Gute Unternehmensführung und Compliance

Compliance: Neuer Begriff mit altem Inhalt?


Compliance: Neuer Begriff mit altem Inhalt? Comment

Compliance – ein Begriff, der so häufig genutzt wird und doch so unbestimmt ist – bezeichnet national wie international nach wörtlicher Übersetzung die "Einhaltung von Gesetzen". Regelmäßig werden darunter auch unternehmensinterne Richtlinien subsumiert, die geltende Gesetze und deren Spielräume im unternehmerischen Umfeld konkretisieren und zu einer Handlungssicherheit führen (sollen). Über die jeweils relevanten Gesetze besteht indes schon Unklarheit, je nach Sitz, Branche und Rechtsform des Unternehmens. 

Die Verpflichtung zur Einhaltung von Gesetzen durch Unternehmen ist nicht neu. So haben sich Unternehmen an das Handelsgesetzbuch, das Aktienrecht, das GmbH-Recht und auch an Steuergesetze allein schon aus Gründen einer ordnungsgemäßen Finanzberichterstattung zu halten. Warum also ein weiteres System in Form des Compliance-Management-Systems einführen und pflegen, wenn es doch schon Unternehmenssysteme gibt, die wie das Risikomanagementsystem gesetzlich vorgeschrieben sind und dem Wesen nach gleiche Zwecke verfolgen? Was ist der Hintergrund für die Einführung eines Compliance-Management-Systems und welches Ziel verfolgt dieses im Vergleich zu den etablierten Systemen?

Zielsetzung des vorliegenden Artikels ist es, "Compliance" unternehmensorganisatorisch einzuordnen, die Gründe für eine Einführung zu erläutern und Ansätze der Integration von Compliance in bestehende Systeme darzustellen. Durch eine klare Abgrenzung von Zielen und Instrumenten können vorhandene Strukturen hinterfragt und gegebenenfalls angepasst werden.

Managementsysteme in Unternehmen – was ist gute Unternehmensführung?

Corporate Governance Kodex als Grundlage

Der deutsche Corporate Governance Kodex (DCGK) [letze Fassung vom 5. Mai 2015 mit Beschlüssen aus der Plenarsitzung vom 5. Mai 2015] stellt einen Best-Practice-Ansatz für gute Unternehmensführung in Hinsicht auf das Zusammenspiel der einzelnen Unternehmensorgane wie Vorstand, Aufsichtsrat und Aktionäre dar. Zwar richtet sich der Kodex in erster Linie an börsennotierte Gesellschaften und Gesellschaften mit Kapitalmarktzugang im Sinne des § 161 Absatz 1 Satz des Aktiengesetzes; die Beachtung des Kodex wird allerdings auch nicht-kapitalmarktorientierten Gesellschaften empfohlen [vgl. DCGK 2015, Präambel; alle formulierten Pflichten für den Vorstand und den Aufsichtsrat aus dem DCGK lassen sich aus dem Aktiengesetz ableiten, welches nach allgemeiner Auffassung auch auf Gesellschaften mit beschränkter Haftung anzuwenden ist].

Nach dem DCGK hat der Vorstand für ein angemessenes Risikomanagement und Risikocontrolling im Unternehmen zu sorgen [vgl. DCGK 2015, Tz. 4.1.4]. Zudem hat er für die Einhaltung gesetzlicher Bestimmungen sowie unternehmensinterner Richtlinien zu sorgen und wirkt auf deren Beachtung durch die Konzernunternehmen hin [vgl. DCGK 2015, Tz. 4.1.3].

Der Aufsichtsrat hat nach dem Aktiengesetz und dem DCGK den Vorstand bei der Leitung des Unternehmens regelmäßig zu beraten und zu überwachen [vgl. DCGK 2015, Tz. 5.1.1, Satz 1]. Dabei hat er einen Prüfungsausschuss einzurichten, der sich – soweit kein anderer Ausschuss damit betraut ist – insbesondere mit der Überwachung des Rechnungslegungsprozesses, der Wirksamkeit des internen Kontrollsystems, des Risikomanagementsystems und des internen Revisionssystems, der Abschlussprüfung, hier insbesondere der Unabhängigkeit des Abschlussprüfers, der vom Abschlussprüfer zusätzlich erbrachten Leistungen, der Erteilung des Prüfungsauftrags an den Abschlussprüfer, der Bestimmung von Prüfungsschwerpunkten und mit der Honorarvereinbarung sowie mit der Compliance befasst [vgl. DCGK 2015, Tz. 5.3.2, Satz 1].

Aus dem DCGK ergeben sich daher, vom Themenkomplex der Abschlussprüfung abgesehen, drei wesentliche Systeme, die einzuführen und zu überwachen sind: Das Risikomanagementsystem, das Interne Kontrollsystem sowie das Compliance Management System. Zu der Ausgestaltung dieser drei Systeme gibt es keine Angaben – weder gesetzlich, noch im DCGK.

Risikomanagementsystem (RMS)

Nach § 91 Abs. 2 AktG hat der Vorstand geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden (Risikofrüherkennungssystem). Die Regierungsbegründung zum Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) beinhaltet die Verpflichtung des Vorstands, für ein angemessenes Risikomanagementsystem und eine angemessene interne Revision zu sorgen. Unter Risiken sind hiernach allgemein die Möglichkeiten ungünstiger Entwicklungen in der Zukunft zu verstehen [vgl. IDW PS 340, Tz. 3]. 

Durch das RMS soll sichergestellt werden, dass bestehende Risiken erfasst, analysiert, bewertet sowie an die entsprechenden Entscheidungsträger im Unternehmen berichtet werden [vgl. IDW PS 340, Tz. 4]. Das Risikofrüherkennungssystem ist dabei ein wichtiger Teil des gesamten RMS und auf die Früherkennung von bestandsgefährdenden Entwicklungen für das Unternehmen ausgerichtet [vgl. IDW PS 340, Tz. 5]. Darüber hinaus besteht das RMS auch aus einem Überwachungssystem, mit dem die Einhaltung der getroffenen Maßnahmen sicherzustellen sind [vgl. IDW PS 340, Tz. 4]. Viele der Geschäftsrisiken der Unternehmen sind nicht bestandsgefährdend, führen aber zu unternehmerischen Fehlentscheidungen und damit zu einem Vermögensverlust.

Das RMS hat präventiven Charakter, befasst sich sowohl mit unternehmensexternen als auch unternehmensinternen Risiken und erfordert entsprechende organisatorische Strukturen zur Erfüllung der rechtlichen Anforderungen nach dem Aktiengesetz sowie der betriebswirtschaftlichen Anforderungen aufgrund unternehmerischer Aktivitäten. Die Tätigkeiten im Rahmen des RMS sind wie folgt:

  • Risikoidentifizierung;
  • Risikoanalyse;
  • Risikobewertung;
  • Risikosteuerung;
  • Risikokommunikation;
  • Risikoüberwachung.

Unternehmen müssen im Rahmen der Risikosteuerung entscheiden, ob sie die vorliegenden Risiken vermeiden, vermindern, überwälzen oder selber tragen wollen (sog. Restrisiko). Größte Herausforderung bei der Umsetzung von Risikomanagement-Projekten ist die vollständige Erfassung wesentlicher Unternehmensrisiken, deren sinnvolle und nachvollziehbare Analyse sowie die Etablierung von Berichtsstrukturen, die das Management umfassend und risikoorientiert informieren.

Internes Kontrollsystem (IKS)

Das IKS, dessen gesetzliche Grundlage sich ebenfalls aus § 91 Abs. 2 AktG ableiten lässt, umfasst die von dem Management im Unternehmen eingeführten Grundsätze, Verfahren und Maßnahmen (Regelungen), die auf die organisatorische Umsetzung der Entscheidungen des Management zur Sicherung der Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit (hierzu gehört auch der Schutz des Vermögens, einschließlich der Verhinderung und Aufdeckung von Vermögensschädigungen), zur Ordnungsmäßigkeit und Verlässlichkeit der internen und externen Rechnungslegung sowie zur Einhaltung der für das Unternehmen maßgeblichen rechtlichen Vorschriften fokussiert sind [vgl. IDW PS 261 n.F., Tz 19]. Das IKS unterstützt die Unternehmensleitung dabei, ihre Entwicklungs- und Profitabilitätsziele zu erreichen und einen Verlust an Ressourcen zu vermeiden.

Das IKS besteht aus Regelungen zur Steuerung der Unternehmensaktivitäten (internes Steuerungssystem) und Maßnahmen zur Überwachung der Einhaltung dieser Regelungen (internes Überwachungssystem). Das interne Überwachungssystem beinhaltet prozessintegrierte (organisatorische Sicherungsmaßnahmen, Kontrollen) und prozessunabhängige Überwachungsmaßnahmen, die vor allem von der Internen Revision durchgeführt werden [vgl. IDW PS 261 n.F., Tz. 20].

Das IKS hat somit einen präventiven und aufdeckenden Charakter. Komponenten eines IKS sind das Kontrollumfeld, die Risikobeurteilungen, die Kontrollaktivitäten, die Information und Kommunikation sowie die Überwachung [vgl. COSO 2013, Internal Control – Integrated Framework, S. 6f; ebenso PS 261 n.F., Tz. 29]. Insbesondere die Kontrollaktivitäten, die auf Unternehmensebene und auf Prozessebene durchgeführt werden, können sehr vielschichtig sein. Neben dem Risikomanagementsystem und der Internen Revision als Teil des Internen Kontrollsystems spielen folgende weitere Aktivitäten – insbesondere auf Unternehmensebene – eine wesentliche Rolle:

  • Verhaltenskodex und ethische Grundsätze;
  • Hinweisgebersysteme;
  • Geschäftspartner-Prüfungen;
  • Überwachung durch das Top Management und die Überwachungsorgane;
  • Maßnahmen zur Aufdeckung und Vermeidung von dolosen Handlungen.

Kontrollaktivitäten auf Prozessebene können sehr vielfältig sein, werden zusammen mit dem Prozessfluss dokumentiert und lassen sich grundlegend danach einteilen, ob sie automatisiert beziehungsweise manuell und präventiv bzw. aufdeckend sind.

Compliance Management System (CMS)

Unter einem CMS sind die auf der Grundlage der von den gesetzlichen Vertretern festgelegten Ziele, eingeführten Grundsätze und Maßnahmen eines Unternehmens zu verstehen, die auf die Sicherstellung eines regelkonformen Verhaltens der gesetzlichen Vertreter und der Mitarbeiter des Unternehmens sowie ggf. von Dritten abzielen, das heißt auf die Einhaltung bestimmter Regeln und damit auf die Verhinderung von wesentlichen Verstößen (Regelverstöße) [vgl. IDW, PS 980, Tz. 6]. Die rechtliche Grundlage zur Einführung eines CMS lässt sich aus der Verpflichtung zur Einführung eines Risikomanagementsystems nach § 91 Absatz 2 AktG sowie aus der aktuellen Rechtsprechung [vgl. das sog. Neubürger-Urteil, Landgericht München Urteil vom 10.12.2013, Az. 5HK O 1387/10] ableiten. Die Konzeption eines CMS sollte - unabhängig von dem dahinter stehenden allgemein anerkannten oder selbst entwickelten Rahmenkonzept des Unternehmens - folgende Elemente umfassen [vgl. IDW PS 980, Tz. 23]:

  • Compliance-Kultur;
  • Compliance-Ziele;
  • Compliance-Risiken;
  • Compliance-Programm;
  • Compliance-Organisation;
  • Compliance-Kommunikation;
  • Compliance-Überwachung und Verbesserung.

Dabei ist die Vielfalt an allgemein anerkannten Rahmenkonzepten [Beispiele für Rahmenkonzepte sind unter anderem das COSO-II-Rahmenwerk, der ISO 19600 oder die OECD Grundsätze der Corporate Governance] – ob allgemein oder (branchen)spezifisch – groß. In der Unternehmenspraxis umfasst Compliance unter anderem

  • die Einhaltung sämtlicher für das jeweilige Unternehmen relevanten gesetzlichen Pflichten, Vorschriften, Regeln und Vorgaben der Zentrale durch Konzerneinheiten;
  • die dafür notwendige Erfassung der für das Unternehmen relevanten Compliance Risiken;
  • die Auseinandersetzung mit der (Weiter-)Entwicklung einer Unternehmenskultur, die die Mitarbeiter zu integrem Handeln veranlassen soll;
  • die Auswahl und Einrichtung von konkreten Compliance-Aktivitäten wie Schulungen oder Compliance-Audits.

Das CMS hat im Wesentlichen einen rein präventiven Charakter, bei dem durch die Schaffung einer Unternehmenskultur sowie die Durchführung von organisatorischen Maßnahmen der Aufbau- und Ablauforganisation gewährleistet werden soll, dass die Einhaltung der von der Geschäftsleitung vorgegebenen Compliance-Ziele ex ante erfüllt werden. Im Zusammenhang mit Wirtschaftskriminalität dient das CMS dazu, dass wirtschaftskriminelle Handlungen von den Unternehmensorganen nicht geduldet und durch konkrete Maßnahmen verhindert werden, die von den Unternehmensorganen fachlich und persönlich verantwortet werden und für das gesamte Unternehmen verbindlich sind.

Insbesondere die Korruptionsverfahren zweier deutscher börsennotierter Unternehmen Mitte der 2000er Jahre sorgten dafür, dass der Begriff Compliance immer häufiger in Diskussionen eine Rolle gespielt. Anfang 2011 wurde mit Verabschiedung des Prüfungsstandards des Instituts der Wirtschaftsprüfer das Compliance Management System sogar zum eigenständigen Prüfungsobjekt erhoben. Aber warum, wenn die oben bereits dargestellten Systeme auf die Risiken von Gesetzesverstößen und deren Steuerung und Überwachung eine Antwort hätten?

Compliance Management System: Alter Wein in neuen Schläuchen oder notwendige Ergänzung bisheriger Systeme?

Schaut man sich die drei Systeme im Vergleich an, sind Schnittstellen zwischen RMS, IKS und CMS zu erkennen: Alle drei Systeme beschäftigen sich mit Unternehmensrisiken. Risiken im RMS sind umfassend, bewertend und gegebenenfalls mit einer Maßnahme belegt. Die eigentliche Umsetzung der Maßnahme und das dahinterstehende Kontrollrisiko erfolgt im Rahmen des IKS. Compliance-Risiken wiederum sind ein Teil der unternehmerischen Gesamtrisiken und damit ein Teilbereich des RMS.

Das IKS ist Grundlage der Aufbau- und Ablauforganisation eines Unternehmens. Es reduziert die Risiken auf Unternehmens- und Prozessebene, die sich aus dem RMS ergeben und umfasst zudem Kontrollaktivitäten auf Unternehmens- und Prozessebene, die die Einhaltung von Gesetzen und interne Vorgaben der Geschäftsleitung (Compliance) sicherstellen. Gerade bei der Einhaltung von Gesetzen und internen Vorgaben haben IKS und CMS die gleiche Zielsetzung.
Compliance Risiken werden als Teil der Unternehmensrisiken im Rahmen des RMS gesondert erfasst und bearbeitet. Das CMS stellt allerdings nur ein Rahmenkonzept dar, welches sich der üblichen Instrumente aus RMS und IKS bedient. Die folgende Abbildung illustriert die unterschiedlichen Systeme und ihre Verflechtungen im Unternehmenskontext.

Abb. 01: RMS, IKS und CMS im Unternehmenskontext

Abb. 01: RMS, IKS und CMS im Unternehmenskontext

Während der Fokus eines RMS auf den wesentlichen und bestandsgefährdenden Unternehmensrisiken liegt, legt das IKS einen deutlichen Schwerpunkt auf operative Risiken aller Art – nicht nur die bestandsgefährdenden. Risiken im Rahmen des RMS liegen schwerpunktmäßig im Bewusstsein des Top-Managements und einiger weniger Personen, Risiken im Rahmen des IKS werden von allen Mitarbeitern des Unternehmens im Rahmen ihrer Kontrollaktivitäten wahrgenommen und bearbeitet. Beide Systeme umfassen auch das Risiko von Gesetzesverstößen und die organisatorischen Maßnahmen zur Verhinderung ebendieser. Allerdings sind die Anforderungen an die Einhaltung von Gesetzen und internen Richtlinien durch die Maßnahmen des RMS und des IKS nicht konkret genug erfasst und wurden zudem von den Unternehmen in der Vergangenheit nicht ausreichend gewürdigt. Folgende Gründe sprechen daher für eine zusätzliche Einführung eines CMS:

  • Die Korruptions- und Kartellverfahren in der Vergangenheit haben den Unternehmen erhebliche Geldbußen zuzüglich Kosten der Aufklärung beschert. Die Strafen, die regelmäßig in die Millionenhöhe steigen, schwächen die Liquiditätsbasis der Unternehmen. Daher stellt das Risiko von Gesetzesverstößen – gerade in Bezug auf dolose Handlungen – ein weiteres wesentliches bestandsgefährdendes Risiko dar, welches von Seiten der Unternehmen bislang nicht ausreichend berücksichtigt worden ist. Die Bestandsgefährdung manifestiert sich neben den Geldstrafen auch nachhaltig in einem Verlust an Reputation und Vertrauen bei den Geschäftspartnern sowie einer Verunsicherung der eigenen Belegschaft bei der Abwicklung von laufenden und zukünftigen Geschäften;
  • Während viele Risikobereiche wie Finanzrisiken durch zentralisierende Organisationsstrukturen und Prozesse auf einige wenige Personen reduziert werden können, betrifft die Einhaltung von Gesetzen und Richtlinien, insbesondere im Umgang mit Geschäftspartnern, nahezu alle Mitarbeiter. Maßnahmen im Zusammenhang mit Compliance-Management-Systemen erfordern daher die Ansprache eines möglichst großen Personenkreises zum Zwecke einer angemessenen Reduzierung von Gesetzesverstößen. Dabei führen kulturelle Unterschiede zwischen den einzelnen (ausländischen) Tochtergesellschaften, beispielsweise bei der Handhabung von Geschenken und Bewirtungen, zu einer unterschiedlichen Anwendung und Auslegung von Gesetzen innerhalb eines Konzerns. Eine Vereinheitlichung lässt sich mit den herkömmlichen Aktivitäten wie landesspezifischen Verfahrensanweisungen oder Prozessbeschreibungen innerhalb eines Internen Kontrollsystems nicht herstellen und bedarf daher anderer Instrumente, wie beispielweise die Schaffung einer Integritätskultur;
  • Viele Risiken (beispielsweise Ausfallrisiken bei Kundenforderungen oder Störungsmeldungen an technischen Anlagen) lassen sich durch Vergleichs- oder Vergangenheitswerte beziffern. Auf dieser Grundlage lassen sich zielgerichtete Maßnahmen entwickeln und umsetzen. Vergleichs- oder Vergangenheitswerte fehlen allerdings regelmäßig bei der Feststellung von Compliance-Risiken. Datenbanken bezüglich der Gesetzesverstöße werden von den Unternehmen in der Regel nicht gepflegt. Der sich aus diesen Verstößen ergebende Schaden lässt sich nur selten quantifizieren, da keine langfristigen Aufzeichnungen von spezifischen Compliance-Risiken inklusive ihrer Eintrittswahrscheinlichkeit und potenzieller Schadenshöhe vorliegen. Hinzu kommt, dass die regelmäßig dem finanziellen Schaden nachfolgende Reputationseinbuße nur schwer messbar ist;
  • Während das RMS und das IKS in erster Linie den Schutz der Gläubiger und Kapitalmarktakteure verfolgen (beide Elemente sind Pflichtbestandteile der Jahresabschlussprüfung gem. § 317 Absatz 4 HGB), hat das CMS den primären Zweck Unternehmensentscheidern einen Rahmen von Strukturen und Maßnahmen zur Verfügung zu stellen, um eine Haftung zu vermeiden. Die Anforderungen an den "ordentlichen Kaufmann" wurden von der ordnungsgemäßen Buchführung und Organisation seines Unternehmens ausgehend daher um die Einhaltung von Recht und Gesetz aller seiner Mitarbeiter erweitert.

Ein CMS ist notwendig, da Compliance Verstöße aufgrund der fortschreitenden Globalisierung der Unternehmensaktivitäten, der nationalen wie internationalen Gesetzgebung und Rechtsprechung sowie dem öffentlichen Interesse an gesetzestreuen und verantwortlich handelnden Unternehmen, immer weiterreichende Konsequenzen und damit nachhaltige Unternehmensschädigungen nach sich ziehen können.

Alles unter einen Hut? Maßnahmen zur Integration dreierlei Systeme

Idealerweise werden Maßnahmen aus allen drei Systemen miteinander kombiniert, um dadurch Aufwands- und Kontrollredundanzen möglichst gering zu halten.

Anhand dreier Maßnahmen sollen Möglichkeiten des integrierenden Ansatzes dargestellt werden:

1.  Risiko-Assessment

Bereits im Rahmen der regelmäßig wiederkehrenden Bewertung der Unternehmensrisiken sollten alle drei Systeme berücksichtigt werden. Teilnehmer in Workshops aus neuralgischen Bereichen wie Finanzbuchhaltung, Einkauf, Produktion und Vertrieb sind in der Lage, nicht nur bestandsgefährdende Risiken in der Steuerung und Kontrolle, sondern auch weitere Prozessrisiken sowie Compliance-Risiken und deren Ursachen zu identifizieren. Wenn diese Workshops mit Know-how-Trägern aus unterschiedlichen Divisionen besetzt werden, lässt sich die Anzahl der Workshops reduzieren. Die Qualität der Ergebnisse, gerade aufgrund der Identifizierung von Schnittstellenrisiken, wird verbessert. Mithilfe der Bewertung der Ergebnisse von Seiten des Risikomanagements/Controllings, der Internen Revision und der Compliance in weiteren Expertenrunden können entsprechende Maßnahmen entwickelt und beschlossen werden. In diesem Kontext kann dann auch eine einheitliche Risikobewertung und somit Berichterstattung an die Geschäftsleitung sowie die Aufsichtsorgane gewährleistet werden. In der Folge können aus dem Risiko-Assessment innerhalb des RMS nicht nur Compliance-Risiken festgestellt, sondern die sich daraus abzuleitenden Kontrollaktivitäten des IKS in Risiko-Kontrollmatrizen überführt werden, sofern man sich im Rahmen des RMS für eine "Risikoreduzierung" entschieden hat.

2. Strukturen und Personen

Verantwortlichkeiten bei der Implementierung, dem Betrieb und der kontinuierlichen Verbesserung der drei Systeme sind klar zu definieren. Überschneidungen sind anzusprechen und zu regeln. Das gilt sowohl für die Risiken in der Risikolandkarte des Unternehmens als auch für deren Steuerung und Überwachung, die gegebenenfalls von anderen Unternehmensbereichen bearbeitet werden. Hier ist auf Basis der Gesamtrisikosituation genau festzulegen, welche Kernrisiken dem jeweiligen System zuzuordnen sind. In der Unternehmenspraxis sind für die drei Systeme in der Regel auch unterschiedliche Abteilungen verantwortlich. Dennoch ist es nicht sinnvoll, dass die Bereiche und Systeme losgelöst voneinander agieren. Ein regelmäßiger Austausch der Abteilungen, die sich mit RMS, IKS und CMS auseinandersetzen, führt zu einer Reduzierung der Reibungsverluste und insbesondere zur Abklärung von Schnittstellen. Dazu ein Beispiel: Trotz zahlreicher Compliance-Schulungen (dem CMS zuzuordnen) hat ein Vertriebsmitarbeiter in Zusammenarbeit mit einem externen Dritten den angestellten Entscheidungsträger seines Kunden bestochen. Auf Basis einer internen Sonderuntersuchung (dem IKS zuzuordnen, häufig von der Internen Revision oder auch der Compliance Abteilung bearbeitet) wird der Sachverhalt aufgearbeitet. Der Mitarbeiter wird mit arbeitsrechtlichen Sanktionen belegt (dem CMS zuzuordnen, in der Regel von der Rechtsabteilung bearbeitet). Die Kontrollschwächen innerhalb der Vertriebstätigkeiten werden adressiert und abgestellt (dem IKS zuzuordnen, in der Regel von der Fachabteilung umgesetzt). Als Konsequenz werden die sich aus dem Sachverhalt ergebenden Risiken im Risikomanagementprozess berücksichtigt (dem RMS zuzuordnen) und die Mitarbeiterschulungen angepasst (dem CMS zuzuordnen). Um den Teilnehmern der drei Systeme die für Ihre Belange notwendigen Informationen aus den jeweils anderen Systemen zur Verfügung zu stellen, ist daher ein integriertes Reporting notwendig. Dieses Reporting in Kombination mit Treffen, die regelmäßig oder bei Bedarf stattfinden, führt zu abgestimmten und damit effizienten Prozessverbesserungen innerhalb und außerhalb der drei Systeme.

3. Richtlinien und Verfahrensanweisungen

Als wirksame operative Zusammenführung der Tätigkeiten des RMS, IKS und CMS hat sich die Berücksichtigung der Anforderungen und Zielsetzungen in Richtlinien bzw. Verfahrensanweisungen erwiesen. Diese dienen grundsätzlich dazu, Prozesse innerhalb einer Gruppe, Abteilung, Division oder eines ganzen Unternehmens zu formalisieren und damit in transparenter Form zu regeln. Innerhalb einer solchen Beschreibung können die bei den jeweiligen Prozessen oder Transaktionen identifizierten Kernrisiken aus dem RMS und dem CMS benannt, deren Maßnahmen etwa in einer dem IKS zuzuordnenden Risiko-Kontrollmatrix dargestellt und mit der Beschreibung der einzelnen operativen Prozessschritte der Fachabteilungen zusammengeführt werden. Die Erstellung von Richtlinien und Verfahrensanweisungen ist zu Beginn zeitaufwändig, unter dem Aspekt der Risikoorientierung und der pragmatischen Handhabung aber ein adäquates Mittel, um nicht nur Prozesssicherheit im Hinblick auf das IKS, sondern auch auf das CMS und weitere wesentliche Risiken aus dem RMS zu erhalten. Die sich aus den Richtlinien und Verfahrensanweisungen ergebende Prozesssicherheit der Mitarbeiter in den "produktiven" Unternehmensbereichen führt schließlich zu einer Erhöhung der Wirtschaftlichkeit. Dabei sind die Richtlinien und Verfahrensanweisungen nicht auf die nationalen Anforderungen beschränkt, sondern sollten auch die internationalen Konzerngesellschaften betreffen, wo dies notwendig und sinnvoll ist.

Fazit und Ausblick: Nach Integration kommt Effizienz

Compliance ist mehr als ein neumodischer Begriff und fordert von der Geschäftsleitung eine Auseinandersetzung mit der Unternehmenskultur sowie organisatorische Strukturen und Abläufe in ihrem Unternehmen. Zur Einhaltung von Gesetzen durch die Unternehmen und deren Mitarbeiter sind die Anforderungen an ein CMS andere als die der bisher bewährten Systeme wie RMS und IKS. Sie fordern in zunehmender Weise – in Abhängigkeit der Unternehmensgröße und des Internationalisierungsgrades – organisatorische Maßnahmen, die sich nicht nur auf einzelne Organisationseinheiten und deren Risiken, sondern auf das Unternehmen als Ganzes beziehen. Idealerweise werden dabei Maßnahmen des CMS so implementiert, dass sie für das Unternehmen sogar wirtschaftliche Vorteile bedeuten. Dabei ist die Compliance-Diskussion in einer stetigen Entwicklung: Während derzeit insbesondere die Wirksamkeit von Compliance-Maßnahmen und deren Verantwortlichkeit innerhalb des Unternehmens diskutiert wird, mehrt sich die Forderung nach einer fortschreitenden Integration der Compliance-Abteilung sowie deren Maßnahmen in dem nach Gewinnerzielung strebenden Geschäftsbetrieb.

Quellenverzeichnis sowie weiterführende Literaturhinweise:

  • Committee of Sponsoring Organization of the Treadway Commission [COSO 2013]: Internal Control - Integrated Framework - Executive Summary, May 2013
  • Deutscher Corporate Governance Kodex 2015 der Regierungskommission [DCGK 2015]: Stand: 5. Mai 2015 mit Beschlüssen aus der Plenarsitzung vom 5. Mai 2015
  • IDW Prüfungsstandard 261 n.F.: Feststellung und Beurteilung von Fehlerrisiken und Reaktionen des Abschlussprüfers auf die beurteilten Fehlerrisiken [IDW PS 261 n.F.], Stand: 01.03.2012
  • IDW Prüfungsstandard 340: Die Prüfung des Risikofrüherkennungssystems nach § 317 Abs. 4 HGB [IDW PS 340], Stand: 11.09.2000
  • IDW Prüfungsstandard 980: Grundsätze ordnungsmäßiger Prüfung von Compliance Management Systemen [IDW PS 980], Stand: 11.03.2011

Autor:

Mirco Vedder, Diplom-Kaufmann, CIA, CFE, ist Director im Bereich Compliance & Investigations bei der WTS Steuerberatungsgesellschaft mbH. Seine Schwerpunkte liegen in der Aufdeckung sowie Prävention von Wirtschaftskriminalität und der Beratung von Unternehmen bei der Implementierung von internen Kontrollstrukturen zur Sicherstellung von Compliance-Vorgaben.


[ Source of cover photo: © cacaroot - Fotolia.com ]
Risk Academy

The seminars of the RiskAcademy® focus on methods and instruments for evolutionary and revolutionary ways in risk management.

More Information
Newsletter

The newsletter RiskNEWS informs about developments in risk management, current book publications as well as events.

Register now
Solution provider

Are you looking for a software solution or a service provider in the field of risk management, GRC, ICS or ISMS?

Find a solution provider
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.