Die Compliance Risikoanalyse als Ausgangspunkt für ein wirksames Compliance Management System

Ein Kernelement eines effektiven Compliance Management Systems ist das Compliance-Programm, das die einzelnen Compliance-Maßnahmen bündelt. Ein Compliance-Programm wird nur dann zielgerichtet und wirksam sein, wenn es auf die wesentlichen Compliance-Risiken des Unternehmens ausgerichtet ist. Dementsprechend führt der Prüfstandard 980 des IDW („IDW PS 980“) aus, dass die Identifikation und Beurteilung von Compliance-Risiken die Grundlage für die Entwicklung eines angemessenen Compliance-Programms darstellt.

Unternehmen sind in der Regel vielfältigen Compliance-Risiken ausgesetzt, die über die klassischen Bereiche wie Korruptionsbekämpfung, Kartellrecht oder Geldwäsche hinausgehen können (z. B. im Umweltrecht, Steuerrecht, Datenschutz oder Arbeitsrecht). Die CRA ermöglicht dem Unternehmen eine Einschätzung der Gefährdungslage im Sinne einer Risikofrüherkennung, eine wirksame und effiziente Risikosteuerung sowie eine Reduzierung der Haftungsgefahren aus Compliance-Vorfällen. Im Rahmen der CRA werden mögliche Ursachen für Compliance-Vorfälle analysiert, um die besonders relevanten bzw. wesentlichen Compliance-Risiken zu erkennen, zu bewerten und präventiv zu steuern. Diese Risiken stehen bei der Definition der Compliance-Maßnahmen im Fokus, um einen effizienten Einsatz der Ressourcen sicherzustellen. So ist bspw. auch bei Design und Implementierung eines Steuer CMS die CRA ein wesentlicher Bestandteil.

Die Ausgestaltung der CRA sollte an die jeweiligen Gegebenheiten des Unternehmens angepasst sein, z. B. hinsichtlich Geschäftsmodell, Branche oder Unternehmensgröße, und auf Informationen aus möglichst vielen relevanten Quellen basieren. Auch der Aspekt der Internationalität des Unternehmens ist nicht unwesentlich, da dies der maßgebliche Treiber für unterschiedliche regulatorische Vorgaben ist. Dabei kann die Risikoanalyse top-down, also mit Blickwinkel von den obersten Hierarchie- und Aggregationsstufen hinab auf Organisation und Prozesse, oder bottom-up im Sinne einer Risikoerhebung in den unteren Hierarchiestufen erfolgen. Beide Ansätze können auch kombiniert zum Einsatz kommen. Grundsätzlich sollten alle relevanten Organisationseinheiten, Funktionsbereiche und die Geschäftsleitung eingebunden werden.

Obwohl Compliance-Risiken in der Regel nur schwer objektiv einschätzbar sind, können sie, wie andere Risiken auch, anhand der Kriterien Schadenshöhe und Eintrittswahrscheinlichkeit bewertet werden. Die Verwendung einer bereits etablierten Methodik z. B. aus dem Risikomanagement kann dabei von Vorteil sein und Transparenz und Vergleichbarkeit zu anderen Risiken der Organisation sicherstellen.

Wird eine CRA in regelmäßigen Abständen durchgeführt, können Veränderungen der Risikosituation z. B. aufgrund regulatorischer Veränderungen identifiziert und angemessen im Compliance-Programm berücksichtigt werden. Die Häufigkeit der CRA hängt dabei u. a. von der Dynamik des Geschäftsumfelds, dem Geschäftsmodell sowie dem Reifegrad des Compliance Management Systems ab.

Autorin: Malaika Tetsch