Was sind Compliance-Risiken? Risikotypen, Risikobereiche & wie Sie sie managen

Welche Arten von Compliance-Risiken gibt es?

Die vielen Compliance-Risikobereiche mit einer standardisierten Taxonomie zu adressieren, ist aus mehreren Gründen entscheidend für Risiko- und Compliance-Verantwortliche. Erstens hilft die Definition von Compliance-Risiken mithilfe standardisierter Risikokategorien und Risikotypen den Teams für Meldungsaufnahme und Untersuchungen, Meldungen korrekt zu kategorisieren, sodass Folgemaßnahmen angemessen weitergeleitet und priorisiert werden können. Ein weiterer Vorteil ist die Möglichkeit, Ihr Programm zuverlässig mit einem globalen Standard zu benchmarken. Dadurch können Sie die Leistungsfähigkeit Ihres Programms präzise mit der von Vergleichsorganisationen bewerten. Insgesamt helfen diese Vorteile standardisierter Compliance-Risikobereiche dabei, Untersuchungen zu optimieren und Benchmarking auf ein höheres Niveau zu bringen.

NAVEX ist der globale Marktführer im Benchmarking für Whistleblowing & Vorfallmanagement und verfügt über den weltweit größten Datensatz (2,15 Millionen Meldungen im Jahr 2024). Neben unseren Benchmark-Daten auf höchstem Niveau sind wir auch führend bei der Kategorisierung von Risikotypen. NAVEX Risikotypen dienen als gemeinsame Risiko-Taxonomie und standardisieren, wie Unternehmen Risiko- und Compliance-Daten erfassen und kategorisieren. Diese Konsistenz liefert verlässliche und umsetzbare Erkenntnisse über Programme und Teams hinweg und ermöglicht Führungskräften, von isolierten Datenpunkten zu einer ganzheitlichen Sicht auf Risiken zu gelangen. 

Im Folgenden betrachten wir die verschiedenen Arten von Compliance-Risiken, die NAVEX in der Lösung Whistleblowing & Vorfallmanagement integriert hat und die sich auch im jährlichen Whistleblowing & Vorfallmanagement Benchmark Report widerspiegeln.

Compliance-Risikokategorien

NAVEX verwendet sechs Risikokategorien mit insgesamt 24 Risikotypen, um die über die Hotline eingehenden Compliance-Risiken genauer zu differenzieren. Die sechs Compliance-Risikokategorien sind:

1. Geschäftsintegrität
2. Verhalten am Arbeitsplatz
3. Umwelt, Gesundheit & Sicherheit
4. Rechnungslegung, Prüfung und Finanzberichterstattung
5. Missbrauch oder Veruntreuung von Unternehmensressourcen
6. Sonstiges

Vertiefung der Compliance-Risikotypen

Innerhalb dieser Risikokategorien erfolgt eine detailliertere Einordnung Ihrer Compliance-Risiken. Nachfolgend finden Sie die Compliance-Risikotypen und ihre Definitionen.

Geschäftsintegrität

Interessenkonflikte

Meldungen über Interessenkonflikte, entweder als Selbstmeldung oder als Meldung über das Verhalten anderer. Ein Interessenkonflikt kann in jeder Situation entstehen, in der finanzielle oder persönliche Interessen eines Mitarbeiters sein geschäftliches Urteilsvermögen oder die Interessen des Unternehmens beeinflussen können.

Vertrauliche und geschützte Informationen

Meldungen im Zusammenhang mit vertraulichen oder geschützten Informationen sowie geistigem Eigentum. Vertrauliche Informationen sind alle nicht öffentlichen Informationen, die nicht für die Weitergabe an Personen außerhalb eines legitimen geschäftlichen Bedarfs bestimmt oder zugelassen sind.

Vertrauliche Informationen können Daten über Personen oder Unternehmen umfassen, darunter Geschäftspläne, Geschäftsgeheimnisse, Kundenlisten, Vertriebs- und Marketingstrategien, Preisstrategien, Produktentwicklungspläne sowie entsprechende Dokumentationen.

Geistiges Eigentum bezeichnet originale, immaterielle Schöpfungen menschlichen Intellekts, die rechtlich vor unbefugter Nutzung geschützt sind. Dazu gehören Patente, Marken sowie urheberrechtlich geschützte Werke wie Fotos, Musik, literarische Werke, Grafikdesign, Quellcode sowie Audio- und audiovisuelle Aufzeichnungen.

Datenschutz und Datensicherheit

Meldungen im Zusammenhang mit Rechten und Pflichten bezüglich der Daten, die von einem Unternehmen gespeichert oder verarbeitet werden. Diese Daten können Informationen über Mitarbeiter, Kunden, Verbraucher oder andere Personen umfassen. Beispiele sind Vorwürfe der missbräuchlichen Datennutzung, Datenverlust oder Datendiebstahl, Sicherheitsverletzungen oder versuchte Sicherheitsverletzungen sowie Anfragen von Personen in Bezug auf ihre eigenen Daten.

Freier und fairer Wettbewerb

Meldungen über Aktivitäten, die freien und fairen Wettbewerb im Markt untergraben. Diese Aktivitäten betreffen häufig Vereinbarungen mit Wettbewerbern zur Preisabsprache oder zur Einschränkung des Wettbewerbs. Bereits der Anschein einer solchen Vereinbarung kann problematisch sein.

Bestechung und Korruption

Meldungen über Bestechung im öffentlichen oder privaten Bereich. Bestechung liegt vor, wenn eine Person Geld oder einen anderen Wertvorteil anbietet – einer Amtsperson oder einer Person mit Macht oder Einfluss – um Einfluss auf deren Entscheidungen zu nehmen. Korruption umfasst unehrliches oder illegales Verhalten – insbesondere von Personen in Machtpositionen –, bei dem ihre Stellung genutzt wird, um im Gegenzug für Geld oder andere Vorteile unrechtmäßige Handlungen vorzunehmen.

Insiderhandel

Meldungen darüber, dass eine Person Wertpapiere eines Unternehmens (des Arbeitgebers oder eines anderen Unternehmens) auf Grundlage nicht öffentlicher Informationen kauft oder verkauft oder diese Informationen an andere weitergibt, die anschließend entsprechende Geschäfte tätigen.

Globaler Handel

Meldungen im Zusammenhang mit dem Import und Export von Waren und Dienstleistungen weltweit. Dazu gehören Importe (das Einführen von Waren oder Dienstleistungen in ein Land) und Exporte (das Versenden von Waren oder Dienstleistungen – einschließlich Software – von einem Land in ein anderes). Diese Kategorie umfasst auch Meldungen zu Sanktionen, beispielsweise Handelssanktionen, die Geschäfte mit sanktionierten Personen oder Ländern verbieten.

Politische Aktivitäten

Meldungen über die unsachgemäße Nutzung von Ressourcen des Arbeitgebers (Zeit, Vermögenswerte, Marke usw.) für politische Aktivitäten – durch Einzelpersonen oder Organisationen. Beispiele sind die Nutzung von Arbeitszeit für politische Aktivitäten, Druck auf Kollegen, Geld oder Zeit für politische Organisationen bereitzustellen, oder die Verbindung des Unternehmensnamens mit politischen Kandidaten, Amtsträgern oder Gruppen. Dies kann auch die missbräuchliche Verwendung von Unternehmensmitteln für politische Zwecke, die Nutzung von Unternehmensressourcen zur Erstellung oder Verbreitung politischer Botschaften sowie Verstöße gegen Lobbying-Vorschriften umfassen.

Menschenrechte

Meldungen im Zusammenhang mit Menschenrechten, die sich allgemein auf grundlegende Rechte und Freiheiten von Individuen beziehen. Beispiele sind Meldungen über Menschenhandel oder moderne Sklaverei, bei denen Gewalt, Betrug oder Zwang eingesetzt werden, um Arbeitsleistungen oder sexuelle Dienstleistungen im Austausch gegen Geld, Drogen oder andere Güter zu erzwingen.

Produktqualität und -sicherheit

Meldungen über Qualitäts- oder Sicherheitsprobleme im Zusammenhang mit Produkten. Beispiele sind Vorwürfe, dass ein Produkt nicht sicher für den vorgesehenen Zweck ist, andere Personen gefährdet oder Branchenstandards nicht erfüllt.

Sonstige Geschäftsintegrität

Meldungen zur Geschäftsintegrität, die keiner anderen Kategorie zugeordnet werden können. Beispiele können branchenspezifische Richtlinien, Vorschriften oder Gesetze sein.

Verhalten am Arbeitsplatz

Belästigung

Meldungen über Belästigung im Zusammenhang mit einem geschützten Merkmal wie ethnischer Herkunft, Geschlecht, Religion, Behinderung oder Alter. Diese Meldungen betreffen unerwünschtes Verhalten, das für eine vernünftige Person als beleidigend gilt und mit einem geschützten Merkmal zusammenhängt.

Diskriminierung

Meldungen über Diskriminierung oder Anliegen im Zusammenhang mit Anpassungsmaßnahmen am Arbeitsplatz. Diskriminierung liegt in der Regel vor, wenn eine nachteilige Beschäftigungsmaßnahme eine Bedingung oder einen Aspekt des Arbeitsverhältnisses betrifft, von einem Arbeitgeber oder einer verantwortlichen Person getroffen wird und aufgrund eines geschützten Merkmals erfolgt.

Eine Anpassung am Arbeitsplatz umfasst Anträge auf Änderungen im Arbeitsumfeld im Zusammenhang mit religiösen Praktiken oder Überzeugungen oder mit einer Behinderung. Dazu gehören auch Meldungen über Anpassungen des Arbeitsplatzes oder Freistellungen aufgrund medizinischer Bedingungen oder Behinderungen.

Substanzmissbrauch

Meldungen über Beeinträchtigungen durch Substanzen wie Drogen oder Alkohol, die Auswirkungen auf den Arbeitsplatz haben oder gegen Richtlinien verstoßen. Dies kann Verhalten während oder außerhalb der Arbeitszeit sowie innerhalb oder außerhalb des Betriebsgeländes betreffen.

Vergütung und Zusatzleistungen

Meldungen im Zusammenhang mit Vergütung, Gehalt, Versicherungen, Urlaub, Rentenleistungen, Elternzeit, medizinischer Freistellung und anderen typischen Mitarbeiterleistungen. Beispiele sind fehlerhafte Gehaltsabrechnungen oder falsche Erfassung von Urlaub, Freizeit oder Krankentagen.

Respektvoller Umgang am Arbeitsplatz

Meldungen über beleidigendes oder respektloses Verhalten im Zusammenhang mit der Arbeit, das nicht als Belästigung oder Diskriminierung eingestuft wird.

Sonstige Personalthemen

Meldungen, die keiner anderen Kategorie zugeordnet werden können und wahrscheinlich das Personalwesen betreffen. Beispiele sind Leistungsmanagement, Disziplinarmaßnahmen, Einwanderungsfragen, Arbeitsbeziehungen, Beschwerden, Stellenabbau, Verhaftungen oder Verurteilungen.

Vergeltungsmaßnahmen

Meldungen über Vergeltungsmaßnahmen – einschließlich Repressalien oder Benachteiligungen – gegenüber Mitarbeitern. Dazu gehören Maßnahmen, die ergriffen werden, um Mitarbeiter für eine Meldung zu bestrafen oder davon abzuhalten, eine Meldung einzureichen oder an einer Untersuchung teilzunehmen. Vergeltung betrifft häufig Vorwürfe gegen Manager oder Vorgesetzte, kann jedoch auch das Verhalten von Kollegen betreffen.

Umwelt, Gesundheit und Sicherheit

Unmittelbare Bedrohung für Menschen, Tiere oder Eigentum

Meldungen über eine unmittelbare oder drohende Gefahr für Menschen, Tiere oder Eigentum. Diese Vorfälle können Waffen beinhalten und erfordern häufig die Unterstützung von Behörden wie Polizei oder Feuerwehr.

Umwelt

Meldungen über Auswirkungen auf die Umwelt. Dazu können vorsätzliche, fahrlässige oder unbeabsichtigte Handlungen oder Unterlassungen gehören, die der Umwelt schaden oder gegen Richtlinien sowie regulatorische oder gesetzliche Anforderungen verstoßen. Beispiele sind Verschmutzungen, falsch behandeltes Abwasser, Freisetzung schädlicher Stoffe in die Atmosphäre oder unsachgemäße Entsorgung gefährlicher Abfälle.

Gesundheit und Sicherheit

Meldungen über Sicherheit am Arbeitsplatz. Dazu gehören die Sicherheit von Mitarbeitern sowie von Einrichtungen oder Geräten. Jeder Mitarbeiter ist dafür verantwortlich, einen sicheren und gesunden Arbeitsplatz zu gewährleisten, indem Sicherheits- und Gesundheitsregeln eingehalten und Unfälle, Verletzungen sowie unsichere Geräte, Praktiken oder Bedingungen gemeldet werden.

Meldungen können auch die physische Sicherheit innerhalb von Einrichtungen betreffen.

Rechnungslegung, Prüfung und Finanzberichterstattung

Meldungen im Zusammenhang mit Rechnungslegung, Finanzberichterstattung oder Prüfungen. Beispiele sind unethische oder unangemessene Erfassung und Analyse von Geschäfts- und Finanztransaktionen gemäß allgemein anerkannten Rechnungslegungsgrundsätzen, falsche Darstellung von Einnahmen, Ausgaben oder Vermögenswerten, falsche Anwendung von Rechnungslegungsgrundsätzen oder unzulässige Transaktionen.

Missbrauch oder Veruntreuung von Vermögenswerten

Meldungen darüber, dass Vermögenswerte des Unternehmens verschwendet, missbräuchlich verwendet, missbraucht oder nicht angemessen geschützt werden. Zu diesen Vermögenswerten können Eigentum, Werkzeuge, Geld, Kreditkarten, Einrichtungen, Firmenfahrzeuge, Arbeitszeit von Mitarbeitern oder vom Arbeitgeber bereitgestellte Leistungen gehören.

Sonstiges

Meldungen, die in keine der oben genannten Kategorien fallen.

Wie Sie Compliance-Risiken bewerten

Nachdem Sie Ihre Risiken mithilfe der standardisierten NAVEX Risikotypen erfasst und kategorisiert haben, besteht der nächste Schritt darin, sie zu bewerten, um Maßnahmen zu priorisieren, Minderungspläne zu entwickeln und Ressourcen effektiv einzusetzen. NAVEX One bietet eine zentrale Plattform, um Risikoexpositionen im gesamten Unternehmen zu bewerten und zu überwachen. Im Folgenden finden Sie eine kurze Übersicht über vier zentrale Risikobereiche, denen Unternehmen häufig ausgesetzt sind, sowie Hinweise zur Bewertung.

Human Risk

Human Risks entstehen durch Mitarbeiterverhalten, Interessenkonflikte, Fehlverhalten, mangelndes Bewusstsein oder kulturelle Faktoren, die Engagement und Arbeitszufriedenheit negativ beeinflussen.

Eine ungesunde Unternehmenskultur – geprägt von Angst vor Vergeltungsmaßnahmen, unklaren Werten oder inkonsistentem Führungsverhalten – kann das Risiko von Fehlverhalten erhöhen und zu geringerer Mitarbeitermotivation, Fluktuation und Compliance-Verstößen führen.

Beispiele sind:

• Risiko von Klagen durch Mitarbeiter wegen Belästigung, Diskriminierung oder unrechtmäßiger Kündigung
• Hohe Fluktuation, die zum Verlust von institutionellem Wissen und zu höheren Rekrutierungskosten führt
• Reputationsschäden, die Einstellung, Bindung von Mitarbeitern und Vertrauen von Kunden beeinträchtigen
• Regulatorische Geldbußen oder Maßnahmen aufgrund von Interessenkonflikten oder Nichteinhaltung von Vorschriften

Operationelle Risiken

Operationelle Risiken beziehen sich auf interne Prozesse, Systeme oder Fehler im täglichen Betrieb.

Beispiele sind:

• Nichtbefolgung von Sicherheitsprotokollen, die zu regulatorischen Maßnahmen führt
• Störungen des Geschäftsbetriebs durch Prozessfehler, unzureichende Personalausstattung oder inkonsistente Einhaltung von Richtlinien
• Fehlkonfigurationen von IT-Systemen, die sensible Daten offenlegen

Drittparteirisiken

Drittparteirisiken entstehen durch Anbieter, Lieferanten, Auftragnehmer oder andere externe Partner.

Beispiele sind:

• Ein Lieferant wird wegen Arbeitsrechtsverstößen in einer Hochrisikoregion gemeldet
• Eine externe Marketingagentur geht unsachgemäß mit Kundendaten um
• Ein Auftragnehmer erfüllt nicht die Anforderungen an Anti-Korruptions-Compliance

Regulatorische Risiken

Regulatorische Risiken entstehen durch die Nichteinhaltung von Gesetzen, Vorschriften oder Branchenstandards.

Beispiele sind:

• Neue Datenschutzgesetze wie DSGVO oder CCPA, die Aktualisierungen von Richtlinien erfordern
• Versäumte Meldefristen im Bereich Geldwäschebekämpfung
• Geldbußen wegen Nichteinhaltung von Gesundheits- oder Finanzvorschriften

Risiken mit NAVEX One bewerten und priorisieren

NAVEX One ist eine integrierte Suite von Risiko- und Compliance-Lösungen, die Unternehmen dabei unterstützt, Compliance-Risiken zu steuern und zu reduzieren sowie ihre Risikolandschaft besser zu verstehen.

Eine Möglichkeit, wie NAVEX Unternehmen unterstützt, ist die Durchführung standardisierter Risikobewertungen mithilfe der NAVEX Risikotypen und integrierter NAVEX One Tools.

Die Standardisierung von Risikotypen sowie die Nutzung von Compliance-Programmdaten zur Nachverfolgung von Themen und zur Risikominderung im gesamten Unternehmen ermöglichen es Organisationen, von reaktiver Compliance zu proaktivem Risikomanagement überzugehen.

Dieser Ansatz verbessert nicht nur die Lösung von Vorfällen, sondern bietet auch eine einheitliche, an Risikotypen ausgerichtete Sicht über Vorfälle, Schulungen, Offenlegungen, Richtlinien und Drittparteibeziehungen hinweg – und stärkt so die gesamte Risikoposition des Unternehmens.