Christoph Naucke, Dr. Christian Corell
Wie bereits dargestellt, wird der Zusammenhang zwischen Compliance Management und Risikomanagement in der neuen Fassung des PS 980 wesentlich stärker betont. Auch wenn das Management der Compliance-Risiken schon bisher eine Voraussetzung für ein wirksames CMS war, bedeutet die Hervorhebung einen Wandel in der Perspektive: Das CMS gilt nun ausdrücklich als eigener Baustein in den Managementsystemen des GRC.
Risikokontrollmatrix und Maßnahmenverfolgung
Die Hinweise zu den Grundelementen empfehlen im Kontext des Compliance-Programms die mittlerweile stark verbreitete Form der Risikokontrollmatrix. In ihr werden die für das Unternehmen relevanten Rechtsgebiete, die zugehörigen Compliance-Risiken sowie die auf die Verminderung dieser Risiken gerichteten Kontrollen dargestellt. Die in den Anwendungshinweisen sehr knappe Struktur aus "Rechtsgebiet", "Risiko" und "Programm" wird in der Praxis oft um umsetzungsrelevante Spalten ergänzt: beispielsweise "operative Verantwortung für Maßnahmen oder Kontrollen" (als Prozess- oder organisatorische Zuordnung), "Kontrollintervall" und "Kontrollbeleg/-dokumentation".
Dies weist auf eine wichtige begriffliche und sachliche Differenzierung hin: Die Risiko-Mitigationsaktivitäten unterscheiden sich typischerweise in Maßnahmen, also einerseits terminierte Aufgaben mit einem eindeutigen Erledigungsziel, und andererseits Kontrollen, also wiederkehrend erforderliche Tätigkeiten, um ein bestimmtes Risiko zu senken. Zeitgemäße Risikomanagement-Tools bilden diese Unterscheidung in einem integrierten Datenbestand ab. Die Risikokontrollmatrix ist als einfache tabellarische Auflistung demgegenüber weniger geeignet, die meist einmaligen, projekthaften Maßnahmen mit zu erfassen und problematische Unübersichtlichkeiten in Form von Paralleldokumentationen zu vermeiden.
Verzicht auf Geschäftstätigkeiten mit untragbaren Compliance-Risiken
Die Anwendungshinweise des PS 980 n. F. nennen Optionen zur Risikoreduktion, die – im Unterschied zur bisherigen Fassung – auch einen Verzicht auf Geschäfte wie beispielsweise eine Markterschließung in Ländern ab einem festzulegenden CPI-Wert (Corruption Perceptions Index, CPI) oder auf Bargeldtransaktionen mit risikobehafteten Kundengruppen einschließen. Dies bedeutet eine deutliche Verschärfung, weil mittelfristig der Rechtfertigungsdruck für Unternehmen steigt, die Verzichtserklärungen in Korruptions- und Geldwäsche-Kategorien bewusst nicht abgeben.
Brutto- und Netto-Risikobewertung – Methodische Anmerkungen
In den Anwendungshinweisen zum Grundelement der Compliance-Risiken geht das IDW auf die Möglichkeit ein, die Risikobewertung sowohl auf der Stufe der Brutto-Risiken (also vor möglichen Maßnahmen zur Risikosteuerung) als auch der Netto-Risiken (unter Berücksichtigung vorhandener Risikosteuerungsmaßnahmen) durchzuführen..
Auch wenn dieser Anwendungshinweis lediglich eine weit verbreitete Sicht der Risikotheorie reflektiert, kommen aus der Praxis der Risikobewertung kritische Anmerkungen: Wer nämlich eine Bruttobetrachtung als Risikobewertung gänzlich ohne Berücksichtigung risikosteuernder Maßnahmen, also insbesondere ohne bereits eingeleitete Maßnahmen zur Risikobewältigung, beschreibt, definiert das "Brutto-Risiko" mittels einer reduzierten Pauschalaussage. Dies verhindert eine begrifflich konsequente, transparente und damit "geheimannahmenfreie" Risikobewertung.
Zu den vielen unvermeidbaren Subjektivitätsfaktoren des Risikomanagements ("Wie wahrscheinlich ist dieses Szenario?", "Was genau wird die Auswirkung sein?") tritt ein weiterer, jedoch vermeidbarer Subjektivitätsfaktor: In einer "absoluten" Brutto-Betrachtung müssen Annahmen über einen theoretischen Risikofall in der Form getroffen werden, dass risikosenkende Maßnahmen ("Welche Maßnahmen genau?" "In welchem Umfang?") nicht oder besser: noch nicht erfolgten. Es bleibt Gegenstand der individuellen Fantasie des Risikoverantwortlichen, welche Risikomaßnahmen und -kontrollen er sich hierbei "wegdenkt" und wo ihm das auch realistisch gelingt. Konsequent umgesetzt, müsste in einer so entworfenen Brutto-Risikobetrachtung zum Beispiel die Situation des medizinischen Notfallpatienten auf der vielleicht nicht einmal mehr grünen Wiese, sondern in einer Steinwüste, ohne Bett, ohne ausgebildetes Personal und ohne Hygiene, schlicht seinem Schicksal in der freien Wildbahn überlassen, gedacht und bewertet werden. Hierdurch wird deutlich: Der Maximalhorizont für die Fantasie des Bruttodenkens ist in allgemeinverbindlicher Weise nicht abbildbar.
Die Brutto-Anwender beschreiten methodisch fragwürdig, aber praktisch unumgänglich, den entgegengesetzten Weg, um mit der Ermöglichung einer Nutzenbewertung von Risikomaßnahmen und -kontrollen ein Controlling-Ziel zu erreichen. Sie ordnen hierfür in ihrem Risikomanagementtool die bereits vorhandenen Maßnahmen und Kontrollen einem Risiko in abschließender Aufzählung namentlich zu und "denken" sich dann bei der Bruttobetrachtung (ausschließlich) die dort aufgezählten Risikokon...