Die Evolution Compliance

Konzeption und Etablierung einer Compliance Organisation

1. Einleitung

Compliance beinhaltet eine multidisziplinäre Ausdehnung, die durch die unterschiedlichen Branchen und deren ebenso unterschiedlichen gesetzlichen Anforderungen bedingt ist. Vor diesem Hintergrund ist es von Bedeutung, Compliance als ein unternehmensweites und integriertes Organisationsmodell mit Prozessen und Instrumenten zu begreifen. Dieses Modell soll die Einhaltung gesetzlicher Bestimmungen, regulatorischer Standards sowie weiterer wesentlicher Stakeholder-Anforderungen und demnach ebenso die Konformität mit gesellschaftlichen Richtlinien, Wertevorstellungen, Moral und Ethik sicherstellen. Im Folgenden wird in Form der kurzen Skizzierung die Konzeption und Etablierung einer Compliance-Organisation beschrieben:

Die Evolution Compliance.

Evolution_Compliance

Die Evolution Compliance

2. Rechtsgrundlagen

Das deutsche Recht kennt mit Ausnahme der Finanzbranche keine Gesetzesnormen, welche die Geschäftsleitung einer (Kapital)Gesellschaft zur Durchführung systematischer Compliance-Maßnahmen und zur Einrichtung einer Compliance-Organisation bzw. Funktion verpflichtet.

Mit dem neuen Prüfungsstandard 980 des Instituts deutscher Wirtschaftsprüfer (IDW PS 980) besteht nunmehr zumindest eine erste Sammlung von Anforderungen an ein Compliance-Management, die einen Überblick zu beachtender Kriterien gibt, allerdings rechtlich nicht verbindlich ist.

Lediglich Empfehlungscharakter hat der Deutsche Corporate Governance Index (DCGK), der in seiner Ziffer 4.1.3 dem Vorstand einer Kapitalgesellschaft die Beachtung geltenden Rechts (Compliance) auferlegt.

Im deutschen Gesellschaftsrecht, insbesondere im Aktienrecht, finden sich dennoch zentrale Anknüpfungspunkte für die Compliance-Diskussion. Zu nennen sind hier zunächst zwei Vorschriften, die eine Art Generalklausel für die Verhaltenspflichten des Vorstands darstellen.

§ 76 AktG regelt die Leitungspflicht des Vorstandes. Diese umfasst auch die in § 93 AktG geforderte Wahrung der notwendigen Sorgfalt bei der Geschäftsführung, welche auch das rechtskonforme Verhalten der Gesellschaft und seiner Mitarbeiter betreffen.

Somit gilt branchenunabhängig eine Sorgfaltspflicht, die auch auf das Überwachungsorgan Aufsichtsrat ausgedehnt wird (§ 116 AktG). Um dieser Sorgfaltspflicht nachkommen zu können, bedarf es Strukturen und Prozesse, die das rechtskonforme Handeln des Unternehmens und der Mitarbeiter sicherstellen.

Je nach Geschäftsmodell besteht für diese Aufgabe jedoch eine Vielzahl von zu beachtenden Gesetzen, Richtlinien und Normen, die entsprechenden Einfluss auf die Ausgestaltung einer Compliance-Organisation haben.

Für die Finanzbranche existieren im Gegensatz zu anderen Branchen sehr detaillierte Compliance-Anforderungen. So fordert § 25a KWG von Kreditinstituten eine ordnungsgemäße Organisation zur Einhaltung der von diesen zu beachtenden gesetzlichen Bestimmungen einzurichten. Mit § 64 VAG gilt eine vergleichbare Vorschrift auch für Versicherungen. § 33 WPHG stellt für Wertpapier-Dienstleistungsunternehmen eben solche Organisationspflichten auf.

Im Zusammenhang mit den direkten und indirekten rechtlichen Anforderungen an die Unternehmens-Compliance muss zwingend die Haftung der Unternehmensorgane betrachtet werden. Vorstände und nunmehr auch Aufsichtsräte können zivil- wie strafrechtlich haftbar gemacht werden. Verändert haben sich insbesondere die Haftungsbelange für Aufsichtsräte. Mit dem Inkrafttreten des Bilanzrechtsmodernisierungsgesetzes (BilMoG) wurde der Aufgabenbereich von Aufsichtsräten deutscher Kapitalgesellschaften weiter konkretisiert und ihnen u.a. die Pflicht auferlegt, die Wirksamkeit des Internen Kontrollsystems (IKS) und Risikomanagements zu überwachen. Sofern einzelne Mitglieder des Aufsichtsrats diese Pflicht schuldhaft vernachlässigen, können sie der Gesellschaft gegenüber zum Schadenersatz verpflichtet werden.

 

3. Der Scoping-Prozess

Compliance-Management kann seine volle Effektivität und Effizienz nur dann erreichen, wenn es auf die Risiken zugeschnitten ist, die mit dem Geschäftmodell des Unternehmens einhergehen. Grundlage einer geeigneten und unternehmensspezifischen Compliance-Organisation ist daher die Identifikation der relevanten Risiken, die dem Unternehmen drohen (Scoping). Dementsprechend ist die methodische Vorgehensweise zur Identifizierung und Bewertung der Risiken im Unternehmen zu gestalten. Die identifizierten Risiken sind nach Erhebung entsprechend des unternehmensinternen Sollmaßstabes zu bewerten. Aus dieser Bewertung ergibt sich das Maßnahmenpaket, welches zur Steuerung und Kontrolle der Risiken notwendig ist. Seit Einführung des BilMoG sind im Risikomanagement immer mehr holistische Ansätze der Unternehmen zu erkennen, die Geschäfts- und Compliance-Risiken nicht mehr trennen. Der Sarbanes Oxley Act (SOX) als internationale Gesetzgebung sowie die Einführung des BilMoG in Deutschland schafften eine Abkehr davon, dass Compliance-Risiken bis dahin wenig oder bisweilen gar nicht im Fokus der Risiko-Manager standen.

 

4. Organisationsdesign

Das Ergebnis des Scoping-Prozesses zeigt in der Regel auf, wie komplex das Themengebiet Compliance ist und welches Ausmaß an interdisziplinären Anforderungen es an Funktionsträger stellt. Es ist ein Trend zu beobachten, Compliance nicht mehr isoliert zu betrachten, sondern konsequenterweise in Verbindung mit dem Risikomanagement zu sehen. Daraus resultiert insbesondere im Mittelstand nicht nur die Zusammenführung ineinandergreifender Prozesse, sondern auch das Design einer ressourcensparenden Matrix-Organisation. Vorteil der Matrix- Organisation ist, dass die notwendigen Tätigkeiten flexibel verteilt werden können und so auch für kleinere Unternehmen ein vertretbarer Aufwand entsteht. Wesentlicher Vorteil einer solchen Organisationsform ist der mögliche Rückgriff auf bereits bestehende Prozesse und Prozesseigner sowie der dahinter stehenden Aufbau- und Ablauforganisationen.

Daraus ergibt sich die Möglichkeit auf bestehende Strukturen zurückzugreifen, was den Vorteil hat, dass Compliance in Form einer Prozessvernetzung und nicht als isolierter Prozess wahrgenommen wird. Die Wahrnehmung der Bedeutung der Compliance im Unternehmen ist für die Entscheidung des Organisationsdesigns von wesentlicher Bedeutung.

 

5. Prävention

Compliance versteht sich als aktive Risikovorbeugung im Unternehmen. Neben vielen einzelnen organisatorischen Maßnahmen, die ein Compliance-Management voraussetzt, verlangt sie eine Compliance-Kultur, die im Unternehmen breit verankert ist und sowohl von der Geschäftsleitung als auch von der Belegschaft tatsächlich gelebt wird.

Der wesentliche Präventionsaspekt besteht darin, eine solche Compliance-Kultur aufzubauen.

Diese Kultur entsteht durch die Entwicklung der intrinsischen Motivation der Mitarbeiterinnen und Mitarbeiter zu einer positiven Einstellung gegenüber den ethischen Führungsgrundsätzen des Unternehmens aufzubauen und zu erhalten. Daraus entsteht ein Wertesystem, das die Bedingungen für rechtskonformes Verhalten schafft und die Basis für ein Compliance-System darstellt. Dieses System muss dazu geeignet sein, weitgehende Immunität gegen unternehmensschädigendes Verhalten in weitestem Sinne zu gewährleisten. Gefordert in diesem Sinne sind die Führungskräfte des Unternehmens. Die Aufgabe der Führungskräfte besteht darin, einen herausragenden Beitrag zu einer funktionierenden und nachhaltigen Compliance im Unternehmen zu leisten, indem sie auf allen Ebenen die Werte, Normen und Tugenden einer auf Prävention ausgerichteten Compliance-Kultur an ihre Mitarbeiter vermitteln und dauerhaft erhalten. Dieser Prozess ist durch eine strategisch ausgearbeitete Kommunikation zu begleiten.

 

6. Fazit

Gibt man aktuell (Stand 06.07.13) den Begriff Compliance in Google ein, erhält man über 71 Millionen Trefferanzeigen. Daran lässt sich ermessen, in welcher Quantität zu diesem Begriff Stellung bezogen wird und welche herausragende Rolle Compliance mittlerweile spielt.

Es ist die Kunst, das weite Spektrum dieses Themenfeldes so zu erfassen und umzusetzen, dass es auf das jeweilige Unternehmen und dessen individueller Kultur zugeschnitten ist. Unabdingbar dafür ist es, die Identifizierung sämtlicher Risiken des Geschäftsmodells auf allen Ebenen und diese im Rahmen eines unternehmensinternen Sollmaßstabes zu bewerten. Die Risikobewältigung erfolgt durch eingeleitete Gegenmaßnahmen, die wiederum im Rahmen eines funktionierenden Internen Kontroll-Systems (IKS) durch das Management kontrolliert werden. Wesentlich dabei ist der Wirksamkeitsnachweis. Dieser soll die Effektivität der Kontrolle sowie der Gegenmaßnahmen darstellen und belegen. Einen hohen Anteil an einer funktionierenden Compliance hat die Führung des Unternehmens. Compliance wird immer eine Herausforderung bleiben. Die rechtlichen Rahmenbedingungen werden sich branchenunabhängig sowohl national als auch international stetig weiterentwickeln und ebenso stetig Anpassungen an die Compliance-Organisation erforderlich machen.

 

2 thoughts on “Die Evolution Compliance

  1. Wasi
    21. September 2013 at 20:58

    Schöner Artikel!
    Es ist sehr wichtig, dass das Risikomanagement optimal im Unternehmen funktionieren. In vielen Unternehmen sind hier noch starke Lücken vorhanden.
    Das Bewusstsein für IT-Gefahren in Unternehmen hat in den letzten Jahren stark zugenommen. In erster Linie liegt das daran, dass private und berufliche Elemente sich zunehmend vermischen – an vielen Stellen ist das gewollt, aber das schafft natürlich auch erhebliche Risiken. [Quelle: http://www.finance-magazin.de/risiko-it/risikomanagement/gutes-it-risikomanagement-ist-eine-herkulesaufgabe/ ]
    Wichtig ist, dass die Unternehmensspitze den Ton angibt. Risikomanagement muss von jedem Mitarbeiter gelebt werden.

    Gruß,
    W.

  2. Tim
    17. April 2014 at 15:03

    Muss mich anschließen, sehr aufschlussreicher Artikel. Ich habe noch einen weiterführenden Link (wenn ich den hier posten darf?!) wo es um das Risikomanagement in Projekten geht, habe mir dabei sehr viel Mühe gegeben und hoffe es kann das Thema etwas ergänzen:
    http://www.projekt-smag.de/risikomanagement

    Grüße,
    Tim D.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Captcha * Time limit is exhausted. Please reload CAPTCHA.