Compliance-Lexikon · Risiko
Compliance Risk
[kəmˈplaɪəns rɪsk] · auch: Rechtsrisiko, regulatorisches Risiko
Compliance Risk bezeichnet das Risiko von Bussgeldern, Sanktionen, rechtlichen Folgen oder Reputationsschäden durch Verstösse gegen Gesetze, Regulierungen, Standards oder interne Richtlinien -- als eigenständige Risikokategorie im integrierten Risikomanagement.
Warum Compliance Risk ein zentraler Risikobegriff ist
Compliance Risk ist ein Kernbestandteil jedes strukturierten Risikomanagements. ISO 27001, NIS-2 und DORA setzen das Konzept als Grundlage für risikobasierte Entscheidungen voraus -- ohne diese Grundlage fehlt dem Sicherheitsprogramm das analytische Fundament. Im Audit wird geprüft, ob Compliance Risk nicht nur bekannt, sondern systematisch und dokumentiert angewandt wird.
Wo Compliance Risk gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| ISO 37301 | vollständig | Compliance-Management-Systeme: Compliance Risk als zentrale Steuergrösse. |
| DSGVO | Art. 83 | Bussgeldrahmen: Compliance-Risiken aus DSGVO-Verstossen bis 4% des weltweiten Jahresumsatzes. |
| NIS-2 / BSIG | § 60 | Sanktionen: Bussgelder bis 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes. |
| DORA | Art. 50 | Sanktionen und Massnahmen für Complianceverstösse im Finanzsektor. |
| ISO 31000 | Kap. 6.4 | Compliance Risk als Teilkategorie des operationellen Risikos. |
BAM-Objektreferenz
Häufige Audit-Fehler
- Konzept verstanden, aber nicht in einer dokumentierten Methodik verankert
- Inkonsistente Anwendung -- verschiedene Teams bewerten nach unterschiedlichen Masssstäben
- Keine regelmässige Aktualisierung der Bewertungen
- Fehlende Verbindung zum Risikoappetit und zur Massnahmenplanung
Einordnung im Risikomanagement-Gesamtrahmen
Compliance Risk ist kein isoliertes Konzept, sondern Teil eines integrierten Risikomanagement-Zyklus: Identifikation, Bewertung, Behandlung, Überwachung. Es greift mit dem Risk Appetite Statement, dem Risikoregister, der Risk Heat Map und dem Risk Reporting ineinander. Wer Compliance Risk konsistent und dokumentiert anwendet, stellt sicher, dass alle nachgelagerten Schritte auf einer soliden Grundlage beruhen.
Quantitativ vs. qualitativ
Die meisten Organisationen beginnen mit qualitativer Bewertung und erganzen schrittweise quantitative Elemente für hochprioritäre Risiken. Beide Ansätze sind für ISO 27001 und NIS-2 akzeptiert -- entscheidend ist die Konsistenz der Methodik und die Nachvollziehbarkeit der Bewertungen. DORA empfiehlt für systemrelevante Finanzunternehmen eine zunehmende Quantifizierung.
Nächste Ebene
Compliance Risk in der Praxis: Methodik, Umsetzung und Evidence
Was Auditoren bei Compliance Risk konkret prüfen und welche Evidence benötigt wird.