Was ist eine Compliance-Risikoanalyse und warum ist sie so wichtig?

Leider muss die Glaskugel mit hellseherischen Fähigkeiten noch erfunden werden. Was Unternehmen in der Zwischenzeit stattdessen hilft, ist die Compliance-Risikoanalyse. Sie erlaubt zwar keine absoluten Zukunftsprognosen – liefert jedoch im Idealfall ein recht klares Bild darüber, in welchen Unternehmenseinheiten, Prozessen und Rechtsgebieten Compliance-Vorfälle wahrscheinlich sind und in welchen eher nicht.

Compliance ist die Bemühung, regelkonformes Verhalten herzustellen. Dazu zählt die „klassische“ Compliance gegenüber geltenden nationalen und internationalen Gesetzen und Regularien, aber auch die Einhaltung ethischer und moralischer Grundsätze, die beispielsweise im Code of Conduct des Unternehmens festgehalten sind. Ein Compliance-Risiko besteht, wenn eine Organisation Gefahr läuft, gegen die Regeln aus diesen beiden Bereichen zu verstoßen.

Welche Risiken das genau sind, ist von Unternehmen zu Unternehmen unterschiedlich. Und auch die potenziellen Folgen können sehr verschieden sein, sollte eines der Risiken eintreten: Sanktionen, Schadenersatzforderungen, Geldstrafen oder Haftstrafen sind denkbar, aber auch massive Reputationsverluste – Beispiele dafür finden sich zuhauf in der jüngeren Wirtschaftsgeschichte.

Grundsätzlich können Compliance-Risiken im Kontext einer Vielzahl von Rechtsfeldern, Regularien oder ethischen und moralischen Wertvorstellungen auftreten. Es gibt jedoch einige Rechtsfelder, die häufig mit besonders hohen Schadensrisiken einhergehen:

• Antikorruptionsgesetze
• Kartell- und Wettbewerbsrecht
• Geldwäschegesetze
• Buchhaltungs- und Rechnungslegungsvorschriften
• Datenschutzrecht
• Exportkontrolle
• Arbeitsrecht
• Umweltrecht

Das Evaluieren möglicher Risiken innerhalb dieser Gebiete im eigenen Unternehmen kann ein Startpunkt für die Compliance-Risikoanalyse sein.

Letztlich ist die Compliance-Risikoanalyse vor allem ein Werkzeug zur Steigerung der Effektivität des Compliance-Programms. Ohne die relevantesten Risiken und mögliche negative Konsequenzen zu kennen, ist es schwer feststellbar, ob die Compliance-Ressourcen optimal eingesetzt werden – oder gar mehr Ressourcen nötig sind, um den relevantesten Risken die nötige Beachtung zu schenken. Somit ist die Risikoanalyse auch ein wichtiger Nachweis der effektiven und effizienten Ausgestaltung des Compliance-Programms – nicht nur gegenüber Wirtschaftsprüfern und Strafverfolgern, sondern auch gegenüber den internen Stakeholdern.

Die gängigen Compliance-Frameworks (ISO 19600, IDW PS 980) sowie die relevanten internationalen Regularien und deren Leitlinien (DoJ-Guidelines, UK Bribery Act) sind sich einig: eine umfassende Compliance-Risikoanalyse sollte das Fundament eines jeden Compliance-Programms bilden. In Deutschland sieht auch der Deutsche Corporate Governance Kodex die Analyse der Compliance-Risiken als Grundlage des Compliance Management vor. Ohne die Analyse der Risiken laufen Unternehmen nämlich Gefahr, falsche Schwerpunkte zu setzen, ineffektive Maßnahmen einzusetzen und möglicherweise relevante Risiken völlig außer Acht zu lassen.

Daher steht die Compliance-Risikoanalyse idealerweise am Beginn der Compliance-Bemühungen im Unternehmen. In der Praxis ist es jedoch häufig leider umgekehrt: Aus einer konkreten Not oder Verpflichtung heraus implementieren Unternehmen erste Compliance-Maßnahmen, ohne zuvor einmal ganzheitlich analysiert zu haben, welche Risiken überhaupt bestehen. Die Folge: Relevante Risiken werden möglicherweise außer Acht gelassen, und eine optimale Verteilung der Compliance-Ressourcen kann nicht sichergestellt werden.

Insbesondere, wenn es zu einem Compliance-Vorfall kommt, kann die Risikoanalyse als wichtiger Nachweis dienen. Unternehmen können gegenüber Strafverfolgern und Prüfern aufzeigen, dass das entsprechende Compliance-Risiko erfasst, bewertet und entsprechende Gegenmaßnahmen implementiert wurden. Dieser Nachweis verdeutlicht, dass proaktiv eine effektive Compliance-Plattform eingerichtet wurde und kann strafmildernd wirken.

In der Regel wird mit Hilfe von Rechtskatalogen und internen Dokumenten wie Geschäftsberichten, Organisationshandbüchern oder Prüfberichten eine erste Übersicht über mögliche Compliance-Risiken erstellt, die dann mit Hilfe von Interviews und Workshops mit den operativ tätigen Einheiten validiert und ergänzt wird. Die Risiken werden dann systematisch erfasst und bewertet, häufig hinsichtlich ihrer Eintrittswahrscheinlichkeit und der zu erwartenden Schadenshöhe.

Für jedes Compliance-Risiko wird auch eine Strategie definiert: Häufig versuchen Unternehmen, die erkannten Compliance-Risiken mit Hilfe von Maßnahmen zu reduzieren. Solche Maßnahmen können Compliance-Schulungen, Richtlinien, interne Kommunikationsmaßnahmen oder Prozesse wie das Vier-Augen-Prinzip oder das Personalrotationsprinzip umfassen. Auch der Nachweis über die Implementierung solcher Maßnahmen stellt ein wichtiges Element des Compliance-Risikomanagements dar und versetzt Unternehmen in eine bessere Position bei Untersuchungen im Kontext von Compliance-Vorfällen.