Moderne Compliance-Management-Systeme (CMS) sind risikoorientiert ausgestaltet. So können Unternehmen die erforderlichen Maßnahmen effizient planen und effektiv umsetzen. Das Compliance-Risko ist dabei der Dreh- und Angelpunkt.
Grundelement des CMS
Folgerichtig ist daher das Compliance-Risiko ein Grundelement des CMS gemäß IDW PS 980 in Textziffer 23. Bevor ein Unternehmen sein Compliance-Programm formulieren kann, muss es zunächst systematisch die Risken identifizieren und bewerten. Wie im Risikomanagement üblich charakterisieren Eintrittswahrscheinlichkeit und mögliche Folgen von Non-Compliance das Compliance-Risiko.
Verena Brand stellt in ihrer Präsentation zur Wirksamkeitsbeurteilung eines CMS auf Seite 9 die wesentlichen Schritte eines Compliance Risk Assesments dar.
- Relevanz- und Risikoanalyse
- Brutto-Risikobeurteilung
- Netto-Risikobeurteilung
Auch Abschnitt 4.6 der CMS Leitlinien (ISO 19600) stellt das Compliance-Risiko ins Zentrum der Betrachtung: Es ist die Grundlage für die Realisierung des CMS, die Zuweisung geeigneter und angemesseneer Ressourcen und die Festlegung von Prozessen zur Bewältigung der Risiken.
Peter Fissenewert macht in seinem Aufsatz in ZRFC 5/15, S. 198, 202 darauf aufmerksam, dass ISO 19600 auf den bereits vorhandenen Standard des Risk-Managements nach ISO 31000 Bezug nimmt. So entsteht eine systematische Herangehensweise zum Risikomanagement, die sich sowohl für große wie auch für kleine und mittlere Unternehmen eignet.
Definition
Im Unterschied zum IDW PS 980 enthält IS0 19600 auch eine Definition:
Compliance-Risiko: Auswirkung von Ungewissheit auf die Compliance-Ziele.
ISO 19600: Abschnitt 3.12
Was unter Ungewissheit zu verstehen ist, steht in der Anmerkung 2 zum Begriff Risiko. Im Wesentlichen geht es um fehlende / unvollständige Informationen zum Verständnis eines Ereignisses oder fehlendes Wissen über ein Ereignis, seine Folgen oder seine Wahrscheinlichkeit.
Risikofaktoren
Wenn man das Compliance-Risiko verstehen will, sind Risikofaktoren relevanter, als seine formale Definition. IDW PS 980 nennt in Textziffer 14 allgemeine Faktoren, die für eine Risikoanalyse relevant sein können in Form von Beispielen für potentiell erhöhtes Risiko.
Aus diesen Indizien können allgemeine Einflussbereiche abgeleitet werden, mit denen das Compliance Risiko identifiziert und bewertet werden kann:
- Recht
- Wirtschaft
- Geographische Lage
- Markt
- Geschäftsfeld
- Produkt
- Geschäftswachstum
- Organisation
- Personal
- Technik
Sehr anschauliche Darstellung der einzelnen Compliane Risiko Bereiche in Unternehmen.
Danke! Im nächsten Video erkläre ich die Risikoanalyse.