Risikomanagement vs. Compliance Management

Der Fokus des Compliance Managements liegt nicht nur in der Einhaltung von Gesetzen selbst, sondern in der Einführung und Aufrechterhaltung von organisatorischen Maßnahmen, um ein normenkonformes Verhalten im Unternehmen zu gewährleisten. Hierfür schafft ein effizientes Compliance Management eine günstige Compliance Kultur, z. B. durch Vorleben der vermittelten Unternehmenswerte auf allen Managementebenen oder durch Implementierung von Anreizsystemen, welche regelkonformes Verhalten fördern. Die Compliance Kultur ist die Grundvoraussetzung für die Sicherstellung von Compliance im Unternehmen. Darüber hinaus wird im Rahmen des Compliance Managements die Einhaltung der internen und externen Richtlinien und Verträge (welche nicht Bestandteil des Risikomanagements sein müssen) entweder durch interne Kontrollen oder durch prozessunabhängige Stellen überprüft. 

   

Insgesamt wird durch ein effizientes Compliance Management eine Atmosphäre für Transparenz und regelkonformes Verhalten im Unternehmen geschaffen. Bei Compliance-Verstößen sollten Kommunikationswege für Meldungen (auch anonym) implementiert und die Verstöße selbst durch die Unternehmensleitung sanktioniert werden. Dies untermauert die Wichtigkeit des Compliance Managements für die Unternehmensführung. Das Compliance Management geht somit weit über die Zielsetzungen des Risikomanagements hinaus, obwohl es formal dem Risikomanagement zuzuordnen ist (COSO II). Im Gegensatz zum Compliance Management stehen beim Risikomanagement insbesondere die vollständige Erfassung, Bewertung und Kommunikation der Risiken im Fokus der Betrachtung, also im Resultat die Kenntnis des Vorstands und der Geschäftsführung, aller relevanten Risiken. 

   

Trotz der Unterschiede zwischen Compliance Management und Risikomanagement bestehen auch einige Gemeinsamkeiten. Als Gemeinsamkeiten können sicherlich einige Ziele (z. B. Schäden vom Unternehmen abzuhalten), die mit beiden Systemen erreicht werden sollen, genannt werden. Auch bei der Vorgehensweise, diese Ziele zu erreichen, ähneln sich beide Systeme stark. In beiden Systemen werden (Compliance-) Risiken identifiziert, bewertet und es wird versucht, geeignete und möglichst präventive Gegenmaßnahmen zu finden.

  

Die Compliance-Risikoerfassung sollte daher auch im Rahmen des Risikomanagements durchgeführt werden, um die operativen Bereiche soweit wie möglich zu entlasten und somit eine Akzeptanz bei den Mitarbeitern zu schaffen. Die Identifizierung von Risiken im Hinblick auf Compliance sollte daher ebenso wie im Risikomanagement ein permanenter Prozess sein, an dem sämtliche Bereiche des Unternehmens sowie die jeweils verantwortlichen Mitarbeiter beteiligt sind. Die Risikoerfassung und -bewertung sollte zur gleichen Zeit und im gleichen Turnus wie beim Risikomanagement erfolgen.

 

Um auch bei der Berichterstattung Synergiepotenzial zu nutzen, sollten mögliche (Einzel-) Berichte des Risikomanagements- und des Compliance Managements zu einer Gesamtberichterstattung zusammengefasst werden.

  

Das Risikomanagement und das Compliance Management haben sowohl in der Zielsetzung als auch bei der Vorgehensweise zur Umsetzung große Schnittmengen und sind teilweise schwer voneinander abgrenzbar. Fest steht aber, dass die Einbindung des Compliance Managements in das Risikomanagement zu einem umfassenderen und tieferen Einblick über die Risikolage des Unternehmens führt und somit eine bessere Unternehmensteuerung ermöglicht. Im Gegensatz zum Risikomanagement gehen die Aufgaben des Compliance Managements weit über eine reine Informationsfunktion (welche Hauptaufgabe des Risikomanagements ist) hinaus. Die erfolgreiche Implementierung eines Compliance Management Systems verändert die Kultur eines Unternehmens und trägt zu einer offeneren und transparenteren Kommunikation bei.