Ein effektives Compliance Management kann nur auf der Grundlage einer vorgeschalteten Risikoanalyse funktionieren. Grundsätzlich obliegt diese Aufgabe als Teil der Unternehmensorganisation der Geschäftsführung. Welche konkreten Organisationspflichten zu beachten sind, müssen dabei für jedes Unternehmen individuell (entsprechend der Größe, der Branche, dem Markt etc.) bestimmt werden.
Dabei sind neben die einschlägigen Gesetze zu beachten, sondern auch eventuelle untergesetzliche Regelungen (wie z.B. Satzungen oder Verordnungen) und die aktuelle Rechtsprechung. Viele gesetzliche Vorgaben wurden erst im Wege der Rechtsauslegung durch die Gerichte näher konkretisiert. Als Beispiel sei an dieser Stelle auf die allgemein geregelte Risikofrüherkennungspflicht aus § 91 Abs. 2 Aktiengesetz verwiesen. Jedem Mitglied des Vorstandes muss demnach bekannt sein, dass insbesondere Überwachungssysteme einzurichten sind. Welche genauen Anforderungen dabei an die Meldesysteme zu stellen sind, wurde erst durch Urteile des Bundesgerichtshofs festgelegt.
Somit ist neben der Durchsicht der gesetzlichen Verpflichtungen auch stets die Kenntnis der aktuellen Rechtsprechung notwendig.
Die Internationalisierung, auch des Mittelstandes, bringt zusätzliche Herausforderungen mit sich. Denn ein Unternehmen, das am internationalen Lieferungs- und Leistungsverkehr teilnimmt, unterliegt auch einer ganzen Reihe von Vorschriften und Regulierungen aus anderen Rechtsordnungen (z.B: Bribery Act, FCPA). Daneben ist zu beachten, dass sich für jedes Unternehmen Compliance-Verstöße und damit Risiken, nicht nur aus einem aktiven Tun (z.B. Gesetzesverstöße durch das Unternehmen), sondern vielmehr auch aus einer passiven Rolle (z.B. Bestechung der eigenen Mitarbeiter durch Dritte) heraus ergeben können. Diese Herausforderungen im internationalen Geschäft finden mitunter ihren Niederschlag in rigorosen Rechten in den Einkaufs- und Lieferbedingungen (z.B. jederzeitige kurzfristige Compliance Audits durch US-Kunden beim deutschen Lieferanten, niederschwellige Kündigungsrechte und De-Listings).
Insgesamt ergeben sich im Durchschnitt für ein Unternehmen weit über 2.000 Rechtspflichten, die bei der Führung des Unternehmens zu beachten sind. Nur eine genaue Risikoanalyse kann diesen Anforderungen gerecht werden und ist somit für das Compliance Management eines jeden Unternehmens unerlässlich.