Es besteht eine enge Verbindung zwischen Risiko- und Richtlinienmanagement. Richtlinien und die damit verbundenen bewährten Managementpraktiken können nur dann erfolgreich sein, wenn das Unternehmen über klare Zielvorgaben verfügt und die mit dem Erreichen (oder Nichterreichen) dieser Ziele verbundenen Bedrohungen oder Risiken ermittelt hat.
Sobald ein Risiko definiert und verstanden wurde, gibt es für Unternehmen nur vier grundlegende Möglichkeiten, damit umzugehen:
- Vermeiden - Das Risiko vollständig verhindern und einen Plan aufstellen, der sicherstellt, dass es nie eintritt
- Übertragung - Übertragung der Verantwortung auf eine andere Person, z. B. eine Versicherung
- Entschärfung - Entwicklung von Maßnahmen, um das Risiko zu verringern, falls es eintritt
- Akzeptieren - Aktiv beschließen, nichts zu tun (vielleicht überwiegen die Kosten für die Schadensbegrenzung die Auswirkungen)
Richtlinien (und Verfahren) sind spezifische Kontrollen oder Pläne, die eingeführt werden, um Risiken abzuschwächen oder sie ganz zu vermeiden. Hier liegt der Ursprung der Verbindung zwischen Risiko- und Richtlinienmanagement. Letztlich sind Richtlinien und Verfahren für die Definition der Risikokultur des Unternehmens verantwortlich. Richtlinien und Verfahren bilden den Rahmen für die Ethik, die Werte und die Handlungen, deren Befolgung das Unternehmen von seinen Mitarbeitern erwartet.
Viele Unternehmen scheitern daran, dass sie diesen Zusammenhang nicht verstehen - sowohl bei der Verwaltung von Risiken, Richtlinien und Verfahren als auch beim Aufbau einer echten Kultur der Ethik und Compliance, die das gesamte Unternehmen von oben bis unten durchdringt.
Versäumnis, Ziele und Risiken zu definieren
Organisationen, denen dies nicht gelingt, scheitern oft daran, dass ihre Ziele oder die damit verbundenen Risiken nicht definiert wurden. Dies führt zu einem Dominoeffekt bei der Erstellung von so genannten "Ad-hoc-Richtlinien" oder "Rogue Policies". Ad-hoc-Richtlinien, d. h. Richtlinien, die nicht auf die Ziele oder definierten Risiken abgestimmt sind, können ein Unternehmen behindern und es einem Risiko aussetzen.
Es ist ein Problem, das auftritt, wenn das Management von Risiken, Richtlinien und Verfahren nicht ernst genommen wird, und es ist eine einfache Falle, in die Unternehmen geraten können, oft ohne sich des erhöhten Risikos bewusst zu sein.
Diese ad hoc Richtlinien, die nicht kontrolliert werden, führen unweigerlich zu einer Überkomplizierung der Geschäftsabläufe und machen das Unternehmen angreifbarer, da sie nicht mit einem klaren Bezug zu den Unternehmenszielen verfasst werden. Auch wenn ad hoc Richtlinien für ein bestimmtes Risiko geschrieben werden können, ist es nahezu unmöglich, ihre Wirksamkeit zu beurteilen ohne zu wissen, welche Ziele die Organisation verfolgt. Einer der Hauptzwecke des Risikomanagements besteht darin, eine Risikotoleranz und die allgemeine Risikobereitschaft der Organisation festzulegen.
Ein solides Risiko- und Richtlinienmanagement bedeutet, dass diese Toleranzgrenzen festgelegt und die Erwartungen an Kontrollen und Richtlinien verstanden werden. Erst dann kann die Wirksamkeit der Maßnahmen genau gemessen werden. Die Messung der Wirksamkeit von Richtlinien sollte die Bewertung des gesamten Richtlinienmanagementprozesses beinhalten. Damit die Innenrevisionsabteilungen eine angemessene Bewertung vornehmen können, benötigen sie einen vollständigen Einblick in die implementierten Prozesse. Die Prozesse selbst sind eine weitere Form der Kontrolle, und in diesem Fall handelt es sich um eine Kontrolle der Verwaltung der Kontrollen.
Neue Leitlinien für Corporate Compliance
Eine auf bewährten Praktiken basierende Verwaltung des Lebenszyklus von Richtlinien und Verfahren ergänzt einen soliden Risikomanagementprozess und arbeitet mit ihm zusammen. Im Rahmen einer Kontrollbewertung, bei der die Wirksamkeit einer Richtlinie gemessen wird, müssen Unternehmen routinemäßig das Verständnis der Richtlinien durch die Mitarbeiter messen.
Die Festlegung dieser Kennzahlen und die Implementierung von Mechanismen, die als Schlüsselindikatoren für die Ermittlung potenzieller Lücken oder Fehlverhaltensweisen dienen, bieten der Organisation zwei Vorteile:
- Sie versetzt die Organisation in einen proaktiven Zustand.
- Sie trägt dazu bei, dass das gesamte Compliance-Programm der Organisation verteidigt werden kann.
Aus diesem Grund ist ein auf bewährten Praktiken basierendes Richtlinien- und Verfahrensmanagement so unglaublich wichtig, um die Einhaltung der Vorschriften zu beweisen und vertretbar zu bleiben. Es zeigt, dass die Risiken ernst genommen werden und dass die vorhandenen Kontrollen und Richtlinien einem bestimmten Zweck dienen. Sie werden aktiv gemessen und in der sich verändernden Landschaft, in der das Unternehmen tätig ist, kontinuierlich bewertet.
Das Justizministerium hat kürzlich die Richtlinien aktualisiert die sie zur Bewertung der Wirksamkeit von Compliance-Programmen in Unternehmen verwenden. Es ist nicht verwunderlich, dass sich große Teile dieses Leitfadens speziell auf das Risiko- und Richtlinienmanagement beziehen.
Verwaltung von Richtlinien zur Einhaltung neuer Regeln
Die Detailgenauigkeit, die die Regulierungsbehörden in diesen Bereichen anstreben, wurde zwar von verschiedenen Branchenexperten erkannt, aber das DOJ setzt eindeutig einen Pflock in den Boden und sagt Ihnen genau die Kriterien, die sie verwenden werden. Diese Granularität ist nun eher die Regel als die Ausnahme, und Unternehmen sollten diese Fragen erwarten mindestens wenn sie nachweisen wollen, dass ihre Compliance-Programme solide sind.
Wenn Risikomanagement und Richtlinienmanagement erfolgreich sein sollen, müssen beide ständig bewertet und verwaltet werden, und es ist wichtig, dass sie ganzheitlich angegangen werden. Die Beziehung zwischen beiden und die Ausrichtung der Prozesse zu ihrer Verwaltung spielen eine entscheidende Rolle dabei, wie eine Organisation ihre Compliance-Verpflichtungen verteidigen und konsequent erfüllen kann.
Lassen Sie sich von der Technologie helfen, indem Sie sich um die manuelle Komplexität kümmern, damit Sie sich voll und ganz auf die Menschen in Ihrem Unternehmen und die Qualität Ihres Compliance-Programms konzentrieren können.
