Jörg Ekkenga, Dr. Andreas Kramer
Was spricht nun für oder gegen eine Integration in das bestehende Risikomanagement? Gegen eine Integration und damit für eine unterschiedliche Vorgehensweise sprechen die unterschiedlichen Blickwinkel und Funktionen der beiden Instrumente. Während das Risikomanagement – zumindest bei der Aktiengesellschaft – aus gesetzlichen Vorschriften hervorgegangen ist und auch im Rahmen des Jahresabschlusses eine besondere Informationsrolle übernimmt, dient die Compliance-Risikoanalyse zunächst einmal dazu, die Aktivitäten der Compliance-Abteilung zu priorisieren.
Unterschiedliche Anbindung im Unternehmen
Das klassische Risikomanagement ist häufig im Finanzbereich beim Controlling angesiedelt oder besteht als eigene Stabsfunktion und ist daher eher quantitativ geprägt. Das Compliance-Management hingegen ist eher im Rechtsbereich, bei der internen Revision oder als eigene Stabsstelle organisiert. Für die Zwecke der Compliance-Prävention benötigt das Compliance-Management zwar eine Priorisierung der Compliance-Gefahren, aber weniger eine exakte Quantifizierung.
Unterschiedliche Geschwindigkeiten
Ein weiterer Grund für eine Trennung von klassischer Risikoanalyse und Compliance-Risikoanalyse können unterschiedliche Geschwindigkeiten in der Veränderung der Risiken sein. In einer dynamischen Branche können sich operative und finanzielle Risiken sehr schnell verändern, daher kann es erforderlich sein, sehr häufig, also z. B. monatlich, eine Risikoanalyse durchzuführen. Im Compliance-Bereich ändern sich die Risiken mit einer geringeren Geschwindigkeit, daher reicht vielleicht eine quartalsweise Aktualisierung der Risikolandschaft.
Methodenvielfalt erschwert die Vergleichbarkeit der Risiken am Anfang
Bei einer getrennten Vorgehensweise ergeben sich einige Nachteile. Die ggf. bestehende Methodenvielfalt erschwert die Vergleichbarkeit der Risiken und die Aggregation zu einem Gesamtbild. Das zusätzliche Berichtswesen kann zu einer Informationsüberlastung bei den Adressaten führen, da Geschäftsführung oder Vorstand einen weiteren Bericht zur Kenntnis nehmen müssen. Ferner wird die Organisation mehrfach belastet, wenn das Risikomanagement, das Compliance-Management und möglicherweise auch noch die interne Revision auf die operativen Einheiten zugehen, um jeweils ihre Risikoinformationen nach unterschiedlichen Methoden in abweichenden Zeitabständen von den Betroffenen abzufragen. Letztendlich bedeuten zwei getrennte Risikoanalysen zu einem gewissen Grad Doppelarbeiten, die man sich bei einer Integration sparen könnte.
Separate Compliance- Risikoanalyse als Einstieg ins Thema Compliance
Man sollte abwägen, ob die Gründe für eine Trennung von klassischer und Compliance-Risikoanalyse deren Nachteile überwiegen. Aus unserer Beratungserfahrung sehen wir, dass es gerade am Anfang sinnvoll ist, wenn man sich dem Thema Compliance zum ersten Mal widmet, eine separate Compliance-Risikoanalyse durchzuführen. Dies lenkt besondere Aufmerksamkeit auf das Thema und ist für die Herausbildung einer Compliance-Kultur im Unternehmen sehr hilfreich. Im weiteren Verlauf sollte man jedoch zu einem integrierten System kommen, um Methodenvielfalt und Doppelarbeiten zu vermeiden.
Die Integration von Compliance und Risikomanagement ist der erste Schritt zu einem gesamthaft integrierten Governance-, Risk- und Compliance-System (GRC).