Compliance-Risikoanalyse: Nutzen, Umsetzung und Integrat ... / 4 Integration der Compliance-Risikoanalyse in das bestehende Risikomanagement

Ist eine separate Compliance- Risikoanalyse überhaupt notwendig?

Führt man eine Compliance-Risikoanalyse in der hier beschriebenen Weise durch, stellt sich die Frage, wie man diese in das bestehende Risikomanagement integrieren kann oder sollte. Insgesamt muss die Frage beantwortet werden, ob man eine separate Compliance-Risiko­analyse überhaupt braucht oder ob man Compliance-Risiken nicht sowieso besser im Rahmen des regulären Risikomanagements erheben und bewerten sollte.

Um diese Fragen zu beantworten, muss man zunächst wissen, warum eigentlich eine separate Betrachtung der Compliance-Risiken durchgeführt wird. Compliance-Risiken werden häufig separat betrachtet, weil es bisher im regulären Risikomanagement nicht oder nicht ausreichend gewürdigt wurde.^[1] Traditionell finden sich im klassischen Risikomanagement strategische, operative, finanzielle und rechtliche Risiken. Die Kategorie rechtliche Risiken ist aber häufig ausgerichtet auf vertragliche Verpflichtungen, Rechtsstreitigkeiten/laufende Prozesse oder Ähnliches. Andere Compliance-Themen wie Datenschutz, Wettbewerbsrecht, Fraud etc. werden hier i. d. R. nicht ausreichend betrachtet.

Zudem werden Compliance-Risiken oftmals von der Compliance-Abteilung oder dem Rechtsbereich erhoben und nicht aus dem klassischen Risikomanagement heraus gestartet. Wie im Abschnitt zur Risikobewertung dargestellt, braucht das Compliance-Management nicht notwendigerweise eine harte Quantifizierung der Risiken, sondern kann auch auf Basis einer qualitativen Einschätzung durchgeführt werden. Daher gibt es gerade am Anfang häufig eine separate Compliance-Risikoanalyse, losgelöst vom klassischen Risikomanagement.

[1] Siehe hierzu auch Abschnitt 2 "Hintergrund und regulatorische Anforderungen der Compliance-Risikoanalyse".

4.1 Argumente für und gegen eine Integration ins Risikomanagement

Was spricht nun für oder gegen eine Integration in das bestehende Risikomanagement? Gegen eine Integration und damit für eine unterschiedliche Vorgehensweise sprechen die unterschiedlichen Blickwinkel und Funktionen der beiden Instrumente. Während das Risikomanagement – zumindest bei der Aktiengesellschaft – aus gesetzlichen Vorschriften hervorgegangen ist und auch im Rahmen des Jahresabschlusses eine besondere Informationsrolle übernimmt, dient die Compliance-Risikoanalyse zunächst einmal dazu, die Aktivitäten der Compliance-Abteilung zu priorisieren.

Unterschiedliche Anbindung im Unternehmen

Das klassische Risikomanagement ist häufig im Finanzbereich beim Controlling angesiedelt oder besteht als eigene Stabsfunktion und ist daher eher quantitativ geprägt. Das Compliance-Management hingegen ist eher im Rechtsbereich, bei der internen Revision oder als eigene Stabsstelle organisiert.^[1] Für die Zwecke der Compliance-Prävention benötigt das Compliance-Management zwar eine Priorisierung der Compliance-Gefahren, aber weniger eine exakte Quantifizierung.

Unterschiedliche Geschwindig­keiten

Ein weiterer Grund für eine Trennung von klassischer Risikoanalyse und Compliance-Risikoanalyse können unterschiedliche Geschwindigkeiten in der Veränderung der Risiken sein. In einer dynamischen Branche können sich operative und finanzielle Risiken sehr schnell verändern, daher kann es erforderlich sein, sehr häufig, also z. B. monatlich, eine Risikoanalyse durchzuführen. Im Compliance-Bereich ändern sich die Risiken mit einer geringeren Geschwindigkeit, daher reicht vielleicht eine quartalsweise Aktualisierung der Risikolandschaft.

Methodenvielfalt erschwert die Vergleichbarkeit der Risiken am Anfang

Bei einer getrennten Vorgehensweise ergeben sich einige Nachteile. Die ggf. bestehende Methodenvielfalt erschwert die Vergleichbarkeit der Risiken und die Aggregation zu einem Gesamtbild. Das zusätzliche Berichtswesen kann zu einer Informationsüberlastung bei den Adressaten führen, da Geschäftsführung oder Vorstand einen weiteren Bericht zur Kenntnis nehmen müssen. Ferner wird die Organisation mehrfach belastet, wenn das Risikomanagement, das Compliance-Management und möglicherweise auch noch die interne Revision auf die operativen Einheiten zugehen, um jeweils ihre Risikoinformationen nach unterschiedlichen Methoden in abweichenden Zeitabständen von den Betroffenen abzufragen. Letztendlich bedeuten zwei getrennte Risikoanalysen zu einem gewissen Grad Doppelarbeiten, die man sich bei einer Integration sparen könnte.

Separate Compliance- Risikoanalyse als Einstieg ins Thema Compliance

Man sollte abwägen, ob die Gründe für eine Trennung von klassischer und Compliance-Risikoanalyse deren Nachteile überwiegen. Aus unserer Beratungserfahrung sehen wir, dass es gerade am Anfang sinnvoll ist, wenn man sich dem Thema Compliance zum ersten Mal widmet, eine separate Compliance-Risikoanalyse durchzuführen. Dies lenkt besondere Aufmerksamkeit auf das Thema und ist für die Herausbildung einer Compliance-Kultur im Unternehmen sehr hilfreich. Im weiteren Verlauf sollte man jedoch zu einem integrierten System kommen, um Methodenvielfalt und Doppelarbeiten zu vermeiden.

Die Integration von Compliance und Ri...