Ein compliant aufgestellter Lieferant kann dennoch scheitern. Vergleichen Sie Compliance und Risikomanagement, entdecken Sie ihre Schnittstellen und erfahren Sie, welche Leistungskennzahlen und wichtigste Risikoindikatoren Sie messen sollten.
Definition: Compliance stellt sicher, dass Ihre Organisation Gesetze, Standards, Verträge und interne Richtlinien einerseits eihält und andererseits dies auch nachweisen kann. Risikomanagement bewertet Bedrohungen, die den Betrieb stören oder dem Unternehmen schaden könnten, ohne dass unmittelbare Verstöße vorliegen. Der Hauptunterschied zwischen Compliance und Risikomanagement besteht darin, dass Ersteres Regeln für das Unternehmen und seine Lieferanten festlegt, während Letzteres Schwachstellen identifiziert und Schutzmaßnahmen hinzufügt.
Die Verwerfungen und die finanzielle Volatilität der vergangenen Jahre haben die Beschaffung zur kritischen Frontlinie gemacht, die die Resilienz Ihres Unternehmens schützt. Das Management von Drittparteien steht unter einem weit größeren Druck als zuvor. Die Regulierung zieht jährlich ihre Schrauben an, das Inflationspendel schwingt zwischen hohen und niedrigen Raten, und geopolitische Spannungen verschärfen sich durch neue Konflikte weltweit.
Unternehmen müssen heute drei Prioritäten in Einklang bringen:
- Einkäufe kosteneffizient gestalten
- Kontinuität der Lieferketten sicherstellen und Notfallpläne bereithalten
- Kontrolle über Drittparteienbeziehungen beibehalten
Dieser Druck hat die Art und Weise, wie Unternehmen über Governance nachdenken, grundlegend verändert. Was früher wie eine rein interne Pflichtübung wirkte, erfordert heute weit mehr Aufmerksamkeit. Beschaffungsteams müssen sowohl interne als auch externe Vorschriften erfüllen und Störungen antizipieren, die den Betrieb entgleisen lassen könnten. Mit anderen Worten: Sie müssen Compliance und Risikomanagement in einem zunehmend komplexen Lieferanten-Ökosystem gleichzeitig steuern.
Beide Funktionen sollten zusammenarbeiten, nicht gegeneinander. Compliance setzt Kontrollen durch; Risikomanagement identifiziert und verhindert Bedrohungen, die genau diese Kontrollen erforderlich machen. Werden sie in Silos betrieben, bleiben alle Warnsignale verborgen und können als weitaus gravierendere finanzielle Schäden oder Betriebsstörungen wieder auftauchen.
Die wichtigsten Erkenntnisse:
- Compliance ist binär: Die Beschaffung muss vorgeschriebene Regeln einhalten und jeden Kauf sowie jede Lieferantenentscheidung dokumentieren.
- Risikomanagement mindert Schwachstellen, die nicht immer durch bestehende Richtlinien abgedeckt sind, sodass die Beschaffung jederzeit auf Störungen vorbereitet sein kann.
- GRC verbindet Governance, Risiko und Compliance in einem einzigen Rahmenwerk, wird jedoch oft starr und beschränkt sich auf Checklisten und interne Audits.
- IRM baut auf GRC auf und bietet eine integrierte Risikobetrachtung, kontinuierliches Monitoring und technologiegestützte Workflows über alle Teams hinweg.
- Compliance-Kennzahlen spiegeln vergangene und aktuelle Leistung wider, während KRIs im Risikomanagement als Frühwarnungen dienen, um zukünftige Vorfälle zu verhindern.
Im Folgenden erläutern wir, was Compliance und Risikomanagement unterscheidet, wo sie sich überschneiden und warum das GRC-Rahmenwerk im Vergleich zu einem IRM-System an seine Grenzen stößt.
Was ist Compliance?
Compliance ist ein Prozess, der sicherstellt, dass die Organisation vorgeschriebene Regeln erfüllt und Dokumentationen oder andere Nachweise als Belege vorlegen kann. Diese Regeln können von der Branche oder dem Land abhängen, in dem das Unternehmen tätig ist, sowie von der Unternehmensgröße. In erster Linie werden sie von Regulierungsbehörden, Branchenverbanden, der internen Führung und von Kunden selbst durchgesetzt, die bestimmte Standards voraussetzen, bevor sie beim Unternehmen einkaufen.
Beschaffungs-Compliance dreht sich primär um Einkäufe und stellt eine einfache Frage:
Haben wir die Anforderungen eingehalten, denen wir bei diesem Kauf zugestimmt haben?
Die Antwort lautet stets entweder „Ja“ oder „Nein“, was Compliance von Natur aus binär macht. Sie haben entweder die Vorschriften eingehalten oder nicht – es gibt kein Dazwischen.
Die meisten regulatorischen Compliance-Anforderungen sind verpflichtend. Sie können sich nicht nur dann daran beteiligen, wenn es opportun erscheint. Gilt ein Gesetz für Ihr Unternehmen, muss es in Ihre Einkaufs- und Lieferantenpartnerschaftsrichtlinien integriert werden.
Manche betrachten die Einhaltung von Richtlinien als reaktiv, was nicht vollständig zutrifft. In gewissem Sinne reagiert Beschaffungs-Compliance primär auf Regeln, die von externen Parteien – wie der Führung oder Regulierungsbehörden – festgelegt werden. Bestimmte Verpflichtungen werden dem Unternehmen sowohl als Kunde als auch als Lieferant auferlegt, und es reagiert darauf, indem es Kontrollen einführt, die deren Einhaltung gewährleisten.
Umfang und Arten der Compliance
Die allgemeine Definition von Compliance bedeutet im Wesentlichen, Verpflichtungen einzuhalten und durchzusetzen. Der Ansatz und der Hauptfokus hängen jedoch vollständig von den Regeln ab, die Ihr Team einhalten soll. Diese Funktion umfasst:
- Rechtliche und regulatorische Compliance: Regeln, die von Regierungen und Regulierungsbehörden festgelegt werden. Diese Kategorie umfasst Verpflichtungen, die für die meisten Unternehmen unabhängig von der Branche gelten. Beispielsweise gilt die Datenschutz-Grundverordnung (DSGVO) oder die LGPD (Lei Geral de Proteção de Dados Pessoais) für jede Organisation, die personenbezogene Daten in der EU oder Brasilien verarbeitet oder dort Waren oder Dienstleistungen anbietet. Ebenso stellt die Securities and Exchange Commission (SEC) bestimmte finanzielle Berichterstattungspflichten für in den USA tätige Unternehmen auf.
- Branchencompliance: Standards, die aufgrund Ihres Sektors oder der Art der von Ihnen verarbeiteten Daten gelten. Wichtige Branchenvertreter oder Compliance-Behörden setzen diese Vorschriften oft durch. Beispiele sind der Payment Card Industry Data Security Standard (PCI-DSS) und der Health Insurance Portability and Accountability Act (HIPAA). PCI-DSS ist kein Gesetz, sondern ein Branchenstandard, der von Zahlungsmarken wie Visa und Mastercard festgelegt wird. HIPAA hingegen ist ein Bundesgesetz, das hauptsächlich in Sektoren gilt, die persönliche Gesundheitsdaten verarbeiten.
- Unternehmens-Compliance: Verpflichtungen, die innerhalb Ihrer Organisation festgelegt werden. Beschaffungsrichtlinien, Funktionstrennung, Verhaltenskodex, Genehmigungsschwellenwerte und Lieferanten-Onboarding-Regeln fallen in diese Kategorie. Diese Anforderungen definieren, wie Ihre Organisation von den Mitarbeitenden erwartet zu arbeiten.
- Vertragliche Compliance: Anforderungen, denen Ihr Unternehmen in einem Vertrag mit einer anderen Partei zustimmt. Die Landesgesetze legen einige dieser Regeln fest, z. B. zu Urlaubsanspruch, Mindestlohn und Rechnungspflichten, aber Verträge werden zwischen den Parteien ausgehandelt.
- Umwelt- und Nachhaltigkeitscompliance: Regeln, die für den Einfluss der Unternehmensoperationen und -beschaffung auf die Umwelt und die Gemeinschaft gelten. Sie betreffen häufig Emissionen, Abfallentsorgung, Chemikalieneinsatz und Umweltberichterstattung. Alle Stakeholder erwarten heute, dass Organisationen nachweisen, dass ihre Lieferketten verantwortungsvolle Praktiken im Rahmen von Regelwerken wie ISO 20400 und der Corporate Sustainability Reporting Directive (CSRD) befolgen.
Insgesamt zeigt sich, dass Compliance weit über gesetzliche Anforderungen hinausgeht und alle Ebenen unternehmerischen Handelns durchzieht.
Was ist Risikomanagement?
Risikomanagement ist eine strategische Praxis zur Identifizierung und Minderung potenzieller Störungen, die den Vermögenswerten oder Zielen des Unternehmens schaden könnten. Die Führung erarbeitet gemeinsam mit wichtigen Stakeholdern – wie Abteilungsleitern oder spezialisierten Teams – einen Notfallplan oder eine Risikominderungsstrategie.
Staatliche oder Regulierungsbehörden sind an diesem Prozess nicht beteiligt; er ist typischerweise intern. Etablierte Rahmenwerke wie ISO 31000 können Organisationen, die mit Risikominderung noch nicht vertraut sind, beim Aufbau eines ersten Workflows unterstützen.
ISO 31000 ist ein internationaler Risikomanagementstandard, der Organisationen einen praxisnahen Satz von Grundsätzen und Leitlinien für die Identifizierung, Bewertung, Behandlung, Überwachung und Kommunikation von Risiken bietet. Er ist absichtlich breit angelegt, damit jede Organisation ihn nutzen kann, um einen konsistenten Prozess aufzubauen und Risiko in Governance, Strategie, Planung und den täglichen Betrieb zu integrieren.
Das Beschaffungsrisikomanagement lässt sich auf eine einfache Frage reduzieren:
Welche Probleme könnten unsere Pläne für diesen Zeitraum gefährden, und was können wir tun, um sie zu verhindern?
Das Team identifiziert alles, was den Beschaffungsprozess unterbrechen könnte (Preisspitzen, Lieferanteninsolvenzen, Inflation, geopolitische Unruhen), bewertet die Wahrscheinlichkeit und Kritikalität jedes einzelnen Punktes und entwickelt einen Minderungsplan. Da es keine eindeutige Antwort gibt und der Erfolg der Minderung von der Wahrscheinlichkeit der Störung abhängt, ist Risikomanagement von Natur aus probabilistisch.
Bestimmte Bedrohungen erfordern sofortige Aufmerksamkeit, während andere zurückgestellt werden können. Risikominderung ist strategiebasiert: Welches auch immer Ihr Hauptziel ist – ob Einsparungen oder Lieferkontinuität –, es wird bestimmen, wie Sie mit dem aufgetretenen Problem umgehen.
Kompromisse sind beim Umgang mit Risiken unvermeidlich, da fast jede Transaktion potenzielle Probleme mit sich bringt. Sie vollständig zu eliminieren ist nicht das Endziel; Unternehmen konzentrieren sich in erster Linie auf jene, die den größten Schaden anrichten oder den größten Nutzen bringen könnten, wenn sie gemanagt werden.
Was ist Enterprise Risikomanagement (ERM)?
Enterprise Risk Management (ERM) ist ein unternehmensweiter Ansatz zur strategischen Bewertung und Steuerung von Risiken über alle Bereiche und Funktionen hinweg. Im Gegensatz zum traditionellen Ansatz, bei dem jede Abteilung ihre eigenen Engpässe selbst managt, richtet dieses Rahmenwerk alle Bereiche auf die Unternehmensstrategie aus.
Enterprise Risk Management beginnt auf der Führungsebene, wo das Management die Gesamtausrichtung des Programms, die Risikoarten und die Schwellenwerte für Störungen festlegt, die das Unternehmen bereit ist zu akzeptieren.
Der Goldstandard für ERM ist das COSO-Rahmenwerk, ein Enterprise-Risk-Management-Ansatz, der Organisationen hilft, Risiko mit Strategie und Leistung zu verknüpfen. Es empfiehlt die Definition der Risikobereitschaft, die Identifizierung und Bewertung wesentlicher Risiken sowie deren Überwachung, damit Risikomanagement die Unternehmensziele unterstützt. Das COSO-Rahmenwerk integriert potenzielle Störungen direkt in die Unternehmensziele und Entscheidungsprozesse.
Was sind Risikobereitschaft und Risikotoleranz?
Risiko ist unvermeidlich. Unternehmen können nicht jede Störung verhindern, aber sie können entscheiden, welche Risiken sie vernünftigerweise akzeptieren können und in welchem Ausmaß.
Risikobereitschaft ist ein Konzept, das Art und Umfang des Risikos bestimmt, das ein Unternehmen bereit ist einzugehen, um seine Ziele zu erreichen. Beispielsweise kann ein Unternehmen ein höheres Lieferrisiko in Kauf nehmen, um schneller auf den Markt zu gelangen, oder höhere Kosten akzeptieren, um die Lieferkontinuität zu schützen.
Risikotoleranz hingegen setzt Grenzen dafür, wie viel Risiko das Unternehmen tragen kann. Im selben Szenario der Lieferkontinuität kann das Beschaffungsteam einen unerwarteten Preisanstieg für kritische Versorgungsgüter akzeptieren, nicht jedoch für nicht-essenzielle.
7 wesentliche Unterschiede zwischen Compliance und Risikomanagement
Compliance und Risikomanagement klingen auf dem Papier ähnlich, folgen aber einer unterschiedlichen Logik. Vergleichen Sie, wie beide im Alltagsbetrieb funktionieren, basierend auf Zweck, Umfang und Betriebsmodell.
Compliance vs. Risikomanagement
- Primärer Treiber:
Compliance wird hauptsächlich durch externe Anforderungen wie Gesetze, Vorschriften und Stakeholder-Erwartungen getrieben, während Risikomanagement in der Regel intern startet, basierend auf Strategie und Prioritäten. - Ansatz:
Compliance ist präskriptiv und folgt definierten Regeln, wobei Kontrollen bei Änderungen von Vorschriften angepasst werden. Risikomanagement ist prädiktiv und zielt darauf ab, mögliche Störungen frühzeitig zu erkennen und sich darauf vorzubereiten. - Ziel:
Compliance dient dazu, Wert zu erhalten, indem Geldbussen, Strafen und rechtliche Risiken vermieden werden. Risikomanagement schützt und unterstützt den Wert, indem es Störungen reduziert und einen stabilen Betrieb gewährleistet. - Messung:
Compliance wird binär gemessen – Anforderungen werden entweder erfüllt oder nicht. Risikomanagement ist probabilistisch und hängt von Wahrscheinlichkeit, Auswirkung und Vorbereitung ab. - Zeitpunkt:
Compliance ist periodisch und häufig an Audits oder Überprüfungen gebunden. Risikomanagement ist kontinuierlich und erfordert laufendes Monitoring. - Betriebsmodell:
Compliance ist meist zentralisiert und wird von einem dedizierten Team gesteuert. Risikomanagement ist häufiger dezentralisiert und über mehrere Funktionen verteilt. - Umfang:
Compliance ist im Tagesgeschäft eher taktisch, mit einigen strategischen Elementen, während Risikomanagement stärker strategisch ausgerichtet ist, aber auch taktisches Monitoring und Reaktion umfasst.
Beide Ansätze greifen ineinander und sind nur gemeinsam wirklich wirksam.
1. Motivation: Extern vs. intern
Compliance wird primär durch externen Einfluss getrieben, d. h. Regulierungsbehörden oder externe Stakeholder schreiben die Anforderungen vor, die erfüllt werden müssen. Unternehmen erlassen auch interne Richtlinien, aber die meisten Verpflichtungen entstammen dem Unternehmensumfeld.
Risikomanagement hingegen beginnt in der Regel im Inneren der Organisation. Das Unternehmen analysiert seine Geschäftsstrategie, bewertet potenzielle Risiken und priorisiert sie. Externe Stakeholder wie Lieferanten oder Investoren können hinzugezogen werden und gemeinsam an Lösungen mitarbeiten.
2. Ansatz: Präskriptiv vs. prädiktiv
Compliance-Programme folgen in der Tendenz einem vorgeschriebenen Regelwerk. Wird ein neues Gesetz eingeführt oder geändert, passt das Unternehmen seine Richtlinien und Kontrollen entsprechend an. Alle Vorschriften, die für das Unternehmen gelten, müssen eingehalten werden – eine Auswahl ist nicht möglich.
Risikomanagement hingegen blickt voraus und antizipiert potenzielle Störungen im Markt, im wirtschaftlichen Umfeld und in der Lieferkette. Es schätzt, welche Risiken das Unternehmen am ehesten treffen werden und welche unausweichlich sind. Die Funktion fragt im Wesentlichen: Wenn etwas eintreten würde, selbst wenn es unwahrscheinlich ist, verfügt die Organisation über genügend Schutzmechanismen, um den Schlag abzufedern?
Szenarioanalysen und Beschaffungsprognosen werden in dieser Phase häufig eingesetzt. Das Team bewertet verschiedene Möglichkeiten – etwa ob der Lieferant die Waren liefern kann, wenn bestimmte Versandrouten nicht mehr verfügbar sind.
3. Ziel: Wert schützen vs. Wert schaffen
Sowohl Compliance als auch Risikomanagement zielen darauf ab, das Unternehmen zu schützen. Compliance schützt die Organisation vor rechtlichen und reputationsbezogenen Schäden und verhindert Verstöße, die zu Bussen oder regulatorischen Maßnahmen führen.
Risikomanagement sichert den operativen Teil des Unternehmens vor Störungen, finanziellen Verlusten und anderen Ausfällen ab. Sein Ziel ist es, sicherzustellen, dass der Betrieb stabil bleibt, auch wenn Risiken bestehen. Unternehmen wissen dann genau, welchem Grad an Exposition und Risiko sie ausgesetzt sind, und müssen keine Genehmigungen oder andere Funktionen anhalten, um einen neuen Engpass zu untersuchen. Alle Risiken sind erfasst, und es genügt, das richtige Verfahren zu befolgen, um sie zu verhindern.
4. Messung: Binär vs. probabilistisch
Es lässt sich leicht feststellen, ob Sie compliant bleiben. Jedes Audit oder jede Due-Diligence-Prüfung liefert eines von zwei Ergebnissen: positiv oder negativ. Compliance ist binär, weil bestimmte Anforderungen entweder erfüllt sind oder nicht. Selbst wenn die meisten Anforderungen erfüllt sind, bedeutet eine einzige versäumte Verpflichtung, dass keine vollständige Compliance vorliegt.
Beim Vergleich von Compliance und Risikomanagement ist die Messung Letzterer nicht so eindeutig. Anstatt einer Ja-oder-Nein-Antwort schätzen Risikoteams Wahrscheinlichkeit und Auswirkung. Sie beurteilen, wie wahrscheinlich ein Ereignis ist und wie schwerwiegend die Konsequenzen sein könnten. Zum Beispiel könnte eine Lieferantendisruption eine geringe Wahrscheinlichkeit, aber eine katastrophale Auswirkung haben, was das Unternehmen veranlasst, dennoch einen Notfallplan zu entwickeln.
5. Zeitpunkt: Periodisch vs. kontinuierlich
Compliance-Prüfungen finden oft zu bestimmten Zeitpunkten statt und sind in den Unternehmensprozessen eingeplant. Denken Sie an interne Audits, Onboarding-Überprüfungen, Lieferanten-Due-Diligence und Zertifizierungsverlängerungen – all diese Aktivitäten finden an definierten Terminen statt, die entweder von der Behörde oder der Führung festgelegt werden.
Risikomanagement hingegen folgt keinem Kalender. Wenn es im Unternehmen gut ausgebaut ist, sollte es regelmäßige Bewertungssitzungen und Spezialisten geben, die das Marktumfeld und die Lieferanten kontinuierlich überwachen. Bedingungen und Risiken verändern sich schnell, daher reicht eine Überprüfung alle zwei Monate nicht aus.
6. Betriebsmodell: Zentralisiert vs. dezentralisiert
Fast 67 % der Organisationen folgen einem zentralisierten Compliance-Modell: Sie verfügen über ein dediziertes Team, das Kontrollen gemäß Vorschriften durchsetzt und auf Verstöße überwacht. Rund 23 % bevorzugen einen dezentralisierten Ansatz mit spezialisierten Compliance-Programmen innerhalb jeder Abteilung für spezifische Bereiche.
Der letztgenannte Ansatz ist im Risikomanagement verbreiteter. KPMG berichtet, dass 52 % der Unternehmen ihr Risiko und ihre Resilienz über eine dezentralisierte Struktur managen. Allerdings sind nur 36 % über die meisten Funktionen hinweg koordiniert, was in anderen Bereichen Silos hinterlässt. Das bedeutet, dass die meisten Risikominderungsinitiativen typischerweise über die Organisation verteilt sind, mit mehreren Stakeholdern auf Vorstands-, Führungsebene und operativer Ebene. Risikomanagement ist jedoch auch in 48 % der Organisationen zentralisiert, sodass die Meinungen über das beste Betriebsmodell geteilt sind.
Da Compliance auf klaren Regeln und definierten Verpflichtungen beruht, ist es einfacher, sie unter einem Team zu zentralisieren. Wenn separate Abteilungen Compliance unabhängig verwalten, können sie funktionsübergreifende Anforderungen übersehen oder Änderungen vornehmen, ohne andere zu informieren.
Risiken entstehen in verschiedenen Abteilungen – in der Beschaffung, IT und Produktion –, daher ist das Eigentümertum natürlicherweise verteilter. Selbst mit einem zentralisierten Team muss Risiko weiterhin nahe an der Quelle gemanagt werden, wo es auftritt.
7. Umfang: Taktisch vs. strategisch
Während sowohl Compliance als auch Risikomanagement taktische und strategische Elemente haben, ist Compliance im Kern hauptsächlich taktisch. Sie verfügt über eine vorgeplante Struktur von Vorschriften, von denen jede definierte Anforderungen, Umfang und Durchsetzungskontrollen hat.
Ihre strategische Seite kommt ins Spiel, wenn das Unternehmen eine Expansion in neue Märkte, die Eröffnung einer neuen Einheit oder die Beschaffung bei einem neuen Lieferanten in Betracht zieht. In diesen Situationen müssen Compliance-Teams analysieren und Stakeholder darüber informieren, welche Vorschriften im Nachgang für das Unternehmen gelten werden.
Ein wesentlicher Teil der Minderungsarbeit ist strategisch. Jedes verhinderte Risiko muss dem Unternehmen helfen, seine Ziele zu erreichen, wobei Führungsansätze wie Enterprise Risk Management (ERM) Störungen direkt in die Strategie integrieren. Solche Rahmenwerke berücksichtigen die gesamte Lieferantenlandschaft und externe Faktoren jenseits der Unternehmensgrenzen, wie den Markt, globale Cyberbedrohungen, Klimaprobleme und Betrugsrisiken.
Wo sich Compliance und Risikomanagement überschneiden
Trotz klarer Unterschiede zwischen Compliance und Risikomanagement beruhen beide auf demselben Fundament: den Betrieb zu schützen und Stabilität zu gewährleisten, damit das Unternehmen weiterhin auf seine wesentlichen Ziele hinarbeiten kann. Hier sind die drei größten Bereiche, in denen sich diese beiden überschneiden.
1. Beide sind GRC-Treiber
GRC (Governance, Risk and Compliance) ist ein integrierter Managementansatz, der Compliance, Risikomanagement und Governance in Prozesse über die gesamte Organisation hinweg integriert. Sein Zweck ist es, Unsicherheiten zu bewältigen und gleichzeitig die Zielerreichung zu unterstützen – ein Kernaspekt dessen, was Risiko und Compliance in der Praxis bedeuten. Dieses System bricht organisatorische Silos auf, indem es Teams Einblick in das gibt, was in anderen Funktionen passiert.
Ein GRC-Rahmenwerk stützt sich auf drei Hauptsäulen:
- Gövernance legt ein Regelwerk und Standards fest, auf die sich das Unternehmen in seinem Betrieb stützt.
- Risikomanagement identifiziert potenzielle Störungen und entwickelt aktiv Lösungen, um sie zu verhindern oder ihre Auswirkungen zu minimieren.
- Compliance stellt sicher, dass das Unternehmen die Regeln erfüllt, die es einhalten muss, sowohl extern als auch intern.
Sowohl Compliance als auch Risikomanagement wandeln die von Governance-Organen festgelegten Regeln in ein umsetzbares Rahmenwerk um. Compliance setzt Kontrollen im Einklang mit den Governance-Leitlinien im gesamten Unternehmensbetrieb durch. Wenn beispielsweise eine Lieferanten-Due-Diligence erforderlich ist, stellt sie sicher, dass die richtigen Überprüfungen und Dokumentationen vor dem Onboarding abgeschlossen werden.
Risikomanagement priorisiert seinerseits Ungewissheiten basierend auf denselben Zielen. Wenn das Unternehmen auf vollständige Lieferkontinuität abzielt, bewertet es, welche Lieferanten, Regionen oder Logistikrouten das höchste Risiko tragen, und plant Notfallpläne entsprechend.
2. Compliance-Risikomanagement als Teilbereich
Compliance-Risikomanagement ist die Minderung jeglicher regulatorischer und rechtlicher Konsequenzen oder finanzieller und reputationsbezogener Schäden durch Non-Compliance. Finanzielle Strafen sind besonders hart und haben sich in der ersten Hälfte des Jahres 2025 fast vervierfacht, wobei globale Bussen Unternehmen 14 Milliarden Dollar kosteten.
Compliance-Risiken verhalten sich nicht anders als andere Risiken. Sie haben ebenfalls Ausloser, eine Eintrittswahrscheinlichkeit und eine Auswirkung auf den Geschäftsbetrieb. Wie andere Störungen können sie ohne Kontrollen schnell zu langwierigen Rechtsstreitigkeiten oder kostspieligen Bußgeldern eskalieren.
Lieferantenbeziehungen sind besonders anfällig für Verstöße, da sie eine dritte Partei einschließen, die Sie nicht zwingend kontrollieren können (die Sie aber im Voraus überprüfen können). Beispiele für Compliance-Risiken sind:
- Eine versäumte Genehmigung verstößt gegen die interne Richtlinie und führt zu einem nicht sanktionierten Kauf.
- Ungeordnete Dokumentation verursacht Lücken in der Berichterstattung.
- Der Lieferant hat die erforderliche Zertifizierung während der Partnerschaft nicht aktualisiert.
- Entweder das Unternehmen oder der Lieferant verstosst gegen vertragliche Verpflichtungen.
Die meisten dieser Probleme lassen sich auf schwache Compliance-Risikomanagementpraktiken zurückführen. Der größte Verursacher ist das Silo-Umfeld, das Unternehmen ungewollt aufbauen. Verstreute Dokumente und Tools, die nur ausgewählten Teams zugänglich sind, erhöhen das Risiko von Verstößen gegen die definierten Regeln.
3. Beide sind entscheidend für den Lieferantenlebenszyklus
Compliance und Risikomanagement teilen sich auch ein gemeinsames Zuhause: den Lieferantenlebenszyklus. Die Überschneidung beginnt lange vor der Unterzeichnung eines Vertrags und endet nicht nach dem Onboarding. Hier ist die Rolle, die beide in jedem Schritt des Lieferantenmanagement-Lebenszyklus spielen:
- Bedarfsermittlung: Compliance definiert alle regulatorischen oder richtlinienbezogenen Anforderungen, die der Lieferant von Anfang an erfüllen muss. Risikomanagement identifiziert potenzielle Störungen bei der Beschaffung.
- Lieferantenrecherche: Compliance prüft, ob potenzielle Lieferanten die Anforderungen erfüllen, während Risikominderung überprüft, ob der Lieferant Anzeichen finanzieller, operativer, geopolitischer oder anderer Bedrohungen zeigt.
- Lieferantenauswahl: Compliance bestätigt, dass der Auswahlprozess den internen Richtlinien entspricht und die erforderlichen Prüfungen abgeschlossen sind. Risikomanagement vergleicht Lieferanten nach dem Grad der Exposition.
- Vertragsverhandlung: Compliance stellt sicher, dass der Vertrag die erforderlichen rechtlichen und regulatorischen Bedingungen enthält. Risikominderung nutzt den Vertrag zum Aufbau von Schutzmaßnahmen, wie Audit-Rechten, Pflichten zur Meldung von Vorfällen und SLAs.
- Lieferanten-Onboarding: Compliance sammelt und überprüft die zur Genehmigung des Lieferanten erforderlichen Dokumente. Risikomanagement weist dem Lieferanten ein Risikoniveau zu und legt den angemessenen Überwachungsgrad basierend auf diesem Profil fest.
- Leistungsmanagement: Compliance überprüft, dass der Lieferant die vertraglichen und richtlinienbezogenen Anforderungen im Laufe der Zeit weiterhin erfüllt. Risikomanagement überwacht Servicequalität, Lieferprobleme und andere Indikatoren potenzieller operativer Risiken seitens des Lieferanten.
- Offboarding oder Verlängerung: Compliance stellt sicher, dass das Unternehmen den richtigen Prozess für Vertragskündigung, Verlängerung, Aufbewahrung und verbleibende Verpflichtungen befolgt. Risikomanagement entscheidet, ob der Lieferant weiterhin sicher und geeignet ist oder ob das Unternehmen die Beziehung beenden sollte.
Der Lieferantenlebenszyklus zeigt, dass diese beiden Konzepte designbedingt miteinander verbunden sind. Das geht über das Lieferantenmanagement hinaus und erstreckt sich auf Beschaffung, Lieferkette und Recht. Trennt man Compliance und Risikomanagement in Silos, entstehen noch mehr Lücken, die Verstöße und Risiken zunehmen lassen. Der beste Weg, einer fragmentierten Struktur entgegenzuwirken, ist das Integrated Risk Management (IRM), eine erweiterte Version von GRC.
Wie IRM Risiko und Compliance zusammenführt
Integrated Risk Management (IRM) ist eine organisatorische Disziplin, die einem Unternehmen eine integrierte Risikobetrachtung über die gesamte Organisation hinweg bietet, gestützt auf verbundene Prozesse, Best Practices und technologische Lösungen.
Im Gegensatz zu einem ähnlichen Rahmenwerk, dem Enterprise Risk Management (ERM), das typischerweise als Top-down-Ansatz positioniert wird, beginnt IRM auf der operativen Ebene und bietet eine zentralisierte Risikotransparenz auf allen Ebenen.
Die nachfolgende Tabelle zeigt Best Practices im integrierten Risikomanagement und die wesentlichen Vorteile, die Unternehmen nach ihrer Umsetzung erzielen.
Wesentliche IRM-Praxis und ihre Vorteile
- Eine einheitliche Risikotaxonomie und -bewertungsmethodik teamweit einsetzen:
Standardisierte Kategorisierung erlaubt Abteilungen den Austausch von Erkenntnissen und den Vergleich von Risiken ohne Diskussionen oder Fehlinterpretationen. - Risikobereitschaft festlegen und Entscheidungsschwellen definieren:
Teams wissen, wann sie ein Risiko akzeptieren, eskalieren oder eine Entscheidung auf Basis der definierten Toleranz blockieren sollen. - Eine integrierte Risikoansicht über alle Abteilungen erstellen:
Führungskräfte erhalten vollständige Transparenz über Risiken in allen Funktionen ohne blinde Flecken. - Wichtigste Risikoindikatoren kontinuierlich überwachen:
Teams erkennen frühzeitige Warnsignale und handeln, bevor kleine Probleme zu Vorfällen eskalieren. - Risikosignale mit Workflows verknüpfen, die klare Eigentümerschaft und Fristen haben:
Risiken werden zu Aktionen: Eigentümer werden zugewiesen, Maßnahmen verfolgt und Behebungsfristen durchgesetzt.
So entsteht ein strukturierter und proaktiver Umgang mit Risiken im gesamten Unternehmen.
Was ist der Unterschied zwischen IRM- und GRC-Rahmenwerken?
Theoretisch ist traditionelles GRC als einheitliches Rahmenwerk aus Governance, Risikomanagement und Compliance positioniert; in der Praxis ist es jedoch oft richtlinienorientiert. GRC konzentriert sich auf Checklisten, interne Audits und den Nachweis, dass Ihr Unternehmen tatsächlich compliant bleibt – sowohl intern als auch in seiner Lieferkette.
Dieser Ansatz hat nach wie vor seine Berechtigung, aber in einer Welt, in der Risiken allgegenwärtig sind – von Lieferanten bis hin zu Cyberbedrohungen –, reicht die bloße Befolgung eines vorgeschriebenen Regelwerks nicht aus, um potenzielle Probleme zu verhindern. Tatsächlich stellen 69 % der Unternehmen fest, dass ihre aktuellen GRC-Rahmenwerke ihre zukünftigen Ziele nicht unterstützen werden. Sie benötigen ein ganzheitlicheres Modell, das sowohl die Gesamtcompliance gewährleistet als auch alle Abteilungen auf unerwartete Risiken vorbereitet.
GRC fällt typischerweise in zwei Bereichen kurz: Technologie und strategische Weitsicht. 42 % der Führungskräfte berichten, dass ihr Einsatz von GRC-Lösungen verbesserungswürdig ist. Die meisten Lösungen dieser Art versprechen primär gezielte Risikobewertungen und Compliance-Tracking, vernachlässigen jedoch Funktionen, die bei der Prognose und Verhinderung von Störungen helfen würden. Im Gegensatz dazu stützt sich integriertes Risikomanagement oft auf Erkenntnisse aus Predictive Analytics oder KI-gestütztem Monitoring über Bereiche und Abteilungen hinweg.
Tools wie Szenarioplanung und Stresstests werden in GRC-Rahmenwerken ebenfalls kaum genutzt, da deren Hauptfokus auf bestehenden Vorschriften liegt. IRM zielt darauf ab, bestehende Risiken zu bewältigen, aber auch zukünftige vorauszusagen, um zu verhindern, dass sie zu größeren Problemen werden.
Sollte ich GRC durch IRM ersetzen?
GRC ist nach wie vor ein effektives Rahmenwerk, das großen Mehrwert liefern kann, insbesondere wenn Sie mit Compliance zu kämpfen haben. Es standardisiert, wie das Unternehmen Regeln und Eigenverantwortung festlegt, und beweist, dass Mitarbeitende compliant bleiben. Da GRC primär compliance-fokussiert ist, kann IRM eine Erweiterung der Risikokomponente des GRC-Rahmenwerks sein. Letzteres kann verbundene, technologiegestützte Daten mit kontinuierlichem teamweitübergreifendem Monitoring liefern, während Ersteres als Governance- und Compliance-Struktur dient.
Compliance-Kennzahlen vs. Risikokennzahlen im Risikomanagement
Ob Sie auf GRC setzen, IRM implementieren oder beides kombinieren – bewerten Sie jede Praxis für sich und messen Sie die Leistung mit klaren Indikatoren. Compliance stützt sich auf KPIs, die zeigen, wie effektiv das Unternehmen seine Richtlinien erfüllt und ob die aktuellen Bemühungen die gewünschten Ergebnisse erzielen. Risikomanagement profitiert jedoch stärker von Key Risk Indicators (KRIs), die auf Schwachstellen in der Organisation hinweisen können.
10 Leistungskennzahlen zur Messung der Compliance
Richtlinien allein können nicht beweisen, dass Sie compliant sind, aber bestimmte KPIs schon. Anstatt sich auf die Theorie zu konzentrieren, zeigen sie, was in der Praxis funktioniert hat oder nicht. Wir haben die Liste der Kennzahlen auf jene reduziert, die für die meisten Unternehmen unabhängig von Größe oder Branche relevant sind.
1. Mean Time to Issue Discovery (MTTD): Die Zeit, die benötigt wird, um ein Compliance-Problem nach seinem Auftreten zu erkennen (MTTD = Gesamte Erkennungszeit / Anzahl der Vorfälle)
2. Mean Time to Resolve (MTTR): Die Zeit, die benötigt wird, um ein Compliance-Problem nach der Erkennung vollständig zu beheben (MTTR = Gesamte Lösungszeit / Anzahl der gelösten Probleme)
3. Mean Time to Respond (MTTR): Die Zeit, die benötigt wird, um nach der Identifizierung eines Vorfalls mit der Reaktion zu beginnen (MTTR = Gesamte Reaktionszeit / Anzahl der Vorfälle)
4. Abschlussrate Compliance-Schulungen: Der Prozentsatz der Mitarbeitenden, die die erforderliche Compliance-Schulung abschließen ((Mitarbeitende, die die Schulung abgeschlossen haben / Zugewiesene Mitarbeitende) x 100)
5. Richtlinien-Implementierungsrate: Der Prozentsatz der Richtlinien, die zur Anpassung an regulatorische oder interne Aktualisierungen implementiert wurden ((Anzahl der implementierten Richtlinien / Gesamtzahl der erforderlichen Richtlinien) x 100)
6. Richtlinien-Leserate: Der Prozentsatz der Mitarbeitenden, die erforderliche Richtlinien formell bestätigen ((Mitarbeitende, die Richtlinien gelesen haben / Mitarbeitende, die sie lesen müssen) x 100)
7. Richtlinienverstöße nach Schulung: Anzahl oder Prozentsatz der Verstöße, die nach Abschluss der Schulung anhalten ((Anzahl der Verstöße nach Schulung / Gesamtanzahl der geschulten Mitarbeitenden) x 100)
8. Audit-Bestehensrate: Der Prozentsatz der Audits, die ohne Non-Compliance-Befunde abgeschlossen wurden ((Bestandene Audits / Gesamtanzahl der durchgeführten Audits) x 100)
9. Prozesse mit aktueller Dokumentation: Der Prozentsatz der Prozesse, die über eine aktuelle und genaue Dokumentation verfügen ((Prozesse mit aktualisierter Dokumentation / Gesamtanzahl der Prozesse, die aktuelle Doku erfordern) x 100)
10. Gesamte regulatorische Compliance-Ausgaben: Aufwendungen für Non-Compliance, einschließlich Bußgelder, Anwaltskosten und Vergleichskosten (Summe aller compliance-bezogenen Kosten für den betreffenden Zeitraum)
Diese Kennzahlen ermöglichen eine transparente Bewertung und kontinuierliche Verbesserung der Compliance-Leistung.
10 Risikokennzahlen für das Risikomanagement
Compliance-KPIs helfen Ihnen, ein diszipliniertes Programm zu führen, können aber auch ein falsches Sicherheitsgefühl erzeugen. Selbst wenn Ihre Schulungsabschlussrate bei 95 % liegt, kann Ihr Unternehmen immer noch von nicht genehmigten Ausgaben oder Lieferantenverzögerungen betroffen sein. Hier kommen Key Risk Indicators (KRIs) ins Spiel, die dabei helfen, Risiken zu erkennen, bevor sie zu einer Störung oder einem Compliance-Vorfall werden. Messen Sie die folgenden Kennzahlen regelmäßig, um Warnsignale rechtzeitig zu erkennen.
1. Phishing-Klickrate: Der Prozentsatz der Benutzer, die eine Phishing-E-Mail anklicken oder eine Phishing-Simulation nicht bestehen ((Anzahl der Nutzer, die geklickt haben / Gesamtanzahl der Empfänger) x 100)
2. Liquiditätsquote: Die kurzfristige Zahlungsfähigkeit der Organisation gegenüber laufenden Verbindlichkeiten (Liquiditätsquote = Umlaufvermögen / Kurzfristige Verbindlichkeiten)
3. Offene Korrektur- und Präventivmaßnahmen (CAPAs): Die Gesamtanzahl der CAPAs, die zu einem bestimmten Zeitpunkt offen sind (Offene CAPAs = Anzahl der CAPAs, die am Ende des Berichtszeitraums noch offen sind)
4. Systemausfallrate: Die Zeit, in der Systeme aufgrund von Ausfällen oder Störungen nicht verfügbar sind ((Gesamte Ausfallzeit / Gesamte geplante Systemzeit) x 100)
5. Lieferantenverzögerungsrate: Der Prozentsatz der Lieferungen, die später als vereinbart eintreffen ((Anzahl der Spätlieferungen / Gesamtanzahl der Lieferungen) x 100)
6. Prozentsatz der Lieferanten ohne Bewertung: Der Anteil der Drittparteien, die keine erforderliche Risiko- oder Compliance-Prüfung abgeschlossen haben ((Anzahl der Lieferanten ohne abgeschlossene Bewertung / Gesamtanzahl der Lieferanten) x 100)
7. Vorlaufzeit bis Ablauf der Zertifizierung: Die Anzahl der Tage bis zum Ablauf einer erforderlichen Zertifizierung (Ablaufdatum der Zertifizierung − Heutiges Datum)
8. Lagerreichweite (Days of Inventory, DoI): Die Anzahl der Tage, die der aktuelle Lagerbestand die erwartete Nachfrage decken kann, als Indikator für das Risiko von Lagerausfällen oder -überbeständen (DoI = (Endbestand x Anzahl der Tage im Zeitraum) / Gesamtverbrauch)
9. Budgetabweichung: Die Differenz zwischen geplantem und tatsächlichem Aufwand in einem Zeitraum (Budgetabweichung = Tatsächlicher Betrag − Budgetierter Betrag; Prozent = (Tatsächlich − Budget) / Budget x 100)
10. Lieferantenkonzentrationsrate: Der Anteil der Gesamtausgaben, der an einen einzigen oder eine kleine Gruppe von Lieferanten gebunden ist ((Ausgaben bei einem Lieferanten / Gesamtausgaben bei Lieferanten) x 100)
Hier ist ein Beispiel, wo sich KRIs und KPIs überschneiden: Ein wachsender Rückstand ungeloster CAPAs kann das Unternehmen warnen, bevor sich seine Audit-Bestehensrate verschlechtert. Bleiben Korrekturmaßnahmen zu lange offen, tauchen bekannte Probleme mit höherer Wahrscheinlichkeit bei einem internen Audit wieder auf.
3 Schritte zu IRM: So integrieren Sie Risikomanagement und Compliance
Um Compliance und Risikomanagement zusammenzuführen, benötigen Sie eine solide zentralisierte Struktur, mit der beide Teams arbeiten können. Bevor Sie Software wie Precoro oder eine eigene interne Lösung einführen, etablieren Sie standardisierte Richtlinien und Berichtslinien für beide Funktionen sowie Möglichkeiten zur Zusammenarbeit. Das Ziel ist, beiden die gleiche Terminologie, Transparenz und den gleichen Entscheidungsrahmen zu geben. Nachfolgend finden Sie drei Schritte auf dem Weg zu integriertem Risikomanagement:
1. Eine einheitliche Risikotaxonomie etablieren
In vielen Organisationen verwenden Compliance- und Risikoteams unterschiedliche Begriffe für ähnliche Vorfälle. Ein Team klassifiziert ein Lieferanten-Datenproblem möglicherweise als Richtlinienverstoß, während das andere es als operationales Risiko betrachtet. Beide Funktionen priorisieren die Bedrohung unterschiedlich und werden eigene Maßnahmen ergreifen.
Um dieses Problem zu lösen, erstellen Sie eine einheitliche Risikotaxonomie – eine einzige Klassifikationsquelle, die wesentliche Risikokategorien, die darunter fallenden Bedrohungen, Kritikalitätsbewertungen, allgemeine Zuständigkeiten und Eskalationsregeln definiert. Zum Beispiel sollten sich beide Teams darüber einigen, was als regulatorisches oder operationales Risiko gilt, was Compliance-Risikomanagement umfasst und nach welchen Kriterien Störungen als niedrig oder hochkritisch eingestuft werden. Mit diesem Ansatz bleiben Compliance und Risikominderung auch ohne direkte Zusammenarbeit auf dem richtigen Kurs ausgerichtet.
2. Ein einziges System für Risiko und Compliance erstellen
Wenn Compliance-Risiken in einer Tabellenkalkulation erfasst und Lieferantenstörungen in einer anderen dokumentiert werden, sind Lücken in monatlichen Berichten oder gar in der Minderungsstrategie vorprogrammiert. Richten Sie ein gemeinsames Register für beide Teams ein, um potenzielle Bedrohungen und bevorstehende Compliance-Verpflichtungen zu dokumentieren und sich darauf abzustimmen.
Wie dieses System aussehen sollte, hängt von Größe und Workflow Ihres Unternehmens ab. Kleine Teams kommen mit einer einzigen Tabellenkalkulation oder einer Projektmanagementplattform aus. Schnell wachsende Organisationen könnten jedoch von spezialisierten Tools wie IRM-Software oder, wenn ihr Ziel die Steuerung von beschaffungsbezogenen Risiken ist, von Zentralisierungs- und Automatisierungsplattformen profitieren.
Das bedeutet nicht, dass Risiko und Compliance zu derselben Funktion werden. Sie arbeiten einfach aus demselben Datensatz heraus, sodass jede Bedrohung oder jeder Richtlinienverstoß ausreichend Kontext hat. Die Führung kann auch Muster über Geschäftsbereiche, Lieferanten oder Standorte hinweg erkennen, anstatt fragmentierte Statusberichte zu prüfen.
3. Gemeinsames Reporting für die Führungsebene etablieren
Wenn ERM Ihr Hauptminderungsrahmenwerk ist, sollte das Reporting auf Vorstandsebene alle erforderlichen Informationen aus beiden Funktionen enthalten – und es nicht als Debatte zwischen Compliance und Risikomanagement positionieren. Führungskräfte legen Risikobereitschaft, Schwellenwerte und die Gesamtausrichtung fest, die das Unternehmen einschlagen wird, um Störungen zu vermeiden. Daher sollten Berichte zeigen, wie regulatorische Compliance-Verpflichtungen, Kontrollen, Lieferantenexposition und operationale Risiken zusammenhängen.
Führungskräfte bevorzugen zunehmend gemeinsame Dashboards oder Echtzeit-Berichte, die KPIs, KRIs, offene Probleme, überfällige Maßnahmen und aufkommende Risiken klar darstellen. Anstatt statisch zu bleiben, geben diese Tools Direktorinnen und Direktoren ein klareres Bild davon, wo Risiken steigen und wo das Management reagieren muss.
