Compliance-Risikoanalyse: Nutzen, Umsetzung und Integrat ... / 3.1 Top-down, bottom-up oder kombiniert?

3.1.1 Top-down-Methode

Unter dem Top-down-Vorgehen versteht man einen Ansatz, in dem man nur die oberste Führungsebene zu Compliance-Risiken befragt. Man blickt also von den obersten Hierarchiestufen hinab auf die Organisation in der Annahme, dass die Topführungskräfte aus der Perspektive ihrer Leitungsfunktion einen vollständigen Überblick über ihren jeweiligen Bereich haben. In einer idealen Welt laufen alle relevanten Informationen, auch Informationen über Compliance-Risiken, bei den jeweiligen Bereichsleitern zusammen.

Vorteile

Vorteil des Top-down-Vorgehens ist, dass nur eine geringe Anzahl von Personen befragt werden muss. Ferner haben Führungskräfte aufgrund ihrer Erfahrung eine gute Einschätzung bezüglich der Besonderheiten ihres Geschäftsbereichs. Aus der übergeordneten Rolle können Topführungskräfte auch verschiedene Gefahrenpotenziale gegeneinander abwägen und kommen so zu einer ausgeglicheneren Einschätzung.

Nachteile

Nachteil dieser Methode ist, dass häufig nicht alle relevanten Informationen bei den Führungskräften ankommen. Durch die Filterung untergeordneter Hierarchiestufen gehen möglicherweise relevante Informationen verloren. Bei besonders großen Geschäftsbereichen ist es zudem schwierig für eine Führungsperson, den genauen Überblick über alle Details zu haben.

3.1.2 Bottom-up-Methode

Die Bottom-up-Methode stellt das Prinzip der Top-down-Methode auf den Kopf und beginnt mit der Befragung der unteren Hierarchiestufen. Natürlich muss man auch hier bei einem gewissen Führungslevel ansetzen, da es unzweckmäßig wäre, in einer rigorosen Auslegung des Bottom-up-Prinzips auf der untersten Mitarbeiterstufe zu starten.^[1]

Vorteile

Hierbei werden also die unteren Führungsbereiche nach ihrer Einschätzung von Compliance-Gefahren befragt. Dem liegt die Hypothese zugrunde, dass diese Mitarbeiter aufgrund ihrer Nähe zum Geschäft die Compliance-Gefahren besonders gut für ihren jeweiligen Bereich identifizieren und einschätzen können.

Nachteile

Nachteil dieser Methode ist zunächst der Aufwand der Erhebung. Es muss eine viel größere Anzahl von Mitarbeitern als bei der Top-down-Methode befragt werden. Häufig sind die Mitarbeiter unterer Hierarchiestufen nicht mit dem Thema Compliance vertraut, sodass die Ergebnisse im Nachgang der Erhebung einer besonderen Durchsicht und ggf. einer entsprechenden Korrektur bedürfen.

Ferner wird es zu vielen Doppelnennungen von Compliance-Risiken kommen, da gewisse Compliance-Themen für sehr viele Bereiche in gleicher Weise bestehen. Im Gegensatz zur Top-down-Analyse fehlt zunächst eine Abwägung der verschiedenen Themen gegeneinander. Eine solche Relativierung muss dann im Nachgang vorgenommen werden.

[1] In Ergänzung einer bereits bestehenden Compliance-Risikolandschaft kann es als sinnvoll erachtet werden, auch die Gesamtbelegschaft z. B. im Rahmen einer Mitarbeiterbefragung zu Compliance-Gefährdungen zu befragen. Als Startpunkt für die Bestimmung einer Compliance-Risikoanalyse raten wir jedoch davon ab, da ein solches Verfahren sehr aufwendig wäre, es zu zahlreichen Doppelnennungen von Compliance-Risiken käme und häufig das Verständnis für Compliance-Themen bei der Belegschaft nicht so ausgeprägt bzw. geschult ist.

3.1.3 Kombination beider Ansätze

In der Kombination beider Ansätze versucht man, die Vorteile beider Verfahren zu nutzen und dabei deren Nachteile weitgehend auszuschließen. Wir empfehlen, mit einer Top-down-Analyse zu beginnen, um schnell ein erstes Bild von der Gesamtsituation zu bekommen. In einem zweiten Durchlauf wird dann das top-down ermittelte Ergebnis durch die Bottom-up-Erhebung ergänzt, verfeinert und verifiziert. Ein solches zweiseitiges Verfahren ist relativ aufwendig. Daher ist es durchaus sinnvoll, es nicht in einem Durchlauf durchzuführen, sondern zeitlich versetzt. Man könnte eine solche Erhebung z. B. halbjährlich im Wechsel durchführen.