Compliance-Risikoanalyse durchführen: Vorlage, Methode und Bewertung
Compliance-Risikoanalysen sind verlangt von IDW PS 980, ISO 37301 und § 130 OWiG. Lesen Sie, wie Sie Risiken identifizieren, bewerten, dokumentieren und in eine prüfsichere Vorlage überführen, die ein Audit besteht.
Eine Compliance-Risikoanalyse ist nach IDW PS 980 (2022), ISO 37301:2021 und § 130 OWiG die Grundlage jedes wirksamen Compliance-Management-Systems. Sie verlangt, dass eine Organisation systematisch ermittelt, in welchen Geschäftsprozessen welche Rechts- und Regelverstöße drohen, mit welcher Eintrittswahrscheinlichkeit und welchen finanziellen, strafrechtlichen und reputationsbezogenen Folgen. Das Ergebnis ist eine priorisierte Risikolandkarte, die als Steuerungsinstrument für die Geschäftsführung und als Nachweis gegenüber Prüfern und Aufsichtsbehörden dient. Ohne diese Analyse fehlt jedem CMS die rechtliche Basis und der Wirtschaftsprüfer kann das Testat verweigern.
Dieser Beitrag erläutert die fünf Phasen einer Compliance-Risikoanalyse, stellt eine prüffähige Vorlage mit den notwendigen Spalten und Bewertungslogiken vor und zeigt, wie Sie die Ergebnisse in das Maßnahmen- und Reportingverfahren überführen. Adressaten sind Compliance-Beauftragte, Geschäftsleitungen und Aufsichtsräte, die ihre Risikoanalyse erstmals aufsetzen, an neue Regulatorik wie NIS-2, LkSG oder den EU AI Act anpassen oder das bestehende Verfahren nach IDW-PS-980-Audit nachschärfen müssen. Sie erhalten am Ende eine konkrete Spaltenstruktur, die Sie in eine Tabelle oder in den CIVAC-Workspace übernehmen können, sowie Hinweise zur Aktualisierungsfrequenz und zur Verzahnung mit der Internen Revision. Der Beitrag konzentriert sich auf das Verfahren und ersetzt keine juristische Einzelfallberatung, er liefert aber den prüffähigen Rahmen, in dem eine rechtliche Beratung effizient ansetzen kann.
Auf einen Blick
- Eine Compliance-Risikoanalyse ist nach IDW PS 980 und ISO 37301:2021 Pflichtbestandteil eines wirksamen CMS.
- Die Vorlage muss mindestens Prozess, Risikoursache, Eintrittswahrscheinlichkeit, Schadenshöhe, Bruttorisiko, Kontrolle, Nettorisiko, Maßnahme, Frist und verantwortliche Person enthalten.
- Die Analyse ist mindestens jährlich und anlassbezogen zu aktualisieren, jede Änderung wird audit-fest dokumentiert.
Rechtsgrundlage und Prüferwartung an die Risikoanalyse
Die rechtliche Anker der Compliance-Risikoanalyse liegt in § 130 OWiG, der die Aufsichtspflicht der Geschäftsleitung normiert. Wer Aufsichtsmaßnahmen unterlässt, die zur Verhinderung von Zuwiderhandlungen erforderlich gewesen wären, haftet persönlich mit einem Bußgeld bis 10 Mio. Euro bei Vorsatz im Unternehmensbereich. Voraussetzung für die Beurteilung der Erforderlichkeit ist die Kenntnis der Risiken, also die systematische Risikoanalyse. IDW PS 980 in der Fassung 2022 verlangt die Risikoanalyse als eines der sieben Grundelemente eines CMS, ISO 37301:2021 fordert in Abschnitt 4.6 den dokumentierten Prozess der Risikobewertung und ihrer regelmäßigen Überprüfung.
Aus Prüfersicht ist die Risikoanalyse das zentrale Dokument, an dem die Wirksamkeit des CMS gemessen wird. Ein Prüfer nach IDW PS 980 fragt regelmäßig: Welche Risikofelder wurden identifiziert? Wie wurden sie bewertet? Welche Kontrollen sind eingerichtet? Wie wird die Wirksamkeit der Kontrollen überwacht? Welche Restrisiken verbleiben und wer hat sie akzeptiert? Der Compliance-Beauftragte muss diese fünf Fragen für jedes Risikofeld dokumentiert beantworten können. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Der CIVAC-Workspace hinterlegt die Antworten als verknüpfte Datenobjekte, sodass die Risikoanalyse, die Kontrolldokumentation und die Maßnahmenliste in einem konsistenten Datenmodell stehen und nicht in drei parallelen Excel-Dateien. Audit-fest, dokumentiert, § 130-fest. Die Praxiserfahrung aus Bußgeldverfahren zeigt zudem, dass eine schwach dokumentierte Risikoanalyse als Indiz für ein unwirksames CMS gewertet wird und die Bußgeldzumessung nach § 30 OWiG ungünstig beeinflusst. Umgekehrt kann ein nachweislich wirksames CMS, das auf einer aktuellen Risikoanalyse fußt, im Bußgeldverfahren strafmildernd berücksichtigt werden, wie die Bundesgerichtshof-Rechtsprechung seit 2017 anerkennt. Die Risikoanalyse ist damit nicht nur Prüfdokument, sondern auch Haftungsschutzdokument für die Geschäftsleitung. Diese Doppelfunktion rechtfertigt den Aufwand der sorgfältigen Pflege.
Phase 1: Risikoidentifikation entlang der Geschäftsprozesse
Die erste Phase ist die strukturierte Identifikation aller relevanten Compliance-Risiken. Methodisch bewährt hat sich der Top-Down-Ansatz entlang der zentralen Geschäftsprozesse: Vertrieb, Einkauf, Personal, Finanzen, IT, Produktion, Logistik, Marketing und Forschung. Für jeden Prozess werden die einschlägigen Rechtsgebiete durchgegangen: Korruptionsstrafrecht, Kartellrecht, Datenschutz, Arbeitsschutz, Geldwäscheprävention, Außenwirtschaftsrecht, Steuerrecht, Wettbewerbs- und Verbraucherschutzrecht, Lieferkettensorgfaltspflichten. Ergänzt wird der Top-Down-Ansatz durch Bottom-Up-Interviews mit den Fachbereichen, in denen konkrete Vorfälle, Beinahe-Verstöße und Verdachtsmomente erfasst werden.
Aus den Interviews entstehen Risikobeschreibungen, die nach dem Muster Ursache-Ereignis-Wirkung formuliert sind. Beispiel: Ursache ist die mangelnde Trennung von Bestellung und Wareneingang im Einkauf, Ereignis ist die Manipulation von Lieferantenstammdaten, Wirkung ist ein Vermögensschaden durch Scheinrechnungen und gleichzeitig eine Untreue-Strafbarkeit nach § 266 StGB. Diese Drei-Ebenen-Logik ist Pflicht, weil sie sowohl die Kontrolle als auch die Maßnahmenwirkung präzise verorten lässt. Die 490 einsatzbereiten Audit-Vorlagen im CIVAC-Workspace enthalten branchenspezifische Risikokataloge für Industrie, Finanzdienstleistung, Gesundheitswesen, IT und öffentliche Hand, die Sie als Startpunkt verwenden und um Ihre Spezifika ergänzen. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen, der Risikokatalog ist in beiden Modellen identisch und wird vierteljährlich um neue Regulatorik aktualisiert, etwa um die NIS-2-Tatbestände oder die EU-AI-Act-Pflichten. Die Bottom-Up-Interviews dauern pro Fachbereich rund 60 bis 90 Minuten und werden mit standardisierten Leitfragen geführt, die im Workspace hinterlegt sind. Die Protokolle werden mit Datum, Teilnehmern und identifizierten Risiken erfasst und mit der Risikoanalyse verknüpft. Wichtig: Die Risikoidentifikation darf nicht nach Punkt-zwei-null-Schemata erfolgen. Standard-Kataloge sind nur Startpunkt, nicht Endpunkt. Jede Organisation hat spezifische Risikofelder, die sich aus Geschäftsmodell, Markt, Kundenstruktur, Lieferantenstruktur und IT-Architektur ergeben und im Standardkatalog nicht vorkommen. Diese Spezifika werden in den Bottom-Up-Interviews ergänzt und im Audit besonders gewürdigt.
Phase 2: Bewertung von Eintrittswahrscheinlichkeit und Schadenshöhe
Die zweite Phase ist die Bewertung jedes identifizierten Risikos nach Eintrittswahrscheinlichkeit und Schadenshöhe. Eine fünfstufige Skala hat sich in der Praxis durchgesetzt: Sehr gering, Gering, Mittel, Hoch, Sehr hoch. Wichtig ist die quantitative Hinterlegung jeder Stufe. Sehr gering kann etwa heißen: Eintritt seltener als alle zehn Jahre und Schaden unter 50.000 Euro. Sehr hoch kann heißen: Eintritt mehrfach pro Jahr oder Schaden über 10 Mio. Euro. Diese Quantifizierung verhindert, dass die Bewertung in den jährlichen Workshops zur Glaubensfrage wird, und erlaubt den Vergleich der Risiken über die Zeit.
Die Bewertung erfolgt zunächst als Bruttorisiko, also ohne Berücksichtigung bestehender Kontrollen. Anschließend werden die vorhandenen Kontrollen bewertet, die das Risiko mindern: Vier-Augen-Prinzip, Funktionstrennung, automatisierte Plausibilitätsprüfungen, Schulungen, Audit-Routinen, technische Sicherungen. Aus dem Bruttorisiko und der Wirksamkeit der Kontrollen ergibt sich das Nettorisiko, das die tatsächlich verbleibende Gefährdung beschreibt. Bestellurkunde, unterschrieben, abgelegt, belegbar. Diese Trennung von Brutto und Netto ist im IDW PS 980 verbindlich vorgeschrieben und wird im Audit als erstes geprüft. Die CIVAC-Plattform verknüpft jede Kontrolle mit der zugehörigen Vorlage und mit den Nachweisen aus der Internen Revision, sodass die Wirksamkeitsbewertung nicht behauptet, sondern belegt wird. Der Prüfer ruft an, der Nachweis liegt bereit. Die Bewertung wird zudem an die ISO/IEC 27001:2022-Risikomethodik für IT-bezogene Risiken angeschlossen, damit die Bewertungsskalen über die Regelwerke hinweg konsistent bleiben. Eine häufige Schwäche in Risikoanalysen ist die Vermischung von Brutto- und Nettorisiko: Die Bewerter denken bereits an die Kontrollen, während sie das Bruttorisiko einschätzen sollen, und produzieren so unrealistisch niedrige Werte. Der Workspace führt die Bewertung in zwei getrennten Schritten, sodass die Wirkung der Kontrollen sichtbar wird und im Reporting an Geschäftsleitung und Aufsichtsrat als eigenständiger Effekt ausgewiesen werden kann.
Phase 3: Risikomatrix und Priorisierung der Maßnahmen
Die dritte Phase ist die Visualisierung der Bewertungen in einer Risikomatrix und die Priorisierung der Maßnahmen. Die Risikomatrix ist eine fünfmal-fünf-Matrix mit Eintrittswahrscheinlichkeit auf der einen Achse und Schadenshöhe auf der anderen. Jede Zelle ist farblich kategorisiert: Grün für akzeptierte Restrisiken, Gelb für überwachte Risiken mit klar definierten Auslösern, Orange für Risiken mit Maßnahmenplan, Rot für Risiken mit Sofortmaßnahmen. Diese Vier-Stufen-Logik korrespondiert mit den vier möglichen Antworten auf ein Risiko nach ISO 31000: Vermeiden, Mindern, Übertragen, Akzeptieren.
Die Priorisierung folgt nicht ausschließlich der Position in der Matrix, sondern berücksichtigt drei zusätzliche Faktoren: regulatorische Verpflichtungen mit harten Fristen, Reputationssensitivität in der jeweiligen Branche und die Möglichkeit kurzfristiger Quick Wins durch einfache Kontrollverstärkung. Ein gelbes Risiko mit regulatorischer Frist kann höher priorisiert werden als ein orangefarbenes ohne Frist. Für jedes priorisierte Risiko wird eine Maßnahme definiert, ein Verantwortlicher benannt, eine Umsetzungsfrist gesetzt und ein Wirksamkeitsindikator festgelegt. Bestellurkunde, unterschrieben, abgelegt, belegbar. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. Im CIVAC-Workspace ist die Risikomatrix dynamisch: Wer einen Wert ändert, sieht die Auswirkung sofort in der Maßnahmenliste und im Reporting an die Geschäftsführung. Die Matrix wird gemeinsam mit dem Datenschutzbeauftragten und dem ISB konsolidiert, sodass Datenschutz- und IT-Sicherheitsrisiken nicht in eine getrennte Welt verlagert werden, sondern als integrale Compliance-Risiken erscheinen. Die Risikomatrix ist zudem mit einem versionierten Audit-Log verbunden, sodass jede Änderung der Bewertung nachvollziehbar bleibt und die historische Entwicklung der Top-Risiken über die Zeit ausgewertet werden kann. Diese Trenddarstellung ist im Jahresbericht an die Geschäftsführung besonders wertvoll, weil sie die Wirkung der Compliance-Maßnahmen sichtbar macht und Investitionen in Kontrollverstärkungen mit messbaren Effekten unterlegt.
Phase 4: Maßnahmenliste mit Fristen und Verantwortlichen
Die vierte Phase ist die Überführung der priorisierten Risiken in eine konkrete Maßnahmenliste. Jede Maßnahme muss vier Eigenschaften erfüllen: Sie ist spezifisch beschrieben, sie hat eine verantwortliche Person mit Namen und Funktion, sie hat eine Frist, und sie hat einen messbaren Wirksamkeitsindikator. Eine Maßnahme ohne Indikator ist eine Absichtserklärung, eine Maßnahme ohne Frist ist eine Verzögerungsentscheidung, eine Maßnahme ohne benannte Person verliert sich in der Hierarchie. Die Maßnahmen werden im Status verfolgt: offen, in Bearbeitung, umgesetzt, wirksamkeitsgeprüft, geschlossen. Erst der letzte Status erlaubt die Reduktion des zugehörigen Nettorisikos.
Die Maßnahmenliste wird mindestens quartalsweise im Compliance-Komitee besprochen, das aus Geschäftsführung, Compliance-Beauftragtem, Interner Revision, Recht und ggf. weiteren Beauftragten besteht. Verzögerungen werden mit Begründung und neuem Termin protokolliert. Werden Maßnahmen wiederholt verschoben, wird dies als Schwäche des CMS interpretiert und im IDW-PS-980-Audit dokumentiert. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Im CIVAC-Workspace sind die Maßnahmen mit Tickets verknüpft, der Status wird automatisch aktualisiert, sobald die zugewiesene Person den Schritt in ihrem System dokumentiert, und das Reporting an die Geschäftsleitung wird auf Knopfdruck generiert. Die Berichtslinie ist klar definiert: vom verantwortlichen Mitarbeiter über den Compliance-Beauftragten an die Geschäftsführung und im jährlichen Turnus an den Aufsichtsrat oder Beirat, mit Quittierung jedes Schrittes. Audit-fest, dokumentiert, § 130-fest. Eskalationen werden anhand vorher festgelegter Schwellenwerte ausgelöst: ein rotes Risiko ohne Maßnahme innerhalb von zehn Werktagen, ein Verstoß gegen eine harte Frist nach DSGVO, NIS-2 oder LkSG sofort, ein wiederholter Maßnahmenverzug binnen drei Monaten. Diese Schwellen werden in der Eskalationsmatrix dokumentiert und vom Aufsichtsrat freigegeben.
Phase 5: Dokumentation, Aktualisierung und Wirksamkeitsprüfung
Die fünfte Phase ist die laufende Dokumentation und Aktualisierung der Risikoanalyse. ISO 37301:2021 verlangt in Abschnitt 9.1 die kontinuierliche Überwachung des CMS, IDW PS 980 fordert die jährliche Wirksamkeitsprüfung. Anlassbezogene Aktualisierungen sind erforderlich bei wesentlichen Änderungen der Geschäftstätigkeit, neuen Rechtsvorschriften, Compliance-Vorfällen, Audit-Feststellungen und Reorganisationen. Jede Änderung der Risikobewertung wird mit Datum, Autor und Begründung versioniert, sodass im Audit nachvollziehbar ist, warum ein Risiko herauf- oder herabgestuft wurde. Frist läuft ab Kenntnis. Eine Aktualisierung, die mehr als vier Wochen nach Bekanntwerden des Anlasses erfolgt, wird im Audit kritisch hinterfragt.
Die Wirksamkeitsprüfung erfolgt durch die Interne Revision oder durch eine vom Compliance-Beauftragten unabhängige Stelle. Sie prüft, ob die in der Risikoanalyse identifizierten Kontrollen tatsächlich funktionieren, ob die Maßnahmen umgesetzt wurden und ob das Nettorisiko die Bewertungsannahme bestätigt. Diese Prüfung mündet in einen jährlichen Compliance-Bericht an die Geschäftsführung. Die CIVAC-SLA beträgt zwei Werktage statt der branchenüblichen zwei bis sechs Wochen, sodass kurzfristige Aktualisierungen, etwa nach einem Compliance-Vorfall oder einer Behördenanfrage, ohne Engpass möglich sind. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. Die Versionierung erfolgt unveränderlich im verschlüsselten Speicher mit EU-Datenresidenz und ISO/IEC 27001:2022-Schutzniveau, sodass weder Manipulation noch Datenabfluss möglich sind. Die Wirksamkeitsprüfung umfasst zudem die Anhörung von Stichprobenmitarbeitern aus den betroffenen Prozessen, weil die formale Existenz einer Kontrolle und ihre tatsächliche Anwendung in der Praxis auseinanderfallen können. Diese Stichprobenanhörung wird im Workspace mit Datum, Funktion und stichwortartiger Aussage dokumentiert, ohne die Identität der Mitarbeiter offenzulegen. Erst wenn formale Existenz und tatsächliche Anwendung bestätigt sind, gilt die Kontrolle als wirksam und das Nettorisiko wird angepasst.
Die Spaltenstruktur der prüffähigen Vorlage
Eine prüffähige Vorlage für die Compliance-Risikoanalyse enthält mindestens die folgenden 14 Spalten: laufende Nummer, Risikobereich, Prozess, Risikobeschreibung (Ursache-Ereignis-Wirkung), Rechtsbezug (Norm und Paragraph), Eintrittswahrscheinlichkeit Brutto, Schadenshöhe Brutto, Bruttorisiko, Kontrolle (Beschreibung und Verweis), Eintrittswahrscheinlichkeit Netto, Schadenshöhe Netto, Nettorisiko, Maßnahme mit Frist und Verantwortlicher, Status der Maßnahme. Optionale, aber empfohlene Zusatzspalten sind: Risikoeigentümer in der Fachabteilung, Datum der letzten Bewertung, Auslöser für Neubewertung, Quelle (Audit, Interview, Vorfallsmeldung) und Verknüpfung zu anderen Risikoregistern (DSGVO, NIS-2, LkSG).
Die Vorlage als Excel-Tabelle hat den Vorteil der einfachen Einführung, aber den Nachteil der mangelnden Versionierung und der fehlenden Verknüpfung zu den Kontroll- und Maßnahmen-Datensätzen. Spätestens beim ersten Audit wird sichtbar, dass die Excel-Spalten und die Maßnahmen-Tracker in unterschiedlichen Dateien gepflegt werden und die Daten auseinanderlaufen. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Der CIVAC-Workspace überführt die Vorlage in ein relationales Datenmodell mit unveränderlichem Audit-Log, sodass jede Änderung eine zugeordnete Begründung trägt und die Nettorisiken sich automatisch fortschreiben, wenn eine Kontrolle wirksamkeitsgeprüft und freigegeben wird. Auch die FAQ und die Wissensdatenbank verlinkt für jedes Risikofeld die zuständigen Normen, sodass die Recherche nicht im Browser, sondern in der Risikoanalyse selbst stattfindet. Die Vorlage kann zudem mit einer farblichen Heatmap-Darstellung exportiert werden, die für die Geschäftsführungs-Sitzung als Anlage geeignet ist und ohne weitere Aufbereitung in Aufsichtsrats-Vorlagen übernommen werden kann. Bestellurkunde, unterschrieben, abgelegt, belegbar. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen, die Vorlage und der Datenfluss sind in beiden Modellen identisch und folgen demselben relationalen Datenmodell mit unveränderlichem Audit-Log.
Verzahnung mit ISMS, Datenschutz-Risikoanalyse und LkSG
Die Compliance-Risikoanalyse darf nicht isoliert geführt werden. Sie verzahnt sich mit drei weiteren Risikoanalysen, die regulatorisch verpflichtend sind: erstens mit der Datenschutz-Folgenabschätzung nach Art. 35 DSGVO, die für hochriskante Verarbeitungen verlangt wird, zweitens mit der ISO/IEC 27001:2022-Risikoanalyse im ISMS, die mit den 93 Controls aus Anhang A verknüpft ist, drittens mit der Risikoanalyse nach § 5 LkSG, die für menschenrechtliche und umweltbezogene Risiken in der Lieferkette gilt. Diese drei Analysen teilen sich Daten, Bewertungsmaßstäbe und Maßnahmen, sie liegen aber in verschiedenen rechtlichen Regimen und müssen je nach Prüfer in getrennten Akten vorgelegt werden.
Die saubere Verzahnung gelingt, wenn die Compliance-Risikoanalyse als übergeordnete Sicht alle drei Analysen verknüpft und dort, wo Risiken in mehreren Regimen erscheinen, die Bewertungen konsistent hält. Beispiel: Ein Cyber-Vorfall ist gleichzeitig ein Compliance-Risiko (§ 130 OWiG), ein ISMS-Risiko (ISO 27001 A.5), ein Datenschutzrisiko (Art. 32 DSGVO) und potenziell ein NIS-2-Vorfall mit 24h-Frühwarnung. Der CIVAC-Workspace bildet diese Mehrfachverknüpfung ab. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen, in beiden Modellen erhalten Sie eine konsolidierte Sicht über die 25 Beauftragten-Rollen hinweg. Die Informationssicherheitsbeauftragten arbeiten mit derselben Risikomethodik, sodass die Risikomatrizen aus ISMS und CMS direkt aufeinander abbildbar sind, ohne dass zwei verschiedene Skalen mühsam verglichen werden müssen. Bei der Konsolidierung empfehlen wir, das Compliance-Komitee einmal jährlich zusammen mit dem Datenschutz- und Informationssicherheitsbeauftragten tagen zu lassen, um die obersten zehn Risiken aus jedem Regime gemeinsam zu priorisieren und Maßnahmen zu bündeln, wo Synergien bestehen. Diese gemeinsame Priorisierung verhindert die typische Situation, in der drei Beauftragte mit jeweils eigener Liste in die Geschäftsführungssitzung gehen und um Budget konkurrieren. Stattdessen liegt eine konsolidierte Top-Liste vor, die die Geschäftsführung entscheidungsreif beraten kann. Audit-fest, dokumentiert, § 130-fest.
Aus der Risikoanalyse einen wirksamen Compliance-Auftrag machen
Die Compliance-Risikoanalyse ist kein einmaliges Projekt, sondern ein laufender Prozess. Wer sie als Excel-Tabelle einmal jährlich aktualisiert, erfüllt die Form, aber nicht die Substanz. Wer sie als datengeführte, versionierte und mit den Kontrollen verknüpfte Sicht aufbaut, erfüllt sowohl die Form als auch die Substanz und gewinnt zusätzlich ein Steuerungsinstrument, das die Geschäftsführung tatsächlich nutzt. Die 490 einsatzbereiten Audit-Vorlagen im CIVAC-Workspace decken die Risikoanalyse, die Kontroll-Dokumentation, die Maßnahmenliste und das Reporting an die Geschäftsführung ab. Sie können das Verfahren in zwei Wochen produktiv haben, mit Bestellurkunde, Berichtslinie und Erstrisikoanalyse, statt wie traditionell zwei bis sechs Wochen pro Iteration zu warten.
CIVAC ist eine Compliance-Plattform und Officer-as-a-Service: Sie lizenzieren den Workspace für Ihre internen Beauftragten oder Sie lassen unsere Beauftragten bestellen, je nach Reifegrad Ihrer Organisation. In beiden Modellen erhalten Sie die Bestellurkunde, die Berichtslinie an die Geschäftsführung, die EU-Datenresidenz und die ISO/IEC 27001:2022-Hostingumgebung mit 93 Controls. Die CIVAC-SLA beträgt zwei Werktage statt der branchenüblichen zwei bis sechs Wochen, und die Risikoanalyse-Vorlage ist als Workspace-Modul sofort einsatzbereit. Aus dem Lesen einen Auftrag machen. Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular, wenn Sie Ihre Compliance-Risikoanalyse erstmals aufsetzen, an neue Regulatorik anpassen oder vollständig outsourcen wollen. Eine Erstanalyse mit fünf Risikofeldern liefern wir innerhalb von zehn Werktagen, die vollständige CMS-Risikoanalyse im Regelfall in vier bis sechs Wochen. Im Anschluss erhalten Sie einen schriftlichen Bericht mit priorisierter Risikolandkarte, Maßnahmenplan und Vorlage für die nächste Aufsichtsratssitzung. Der Bericht wird mit Ihnen in einer Übergabesitzung besprochen, sodass auch nicht-juristische Mitglieder der Geschäftsführung die Ergebnisse einordnen und tragen können.
FAQ
Wie oft muss eine Compliance-Risikoanalyse durchgeführt werden?
Mindestens jährlich nach IDW PS 980 in der Fassung 2022 und ISO 37301:2021, anlassbezogen bei wesentlichen Änderungen der Geschäftstätigkeit, neuer Regulatorik, Compliance-Vorfällen oder Reorganisationen. Aktualisierungen erfolgen idealerweise innerhalb von vier Wochen nach Bekanntwerden des Anlasses, sonst werden sie im Audit kritisch hinterfragt. Der Workspace überwacht die Jahresfrist und löst rechtzeitig die Vorbereitung aus.
Brauche ich eine eigene Risikoanalyse für Datenschutz und IT-Sicherheit?
Ja, formal ja, weil DSGVO Art. 35, ISO 27001 Anhang A und LkSG § 5 eigene Risikoanalysen vorschreiben. Inhaltlich werden diese Analysen aber miteinander verzahnt, damit ein Risiko nicht mehrfach unterschiedlich bewertet wird. Der CIVAC-Workspace führt die Verknüpfungen in einem konsistenten Datenmodell, sodass das Bruttorisiko aus der Compliance-Sicht und das Risiko aus der ISMS-Sicht konsistent bleiben.
Was unterscheidet Bruttorisiko und Nettorisiko?
Das Bruttorisiko ist die Bewertung ohne Berücksichtigung bestehender Kontrollen. Das Nettorisiko berücksichtigt die Wirksamkeit der eingerichteten Kontrollen wie Funktionstrennung, Vier-Augen-Prinzip oder automatisierte Plausibilitätsprüfungen. IDW PS 980 verlangt beide Bewertungen, weil nur so die Wirkung der Compliance-Investitionen sichtbar wird und die Geschäftsführung das Restrisiko bewusst akzeptieren oder weitere Maßnahmen einleiten kann.
Welche Spalten muss die Vorlage zwingend enthalten?
Mindestens: laufende Nummer, Prozess, Risikobeschreibung mit Ursache-Ereignis-Wirkung, Rechtsbezug, Eintrittswahrscheinlichkeit und Schadenshöhe brutto und netto, Kontrolle, Maßnahme, Frist und Verantwortlicher sowie Status. Optionale Spalten erfassen Risikoeigentümer, Bewertungsdatum, Auslöser für Neubewertung und Verknüpfungen zu DSGVO-, NIS-2- oder LkSG-Registern. Die Vorlage liegt im CIVAC-Workspace als Modul mit relationalem Datenmodell vor und ist über die 37 Audit-Vorlagen sofort einsatzbereit.
Kann ich die Risikoanalyse auslagern?
Ja, im Officer-as-a-Service-Modell von CIVAC stellt ein externer Compliance-Beauftragter mit Bestellurkunde die Erstrisikoanalyse, führt die jährliche Aktualisierung und berichtet quartalsweise an die Geschäftsführung. Die Geschäftsleitungsverantwortung nach § 130 OWiG verbleibt im Unternehmen, die operative Last verschiebt sich auf den externen Beauftragten. Berichtslinie, Bestellurkunde und SLA sind in der Beauftragungsdokumentation transparent.
Wie lange dauert die Erstellung der Erstrisikoanalyse?
Bei einem mittelständischen Unternehmen mit klar abgegrenzten Geschäftsprozessen rechnet CIVAC mit vier bis sechs Wochen für die vollständige Erstanalyse, einschließlich Bottom-Up-Interviews in den Fachbereichen und Konsolidierung im Compliance-Komitee. Eine Erstanalyse mit fünf priorisierten Risikofeldern und Maßnahmenplan liefert CIVAC innerhalb von zehn Werktagen, basierend auf den hinterlegten Branchen-Vorlagen für Industrie, Finanz, Gesundheit, IT und öffentliche Hand.
Klingt nach viel Arbeit?
Beauftragten-Pflichten, Fristen, Nachweise — genau das nehmen wir dir ab. Sag kurz Hallo, wir zeigen dir wie.
Aus dem Beitrag ein Mandat machen.
Wir übernehmen die operative Last: externer Beauftragter, Vorlagen und Dokumentation in einem Workspace. Unverbindlich.