Home

Deutsch|English

50 Länder – Rund 6.000 Kolleginnen und Kollegen – 1 Unternehmen |

Weltweit

Anscheinend ist in Ihrem Browser JavaScript nicht aktiviert. Aktivieren Sie bitte JavaScript, und versuchen Sie es erneut.

Compliance im Mittelstand – Risiken erkennen, Verantwortung und Gestaltungsspielraum, Teil II

veröffentlicht am 22. Oktober 2025 | Lesedauer ca. 4 Minuten

In der September-Ausgabe unseres Newsletters haben wir einen Überblick über die rechtlichen Grundlagen gegeben, die es für Unternehmen bei der Einrichtung und Ausgestaltung eines Compliance Management Systems („CMS“) zu beachten gilt. Im zweiten Teil dieses Artikels soll nun die praktische Umsetzung erläutert werden, insbesondere wie mögliche Compliance-Risiken identifiziert, bewertet und behandelt werden. Gerade die Identifizierung von möglichen Compliance-Risiken bildet die Grundlage bei der Errichtung eines CMS.

Das Fundament eines wirksamen Compliance Management Systems

Bei der Gestaltung des CMS empfiehlt es sich, sich an allgemein anerkannten Rahmenkonzepten wie z. B. der ISO 37301:2021 oder weiteren Hilfestellungen zur Ausgestaltung eines CMS (wie beispielsweise den Standards und Leitlinien des Deutschen Instituts für Compliance e.V., nachfolgend „DICO“) zu orientieren. Der Prüfungsstandard 980 n. F. (9/2022) des Instituts der Wirtschaftsprüfer skizziert in Anlehnung an diese Rahmenkonzepte ein CMS entlang der nachfolgenden Elemente:

Im Rahmen der Compliance-Kultur wird der „Tone at the Top“ und damit die Grundeinstellung der Geschäftsführung als Wahrnehmung von Compliance im gesamten Unternehmen definiert.

Compliance-Ziele werden auf Basis relevanter Regeln und Unternehmensziele definiert und dienen als Maßstab für die Risikobeurteilung.

Compliance-Risiken werden in einem systematischen Verfahren zur Risikoerkennung identifiziert, bewertet und dokumentiert.

Ein darauf aufgebautes Compliance-Programm umfasst generelle und spezifische Maßnahmen zur Risikobegrenzung.

Dieses Programm wird innerhalb einer Compliance-Organisation mit klar verteilten Rollen und Verantwortlichkeiten umgesetzt.

Klare Kommunikationsstrukturen (Compliance-Kommunikation) ermöglichen die Meldung von Verstößen und fördern Transparenz.

Schließlich stellen eine kontinuierliche Überwachung und Verbesserung die Wirksamkeit und regelmäßige Anpassung des CMS sicher.

Zur Sicherstellung der Wirksamkeit eines CMS ist es dabei essenziell, das System an die jeweilige Strategie des Unternehmens sowie die internen und externen Gegebenheiten anzupassen. Durch eine systematische Betrachtung, die auch die Geschäftsfelder, die Struktur und die Prozesse innerhalb eines Unternehmens berücksichtigt, können Compliance-Risiken angemessen bewertet und priorisiert werden. Erst eine solche, umfassende Betrachtung ermöglicht den Aufbau einer schlagkräftigen Organisation, effektiver Maßnahmen zur Risikosteuerung und einer adressatengerechten Kommunikation. Gleichzeitig kann so eine Rückkoppelung zu den Zielen des CMS erfolgen und diese ergänzen. In der praktischen Umsetzung erfolgt dies idealerweise durch eine strukturierte Analyse der verschiedenen Rechtsgebiete und anschließender Identifizierung konkreter Risiken.

Strukturierte Analyse und Steuerung

Im klassischen Risikoerhebungsprozess werden im Rahmen der (vertikalen) Risikoidentifikation mithilfe unterschiedlicher Methoden auf das Unternehmen zutreffende Risiken formuliert.

Anschließend erfolgt eine Risikobewertung bezüglich der Eintrittswahrscheinlichkeit und der Auswirkung des Risikos, sollte es eintreten.

Es zielführend bei dieser Vorgehensweise eine Eingrenzung auf relevante Rechtsgebiete vorzunehmen:

Bei dieser (horizontalen) Analyse wird anhand eines ausführlichen Katalogs an Rechtsgebieten eine qualitative Bewertung vorgenommen. Die Bewertung erfolgt anhand von Kriterien wie z. B. der Relevanz für das Geschäftsmodell, der Rechtsdurchsetzung des regulatorischen Umfelds, dem potenziellen finanziellen Schaden oder der (straf-)rechtlichen Relevanz. Rechtsgebiete, die nach dieser Analyse einen „aggregierten Score“, also eine erhöhte Risikoeinschätzung, oberhalb einer definierten Schwelle aufweisen, finden als abgegrenzte Regelungsbereiche (bspw. Korruption, Geldwäsche, Kartellrecht) Eingang in die tiefergehende vertikale Risikoanalyse. Konzepte für diese Art der horizontalen Analyse stellt beispielsweise das DICO zur Verfügung.

Idealerweise erfolgt diese Analyse nicht „im stillen Kämmerlein“ des Compliance Officers, sondern unter Einbeziehung operativer Bereiche (z. B. Einkauf, Produktion, Vertrieb) und anderer „2nd Line“-Funktionen wie beispielsweise der Rechtsabteilung. Ebenso sollte diese Übung regelmäßig, sowie anlassbezogen bei wesentlichen gesetzlichen oder regulatorischen Veränderungen, wiederholt werden.

Werden nun für diese abgegrenzten Regelungsbereiche konkrete Risiken identifiziert, bewertet und mit Steuerungsmaßnahmen versehen, ist es ratsam, sich an den allgemeinen Vorgaben des im Unternehmen implementierten Risikomanagementsystems zu orientieren. Auf diese Weise kann eine Überlappung mit anderen Risikokategorien (bspw. mit Risiken, die durch die Rechtsabteilung erfasst werden) vermieden und die Zusammenführung mit dem restlichen Risikoportfolio des Unternehmens erleichtert werden.

Zur praktischen Steuerung und Dokumentation der risikoreduzierenden Maßnahmen ist es zudem ratsam, die getroffenen Maßnahmen in einer Risiko-Kontroll-Matrix festzuhalten. Dort werden nicht nur der Wirkungszusammenhang zwischen Risiko und Maßnahme abgebildet, sondern auch Verantwortlichkeiten und die zeitlichen Abstände der Kontrollen sowie die Art und Weise wie die Kontrollen zu dokumentieren sind, erfasst. Hier bietet sich ebenfalls die Orientierung an Vorgaben des übergreifenden internen Kontrollsystems im Unternehmen an. Im Idealfall wird so eine Verzahnung der drei Governance-Systeme (CMS, Risikomanagementsystem und internes Kontrollsystem) erreicht.

Fazit

In Teil I dieses Artikels wurde die rechtliche Verpflichtung der Geschäftsführung, ein wirksames, auf das Unternehmen zugeschnittene CMS zu etablieren, erörtert.

Ein CMS ist mehr als ein Regelwerk – es ist ein Steuerungscockpit für rechtssicheres und verantwortungsvolles Handeln. Das strukturierte Ein- und Ausgrenzen relevanter Rechtsgebiete und damit verbundener Risiken stellt hierfür eine solide Grundlage zur weiteren Ausgestaltung des CMS dar.

Die Verzahnung mit bereits existierenden Management-Systemen des Unternehmens, wie dem Risikomanagement oder dem internen Kontrollsystem, ist dabei keine akademische Übung. Es spiegelt den verantwortungsvollen und effektiven Umgang mit den zur Verfügung stehenden Ressourcen wider.

Damit geht einher, dass auf dem Weg der Identifikation, Bewertung und Behandlung von Risiken nicht nur Compliance Officer und Chef-Syndikus, sondern alle relevanten Organisationseinheiten des Unternehmens miteinbezogen werden. Erfolgt dieser Prozess regelmäßig, reaktiv und gut dokumentiert, erhält die Geschäftsführung ein jederzeit aktuelles – und gut nachweisbares – Bild der Gefährdungslage und kann fundierte Entscheidungen treffen.