... mit einem eigenen Wert hinein.

00:53:35: Und das ist sozusagen die Diskussion, die man grundsätzlich führen muss, weil es auch wertvoll ist, wenn ich zum Vorstellen, dass erstes WorkPorter kommen mit der Antikorruptionspolizei und da gibt es Detailregelungen.

00:53:50: Die werden vielleicht nicht mit den Werten zusammen passen, die der Vorstand eigentlich mitträgt.

00:53:54: Du würdest sagen, warum eigentlich?

00:53:55: Warum gehen wir da nicht locker rein, China?

00:53:57: Warum machen wir nicht in Brasilien anders?

00:53:59: Wie kommen sie nur auf die Idee?

00:54:01: Das heißt, die Strategie wäre natürlich gut, wenn man sie vorher definieren würde und die Ziele.

00:54:05: Ich würde die Ziele und die Strategie aus den Risiken ableiten und natürlich auch, und das ist so wunderbar, dass du das auch wieder gesagt hast, auch an der Unternehmensstrategie, weil eine Compliance-Strategie kann nach meinem Verständnis nicht losgelöst von der Unternehmensstrategie sein, wo man wieder zu dem Punkt kommt und das Business ist die Legitimation für die Compliance und somit kann ich auch einen wesentlichen Beitrag als Compliance-Organisation auch leisten zum Erfolg des Unternehmens, wenn ich meine eigenen Ziele, meine eigene Strategie, nämlich wie definiere ich Compliance, wie verstehe ich mir einen eigenen Wirkungs-Greis, wenn ich das entsprechend auch definiere und verschriftliche, weil es Klarheidschaft als Orientierung gibt und weil es auch für das businessrelevante ist, zu wissen, wie agiert denn meine Compliance-Organisation?

00:54:50: Weil, ihr habt es im letzten Bootcamp schon gesagt, Compliance soll schafft Freiräume und diese Freiräume schaffen Entscheidungsräume.

00:54:58: Und ich muss ja als Compliance nicht immer die letzte Instanz in die Entscheidungen trifft.

00:55:02: Ich muss ja meine Kolleginnen und Kollegen befähigen, gute Entscheidungen zu treffen.

00:55:06: Und das spielt immer mit dem Business mit.

00:55:09: Wer bin ich als Organisation?

00:55:11: Wo will ich in fünf Jahren sein?

00:55:13: Also auch so Zwischenschritte oder so Langzeitsziele?

00:55:18: Möchte ich als Strategie oder möchte ich als Ziel eine Zertifizierung?

00:55:22: Weil ich an der einen oder anderen Stelle das auch als Wettbewerbsvorteil Erkennen, weil Integrität nach meinem Verständnis ein Wettbewerbsvorteil ist und ich das auch noch außentrage.

00:55:32: Das heißt, diese Ziele, diese Schritte

00:55:34: auch...

00:55:34: Der Weg dorthin, das sollte verschriftlich sein.

00:55:36: Und darum ist für mich eine Strategie ganz essentiell.

00:55:39: Für mich sind die Ziele essentiell.

00:55:40: Wenn ich einmal die definiert habe, kann ich am nächsten Schritt mir nämlich auch KPS definieren, kann meine eigene Organisation, meinen eigenen Fortschritt, mein eigenes Wachstum an dem Erreichen oder auch nicht Erreichen der KPS auch messen.

00:55:52: Für mich muss Compliance auch messbar sein.

00:55:56: Was nicht im Widerspruch steht zur Arbeit mit Menschen, also die Messbarkeit und die Arbeit mit Menschen, das steht nicht im Widerspruch, aber es zeigt mir, Weit oder wiesen, du trittst immer so schön von dem Reifegrad der Komplexorganisation.

00:56:08: Es zeigt mir aber sehr viel über den Reifegrad meiner Organisation nach meiner Maßnahme.

00:56:13: Weil jetzt bin ich in einer Organisation oder in einem Unternehmen, wo wir noch keinen internen Audit haben.

00:56:18: Das heißt, ich muss in Wahrheit mich selbst auch in Wahrheit analysieren.

00:56:22: Richtig.

00:56:22: Und das mache ich mit meiner Strategie, mit meinen Zielen und meinem KBS.

00:56:26: Weil ich am Ende des Jahres auch einen Compliancebericht abgebe, wo ich auch die Entwicklung der Compliance Organisation und der Organisation mit Unterstützung der Compliance auch offenlegen muss und auch offenlegen will.

00:56:39: Das heißt, die Strategie und die Ziele geben mir eine Orientierung.

00:56:42: Sie geben mir den Weg.

00:56:43: Sie basieren natürlich auf den Risiken, weil ich nicht deine Strategie und Ziele festlegen kann, die völlig an den Risiken vorbei gehen, weil sonst würde ich auch nicht im Business stattfinden.

00:56:52: Aber ich kann nur empfehlen, sich hierüber Gedanken zu machen und die Risiken auch als Basis zu nehmen.

00:56:58: Das Ganze macht natürlich keinen Sinn, wenn ich Kantonsform und Ettertop habe.

00:57:01: Also das ist immer noch die Grundlage.

00:57:03: Aber wir haben jetzt heute eine wunderbare Reise durchgeführt durch die Risiken, durch die Strategieziele, die man noch ein bisschen gestreift.

00:57:10: Lieber Alexander, herzlichen Dank für diese wunderbare Reise, für diese tolle Episode.

00:57:15: Danke nochmal für die Einladung und den Zuhörern, Rinnen und Zuhörern wünsche ich viel.

00:57:22: Viel Erfolg.

00:57:22: Super.

00:57:24: So ganz schnell, lass ich die noch

00:57:25: nicht gehen.

00:57:26: Lass ich die noch nicht gehen.

00:57:27: Wir haben zum Abschluss immer noch ein drittes wiederkehrendes Element.

00:57:32: Und das ist unser Code of C-Wort, also unser C-Wort.

00:57:35: Was bedeutet für dich, nachdem wir jetzt diese Reise gemacht haben?

00:57:39: Was bedeutet Compliance für dich?

00:57:40: in einem Wort?

00:57:43: Ich glaube, das hast du mir letztes Mal auch schon gefragt.

00:57:44: Natürlich habe ich dir das gefragt.

00:57:46: Das kann sich auch ändern.

00:57:47: Ich glaube, Risiko verstehen und Risiko beherrschen.

00:57:51: Also Risiko beherrschen, es gibt eine wunderbare Werbung von einem Luxusuhrenhersteller am Flughafen in Zürich und der Salz lautet, if you want to break the rules, you have to master them first.

00:58:06: Das heißt, die Regeln verstehen ist wichtig.

00:58:09: Die, die brechen wollen, die muss man im Zorn halten.

00:58:11: Das ist der Compliance Management.

00:58:13: Und zur Strategie darf ich noch einen Satz dazu sagen.

00:58:16: Natürlich muss die Compliance Strategie in einem Klang stehen mit der Unternehmensstrategie.

00:58:20: Es gibt viele Geschäftsmodelle, die sehr innovativ sind.

00:58:23: wo man bewusst in Graubereiche hineingeht, weil das die Unternehmensstrategie ist.

00:58:27: Ein Bitcoin-Unternehmen oder ein digitales Unternehmen, das neue Produkte entwickelt und anstreift.

00:58:32: Ich kann mich in eine neue Taxi-App, wie viel Klang es gegeben hat, nach UWG, aber das ist ein neues Geschäftsmodell.

00:58:37: Und wenn ich das ausprobieren möchte, muss ich auch ein Risiko gehen, aber das kalkuliere ich.

00:58:41: Und dann gibt es eine Unternehmensstrategie und Kompleinsstrategie, die heißt nur die größten Risken verhindern.

00:58:47: Alles andere nehmen wir in Kauf, weil das unser Geschäftsmodell ist.

00:58:50: Und je nachdem, Ich muss ja auch die Compliance-Strategie anpassen.

00:58:53: Vielen Dank.

00:58:54: Ich habe jetzt mit der Frage nach dem C-Wurzel die Schleusen geöffnet.

00:58:58: Magst du mir vielleicht doch noch ein Wort sagen?

00:59:01: Ein Wort zu?

00:59:03: Compliance in einem Wort.

00:59:05: Compliance in einem Wort ist ordentlich sein.

00:59:08: Jetzt sind zwei Wörter, aber ich nehme es trotzdem ordentlich sein.

00:59:12: Ich würde tatsächlich heute sagen Spaß.

00:59:15: Spaß, ja.

00:59:16: So, wunderbar, lieber Alexander, danke.

00:59:18: Darf noch ganz kurz zusammenfassen, das war eine wunderbare Reise durch die Risiken, durch das Risk Assessment, ganz essentiell die eigene Rolle verstehen, die Prozesse verstehen und in den Prozessen stattfinden, nahe am Business sein, Workshop machen, Risiken identifizieren, analysieren und bewerten mit den Risiken etwas machen, darauf eine Strategie und Ziele festlegen.

00:59:38: und dann haben wir die Elemente des Risk Assessment, der Strategie und der Ziele wunderbar erledigt.

00:59:44: Lieber Alexander, noch einmal.

00:59:46: Danke fürs

00:59:47: Wiederkommen.

00:59:48: Das war sicher nicht das letzte Mal.

00:59:51: Liebe Zuhörerinnen und Zuhörer, es war mir ein Volksfest.

00:59:54: Ich hoffe, Ihnen auch.

00:59:56: Ich freue mich auf das nächste Mal.

00:59:58: Wir werden beim nächsten Mal schon in die Risiken einsteigen.

01:00:01: Bis dahin bleiben Sie komplärend.

01:00:03: Bleiben Sie vor allem ein guter Mensch.

01:00:05: Ihr macht den Reich jetzt wieder.