de en
Nexia Ebner Stolz

Wirtschaftsprüfung

Wenn Sie an die Kosten für Compliance denken – Was kostet Sie Non-Compliance?

Aktuelle Compliance-Skandale, wie Dieselgate, prominente Wirtschaftsstrafverfahren um Bestechungs- und Schmiergelder, Kartellrechtsverstöße sowie aufsehenerregende Bilanzmanipulations- und Betrugsfälle in der jüngsten Vergangenheit zeigen, dass Gesetzesverstöße bei Großkonzernen aber auch bei mittelständische Unternehmen zu finanziellen Schäden, Reputationsverlust und Haftungsrisiken der Entscheider führen.

Skan­dale, die die Schlag­zei­len in der Presse beherr­schen, sind aber nur die Spitze eines Eis­bergs – Stu­dien bele­gen, dass immer mehr Fir­men mit Rechts­ver­stö­ßen bis hin zu kri­mi­nel­len Taten zu kämp­fen haben. Kon­troll­me­cha­nis­men sind des­halb gefrag­ter denn je. Umset­zen lässt sich dies mit einem pas­send zuge­schnit­te­nen Com­p­li­ance-Mana­ge­ment-Sys­tem und inno­va­ti­ven Revi­si­ons­me­tho­den.

© iStock

Neue Spiel­re­geln für Com­p­li­ance und interne Revi­sion

Geset­ze­s­t­reue und Red­lich­keit sind für ein gut geführ­tes Unter­neh­men seit jeher selbst­ver­ständ­lich. Auch sind Vor­stände und Geschäfts­füh­rer auf­grund ihrer all­ge­mei­nen Lega­li­täts- und Orga­ni­sa­ti­ons­ver­ant­wor­tung fak­tisch zu einer Rechts­be­fol­gung im gesam­ten Unter­neh­men, sog. Com­p­li­ance, verpf­lich­tet. Spie­gel­bild­lich resul­tiert hier­aus eine umfas­sende Über­wa­chungspf­licht für Auf­sichts­g­re­mien wie z. B. Auf­sichts­räte, Bei­räte o. ä. Aktu­ell kün­di­gen sich eine Ver­schär­fung der Sank­tio­nen und Haf­tungs­re­ge­lun­gen bei unter­neh­mens­be­zo­ge­nen Straf­ta­ten sowie Ver­än­de­run­gen der Com­p­li­ance- und Inves­ti­ga­ti­ons­pra­xis an, die kei­nes­falls allein Groß­kon­zerne betref­fen, son­dern auch für mit­tel­stän­di­sche Unter­neh­men weit­rei­chende Kon­se­qu­en­zen haben.

Im Fokus steht der Beschluss der Bun­des­re­gie­rung vom 16.6.2020, den Ent­wurf eines Geset­zes zur Stär­kung der Inte­gri­tät der Wirt­schaft in das Gesetz­ge­bungs­ver­fah­ren ein­zu­brin­gen. Kern­stück des­sen ist das „Gesetz zur Sank­tio­nie­rung von ver­bands­be­zo­ge­nen Straf­ta­ten (Ver­bands­sank­tio­nen­ge­setz – Ver­SanG-E)“.

Im Kern regelt der Gesetz­ent­wurf die Sank­tio­nen von Ver­bän­den, z. B. AG, GmbH oder GmbH & Co KG, wegen sog. Ver­band­sta­ten von Lei­tungs- und Nicht­lei­tungs­per­so­nen und ver­bin­det scharfe Sank­tio­nen mit Anrei­zen für ein ange­mes­se­nes und wirk­sa­mes Com­p­li­ance-Mana­ge­ment-Sys­teme (CMS; siehe im Detail S. 27). All­ge­meine Pflicht­be­stand­teile für ein CMS lässt der Regie­rungs­ent­wurf jedoch offen.

CMS und interne Revi­sion – Abstrakte Rege­lun­gen als Chance für einen pro­ak­ti­ven Umgang mit Risi­ken

In der Pra­xis haben sich ver­schie­dene Rah­men­werke für CMS (IDW PS 980, ISO 19600/37001, der DOJ Leitfa­den in sei­ner Neu­fas­sung von 2020) sowie der Leitfa­den des Serious Fraud Office eta­b­liert. Inhalt­lich wer­den darin jeweils ähn­li­che Grund­e­le­mente eines CMS auf­ge­führt. Diese rei­chen von der Risi­ko­i­den­ti­fi­ka­tion und -bewer­tung, über die Eta­b­lie­rung ange­mes­se­ner Ver­hal­tens­grund­sätze und -richt­li­nien, bis hin zu Über­wa­chungs- und Kon­troll­maß­nah­men.

Als Ord­nungs­rah­men für ein funk­ti­ons­fähi­ges CMS hat sich in der Ver­gan­gen­heit das sog. Three Lines of Defense-Modell (TLoD) durch­ge­setzt. Es stellt sich wie folgt dar:

Abb.: TLoD-Modell mit strikter Trennung der Überwachungsaufgaben, angelehnt an das Positionspapier d © Abb.: TLoD-Modell mit strikter Trennung der Überwachungsaufgaben, angelehnt an das Positionspapier d

Die „erste Ver­tei­di­gungs­li­nie“ bil­det das ope­ra­tive Mana­ge­ment. Die­ses ist für die Sicher­stel­lung der Iden­ti­fi­zie­rung, Beur­tei­lung, Kon­trolle sowie eine Ver­min­de­rung der Risi­ken im Rah­men des Tages­ge­schäfts ver­ant­wort­lich.

Die „zweite Ver­tei­di­gungs­li­nie“ ent­hält Risi­ko­ma­na­ge­ment-, Con­trol­ling- und/oder Com­p­li­ance-Funk­tio­nen zur Siche­rung der ers­ten Ver­tei­di­gungs­li­nie.

Die „dritte Ver­tei­di­gungs­li­nie“ bil­det eine pro­zes­s­un­ab­hän­gige Instanz, wie z. B. die interne Revi­sion oder externe Part­ner. Exper­ten prü­fen und beur­tei­len die Über­wa­chungs-, Risi­ko­ma­na­ge­ment- und Kon­troll­struk­tu­ren der vor­he­ri­gen Ver­tei­di­gungs­li­nien und unter­stüt­zen in die­ser Funk­tion die Geschäfts­lei­tung und die Auf­sichts­g­re­mien.

Das Modell legt – wie der Name schon sagt – den Schwer­punkt auf Abwehr­maß­nah­men mit iso­lier­ten Auf­ga­ben­be­rei­chen. Gleich­wohl besteht die Not­wen­dig­keit, Chan­cen zu erken­nen und Risi­ken zu mini­mie­ren.

Das Insti­tute of Inter­nal Audi­tors (IIA) hat aus die­sem Grund das TLoD Modell zum Three Lines Modell (TLM) wei­ter­ent­wi­ckelt und im Juli 2020 der Öff­ent­lich­keit prä­sen­tiert (s. oben).

Das neue Modell ist dar­auf aus­ge­rich­tet, die Ver­ant­wort­lich­kei­ten und Inter­ak­tio­nen von Lei­tung­s­or­gan­gen, Mana­ge­ment und inter­ner Revi­sion bes­ser zu iden­ti­fi­zie­ren und zu struk­tu­rie­ren, um eine effek­ti­vere Zusam­men­ar­beit zu errei­chen. Die wesent­li­che Ände­rung besteht in der Fest­le­gung von sechs Kern­e­le­men­ten, die sich auf die Unter­neh­mens­füh­rung, die Rolle des Lei­tung­s­or­gans, das Mana­ge­ment und die Auf­ga­ben der ers­ten und zwei­ten Linie, die Auf­ga­ben der drit­ten Linie, die Unab­hän­gig­keit der drit­ten Linie sowie die Schaf­fung und den Schutz von Wer­ten bezie­hen.

Das TLM ist unter Berück­sich­ti­gung von Größe, Struk­tur und Kom­ple­xi­tät eines Unter­neh­mens ska­lier­bar und damit für jedes Unter­neh­men hand­hab­bar. In der prak­ti­schen Umset­zung des Modells gilt es daher, die Spe­zi­fika (Größe, Bran­che, Absatz­märkte, Kun­den- und Lie­fe­r­an­ten­struk­tur, IT etc.) des jewei­li­gen (mit­tel­stän­di­schen) Unter­neh­mens als Basis für ein maß­ge­schnei­der­tes CMS her­an­zu­zie­hen und bedarfs­be­zo­gene Schwer­punkte zu bil­den.

Abb.: Drei-Linien-Modell angelehnt an das IAA Positionspapier vom 20.7.2020 © Abb.: Drei-Linien-Modell angelehnt an das IAA Positionspapier vom 20.7.2020

Fol­gende bei­spiel­hafte Fra­gen kön­nen für eine Selb­st­ein­schät­zung der unter­neh­mens­spe­zi­fi­schen Com­p­li­ance-Kom­ple­xi­tät und -Risi­ken berück­sich­tigt wer­den:

  • Hat die Ent­wick­lung unse­rer Pro­zesse und Struk­tu­ren mit unse­rem Wachs­tum mit­ge­hal­ten – oder feh­len mög­li­cher­weise die Res­sour­cen?
  • Wel­che Anfor­de­run­gen beste­hen für die Pro­duk­tion und den Ver­trieb im Aus­land?
  • Wel­che Aus­wir­kun­gen haben staa­ten­spe­zi­fi­sche Rechts­räume und Geschäfts­gepf­lo­gen­hei­ten auf meine inlän­di­schen Com­p­li­ance-Risi­ken?
  • Wie wer­den Com­p­li­ance-Risi­ken bei M&A- Pro­jek­ten gesteu­ert?
  • Hin­ter­fra­gen wir kri­tisch (Geschäfts-) Ent­wick­lun­gen oder belas­sen wir es bei einem flauen Bauch­ge­fühl?
  • Haben wir die not­wen­dige Kom­pe­tenz, Tools und Know-how, um digi­ta­li­sierte Geschäft­s­pro­zesse und Mas­sen­da­ten zu ana­ly­sie­ren?
  • In wel­chen Pro­jek­ten haben wir in der Ver­gan­gen­heit das meiste Geld ver­lo­ren und warum?

Nur eins ist teu­rer als Com­p­li­ance – Non-Com­p­li­ance

Dass Com­p­li­ance eine große Bedeu­tung hat ist den meis­ten Auf­sichts­g­re­mien, Geschäfts­füh­r­ern und Füh­rungs­kräf­ten klar. Den­noch scheuen sich viele, ein in sich gesch­los­se­nes CMS auf­zu­set­zen oder unab­hän­gige Exper­ten hier­für her­an­zu­zie­hen. Nach wie vor über­wie­gen in mit­tel­stän­di­schen Unter­neh­men noch Ein­stel­lun­gen wie „Com­p­li­ance ver­ur­sacht gro­ßen Auf­wand und bringt nichts“, „Andere The­men sind uns gerade wich­ti­ger“, „Wir haben bereits alle mög­li­chen Richt­li­nien, das muss rei­chen“.

Dabei sind die Risi­ken und Kos­ten bei Non-Com­p­li­ance bekannt: Sie rei­chen von Repu­ta­ti­ons­schä­den über die Gefähr­dung von Geschäfts­be­zie­hun­gen, Black­lis­ting oder Aus­schluss von Aus­sch­rei­bungs­ver­fah­ren und Ver­lust von Kun­den bis hin zu Kos­ten der Fal­l­au­f­ar­bei­tung, Straf­zah­lun­gen sowie Haft­stra­fen und Ent­las­sun­gen von straf­fäl­li­gen Mit­ar­bei­tern, der Unter­neh­mens­lei­tung und Orga­nen. Dem gegen­über ste­hen die Vor­teile eines effek­ti­ven CMS:

  • Ver­mei­dung und Präv­en­tion von Straf­ta­ten und Fehl­ver­hal­ten sowie damit ver­bun­dene finan­zi­elle Schä­den und Org­an­haf­tung
  • Schutz der Unter­neh­mens­re­pu­ta­tion
  • Schaf­fung von Ver­trauen sei­tens der Gesell­schaf­ter und Aktio­näre
  • Siche­rung der Wett­be­werbs­fähig­keit und Bezie­hun­gen mit Geschäft­s­part­nern (Kun­den, Ban­ken, Lie­fe­r­an­ten etc.)
  • Bin­dung und Gewin­nung von Mit­ar­bei­tern und High Poten­tials
  • För­de­rung von inte­g­rem Füh­rungs­ver­hal­ten und Akzeptanz in der Beleg­schaft

Com­p­li­ance ist daher nicht allein als Kos­ten­fak­tor zu sehen, son­dern bil­det eine wich­tige Basis für Ver­trauen im Markt und die finan­zi­elle Gesund­heit eines Unter­neh­mens. Dane­ben bie­ten sich eine Viel­zahl von Chan­cen aus einer geleb­ten Com­p­li­ance-Kul­tur.

Com­p­li­ance und interne Revi­sion neu den­ken

Digi­ta­li­sie­rung und auto­ma­ti­sierte Geschäft­s­pro­zesse bestim­men heute die Über­le­bens­fähig­keit von Unter­neh­men. Dage­gen ste­hen tra­di­tio­nelle Über­wa­chungs­in­stru­mente, die sich vor­ran­gig auf Ver­gan­gen­heits­be­wäl­ti­gung und punk­tu­elle Sach­ver­halte fokus­sie­ren.

Moderne CMS, flan­kiert von pro­zes­s­un­ab­hän­gi­gen Instan­zen, wie interne Revi­sio­nen, müs­sen mit Ver­än­de­run­gen Schritt hal­ten, um beste­hen­des Ver­trauen im Unter­neh­men und im Markt zu erhal­ten.  Die Revi­sion wird in die­sem Zusam­men­hang als stra­te­gi­scher Part­ner für Geschäfts­lei­tung und Auf­sichts­g­re­mien an Bedeu­tung gewin­nen.

Neu gedacht wer­den muss nicht nur, „was getan wer­den soll“, son­dern auch „wie etwas getan wird“ und „wer es tut“.

Dem Ein­satz inno­va­ti­ver Tools kommt eine rasant wach­sende Bedeu­tung zu. Diese ermög­li­chen es, Infor­ma­tio­nen in kür­zes­ter Zeit auf­zu­be­rei­ten, Risi­ken zu iden­ti­fi­zie­ren und Reak­tio­nen bei den Über­wa­chungs­in­stan­zen aus­zu­lö­sen. Anwen­dungs­ge­biete sol­cher Tools sind z. B. das sys­te­ma­ti­sche Anti­Fraud-Mana­ge­ment, die Erken­nung von inef­fi­zi­en­ten und kost­spie­li­gen Pro­zes­sen und die Ablö­sung unzeit­ge­mä­ßer und zeit­auf­wen­di­ger Stich­pro­ben­ver­fah­ren.

Klas­sisch auf­ge­s­tellte Kon­troll- und Unter­stüt­zungs­ein­hei­ten sto­ßen auf­grund einer dyna­misch zuneh­men­den Risi­ko­kom­ple­xi­tät und der dadurch not­wen­di­gen Spe­zial­kennt­nisse an Know-how- und Res­sour­cen­g­ren­zen. Künf­tig ist zudem von stei­gen­den Anfor­de­run­gen der Behör­den und damit ver­bun­den einer Aus­wei­tung von Gover­nance-Reviews aus­zu­ge­hen, die tech­no­lo­gisch und per­so­nell unter­stützt wer­den müs­sen. Lösun­gen sind bspw. fle­xi­ble Team­zu­sam­men­set­zun­gen oder Co-Sour­cing mit exter­nen Part­nern, in denen das pas­sende Know-how und Res­sour­cen bedarfs­ge­recht und situa­tiv gebün­delt wer­den.

Die Schwer­punkte der Über­wa­chung müs­sen sich einer­seits an den tat­säch­li­chen Risi­ken ori­en­tie­ren. Ande­rer­seits müs­sen sich Über­wa­chungs­in­stan­zen im Sinne eines vor­aus­schau­en­den Ansat­zes ad hoc zu beson­de­ren Risi­ko­si­tua­tio­nen und pro­jekt­be­g­lei­tend als Spar­ring­s­part­ner der ope­ra­ti­ven Ein­hei­ten ein­brin­gen.

Es steht daher ein Rol­len­wech­sel an, der sich durch die Nut­zung inno­va­ti­ver Tools, der fle­xi­b­len Bün­de­lung inter­ner und exter­ner Kom­pe­tenz sowie einem dyna­mi­schen Ein­satz von Revi­si­ons­teams aus­zeich­net. Die aktu­el­len Ent­wick­lun­gen in der Fach­welt ver­bun­den mit den recht­li­chen Ent­wick­lun­gen (Verb­SanG-E) geben unaus­weich­lich die Rich­tung vor: Com­p­li­ance und interne Revi­sion müs­sen pro­ak­tiv und neu über­dacht wer­den.

nach oben