Compliance-Management-Systeme (CMS) setzen eine entsprechende Unternehmenskultur voraus. Das Topmanagement muss die rechtlichen und moralischen Regeln vorleben. Neben diesem K.O-Kriterium hängt das Funktionieren des CMS von klaren Zielen, genauen Definitionen, einem geordneten Implementierungsprozess und ständiger Überprüfung seiner Wirksamkeit ab.
Jérôme Kerviel erleichterte 2008 durch riskante Deals seinen damaligen Arbeitgeber Société Général um 4,9 Milliarden Euro. Danach verbesserte nicht nur die französische Großbank ihre Kontrollsysteme. Doch Betrug beziehungsweise zu lasche Kontrollen lassen sich offenbar nicht ausschließen. Im September 2011 verlor die Schweizer Bank UBS durch einen Händler 1,5 Milliarden Euro und im Mai dieses Jahres musste das US-Geldhaus JPMorgan Chase einen Verlust von 2 Milliarden Dollar abschreiben, der Fehlspekulationen mit Kreditausfallversicherungen zu verdanken war. Auch andere Wirtschaftsskandale wurden erst durch fehlende oder viel zu leicht umgehbare Kontrollen und Regeln möglich. Die Bilanzfälschungen bei den US-Unternehmen Enron und Worldcom (2001) haben Wirtschaftsgeschichte geschrieben und Gesetze nach sich gezogen (Sarbanes Oxley Act). In Deutschland brachten der Korruptionsskandal bei Siemens (2006 und 2007) sowie die Bestechung von Infineon-Managern (2005) und die Bestechung von VW-Betriebsräten (2005) mit Vergünstigungen wie Auslandsreisen und Bordellbesuchen das Thema Compliance nachhaltig auf die Tagesordnung in Wirtschaft und Politik.
Aber wie können Unternehmen ungesetzliches oder unmoralisches Verhalten ihrer Manager und Mitarbeiter systematisch unterbinden? Wie lassen sich Korruption und Bestechlichkeit im Keim ersticken? Das Risiko von Fehlverhalten in Belegschaft und Management lässt sich mit einem belastbaren Compliance-Management-System drastisch einschränken. Doch wenn man sich vor Augen führt, wie viele Interessen davon berührt sind, wie viele Regeln, Vorschriften und Gesetze dabei berücksichtigt werden müssen, gerät die Einrichtung eines CMS zu einer komplexen Aufgabe, die viel Unterstützung vom Topmanagement sowie den Aufsichtsgremien eines Unternehmen benötigt.
Dieser Beitrag beschreibt, welche Grundelemente ein CMS aufweisen muss, um wirksam zu funktionieren. Außerdem erklärt der Artikel, wie sich ein solches CMS implementieren lässt und auf welche Stolpersteine am stärksten geachtet werden sollte.
Die Vorteile eines CMS
Der grundsätzliche Vorteil der Nutzung eines CMS liegt auf der einen Seite darin, dass die Einhaltung der gesetzlichen Vorschriften sowie internen und branchenspezifischen Vorgaben systematisch sichergestellt und somit das Risiko von Verstößen gegen Regeln – nationale, wie internationale – minimiert wird. Damit reduzieren sich automatisch die Haftungsrisiken von Geschäftsführung und Mitgliedern der Aufsichtsorgane. Andererseits fördert ein solches System das Vertrauen von Geschäftspartnern und der Öffentlichkeit. Außerdem gibt es Mitarbeitern und Organen des Unternehmens klare Verhaltensregeln an die Hand. So erhöht es ihre Sensibilität für moralisches und ethisches Handeln.
Die Grundelemente eines CMS
Obwohl es keinen allgemeingültigen Standard gibt, sind in der Praxis verschiedene Rahmenwerke im Einsatz, die die grundsätzlichen Elemente eines CMS beschreiben. In diesem Zusammenhang sind vor allem COSO ERM ("Enterprise Risk Management Framework", The Committee of Sponsoring Organizations of the Treadway Commission) der IDW PS 980 ("Grundsätze ordnungsmäßiger Prüfung von Compliance Management Systemen", Institut der Wirtschaftsprüfer in Deutschland e.V. und TR CMS 101:2011 ("Standard für Compliance Management Systeme (CMS)", TÜV Rheinland) zu nennen. Im Folgenden werden beispielhaft die Elemente genannt, die dem IDW PS 980 zugrunde liegen:
Compliance-Kultur
Sie beschreibt die Grundeinstellung und Verhaltensweisen des Managements. Eine gute Compliance-Kultur herrscht dann, wenn Management und Mitarbeiter verinnerlicht haben, dass rechtliche und moralische Standards eingehalten werden müssen. Dabei spielen auch die Aufsichtsorgane eine besondere Rolle. Nur wenn beide Institutionen, Geschäftsführung und Aufsichtsorgane, die Wichtigkeit und Relevanz des Compliance-Programms hervorheben und durch ihr Verhalten unterstreichen, kann dieses erfolgreich gestaltet werden.
Compliance-Ziele
Hier werden die wesentlichen Ziele festgelegt, die mit dem CMS erreicht werden sollen und die einzuhaltenden Verhaltensregeln definiert, die den Weg dorthin beschreiben. Dabei orientieren sich die Ziele an den Unternehmenszielen. Sie bilden die Grundlage, auf der die Compliance-Risiken, wie etwa Verstöße gegen das Antikorruptionsrecht, beurteilt werden. Bei der Definition der Ziele sollten auch die relevanten Betrachtungsobjekte und die dort anzuwendenden Regeln festgelegt werden. Betrachtungsobjekt kann dabei das gesamte Unternehmen sein oder auch Teilbereiche wie der Einkauf oder der Finanzbereich, die besonders risikobehaftet sein können. Die Einschränkung auf risikobehaftete Teilbereiche schont die normalerweise begrenzten Ressourcen im Compliance-Umfeld.
Compliance-Risiken
In diesem Schritte werden die wesentlichen Compliance-Risiken eines Unternehmens identifiziert und Wege der systematischen Risikoerkennung geklärt sowie die Risiken bewertet. Dazu muss im Unternehmen ein Prozess festgelegt werden, der sicherstellt, dass sämtliche relevanten Risiken auch erkannt werden. Dafür eignen sich moderierte Workshops, an denen je nach Thema Verantwortliche verschiedener Bereiche teilnehmen sollten. Um die gesamte Bandbreite möglicher Risiken berücksichtigen zu können, sollte der Moderator des Workshops auf branchenübliche allgemeine Risiken eingehen und sie erklären. Außerdem sollten Bereichsverantwortliche neu identifizierte Risiken kontinuierlich dem Compliance-Verantwortlichen, zum Beispiel dem Chief Compliance Officer, melden.
Compliance-Programm
Auf Basis der Risikodefinition werden die Grundsätze und Maßnahmen entwickelt und implementiert, die die Compliance-Risiken senken können. Die (Disziplinar-)Maßnahmen, die bei Verstößen gegen die gesetzten Compliance-Regeln zu ergreifen sind, sind ebenfalls Bestandteil des Compliance-Programms. Außerdem ist auf eine aussagekräftige Dokumentation des Programms zu achten, damit das CMS auch personenunabhängig funktioniert.
Compliance-Organisation
Sie legt Verantwortlichkeiten und Rollen fest, die sich im Unternehmen um das Thema Compliance kümmern. Außerdem übernimmt sie die Ressourcenplanung. Damit ein CMS funktioniert, muss die Compliance-Organisation eindeutige Aufbau- und Ablaufstrukturen aufweisen. Bewährt haben sich dabei zentrale Compliance-Komitees sowie dezentrale Compliance-Verantwortliche. Letztere sind in den verschiedenen organisatorischen Einheiten eines Unternehmens angesiedelt. Dabei entscheidet die Größe dieser Einheiten, ob sie ihre Rolle in Vollzeit oder Teilzeit ausfüllen. Das zentrale Komitee wird durch einen Chief Compliance Officer geleitet. Außerdem gehören ihm typischerweise die Leiter des Controllings, interne Revision, Risikomanagement, internes Kontrollsystem sowie die Verantwortlichen besonders relevanter Bereiche an. Dieser Aufbau stellt sicher, dass alle Compliance relevanten Themen zusammengeführt und berücksichtigt werden können. Last, but not least ist das Compliance-Komitee auch für die strategische Ausrichtung des CMS verantwortlich.
Compliance-Kommunikation
Mitarbeiter und eventuell Dritte werden über das Compliance-Programm und die sie betreffenden Ziele und Maßnahmen informiert. Außerdem gehört zu diesem Punkt die Festlegung von Berichtswegen, über die identifizierte Risiken, Regelverstöße und Hinweise auf Regelverstöße kommuniziert werden. Damit das CMS nicht mit Informationen überflutet wird und es so zu Akzeptanzeinbußen kommt, ist eine Filterfunktion empfehlenswert, die sicherstellt, dass sich die Compliance-Kommunikation auf das Wesentliche beschränkt.
Compliance-Überwachung/Verbesserung
Damit ein CMS funktioniert, sollte laufend überwacht werden, ob Regeln und Maßnahmen wirksam und angemessen sind. Hinweise auf Schwachstellen gehen an das Compliance-Komitee, das gegebenenfalls auch die Implementierung von Verbesserungen koordiniert und nachverfolgt. In diesem Punkt benötigen die Compliance-Verantwortlichen die Unterstützung der Aufsichtsorgane in besonderem Maße, um Veränderungen auch gegen Widerstände durchsetzen zu können.
Die Phasen der Einführung
Das Wissen um die grundsätzlichen Elemente eines CMS ist das Eine. Die Einführung eines solchen Systems ist etwas Anderes. Es braucht viel Sensibilität, eindeutige Managemententscheidungen und eine klare Gliederung in verschiedene Phasen. Sie helfen, das komplexe Projekt in handhabbare Teile zu zerlegen und gleichzeitig den Überblick zu behalten.
Phase 1: Festlegung der Ziele, Inhalte und Infrastruktur des Compliance-Managements
Am Anfang der Einführung steht immer die unternehmensspezifische Festlegung der Compliance-Ziele. Dabei geht es zum einen selbstverständlich um die Frage, welche gesetzlichen und andere Regeln, zum Beispiel interne Verfahrensanweisungen, für das Unternehmen überhaupt gelten und mit welchen es dementsprechend "compliant" sein muss. Außerdem müssen ein gemeinsames Verständnis von Compliance, eine gemeinsame Sprache und ein einheitliches Vorgehen entwickelt werden. Neben grundsätzlichen Überlegungen zur IT-Umsetzung der Compliance-Aktivitäten sollten in dieser Phase auch die Verantwortlichkeiten festgelegt und in der Ablauforganisation dokumentiert werden.
Phase 2: Inventur und Analyse der Compliance-Risiken
In dieser Phase werden die Compliance-Risiken gelistet und bewertet. Wo könnte zum Beispiel gegen Offenlegungspflichten verstoßen werden oder wann könnten Service Level Agreements verletzt werden. Aber auch andere, unternehmensspezifische Compliance-Risiken müssen hier benannt und analysiert werden, falls möglich nach Eintrittswahrscheinlichkeit, eventuellen Konsequenzen und daraus erwachsenden Kosten.
Phase 3: Ableitung einer Compliance-Risikostrategie
Die Compliance-Risikostrategie wird aus den strategischen Zielen des Unternehmens abgeleitet und baut dabei auf der Risikoanalyse auf. Dabei lassen sich grundsätzlich vier Strategien unterscheiden:
- Risiko vermeiden (beispielsweise Austritt aus einem Markt/einem geografischen Gebiet);
- Risiko reduzieren (beispielsweise Diversifikation von finanziellem Vermögen);
- Risiko transferieren (beispielsweise Outsourcing von Unterstützungsprozessen);
- Risiko akzeptieren (beispielsweise Akzeptieren von Risiken auf ihrem momentanen Niveau ohne weitere Vorkehrungen).
- Phase 4: Aufbau eines risikoorientierten Management-Informationssystems
Basierend auf den in Phase 2 ermittelten Compliance-Risiken, werden korrespondierende Frühwarnindikatoren identifiziert und Grenzwerte beziehungsweise Toleranzstufen festgelegt. Das hier aufzubauende risikoorientierte Managementinformationssystem gibt Aufschluss darüber, inwieweit die definierten Grenzwerte der beobachteten Risiken erreicht werden und was eventuell eingeleitete Gegenmaßnahmen für die Reduktion der Risiken bewirken. Wenn bereits bestehende Frühwarnsysteme zum Beispiel im Controlling existieren, sollte in dieser Phase geklärt werden, ob sich die spezifischen Risikoinformationen in diese Berichte integrieren lassen.
Phase 5: Implementierung eines "Self-Assessment" Prozesses
In der letzten Implementierungsphase (5) geht es um die regelmäßige Bewertung der Compliance-Situation und der Wirksamkeit der Maßnahmen. Das lässt sich sehr gut über entsprechende Fragenkataloge (Self-Assessment) realisieren, die Prozessverantwortliche in den verschiedenen Geschäftsprozessen bearbeiten müssen. Neben dem Self-Assessment sind auch Überprüfungen von prozessunabhängigen Instanzen – zum Beispiel der internen Revision – und von externen Wirtschaftsprüfern geeignet, das CMS immer auf der Höhe der aktuellen Unternehmenssituation zu halten.
Voraussetzungen und Hürden
Damit das aufgebaute CMS in der Praxis funktioniert, sind eine einheitliche Risikometrik und ein abgestimmtes Risikouniversum unabdingbar. Nur sie ermöglichen letztlich ein unternehmensweit kohärentes Compliance-Verständnis, mit dem geeignete Regeln und Maßnahmen entwickelt werden können, um tatsächlich alle relevanten Compliance-Risiken zu minimieren. Konsistente Kommunikation zur Compliance-Risikosituation an das Management, die Vermeidung von Doppelarbeiten und der aktive Informationsaustausch (in formellen Meetings und informell) zur Risikosituation tragen ebenfalls dazu bei, dieses Ziel zu erreichen. Allerdings sollte sich die Interne Revision auch im Compliance Management Prozess als die unabhängige Instanz positionieren, als die sie auch ihren anderen Prüfungs- und Beratungsaufgaben wahrnimmt.
Ein CMS kann allerdings dann seine Aufgaben nicht erfüllen, wenn die Compliance-Kultur im Unternehmen fehlt, sprich das obere Management die Wichtigkeit eines regelkonformen und moralisch einwandfreien Arbeitens nicht vorlebt. Neben diesem K.O.-Kriterium kann ein CMS auch scheitern, wenn das Einhalten der Compliance-Vorgaben nicht in die betrieblichen Anreizsysteme eingebunden, die Beschreibung der Compliance-Vorgaben oder seiner Ziele unklar oder die Projektplanung zu seiner Implementierung unzureichend ist. Ebenfalls störend auswirken können sich unterschiedliche Erwartungen der Beteiligten. Wenn zum Beispiel die Unternehmensleitung strenge Regeln aufstellt und eine Nulltoleranzpolitik bei Verstößen postuliert, kann das durchaus den Erwartungen des Betriebsrates widersprechen, der zwar auch Compliance will, aber gleichzeitig sicherstellen möchte, dass die abgeleiteten Regeln nicht zur Leistungskontrolle der Mitarbeiter eingesetzt werden können.
Fazit
Die Einführung eines Compliance Management Systems ist kein Allheilmittel, um ein Unternehmen mit allem und jedem "compliant" zu machen. Doch auf Basis einer soliden Risikoidentifizierung und –Beurteilung kann es das Risiko von Verstößen gegen gesetzliche Vorschriften, Branchenvorgaben und unternehmensinterne Richtlinien beträchtlich minimieren. Voraussetzung dafür ist eine klare Ablauf- und Aufbauorganisation mit einer eindeutigen Rollenverteilung sowie ein geordnetes Implementierungsverfahren. Wenn darüber hinaus das System ständig auf seine Wirksamkeit überprüft und optimiert wird, funktioniert ein CMS, das allerdings immer nur so gut sein kann wie die Compliance-Kultur des Unternehmens.
Über den Autor
Sven Hirsekorn ist als Associate Partner bei der Q_PERIOR AG in Hamburg tätig.
Er berät seine Kunden in den Bereichen Compliance, Risikomanagement, Corporate Governance sowie Interne Kontrollsysteme. Dabei unterstützt er seine Kunden vor allem beim Aufbau, der strategischen Ausrichtung und der Optimierung von Compliance- und Risikomanagementorganisationen und -prozessen.
Seine Kunden sind dabei insbesondere multinationale Konzerne sowie kapitalmarktorientierte Gesellschaften verschiedenster Branchen.
[Bildquelle: iStockPhoto]