Das Herausgeberwerk "Compliance-Risikoanalyse" ist nun nach rund 5 Jahren in einer 2. Auflage erschienen. Die Neuauflage berücksichtigt vor allem die verschiedenen gesetzgeberischen Änderungen auf nationaler und supranationaler Ebene und die neusten Entscheidungen der Rechtsprechung sowie die Entwicklungen in der Literatur in einem Bereich, der aktuell im erhöhten Fokus für eine gute Compliance-Struktur steht.
Compliance und Risikoanalyse: Wie passen die beiden Themen zusammen? Der Begriff "Compliance" beinhaltet die Einhaltung, Befolgung, Übereinstimmung bestimmter Gebote. Das Ziel einer adäquaten Compliance-Organisation beinhaltet neben der Einhaltung gesetzlicher Normen vor allem auch die Einhaltung unternehmensinterner Vorgaben (etwa einen "Code of Conduct"), um dadurch Haftungsansprüche oder andere Rechtsnachteile für das Unternehmen, seine Organe und Mitarbeiter zu reduzieren bzw. zu vermeiden. Compliance verlangt folgerichtig die Einrichtung eines adäquaten Risikomanagements sowie eine Risikoanalyse der relevanten Compliance-Risiken bzw. die Bewertung der Non-Compliance. Grundsätzlich besteht daher zwischen Compliance-Risiken und anderen Unternehmensrisiken kein prinzipieller Unterschied. Corporate Compliance stellt haftungsrechtlich die Verknüpfung zum Risikomanagement her und ist Teil des Risikomanagements und einer adäquaten Corporate Governance.
Wichtig ist es vor allem, dass sich alle Akteure den Risiken einer Non-Compliance (siehe aktuell Wirecard oder Euromicron). Auch aus den kreativen Aktivitäten einiger Akteure zum Abschöpfen der Kurzarbeiterhilfen oder bei der unberechtigten Inanspruchnahme von Subventionen resultieren massive Risiken. Neben einer strafrechtlichen Ahndung von Verstößen Einzelner kann auch eine Sanktionierung des Unternehmens nach §§ 30, 130 OWiG bzw. ein Bußgeld gegen Führungskräfte, die gegen ihre Aufsichtspflichten verstoßen, die Konsequenz haben. Des weiteren existieren verschiedene steuerrechtliche und sozialversicherungsrechtliche Risiken.
Das Herausgeberwerk – an dem, wie bereits in der 1. Auflage, insgesamt 19 Autoren mitgewirkt haben – gliedert sich in fünf große Themenblöcke. Nach einer allgemeinen Einführung in das Thema (Kapitel 1) widmet sich der zweite Block den rechtlichen Grundlagen der Compliance-Risikoanalyse sowie deren Umsetzung im Unternehmen, liefert einen Überblick zu den gesellschaftsrechtlichen Organisations- und Aufsichtspflichten im Unternehmen und gibt praktische Hinweise zur Umsetzung der Compliance-Anforderungen im Unternehmen. Hierbei weisen die Autoren darauf hin, dass für eine Risikoanalyse die Einschätzung einer Wahrscheinlichkeit und einer im Eintrittsfall zu erwartende Schadenshöhe erforderlich sei. Doch gerade diese Einschätzung (binomialverteilter Risiken) erweist sich in der Praxis für Compliance-Risiken als theoretisch und nicht umsetzbar.
Das anschließende dritte Kapitel fasst einige Praxisbeispiele der Compliance-Risikoanalyse zusammen: Neben einem Blick in die Praxis der Risikoanalyse beim TRATON-Konzern und der Siemens AG wird ein Beispiel eines mittelständischen Unternehmens aus dem Maschinen- und Anlagenbaus sowie aus der öffentlichen Verwaltung dargestellt. Sowohl TRATON als auch die Siemens AG setzen auf eine qualitative Bewertung der Risiken – basierend auf einer nicht näher erläuterten Methodik. Leider findet der Leser – auch in den weiteren Texten – nur wenige Anhaltspunkte für konkrete Methoden zur Identifikation und Bewertung von Risiken. Dies ist erstaunlich, da die Risikoanalyse sich im Kern mit der Identifikation und Bewertung von Risiken beschäftigen sollte. So hätte ich mir als Leser konkrete Hinweise auf Kreativitätsmethoden, Werkzeuge der Szenarioanalyse, Bow-Tie-Analysen, Brainwriting und weitere sinnvolle Methoden im Bereich der Compliance-Risikoanalyse gewünscht.
Insgesamt verdeutlichen die präsentierten Beispiele eine Schwäche einer Mehrzahl der in der Praxis existierenden Compliance-Systeme. Eine konkrete quantitative Bewertung – mit einer anschließenden Business Impact Analyse – unterbleibt in der Regel. Compliance-Risikoanalyse erfolgt in der Regel auf einer qualitativen oder semi-quantitativen Ebene, obwohl es in der Praxis eine Reihe von Methoden gäbe, Compliance-Risiken auch quantitativ zu bewerten und "seriös mit der immanenten Unsicherheit aller Risiken" umzugehen. Für die Akzeptanz und Sensibilisierung des Thema Risiko- und Compliancemanagement ist es unabdingbar, dass die Wirkungen von Compliancerisiken konkret in Größen aufgezeigt werden, die für die Geschäftsleitung die höchste Relevanz haben, d.h. die Wirkung von Complianceverstößen auf EBIT, Umsatz oder Cash flow. Auch eine Aggregation der Risiken bedingt eine methodisch fundierte Quantifizierung der wesentliche Compliancerisiken. Ohne Quantifizierung ist eine Aggregation schlicht und einfach nicht möglich. In dem Bereich Bewertung und Aggregation liegen aus meiner Sicht große Defizite in der Publikation von Moosmayer.
Kapitel 4 setzt sich mit der Systematik und dem Aufbau einer kartellrechtlichen Risikoanalyse auseinander. Dass abschließende fünfte Kapitel schließt mit der Prüfung der Compliance-Risikoanalyse aus Sicht der Wirtschaftsprüfer ab. Bereits im Jahr 2011 wurde vom Institut der Wirtschaftsprüfer der Prüfungsstandard 980 "Grundsätze ordnungsmäßiger Prüfungen von Compliance-Management-Sytemen" veröffentlicht. Dieser Leitfaden bildet auch die Basis für das Kapitel.
Fazit: Das von Moosmayer herausgegebene Buch kann auch in der zweiten Auflage als kompakte und allgemeine Einführung in die Compliance-Risikoanalyse uneingeschränkt empfohlen werden. Wesentlicher Schwachpunkt der Veröffentlichung sind – wie bereits in der 1. Auflage – eine fehlende Übersicht sowie detaillierte Informationen zu anerkannten Methoden zur Identifikation und Bewertung von Compliance-Risiken. In der Zwischenzeit existieren diverse Publikationen und Standards, die einen fundierten Überblick über den anerkannten Stand von Wissenschaft und Praxis liefern. In der Praxis der Compliance-Risikoanalyse – also bei der Identifikation und Bewertung von Compliance-Risiken – liegen gerade in der Auswahl systematischer Methoden massive Defizite (Stichwort "Risikobuchhaltung"). Entweder fehlt die Quantifizierung komplett oder es werden lediglich sehr einfache qualitative Beschreibungen des Risikos vorgenommen (in der Praxis auch "Voodoo-Methoden" genannt) – beispielsweise anhand von Schadenshöhe und Eintrittswahrscheinlichkeit.
Auch die Wechselwirkungen zwischen Risiken werden methodisch oft nicht angemessen berücksichtigt. Auch das Buch schweigt sich hierüber aus. Dies ist insbesondere im Bereich der Compliance-Risiken wichtig, da diese häufig die Ursache für andere Risiken sind (Reputationsrisiken oder Finanzrisiken). In einer Neuauflage würde ich mir wünschen, dass Risikomanagement-Praktiker aus dem Bereich der Risikoanalyse zu Wort kommen und Methoden basierend auf Stand von Wissenschaft und Praxis beschreiben. Basierend auf der Business Judgement Rule muss ein Entscheider im Rahmen der Informationsbeschaffung und -auswertung den "anerkannten Stand von Wissenschaft und Praxis" im Bereich der Methodenanwendung berücksichtigen. Hierzu gehören eben gerade auch Methoden im Bereich der Compliance-Risikoanalyse. Weicht der Entscheider negativ von diesem anerkannten Stand ab, so könnte das eine Pflichtverletzung darstellen, zumindest zur Beweislastumkehr des Entscheiders führen.
Bei dem Herausgeberwerk handelt es sich um eine kompakte, praxisorientierte und gute verständliche Einführung in die Compliance-Risikoanalyse, die das Compliance in die richtige Risikomanagement-Perspektive rückt. Die Schwächen im Bereich der Methoden zur konkreten Bewertung und Aggregation von Risiken konnte jedoch auch die 2. Auflage nicht ausräumen. Um eine Akzeptanz des Themas in einer Organisation zu erreichen und eine "Risiko- und Compliance-Kultur" zu etablieren, ist es jedoch unausweichlich, dass auch Compliancemanager die Werkzeuge des Risikomanagers kennen und Compliance-Risiken quantitativ (in der Sprache eines Vorstands oder Geschäftsführers, d.h. in Bezug auf die potenzielle Wirkung auf Umsatz, EBIT, Cash flow etc.) bewerten. Ohne eine solche Konkretisierung bleibt Compliancemanagement ein Papiertiger und reine Bürokratie ohne jegliche Akzeptanz in der Organisation.