Risiko und Compliance

Was ist Compliance Management?

Von Abgasnormen bis Konformitätserklärungen – die Rahmenbedingungen für Unternehmen haben sich branchenübergreifend formalisiert. Weil Verstöße gegen Vorgaben sowohl rechtliche als auch reputatorische Risiken bergen, spielt Compliance Management eine immer bedeutendere Rolle für viele Unternehmen. Um dies effizient und effektiv umzusetzen, eignen sich digitale Tools.

Die Einhaltung geltenden Rechts ist notwendiger Bestandteil guter Unternehmensführung. Dabei gilt es, eine Vielzahl gesetzlicher Vorgaben zu beachten – angefangen mit allgemeinen Regelungen (u.a. Gesellschaftsrecht, Steuerrecht, Kapitalmarktrecht) über selbstauferlegte Vorgaben (z.B. Verhaltensregelungen, Gesellschafterbeschlüsse oder Anstellungsverträge) bis hin zu branchenspezifischen Normen. Als Beispiel sind im Finanzwesen aufsichtsrechtliche Anforderungen an die in Banken verwendeten IT-Prozesse und IT-Systeme (u.a. MaRisk, BAIT) zu nennen. Zudem ist Compliance im Steuerrecht durch den Anwendungserlass zur Abgabenordnung relevant geworden: dort wird erstmals ein „innerbetriebliches Kontrollsystem“ (IKS) zur Erfüllung steuerlicher Pflichten explizit geregelt, was einer Compliance-Vorgabe gleichzusetzen ist. Demnach kann ein IKS als ein Indiz zu werten sein, das gegen das Vorliegen eines Vorsatzes oder einer Leichtfertigkeit sprechen kann.

Compliance Management kann Haftung mindern

Indes können sich Haftungsfälle und Reputationsschäden aus fehlender oder ineffizienter Kontrolle ergeben. Zugleich reicht das bloße Vorhandensein eines Compliance-Beauftragten keineswegs nicht aus. Vielmehr muss Compliance im Unternehmen aktiv gelebt werden und auf die Gesamtheit der internen Prozesse abgestimmt sein. Deshalb ist ein integriertes Compliance Management System (CMS) erforderlich, das die vielfältigen Standards und Management-Systeme effektiv verknüpft.

Ein CMS kann für die persönliche Haftung des Managements bedeutsam sein. So judizierte der Bundesgerichtshof am 09.05.2017, dass ein effizientes CMS bei der Zumessung einer Sanktion gegen Unternehmen mindernd berücksichtigt werden sollte (1 StR 265/16). Umgekehrt verurteilte das Landgericht München am 10.12.2013 einen Ex-Finanzvorstand eines DAX-Unternehmens, weil er nicht dafür gesorgt hatte, ein funktionierendes CMS einzurichten (5 HKO 1387/10). Was aber muss ein CMS beinhalten, um effizient zu sein und haftungsmindernd zu wirken?

 

Compliance erfordert zunächst klares Bekenntnis der Unternehmensführung

Vor der Strukturierung und Umsetzung eines CMS steht der Konsens im Führungsteam, effektive Compliance zu wollen. Deshalb ist ein klares Bekenntnis des Managements erforderlich, die Einhaltung der anwendbaren Gesetze, Richtlinien und Regeln zu leben und entsprechendes Verhalten von den Mitarbeitern konzernweit einzufordern („tone from the top“). Weil Compliance keine geografischen Grenzen kennt und Verstöße gegen ausländisches Recht auch in Deutschland verfolgt werden können, kann dies mitunter zu der Notwendigkeit führen, auf bestimmte Geschäftspraktiken bzw. Geschäfte zu verzichten – auch wenn dies zu Umsatzeinbußen oder Wettbewerbsnachteilen führt.

 

Fachliche und geografische Komplexität managen

In der Umsetzung ist das Aufsetzen eines CMS inhaltlich komplex, weil bereichsübergreifend Risikofelder zu erfassen sind in Abhängigkeit von Branche, Absatzmarkt, Organisationsstruktur und Größe des Unternehmens. Des Weiteren besteht eine große Bandbreite an einzuhaltenden Vorgaben, die von Arbeitsrecht und Außenwirtschaftsrecht/Zollbestimmungen über Diskriminierungsverbote, Sozialversicherungsrecht und Strafrecht bis hin zu branchenspezifischen Regelungen reichen. Darüber hinaus haben einige Länder wie beispielsweise Frankreich ihre Sanktionsmöglichkeiten für Compliance-Verstöße in den vergangenen Jahren erweitert und Strafen verschärft. Zudem wird auch der Datenschutz mittlerweile in vielen Unternehmen im Compliance Bereich angesiedelt.

 

Strukturierung eines Compliance Management Systems

Entsprechend besteht ein CMS aus formell vorgegebenen, meist standardisierten Grundsätzen und Komponenten. Ausgehend von der Aufbau- und Ablauforganisation des jeweiligen Unternehmens werden aufeinander abgestimmte Mechanismen etabliert, um die Einhaltung von Pflichten und deren Überwachung hinsichtlich externer und interner verbindlicher Vorgaben zu unterstützen. Dazu empfiehlt es sich, ein unternehmens- und prozessbezogenes „Rechtskataster“ entlang aller Stabs- und Linienbereiche (z.B. Personal, Einkauf, Marketing, Vertrieb, Produktion, etc.) aufzusetzen. Zur Umsetzung bieten sich unter anderem die folgenden Tools und Methoden an:

 

Plan/Do/Check/Act-Methode (PDCA)

Aus dem Qualitätsmanagement übernommen hat die Praxis einen vierphasigen Zyklus, durch den Änderungen implementiert werden, die durch Anwendung und Wiederholung zu einem verbesserten Prozess führen. Mit Blick auf den Compliance-Bereich bedeutet dies: zunächst sind Aufbau und Inhalte des CMS zu konzipieren (Plan), wobei Ziele und Wertbeitrag dargestellt, der Soll-Zustand definiert, ein Soll-Ist-Abgleich durchgeführt und alternative Strategien bewertet werden. Daraufhin wird die Umsetzung konzipiert (Do) im Hinblick auf Wirksamkeit. Schließlich folgen Überwachung (Check) und Verbesserung (Act) des CMS.

 

Risikomanagement-Methode

Eine weitere Methode liegt darin, Compliance-Risiken eines Unternehmens anhand bestimmter Strukturen (z.B. Liste der Geschäftsprozesse oder der Unternehmensbereiche) oder Risikokataloge zu identifizieren. Daraufhin ist eine Bewertung und Priorisierung der Compliance-Risiken anhand der potenziellen Schadenhöhe und der Eintrittswahrscheinlichkeit erforderlich, um passende Maßnahmen herleiten zu können. Durch eine Matrix lassen sich die Risiken schließlich in gering, mittel, hoch und sehr hoch einstufen. Hierbei ist eine enge Zusammenarbeit mit dem Risikomanagement sinnvoll.

 

Orientierung anhand von Standards

Neben weiteren Methoden lassen sich für die Umsetzung von CMS auch Standards heranziehen und durch Kombination angepasst auf das jeweilige Unternehmen anwenden:

  • Compliance-Management: IDW PS 980:2011, ISO 19600:2014, ONR 192050:2013, US Sentencing Guidelines: 2010, ISO 37001:2014 (Draft) (Anti-Korruptions-Management)
  • Risikomanagement: ISO 31000:2009, ONR 49000:2014, COSO II:2004, IDW PS 340:2000 (Risikofrüherkennungssystem)
  • Internes Steuerungs- und Überwachungssystem: COSO I:2013 (Internal Control-Integrated Framework)

Sowohl beim Aufsetzen als auch in der Umsetzung eines CMS ist umfassende interne Kommunikation und Koordination über alle Bereiche des Unternehmens hinweg erforderlich. Dabei sind Dokumente auszutauschen und der aktuelle Stand der Konzeption allen Beteiligten zu vermitteln. Weil – wie eingangs beschrieben – das Bekenntnis des Führungsteams zu Compliance für die erfolgreiche Implementierung eines CMS essentiell ist, empfiehlt es sich zur Steigerung der Akzeptanz, bereits im Rahmen der Konzeption Board Portal einzusetzen, der über die Entwicklung des CMS fortlaufend informiert und den aktuellen Stand transparent macht.

Board Portal Buyer’s Guide

With the right Board Portal software, a board can improve corporate governance and efficiency while collaborating in a secure environment. With lots of board portal vendors to choose from, the whitepaper contains the most important questions to ask during your search, divided into five essential categories.

VORGESTELLTE BLOGS