Compliance-Gefährdungsanalyse: Risiken identifizieren, G ... / 2.2 Besonderheiten bei Compliance-Risiken

Compliance-Risiken sind unter der Rubrik "Operative Risiken – Rechtsrisiken" Teil des allgemeinen Risikomanagementsystems des Unternehmens. Vor diesem Hintergrund haben sie einige Besonderheiten:

• Generell gilt der Grundsatz: Keine Chancen ohne Risiken. Aufgabe des allgemeinen Risikomanagements ist es daher, Chancen und Risiken unter Abschätzung von Wahrscheinlichkeit, Schadenshöhe und Kosten zu optimieren und mögliche Auswirkungen auf den Unternehmenserfolg zu dokumentieren.
• Demgegenüber akzeptiert der staatliche Durchsetzungsanspruch für straf- oder bußgeldbewehrte Normen grundsätzlich keine wirtschaftliche Risikoabwägung, die sich an Eintrittswahrscheinlichkeiten und Folgebewertung orientiert. Wer so vorgeht – und dies durch seine Risikoerfassung und Berichterstattung auch noch unterstreicht – riskiert den Vorwurf, Rechtsverstöße fahrlässig oder wissentlich in Kauf genommen zu haben.
• Soweit es um straf- oder bußgeldbewehrte Normen geht, besteht deshalb für die Umsetzung von Vorschlägen zur Reduzierung von Compliance-Risiken kein unternehmerischer Spielraum.
• Viele Compliance-Risiken ähneln Katastrophenrisiken. Sie realisieren sich zum Glück so selten, dass Mitarbeiter sinnvollerweise keine eigenen erfahrungsbasierte Eintrittswahrscheinlichkeiten und Folgebewertungen abgegeben können.
• Compliance-Risiken sind häufig mit persönlicher Verantwortung der zuständigen Führungskräfte verbunden. Das spiegelt sich bei Risikobewertungen im Wege der Selbsteinschätzung wieder: Umfeldbedingte, nicht persönlich zuordenbare Compliance-Risiken werden eher hoch eingeschätzt; ebenso Risiken, die zur Begründung von Budget- oder Personalanforderungen dienen können. Risiken, die auf persönlich zurechenbares Verhalten zurückgehen oder besondere Führungsverantwortung verlangen, werden eher niedrig bewertet.