Compliance-Risiken sind die wesentliche Voraussetzung zur angemessenen Ausrichtung der Compliance-Maßnahmen eines Unternehmens unter optimalem Einsatz der Unternehmensressourcen. Dies heben auch die diversen Compliance-Standards, wie die ISO 19600 oder der IDW PS 980, hervor. Die Identifizierung, Dokumentation und Bewertung dieser Risiken stellt Compliance-Beauftragte jedoch vor viele Fragen hinsichtlich der Herangehensweise, Methodik, aber auch der Abstimmung zum eventuell vorhandenen Risikomanagement im Unternehmen.
Herangehensweise
Die Ermittlung der Risiken kann organisatorisch sehr unterschiedlich gestaltet sein. Es empfiehlt sich weniger, diese allein durch die Compliance-Funktion durchzuführen. Geeigneter ist es, in die Ermittlung sowohl die Geschäftsführung (top-down), als auch die einzelnen Unternehmensbereiche (bottom-up) mit einzubinden. Sehr geeignet ist auch die Durchführung von gemeinsamen Workshops. Diese erlauben den Teilnehmern in der Diskussion ein besseres Verständnis für die Einschätzung von Risiken auf Unternehmensebene zu erlangen. Eine spannende Frage stellt sich für Unternehmen, die über mehrere Gesellschaften verfügen oder international tätig sind. Hier kann sich ein zu detaillierter Prozess dauerhaft als nicht praktikabel herausstellen. Vorstellbar wäre es, hier mit vorgegebenen Risikoszenarien zu arbeiten oder sich (zunächst) auf die Beurteilung von Compliance-Risiken in Bezug auf bestimmte Rechtsgebiete (zum Beispiel Antikorruption) zu beschränken.
Die Risikoidentifizierung anhand bestimmter Strukturen hilft keine wesentlichen Compliance-Risiken zu vergessen. Eine solche Struktur kann die Liste der Geschäftsprozesse darstellen oder der Unternehmensbereiche/-gesellschaften. Ebenso unterstützen Risikokataloge[1] eine gewisse Vollständigkeit zu gewährleisten. Diese Strukturen können und sollten in Kombination Anwendung finden.
Methodik
Mit der Identifizierung der Compliance-Risiken allein ist es nicht getan. Es ist ebenso notwendig, diese zu bewerten und somit zu priorisieren, um angemessene Maßnahmen ableiten zu können. Eine solche Bewertung sollte den Methoden des Risikomanagements entsprechen; das heißt es sollte eine Bewertung der potenziellen Schadenhöhe sowie der Eintrittswahrscheinlichkeit erfolgen. Diese erlaubt dann über eine Matrix, die Risiken in gering, mittel, hoch und sehr hoch einzustufen (siehe Abbildung 1 für ein Beispiel).
Abbildung 1: Risikomatrix, eigene Darstellung (G = gering, M = mittel, H = hoch, SH = sehr hoch)
Ein häufig auftretendes Problem ist die Beurteilung der potenziellen Schadenhöhe. Gerade auch bei Compliance-Risiken ist eine genaue quantitative Beurteilung dieser schwierig; beispielsweise wenn der Schaden eine Rufschädigung mit sich bringen könnte. Eine Möglichkeit, dies zu umgehen, ist die Kombination von quantitativen und qualitativen Bewertungskriterien (siehe Abbildung 2 für ein Beispiel).
In Anlehnung an: Curtis, P. /Carey, M.: Thought Leadership in ERM – Risk Assessment in Practice, The Committee of Sponsoring Organizations of the Treadway Commission (COSO), 2012, S. 4.
Die Risikobewertung erfolgt zunächst ohne Berücksichtigung eventueller Risikostrategien und -maßnahmen (= Bruttorisikobewertung). Die Bruttorisikobewertung ist die Grundlage zur Bestimmung der Risikostrategie. Das Unternehmen kann beispielsweise entscheiden das Risiko zu reduzieren, es zu vermeiden, zu teilen (zum Beispiel durch eine Versicherung) oder weiter zu beobachten. Abhängig von der definierten Strategie leiten sich dann die Maßnahmen ab.
Der letzte Schritt ist dann die Nettorisikobewertung; das heißt die erneute Betrachtung der potentiellen Schadenhöhe und Eintrittswahrscheinlichkeit des Risikos unter Berücksichtigung der Maßnahmen. Sie erlaubt die Beurteilung, ob das Restrisiko für das Unternehmen akzeptabel ist.
Die Dokumentation all dieser Schritte kann über ein Risikoregister erfolgen. Um eine Anpassung des CMS an die sich ständig ändernden Anforderungen zu ermöglichen, ist eine regelmäßige Aktualisierung beziehungsweise Wiederholung der Compliance-Risikoanalyse und -Bewertung notwendig.
Abstimmung zum Risikomanagement
Es empfiehlt sich eine enge Zusammenarbeit und Abstimmung mit dem Risikomanagement, sofern ein solches im Unternehmen vorhanden ist. Zum einen sollte diese bezüglich der Methodik erfolgen. Es ist wenig zweckhaft, dass die Funktionen unterschiedliche Methoden zur Erfassung und Bewertung von Risiken verwenden. Nicht nur ist dies verwirrend für die operativen Einheiten und die Berichtsempfänger (zum Beispiel die Geschäftsführung/Vorstand), sondern auch wenig förderlich für eine Abstimmung untereinander – schließlich muss das Compliance-Management zumindest die wesentlichen Compliance-Risiken an das Risikomanagement melden damit dies einen wirklichen Überblick über die Risikosituation des Unternehmens erlangen, kann. Auch fördert eine unterschiedliche Herangehensweise nicht die Akzeptanz der Funktionen im Unternehmen.
Zudem ist es zu überlegen, die Ermittlung und Aktualisierung der Risiken gemeinsam mit den verschiedenen Unternehmensbereichen durchzuführen. Gibt es beispielsweise regelmäßige Risikoaktualisierungstermine des Risikomanagements mit den Geschäftsbereichen, könnte das Compliance Management daran teilnehmen und die Betrachtung der Compliance-relevanten Risiken einschließen.
In jedem Fall ist jedoch die regelmäßige Kommunikation der Compliance-Risiken an das Risikomanagement, und idealerweise ein allgemeiner Austausch zur Risikosituation, empfehlenswert und notwendig.
Fazit
Eine klare Methodik zur Identifizierung, Bewertung und Dokumentation von Compliance-Risiken erlaubt es Unternehmen, diese strukturiert zu erfassen und priorisieren. Dies ermöglicht eine solide Basis zur Ableitung der Compliance-Maßnahmen im Rahmen des CMS. Idealerweise erfolgt das Compliance-Risikomanagement in enger Abstimmung beziehungsweise Zusammenarbeit mit dem Risikomanagement des Unternehmens.
Jenny Schmigale ist Group Compliance Officer der Scandlines Deutschland GmbH und Doktorandin im Promotionsprogramm der NORDAKADEMIE. Sie ist Mitglied des Präsidiums des Berufsverbandes der Compliance Manager und co-leitet dort die Fachgruppe „Integrated Compliance“. Weiterhin engagiert Sie sich im Deutschen Institut für Interne Revision.
Auf dem Bundeskongress Compliance Management 2017 hat sie hierzu ein Tutorial geleitet. Zudem ist sie Mitautorin der Servicebroschüre “Compliance-Risikomanagement” des Berufsverbandes der Compliance Manager (BCM), die über den Verband bezogen werden kann.
[1] Zum Beispiel der Risikokatalog des DICO: http://www.dico-ev.de/2016/08/30/dico-risikokatalog/ (letzter Aufruf: 01.12.2017)
