Risiken aus der Nichteinhaltung von Gesetzen und sonstigen Verpflichtungen (Compliance Risiken) existieren naturgemäß in jedem Unternehmen und können mit erheblichen Reputationsschäden, finanziellen Schäden und Haftungsrisiken für die Unternehmensorgane verbunden sein. Zugleich hat die gesellschaftliche und öffentlichkeitswirksame Auseinandersetzung mit Wirtschaftskriminalität und Compliance zugenommen. Ausgehend von dieser Situation stehen Unternehmen zunehmend vor der Herausforderung, geeignete methodische Ansätze für eine systematische und juristisch belastbare Identifikation und Bewertung von Compliance Risiken zu entwickeln.
Wesentliches Ziel eines Compliance Risk Assessments (im Folgenden „CRA“) ist die Erfassung und Dokumentation der relevanten Compliance-Risiken als Basis für die gezielte Ableitung von risikomindernden Maßnahmen und Kontrollen auf Unternehmens- und Prozessebene. Dies erfordert zunächst eine grundlegende Identifikation von relevanten Compliance-Risikofeldern (Relevanzanalyse) und in einem weiteren Schritt eine Detailanalyse der konkreten Risikoszenarien in den identifizierten Top-Risikobereichen.
Vereinfachte Darstellung eines Compliance Risk Assessments (Quelle: KPMG)
Zur grundlegenden Bestimmung von Zielsetzung und Ausrichtung des Compliance Management Systems (CMS) sind Compliance-Risikofelder im Rahmen einer Relevanzanalyse (in der Regel Rechtsgebiete, z.B. Korruption) zu identifizieren und zu priorisieren, die ein Compliance Risiko des Unternehmens darstellen können. Die weiterführende Detailanalyse sollte im Rahmen eines systematischen beziehungsweise strukturierten Prozesses erfolgen, der zum einen juristischen Mindestanforderungen hinreichend genügt und zum anderen betriebswirtschaftlich sinnvoll erscheint.
Das CRA ist die wesentliche Ausgangsbasis für ein effektives CMS und bestimmt dessen Umfang und Ausgestaltungsgrad. Nur erkannte und dokumentierte Compliance Risiken können durch wirksame Grundsätze und Maßnahmen auf ein erforderliches Maß reduziert werden. Die Geschäftsleitung muss sich ihren Geschäftsrisiken und somit auch den Compliance Risiken bewusst sein um darauf aufbauend angemessen im Sinne eines geeigneten Kontrollumfeldes reagieren zu können. Die konzeptionelle und methodische Umsetzung eines CRA ist differenziert und an die Gegebenheiten des Unternehmens individuell anzupassen.
Mangels konkreter Vorgaben seitens der (internationalen) Gesetzesgeber und Aufsichtsbehörden sowie abstrakter Rechtsprechung greifen die Unternehmen in der Praxis zu unterschiedlichen Risikomanagement-Ansätzen um ihre Risikolage transparent und steuerbar zu machen. Es finden sich Ansätze, wie zentral gesteuerte „Top-Down“-Risikoanalysen auf der Basis von inhärenten Risikofaktoren in Form von Scoring Modellen bis hin zu Fragebogen-, Interview- oder Workshop-basierten Einzelanalysen auf dezentraler Ebene, dabei jeweils mit unterschiedlicher methodischer Ausrichtung. Bei der Risikobewertung wird vielfach auf bewährte betriebswirtschaftliche Grundsätze des Risikomanagements zurückgegriffen – mit entsprechenden Herausforderungen diese Grundsätze auf die Risikokategorie Compliance-Risiken sinnvoll zu übertragen. Das Schadensausmaß von Compliance Risiken ist im Unterschied zu klassischen operativen Risiken quantitativ schwer zu bewerten, da eine Realisierung des Risikos und somit ein konkreter Verstoß gegen ein Gesetz oder eine Verpflichtung in vielen Fällen erst nach Eintritt zu einer quantitativen Einschätzung führen kann.
Auf dem diesjährigen Bundeskongress Compliance Management referieren Florian Maciuca und Verena Brandt von KPMG zu dem Thema „Compliance Risk Assessment nach internationalen Korruptionsvorschriften: Betriebswirtschaftliche Konzepte am Beispiel von Korruptionsrisiken“