Zurück zur Übersicht

Was ist eine Compliance-Risikoanalyse und warum ist sie so wichtig?

Praktische Tipps für die Durchführung

by Moritz Homann 4 min

    Wie praktisch wäre es, eine Kristallkugel zu besitzen. Ein Blick in die Kugel und man wüsste, was in einer Woche, in einem Monat oder in einem Jahr passiert. Gerade Unternehmen beziehungsweise Compliance Officer würden viel dafür geben, schon heute zu wissen, welche Compliance-Vorfälle ihnen in naher oder ferner Zukunft blühen könnten! Welche Skandale tauchen auf, welche Betrugsfälle werden bekannt, wo werden illegale Absprachen getroffen?


    Leider muss die Glaskugel mit hellseherischen Fähigkeiten noch erfunden werden. Was Unternehmen in der Zwischenzeit stattdessen hilft, ist die Compliance-Risikoanalyse. Sie erlaubt zwar keine absoluten Zukunftsprognosen – liefert jedoch im Idealfall ein recht klares Bild darüber, in welchen Unternehmenseinheiten, Prozessen und Rechtsgebieten Compliance-Vorfälle wahrscheinlich sind und in welchen eher nicht.

    Was sind Compliance-Risiken überhaupt?

    Compliance ist die Bemühung, regelkonformes Verhalten herzustellen. Dazu zählt die „klassische“ Compliance gegenüber geltenden nationalen und internationalen Gesetzen und Regularien, aber auch die Einhaltung ethischer und moralischer Grundsätze, die beispielsweise im Code of Conduct des Unternehmens festgehalten sind. Ein Compliance-Risiko besteht, wenn eine Organisation Gefahr läuft, gegen die Regeln aus diesen beiden Bereichen zu verstoßen.

    Welche Risiken das genau sind, ist von Unternehmen zu Unternehmen unterschiedlich. Und auch die potenziellen Folgen können sehr verschieden sein, sollte eines der Risiken eintreten: Sanktionen, Schadenersatzforderungen, Geldstrafen oder Haftstrafen sind denkbar, aber auch massive Reputationsverluste – Beispiele dafür finden sich zuhauf in der jüngeren Wirtschaftsgeschichte.

    Bereiche mit besonders großem Potenzial für Compliance-Risiken

    Grundsätzlich können Compliance-Risiken im Kontext einer Vielzahl von Rechtsfeldern, Regularien oder ethischen und moralischen Wertvorstellungen auftreten. Es gibt jedoch einige Rechtsfelder, die häufig mit besonders hohen Schadensrisiken einhergehen:

    • Antikorruptionsgesetze
    • Kartell- und Wettbewerbsrecht
    • Geldwäschegesetze
    • Buchhaltungs- und Rechnungslegungsvorschriften
    • Datenschutzrecht
    • Exportkontrolle
    • Arbeitsrecht
    • Umweltrecht

    Das Evaluieren möglicher Risiken innerhalb dieser Gebiete im eigenen Unternehmen kann ein Startpunkt für die Compliance-Risikoanalyse sein.

    Letztlich ist die Compliance-Risikoanalyse vor allem ein Werkzeug zur Steigerung der Effektivität des Compliance-Programms. Ohne die relevantesten Risiken und mögliche negative Konsequenzen zu kennen, ist es schwer feststellbar, ob die Compliance-Ressourcen optimal eingesetzt werden – oder gar mehr Ressourcen nötig sind, um den relevantesten Risken die nötige Beachtung zu schenken. Somit ist die Risikoanalyse auch ein wichtiger Nachweis der effektiven und effizienten Ausgestaltung des Compliance-Programms – nicht nur gegenüber Wirtschaftsprüfern und Strafverfolgern, sondern auch gegenüber den internen Stakeholdern.

    Compliance-Risikoanalyse als Grundlage jedes Compliance-Programms

    Die gängigen Compliance-Frameworks (ISO 19600, IDW PS 980) sowie die relevanten internationalen Regularien und deren Leitlinien (DoJ-Guidelines, UK Bribery Act) sind sich einig: eine umfassende Compliance-Risikoanalyse sollte das Fundament eines jeden Compliance-Programms bilden. In Deutschland sieht auch der Deutsche Corporate Governance Kodex die Analyse der Compliance-Risiken vor als Grundlage des Compliance Managements vor. Ohne die Analyse der Risiken laufen Unternehmen nämlich Gefahr, falsche Schwerpunkte zu setzen, ineffektive Maßnahmen einzusetzen und möglicherweise relevante Risiken völlig außer Acht zu lassen.

    Daher steht die Compliance-Risikoanalyse idealerweise am Beginn der Compliance-Bemühungen im Unternehmen. In der Praxis ist es jedoch häufig leider umgekehrt: Aus einer konkreten Not oder Verpflichtung heraus implementieren Unternehmen erste Compliance-Maßnahmen, ohne zuvor einmal ganzheitlich analysiert zu haben, welche Risiken überhaupt bestehen. Die Folge: Relevante Risiken werden möglicherweise außer Acht gelassen, und eine optimale Verteilung der Compliance-Ressourcen kann nicht sichergestellt werden.

    Insbesondere, wenn es zu einem Compliance-Vorfall kommt, kann die Risikoanalyse als wichtiger Nachweis dienen. Unternehmen können gegenüber Strafverfolgern und Prüfern aufzeigen, dass das entsprechende Compliance-Risiko erfasst, bewertet und entsprechende Gegenmaßnahmen implementiert wurden. Dieser Nachweis verdeutlicht, dass proaktiv eine effektive Compliance-Plattform eingerichtet wurde und kann strafmildernd wirken.

    Typische Herangehensweise an die Compliance-Risikoanalyse

    In der Regel wird mit Hilfe von Rechtskatalogen und internen Dokumenten wie Geschäftsberichten, Organisationshandbüchern oder Prüfberichten eine erste Übersicht über mögliche Compliance-Risiken erstellt, die dann mit Hilfe von Interviews und Workshops mit den operativ tätigen Einheiten validiert und ergänzt wird. Die Risiken werden dann systematisch erfasst und bewertet, häufig hinsichtlich ihrer Eintrittswahrscheinlichkeit und der zu erwartenden Schadenshöhe.

    Für jedes Compliance-Risiko wird auch eine Strategie definiert: Häufig versuchen Unternehmen, die erkannten Compliance-Risiken mit Hilfe von Maßnahmen zu reduzieren. Solche Maßnahmen können Compliance-Schulungen, Richtlinien, interne Kommunikationsmaßnahmen oder Prozesse wie das Vier-Augen-Prinzip oder das Personalrotationsprinzip umfassen. Auch der Nachweis über die Implementierung solcher Maßnahmen stellt ein wichtiges Element des Compliance-Risikomanagements dar und versetzt Unternehmen in eine bessere Position bei Untersuchungen im Kontext von Compliance-Vorfällen.

    Laufende Überprüfung der Compliance-Risiken notwendig

    Nach einer initialen Analyse der Risiken ist die Arbeit nicht getan Hier geht die Compliance-Risikoanalyse in das Compliance-Risikomanagement über: Compliance-Risiken sollten laufend überwacht und nach Bedarf neu evaluiert werden, denn externe und interne Faktoren können sich ständig ändern. Beispiel: Die politische Situation und infolgedessen das Korruptionsrisiko in einem Land hat sich signifikant geändert (externer Faktor) oder das Unternehmen stößt in einen neuen, möglicherweise mit Compliance-Risiken behafteten Geschäftsbereich vor (interner Faktor).

    Auch unabhängig von solchen anlassbezogenen Anpassungen der Risikoanalyse ist es ratsam, die erfassten Risiken in regelmäßigen Abständen zu überprüfen. Sind Eintrittswahrscheinlichkeit und Schadenhöhe noch realistisch? Wurden die definierten Maßnahmen umgesetzt und entfalten sie die gewünschte Wirkung?

    Die regelmäßige Überprüfung der Compliance-Risiken trägt nicht nur dazu bei, dass die Effektivität des Compliance-Programms laufend hinterfragt wird und mögliche neue Risiken besser erkannt werden können – sie ist auch unabdingbar, um gegenüber externen Auditoren – und im Ernstfall Strafverfolgern – ein robustes Compliance-System nachweisen zu können.

    Ultimativer Leitfaden: Compliance-Risikoanalyse leicht gemacht

    Dieser Leitfaden erklärt übersichtlich, wie Sie erfolgreich eine Analyse der Compliance-Risiken in Ihrem Unternehmen durchführen

    Jetzt herunterladen
    Moritz Homann
    Moritz Homann

    Managing Director Corporate Compliance – EQS Group | Moritz Homann verantwortet beim Münchner Technologieanbieter EQS Group den Produktbereich Corporate Compliance. In dieser Funktion betreut er die strategische Entwicklung digitaler Workflow-Lösungen, die auf die Bedürfnisse von Compliance-Beauftragten auf der ganzen Welt zugeschnitten sind.

    Kontakt