Die Compliance Risikoanalyse
Compliance-Risikoanalyse Schritt für Schritt: Brutto-/Netto-Bewertung, Heatmap und die 10 wichtigsten Risiken für KMU – mit Excel-Vorlage.
Inhaltsverzeichnis
Warum jedes CMS mit einer Risikoanalyse beginnt
Ein Compliance Management System ohne Risikoanalyse ist wie ein Medikament ohne Diagnose. Sie behandeln Symptome, die vielleicht gar nicht existieren – und übersehen die echten Probleme.
IDW PS 980 definiert Compliance-Risiken als Grundelement 3 eines wirksamen CMS. Das hat einen Grund: Ohne Risikoanalyse bauen Sie Richtlinien auf Vermutungen statt auf Fakten. Sie investieren Ressourcen in Themen, die für Ihr Unternehmen irrelevant sind – und lassen echte Risiken unbehandelt.
Der risikobasierte Ansatz dreht diese Logik um: Erst analysieren, dann priorisieren, dann handeln. So setzen Sie begrenzte Compliance-Ressourcen dort ein, wo sie den größten Effekt haben. Gerade für KMU mit begrenztem Compliance-Budget ist diese Fokussierung nicht optional – sie ist überlebenswichtig.
Die 7 Grundelemente nach IDW PS 980 beschreiben, wie ein CMS strukturiert sein muss. Element 3 liefert die Grundlage für alles Weitere: Richtlinien werden aus identifizierten Risiken abgeleitet, Schulungen fokussieren sich auf die relevantesten Themen, und Audits prüfen, ob die Risikomaßnahmen wirken.
Wer die Reihenfolge umkehrt – erst Richtlinien schreiben, dann schauen, ob sie passen – verschwendet Zeit und Geld. Das Ergebnis ist ein CMS, das auf dem Papier vollständig aussieht, aber die tatsächlichen Risiken des Unternehmens nicht adressiert.
Compliance-Risikoanalyse vs. allgemeines Risikomanagement
Viele Unternehmen haben bereits ein Risikomanagement. Trotzdem brauchen sie eine separate Compliance-Risikoanalyse. Der Grund: Unterschiedliche Risikokategorien erfordern unterschiedliche Bewertungsmethoden und Kataloge.
Das allgemeine Risikomanagement betrachtet strategische, operative und finanzielle Risiken – Marktveränderungen, Lieferkettenunterbrechungen, Währungsschwankungen. Die Compliance-Risikoanalyse fokussiert sich auf Regelverstöße: Gesetzesverstöße, Bußgelder, strafrechtliche Konsequenzen und Reputationsschäden durch Non-Compliance.
Die Methodik ist ähnlich – Eintrittswahrscheinlichkeit mal Schadensausmaß. Aber der Risikokatalog unterscheidet sich fundamental. Korruption, Datenschutzverstöße, fehlende Hinweisgeberkanäle oder Kartellrechtsverstöße tauchen im klassischen Risikomanagement selten auf. Dort geht es um Umsatzrisiken und Ergebnisvotalität – nicht um Bußgeldrisiken und persönliche Haftung der Geschäftsleitung.
Methodisch stützt sich die Compliance-Risikoanalyse auf ISO 31000 (Risikomanagement-Grundlagen) und das COSO ERM Framework, angewandt auf Compliance-spezifische Risiken. Beide Standards liefern den methodischen Rahmen für die Bewertung. Die inhaltliche Befüllung – welche Risiken relevant sind – ergibt sich aus der Branche, der Unternehmensgröße und dem regulatorischen Umfeld.
Idealerweise ergänzen sich beide Analysen. Die Compliance-Risikoanalyse speist ihre Ergebnisse in das übergreifende Risikomanagement ein. So entsteht ein Gesamtbild, das alle Risikodimensionen abdeckt – ohne Doppelarbeit.
Brutto-/Netto-Bewertung: So funktioniert die Methodik
Die Bewertung erfolgt in zwei Stufen – und genau diese Zweistufigkeit macht den Unterschied zwischen einer brauchbaren und einer nutzlosen Risikoanalyse.
Brutto-Risiko: Eintrittswahrscheinlichkeit × Schadensausmaß – ohne bestehende Maßnahmen. Das zeigt Ihnen das inhärente Risiko: Wie groß wäre das Problem, wenn Sie gar nichts dagegen tun würden? Diese Perspektive ist entscheidend, weil sie verhindert, dass Sie sich in falscher Sicherheit wiegen.
Netto-Risiko: Dieselbe Bewertung – nach Berücksichtigung bereits implementierter Maßnahmen. Eine bestehende Anti-Korruptions-Richtlinie reduziert beispielsweise das Korruptionsrisiko. Aber wie stark? Das hängt davon ab, ob die Richtlinie nur existiert oder tatsächlich geschult und gelebt wird.
Ein Beispiel: Datenschutz. Das Brutto-Risiko ist für fast jedes Unternehmen hoch – DSGVO-Bußgelder können bis zu 4 % des Jahresumsatzes betragen. Wenn Sie bereits einen Datenschutzbeauftragten bestellt haben, technische und organisatorische Maßnahmen (TOMs) implementiert sind und Mitarbeiter geschult werden, sinkt das Netto-Risiko deutlich. Fehlt aber die Schulung, und die TOMs existieren nur auf dem Papier, bleibt auch das Netto-Risiko im roten Bereich.
Die Bewertungsskala reicht typischerweise von 1 (sehr gering) bis 5 (sehr hoch), sowohl für die Eintrittswahrscheinlichkeit als auch für das Schadensausmaß. Die Multiplikation ergibt einen Risikowert zwischen 1 und 25.
Die Visualisierung erfolgt über eine Heatmap – eine 5×5-Risikomatrix. Rot oben rechts = hohe Wahrscheinlichkeit und hoher Schaden, sofortiger Handlungsbedarf. Gelb in der Mitte = Risiken auf der Watchlist. Grün unten links = akzeptables Restrisiko.
Die Heatmap ist nicht nur ein hübsches Bild. Sie ist das Kommunikationsinstrument gegenüber der Geschäftsführung. Kein Geschäftsführer liest eine 40-Zeilen-Excel-Tabelle. Aber eine Heatmap, in der vier Risiken knallrot leuchten, erzeugt sofortige Aufmerksamkeit – und Bereitschaft, Ressourcen bereitzustellen.
Die 10 wichtigsten Compliance-Risiken für KMU
Aus über 40 typischen Compliance-Risiken sind diese zehn für KMU im DACH-Raum am relevantesten:
Nr. | Risiko | Typische Konsequenz |
|---|---|---|
1 | Korruption / Bestechung | Strafrechtliche Verfolgung, Bußgelder, Ausschluss von öffentlichen Vergaben |
2 | Datenschutzverstöße (DSGVO) | Bußgeld bis 4 % des Jahresumsatzes, Abmahnungen, Reputationsschaden |
3 | Fehlende Hinweisgeber-Kanäle (HinSchG) | Bußgeld bis 50.000 €, Reputationsschaden, Vertrauensverlust |
4 | Kartellrechtsverstöße | Bußgeld bis 10 % des Konzernumsatzes, Schadensersatzforderungen |
5 | Interessenkonflikte | Vertrauensverlust, fehlerhafte Entscheidungen, interne Konflikte |
6 | Exportkontrollverstöße | Strafrechtliche Verfolgung, Lizenzentzug, Handelsverbote |
7 | Arbeitssicherheitsmängel | Bußgelder, Betriebsstilllegung, persönliche Haftung der Geschäftsführung |
8 | Geldwäsche-Risiken (GwG) | Bußgeld, Reputationsschaden, Kontokündigung durch die Bank |
9 | Betrug / Untreue | Finanzielle Verluste, strafrechtliche Konsequenzen, Vertrauensverlust |
10 | Umweltverstöße | Bußgelder, Sanierungskosten, Betriebsuntersagung, Reputationsschaden |
Das sind 10 von über 40 vordefinierten Risiken. Jedes Risiko wird in der vollständigen Vorlage mit Risikobeschreibung, Bewertungsskala, zugeordneten Maßnahmen und Verantwortlichkeiten abgedeckt.
Nicht jedes Risiko ist für jedes Unternehmen gleich relevant. Ein reiner Inlandsdienstleister hat kaum Exportkontrollrisiken. Ein Softwareunternehmen ohne physische Produkte hat geringere Arbeitssicherheitsrisiken. Die Kunst liegt in der ehrlichen Bewertung: Welche Risiken betreffen uns wirklich? Und welche tun wir nur ab, weil wir sie nicht wahrhaben wollen?
Besonders unterschätzt werden Risiken, die keine direkten Bußgelder auslösen, aber massive Reputationsschäden verursachen können: Interessenkonflikte in der Geschäftsleitung, fehlende Diversitäts- und Antidiskriminierungsmaßnahmen oder mangelnde Transparenz gegenüber Stakeholdern. Diese Risiken tauchen selten in der ersten Bewertung auf – sollten aber spätestens im zweiten Durchlauf ergänzt werden.
Praxis-Tipp: Starten Sie nicht mit allen 40+ Risiken gleichzeitig. Wählen Sie die 10–15 relevantesten für Ihr Unternehmen und bewerten Sie diese zuerst. Die Vorlage lässt sich jederzeit um weitere Risiken und Kategorien erweitern.
Warum Excel? Das richtige Format für Ihre Risikoanalyse
Die Frage kommt in fast jedem Compliance-Projekt: Brauchen wir eine teure GRC-Software für die Risikoanalyse? Die Antwort für die meisten KMU: Nein. Excel reicht – wenn die Vorlage richtig aufgebaut ist.
Der Vorteil von Excel liegt in der Flexibilität. Sie können Risiken ergänzen, Bewertungsskalen anpassen, eigene Kategorien hinzufügen – ohne einen IT-Dienstleister zu beauftragen. Jeder Mitarbeiter kann Excel bedienen. Das senkt die Einstiegshürde dramatisch und erhöht die Akzeptanz in der Organisation.
Gleichzeitig bietet Excel alles, was Sie für eine professionelle Risikoanalyse brauchen: automatische Berechnungen für den Risikowert, bedingte Formatierung für das Ampelsystem, Pivot-Tabellen für die Auswertung nach Kategorien und Diagramme für die Heatmap-Visualisierung. All das ist in unserer Vorlage vorkonfiguriert – Sie müssen nur noch Ihre Bewertungen eintragen.
Ab wann lohnt sich eine GRC-Software? Wenn Sie mehr als 100 Einzelrisiken verwalten, wenn mehrere Standorte parallel bewerten, wenn automatisierte Workflows für die Maßnahmennachverfolgung nötig sind. Für die meisten KMU mit 50–500 Mitarbeitern ist dieser Punkt noch nicht erreicht. Eine gut strukturierte Excel-Vorlage ist das bessere Werkzeug: schneller implementiert, günstiger im Betrieb und einfacher zu warten.
Was die Excel-Vorlage von einer leeren Tabelle unterscheidet: vordefinierte Risikokategorien, die Sie nicht selbst recherchieren müssen. Formeln, die Brutto- und Netto-Risiken automatisch berechnen. Eine Heatmap, die sich bei jeder Änderung aktualisiert. Und ein Maßnahmen-Tracker, der Verantwortlichkeiten, Fristen und Status auf einen Blick zeigt.
Der Maßnahmen-Tracker: Vom Risiko zur Aktion
Eine Risikoanalyse ohne Maßnahmen-Tracker ist eine Diagnose ohne Therapieplan. Sie wissen, was das Problem ist – aber nicht, was Sie dagegen tun. Der Maßnahmen-Tracker schließt diese Lücke.
Für jedes identifizierte Risiko im roten oder gelben Bereich definieren Sie eine konkrete Maßnahme, einen Verantwortlichen, eine Frist und den aktuellen Umsetzungsstatus. Das klingt simpel – und das ist es auch. Aber ohne diese Struktur passiert erfahrungsgemäß nichts. Die Risikoanalyse wird durchgeführt, die Ergebnisse werden präsentiert, alle nicken – und drei Monate später hat sich nichts verändert.
Der Maßnahmen-Tracker macht Compliance-Fortschritt messbar. In der nächsten Vorstandssitzung können Sie zeigen: Von 12 identifizierten Maßnahmen sind 8 umgesetzt, 3 in Bearbeitung und 1 überfällig. Das ist konkret, nachvollziehbar und schafft Handlungsdruck dort, wo er nötig ist.
Typische Maßnahmen, die aus einer Risikoanalyse resultieren: Erstellung einer fehlenden Richtlinie, Durchführung einer Schulung für exponierte Funktionen, Einführung eines Genehmigungsprozesses, Implementierung eines Kontrollmechanismus oder Anpassung eines bestehenden Prozesses. All das wird im Tracker dokumentiert und nachverfolgt.
Schritt für Schritt: Compliance-Risikoanalyse durchführen
Schritt 1: Risikoinventur – Welche Risiken betreffen uns?
Gehen Sie den vordefinierten Risikokatalog durch und prüfen Sie jedes Risiko auf Relevanz für Ihr Unternehmen. Nicht jedes Risiko trifft auf jede Branche zu. Ein Exporteur hat andere Schwerpunkte als ein Handwerksbetrieb, ein Finanzdienstleister andere als ein Produktionsunternehmen.
Streichen Sie, was eindeutig nicht zutrifft. Ergänzen Sie branchenspezifische Risiken, die fehlen. Beziehen Sie dabei die Fachbereiche ein – der Vertrieb kennt Korruptionsrisiken besser als die Compliance-Funktion, die IT kennt Datenschutzrisiken besser als die Geschäftsführung.
Schritt 2: Brutto-Bewertung – Wie groß ist das inhärente Risiko?
Bewerten Sie jedes Risiko nach Eintrittswahrscheinlichkeit (1–5) und Schadensausmaß (1–5). Noch ohne Berücksichtigung bestehender Maßnahmen. Das Ergebnis ist Ihr inhärentes Risikoprofil.
Die Bewertung sollte nicht am Schreibtisch passieren. Interviews mit Fachverantwortlichen, Analyse vergangener Vorfälle und Branchenvergleiche liefern fundierte Einschätzungen. Eine reine Bauchgefühl-Bewertung durch die Compliance-Funktion allein hat zu wenig Substanz – und zu wenig Akzeptanz in der Organisation.
Schritt 3: Bestehende Maßnahmen erfassen
Welche Kontrollen, Richtlinien und Prozesse existieren bereits? Dokumentieren Sie für jedes Risiko, welche Maßnahmen greifen – und bewerten Sie deren tatsächliche Wirksamkeit.
„Es gibt eine Richtlinie“ ist nicht gleichbedeutend mit „das Risiko ist adressiert“. Existiert die Richtlinie nur auf dem Papier, oder wird sie geschult, überprüft und gelebt? Nur wirksame Maßnahmen reduzieren das Netto-Risiko.
Schritt 4: Netto-Bewertung – Was bleibt nach den Maßnahmen?
Bewerten Sie erneut – diesmal unter Berücksichtigung der bestehenden Maßnahmen. Die Differenz zwischen Brutto und Netto zeigt, wie effektiv Ihre bisherigen Kontrollen sind.
Eine große Differenz bedeutet: Ihre Maßnahmen wirken nachweislich. Eine kleine Differenz trotz vorhandener Maßnahmen ist ein Warnsignal. Entweder greifen die Maßnahmen nicht, oder sie sind nicht ausreichend umgesetzt. In beiden Fällen besteht Handlungsbedarf.
Schritt 5: Handlungsbedarf priorisieren – Was tun wir zuerst?
Netto-Risiken im roten Bereich der Heatmap brauchen sofortige Maßnahmen. Definieren Sie für jedes rote Risiko: Welche Maßnahme wird implementiert? Wer ist verantwortlich? Bis wann muss sie stehen?
Gelbe Risiken kommen auf die Watchlist – sie werden im nächsten Quartal adressiert. Grüne Risiken werden im jährlichen Review-Zyklus überprüft.
Aus dieser Priorisierung leiten Sie direkt ab, welche Compliance-Richtlinien Sie als Nächstes brauchen. Rotes Risiko ohne Richtlinie = höchste Priorität.
Von der Risikoanalyse zum CMS
Die Risikoanalyse ist kein einmaliges Projekt, sondern ein lebendiges Dokument. Mindestens einmal jährlich – und anlassbezogen nach jedem Compliance-Vorfall, nach Gesetzesänderungen oder bei wesentlichen Geschäftsveränderungen – aktualisieren Sie die Bewertung.
Aus der Risikoanalyse ergeben sich direkt die nächsten Schritte für Ihr Compliance Management System:
Richtlinien für die identifizierten Top-Risiken – risikobasiert priorisiert, nicht alphabetisch abgearbeitet
Schulungen für die Zielgruppen, die den Risiken am stärksten ausgesetzt sind
Monitoring-KPIs zur laufenden Überwachung der kritischsten Risiken
Audit-Schwerpunkte für die nächste CMS-Prüfung
Die Risikoanalyse ist damit nicht nur ein Pflichtdokument für das CMS. Sie ist das Steuerungsinstrument, das alle weiteren Compliance-Aktivitäten priorisiert, fokussiert und gegenüber der Geschäftsführung begründbar macht.
Nächster Schritt: Risikoanalyse starten
Die Compliance Risikoanalyse Vorlage liefert Ihnen 40+ vordefinierte Compliance-Risiken für den DACH-Raum. Mit Brutto-/Netto-Bewertung, automatischer Heatmap-Visualisierung und integriertem Maßnahmen-Tracker. Inklusive Word-Leitfaden für die strukturierte Durchführung der Analyse.
Alles in einem Paket: Die Compliance Risikoanalyse ist auch Teil des CMS Aufbau Bundles – das Komplettpaket für Ihr Compliance Management System (499 Euro).
Passende Produkte zum Thema
Risikomanagement-System Aufbau-Bundle
Komplettpaket für den RMS-Aufbau: 10 Dokumente gem. ISO 31000, COSO ERM & IDW PS 981/340. Von Taxonomie bis Reporting – sofort einsetzbar. Einzelwert: €590.
CMS Aufbau Bundle
Komplettpaket zum Aufbau eines Compliance Management Systems nach IDW PS 980 und ISO 37301. Enthält alle Dokumente, Richtlinien und Tools – vom Reifegrad-Assessment bis zum Audit-Bericht.
Compliance Risikoanalyse
Excel-basierte Compliance-Risikoanalyse mit 40+ vordefinierten Risiken, Bewertung und Maßnahmen-Tracker. Inkl. Word-Leitfaden für die Durchführung.
Marvin Zimbelmann
Head of Governance, Risk & Compliance · MBA-Dozent · Podcast-Host
Auf LinkedIn vernetzen →