Die Q&A zum DICO Risikokatalog sollen nützliche Erläuterungen, Hintergründe und Tipps zur Anwendung des DICO Standards zur Compliance Risikoanalyse sowie des DICO Risikokatalogs in der Praxis unter Nutzung von praktischen Erfahrungen aus dem Mitgliederkreis geben.
Die Compliance Risikoanalyse (CRA) ist die Grundlage eines wirksamen Compliance Management Systems (CMS). Die systematischen Erfassung und Bewertung der für eine Organisation bzw. ein Unternehmen relevanten Compliance Risiken ermöglicht erst die zielgerichtete und damit auch ressourceneffiziente Definition von risikoreduzierenden Maßnahmen und internen Kontrollen (= Compliance Programm). Anders gesprochen: Ohne eine wirksame Compliance Risikoanalyse kann keine Aussage zur Angemessenheit und Wirksamkeit eines Unternehmens-CMS vorgenommen werden.
Ziel der CRA ist es, Compliance-Risiken möglichst umfassend zu identifizieren, zu selektieren und realistisch zu bewerten, um schließlich adäquate und zielgerichtet risikomindernde Maßnahmen zu ergreifen. Sie ist damit Grundlage sowohl des “Ob” als auch des “Wie” von Compliance-Maßnahmen.
• Der DICO-Arbeitskreis Compliance Risikoanalyse hat im Februar 2020 einen an die Praxis gerichteten Standard zur Compliance Risikoanalyse (S09 – Compliance-Risikoanalyse (CRA)) herausgegeben, in dem wesentliche Anforderungen, Grundelemente und Beispiele für eine CRA zusammengetragen und strukturiert wurden. Das Ziel ist, Unternehmensangehörigen den Einstieg in das Thema zu erleichtern und konkrete Hilfestellungen für die praktische Umsetzung bereitzustellen. Juristische Sonderfälle und Ausnahmeregelungen werden nicht behandelt. Der DICO Standard ersetzt auch nicht die ggf. erforderliche rechtliche Beratung im Einzelfall.
• Der Standard wird durch den DICO Risikokatalog ergänzt, der ein umfassendes Risikouniversum möglicher Compliance-Themenfelder darstellt. Diese Zusammenstellung möglicher Rechtsgebiete kann für ein Unternehmen Ausgangspunkt der sogenannten Relevanzanalyse sein. Dabei werden die für das jeweilige Unternehmen relevanten Themenfelder identifiziert und anschließend priorisiert.
Für eine CRA sollte in einem ersten Schritt eine umfassende Bestandsaufnahme und ggf. erste Priorisierung der für das jeweilige Unternehmen relevanten Compliance-Themenfelder erfolgen. Dabei sind die individuellen Gegebenheiten im Unternehmen einzubeziehen, wie Branche, Größe, Standort,
wirtschaftliche Faktoren.. Diese Bestandsaufnahme wird in der Praxis häufig „Relevanzanalyse“ oder „horizontale Risikoanalyse“ genannt. Der DICO Risikokatalog kann als Startpunkt zur Relevanzanalyse dienen, um einen Überblick über mögliche Risikofelder im Unternehmen zu erlangen. Im Anschluss folgt dann die (vertikale) Operationalisierung, d.h. die Ableitung von konkreten Risikoszenarien, deren Verortung in Geschäftsprozessen und die Bewertung der Compliance-Risiken.
Das Spektrum der möglichen Rechtsvorschriften, aus dem sich Compliance-Verstöße konkretisieren können, ist grundsätzlich sehr breit, jedoch sind in der Regel nicht alle Rechtsthemen für alle Unternehmen gleichermaßen relevant. Um ein effektives und effizientes CMS zu konzeptionieren, müssen die potenziellen Compliance-Themenfelder, die das Unternehmen betreffen könnten (z. B. Rechtsgebiete wie Datenschutzrecht, Anti-Korruption, Steuerrecht etc.), identifiziert (Inventarisierung) und im Rahmen der vertikalen Risikoanalyse im Anschluss bewertet (Priorisierung) werden.
Durch die Relevanzanalyse (oder auch horizontale Risikoanalyse) sollen zuerst die Compliance-Themenfelder ermittelt werden, in denen die Geschäftsaktivitäten des Unternehmens am ehesten zu Compliance-Verstößen führen können. Damit wird das Risikouniversum basierend auf den Geschäftstätigkeiten des Unternehmens verdichtet und es werden idealerweise die Compliance-Themenfelder für die weitere Ausrichtung der Compliance-Aktivitäten priorisiert. Hierdurch stellen Unternehmen sicher, dass sie ihr CMS entsprechend dem unternehmensindividuellen Risikoprofil aufstellen.
Die Relevanzanalyse schafft somit einen Ordnungsrahmen, auf dessen Grundlage die klare Zuordnung einer „Risk-Ownership“, d.h. eine Rollen- und Aufgabenzuweisung definiert werden kann, um eine „Compliance Governance“ zu etablieren.
Der DICO Risikokatalog dient der Unterstützung von Unternehmen bei der Vorbereitung und Durchführung ihrer ersten oder fortlaufenden Relevanzanalyse. Er gibt einen möglichst umfassenden, aber auch hinreichend konkreten Überblick über mögliche relevante Compliance-Themenfelder.
Der Risikokatalog kann von allen Unternehmen zur Ermittlung des wesentlichen Compliance Risikofelder herangezogen werden. Dabei kann der Risikokatalog für eine erste Einschätzung und ggf. zur Planung einer detaillierteren Compliance-Risikobewertung eingesetzt werden. Dies kann insbesondere für mittelständische Unternehmen hilfreich sein. Die als wesentlich betrachteten Themenfelder/Risikobereiche sollten anschließend in Bezug auf das Geschäftsmodell und die Geschäftsprozesse anhand von Risikoszenarien hinreichend konkretisiert werden.
Der Risikokatalog kann nicht als vollständig betrachtet werden, denn selbstverständlich können darüber hinaus weitere Compliance-Risiken in Unternehmen bestehen, z.B. in speziellen Branchen, die in einer Risikoanalyse betrachtet werden müssen.
Der Risikokatalog besteht aus einer Risk-Map, die Gruppierungen und einzelne Compliance Themenfelder (Waben) darstellt sowie einer Gesamtdarstellung. In der Gesamtdarstellung werden die jeweiligen Compliance-Themenfelder kurz erläutert und Compliance-Risiko-Bereiche durch beispielhafte Ausprägungen dargestellt. Die beispielhaften Ausprägungen dienen der Veranschaulichung in welchen Bereichen oder bei welchen Themen sich die Compliance-Risiken verwirklichen können. Außerdem werden die Rechtsfolgen bei Verstößen und die wesentlichen Gesetze beschrieben.
Folgende Begrifflichkeiten werden unterschieden:
• Compliance-Themenfeld: Hierunter werden im weitesten Sinne Rechtsgebiete verstanden, aus denen sich für ein Unternehmen relevante rechtliche Anforderungen und Risiken, gegen diese Anforderungen zu verstoßen, ableiten lassen.
• Compliance-Risiko: Hierunter werden spezifische Risiken verstanden, die aus der Nichtbeachtung der Compliance-Anforderungen innerhalb eines Themenfelds resultieren.
Bei der Zusammenstellung und Gruppierung der Compliance-Themenfelder waren insbesondere folgende Ziele von Bedeutung:
• Ein einheitlicher Katalog: Der Risikokatalog soll für eine Vielzahl von Unternehmen unabhängig von Branche und Geschäftsmodell anwendbar sein. Auf die Darstellung von Branchenspezifika (z.B. spezifische Regulierung für Finanzdienstleistungsunternehmen oder die Pharmaindustrie) wurde daher verzichtet. Dennoch werden, bedingt durch Unternehmenskontext und Geschäftsmodell, nicht alle Compliance-Themenfelder für alle Unternehmen gleichermaßen anwendbar sein. Aufgrund der bewussten Universalität des Risikokatalogs muss dieser im Einzelfall angepasst, gekürzt und/oderdurch weitere Themenfelder ergänzt werden. Der Risikokatalog erhebt daher keinen Anspruch auf Vollständigkeit.
• Einteilung in Kategorien und Compliance-Themenfelder: Für Klarheit und Übersichtlichkeit wurden die Compliance Themenfelder Kategorien, gruppiert, die in der Praxis für bestimmte Unternehmensbereiche relevant sind bzw. eigenständige Abteilungen in Unternehmen darstellen. Auf diese Weise sollten Workshops sowie Interviews und Fragebögen für eine detaillierte Risikoanalyse so zurechtgeschnitten werden können, dass Mitarbeiter aus jedem Bereich vor allem zu den für sie relevanten Risiken befragt werden.
• Festlegung von Governance Strukturen anhand der Compliance-Themenfelder: Einige der Compliance-Themenfelder und beispielhaften Ausprägungen können in unterschiedlichen Unternehmensbereichen oder Geschäftsprozessen unterschiedlich ausgeprägt sein. Auch die jeweilige Risikoverortung zu Bereichen und Prozessen kann je nach Geschäftsmodell in den Unternehmen unterschiedlich sein. In Workshops unter Beteiligung von Vertretern der betroffenen Bereiche bzw. Geschäftsprozesse können „Silobewertungen“ vermieden und das Zusammenwirken von risikoverstärkenden oder -reduzierenden Faktoren aus allen Bereichen berücksichtigt werden. Entsprechend kann der Risikokatalog Unternehmen auch bei der Analyse und Gestaltung der Governance-Strukturen unterstützen, denn viele der aufgeführten Compliance-Themenfelder fallen in der Praxis typischerweise nicht in den Zuständigkeitsbereich der Compliance-Funktion. Vielmehr wird die Steuerung und Überwachung von Compliance-Risiken von anderen Funktionsbereichen als „Risk Owner“ übernommen (z.B. umweltrechtliche oder arbeitsrechtliche Compliance-Risiken). Davon separat zu betrachten ist die Frage, wo ein Risiko überall auftreten kann: Beispielsweise ist die Compliance-Abteilung in der der Regel Risk Owner für das Themenfeld „Korruption“, wogegen das Auftreten entsprechender Risiken in vielen Unternehmensbereichen möglich ist, insbesondere im Vertrieb.
Die Auswahl der genannten wesentlichen Gesetze umfasst deutsche, europäische und internationale Regelwerke, die tatsächlich eine unmittelbare Anwendbarkeit auf Unternehmen mit einem Geschäftsbetrieb in Deutschland haben können. Nicht erfasst sind ausländische Regelwerke, die sich ausschließlich auf einen Geschäftsbetrieb im Ausland beziehen. Die Auflistung ist nur eine Auswahl der wesentlichen Gesetze und keinesfalls abschließend.
Ausschließlich die Wabe „Selbstgesetzte, externe Standards“ enthält keine unmittelbar anwendbaren Gesetze, sondern solche Regelwerke, die sich Unternehmen selbst auferlegen und damit für die entsprechenden Unternehmen faktisch den Charakter einen Gesetzes bekommen.
Aktualität: Der Risikokatalog wird fortlaufend aktualisiert, um die wichtigsten Compliance Risikobereiche abzudecken. Diese unterliegen einem Wandel. Bei der Erstellung des Risikokatalogs 2.0 in 2022 wurden die Gruppierungen angepasst, um die Weiterentwicklung der gängigen Begrifflichkeiten zu spiegeln. Daher wurde z.B. aus “Wirtschaftskriminalität” “Criminal Compliance” und aus Schutz von Informationen “IP / IT –Compliance“. Bei der Überarbeitung in 2022 sowie in 2023/2024 wurden Themenfelder ergänzt, da sie sich als relevante Compliance Themenfelder in Unternehmen etabliert haben und Themenfelder gestrichen, die eher eine untergeordnete Rolle spielen. Außerdem wurden Compliance Themenfelder zusammengefasst. Neu im Risikokatalog ist insoweit die Kategorie Sustainability Compliance mit den neuen Waben „Nachhaltigkeitsberichtserstattungspflicht“, Greenwashing und „Menschenrechte“ und den verschobenen Waben „Umweltrecht“ und „Selbstgesetzte, externe Standards“. In der Kategorie IP / IT –Compliance gibt es eine neue Wabe Digitalrecht (inkl. KI).