Die Compliance Management Arbeitsgruppe ermittelt Compliance-relevante Risikobereiche (Compliance Risiken) des Unternehmens. Diese sind unter anderem von Faktoren wie Branche, Absatzmarkt, Organisation und Unternehmensgrösse abhängig. In den folgenden Compliance Risikobereichen können sich Compliance Verstösse ergeben, wobei die Liste keinen Anspruch auf Vollständigkeit erhebt.

Alle im Prozessinventar als relevant deklarierten Prozesse werden in eine Risiko Kontroll-Matrix überführt. Dort werden die Prozessrisiken beschrieben und bewertet sowie risikominimierende Kontrollaktivitäten definiert. Im Weiteren werden Kontrollpunkte eindeutig den Control Ownern zugewiesen.

Ein ganzheitliches und unternehmensweites Risikomanagement (Enterprise Risk Management) als verbesserter Ansatz gegenüber einem als einfacher angesehenen fiktiven „klassischen“ Risikomanagement steuert nicht nur Risiken sondern nimmt auch unternehmerische Chancen wahr. Die Funktion des Risikomanagements wird dabei ordentlich in die Geschäftsorganisation integriert und wahrgenommen.

Bei der Erarbeitung der Risikopolitik bzw. der Risikoidentifikation sollte sich die Projekt-Kerngruppe zunächst ein Risikoschema (auch als Risikosystematierung bezeichnet) mit den einzelnen Risikofeldern und Risikokategorien erarbeiten. Die relevanten Risikokategorien müssen sauber abgegrenzt werden. In der Vergangenheit wurde das Wissen über bestimmte Risikokategorien vielfach in isolierten Expertenkreisen gesammelt.