de en
Nexia Ebner Stolz

Wirtschaftsprüfung

Wenn Sie an die Kosten für Compliance denken – Was kostet Sie Non-Compliance?

Ak­tu­elle Com­pli­ance-Skan­dale, wie Die­sel­gate, pro­mi­nente Wirt­schafts­straf­ver­fah­ren um Be­ste­chungs- und Schmier­gel­der, Kar­tell­rechts­verstöße so­wie auf­se­hen­er­re­gende Bi­lanz­ma­ni­pu­la­ti­ons- und Be­trugsfälle in der jüngs­ten Ver­gan­gen­heit zei­gen, dass Ge­set­zes­verstöße bei Großkon­zer­nen aber auch bei mit­telständi­sche Un­ter­neh­men zu fi­nan­zi­el­len Schäden, Re­pu­ta­ti­ons­ver­lust und Haf­tungs­ri­si­ken der Ent­schei­der führen.

Skan­dale, die die Schlag­zei­len in der Presse be­herr­schen, sind aber nur die Spitze ei­nes Eis­bergs – Stu­dien be­le­gen, dass im­mer mehr Fir­men mit Rechts­verstößen bis hin zu kri­mi­nel­len Ta­ten zu kämp­fen ha­ben. Kon­troll­me­cha­nis­men sind des­halb ge­frag­ter denn je. Um­set­zen lässt sich dies mit einem pas­send zu­ge­schnit­te­nen Com­pli­ance-Ma­nage­ment-Sys­tem und in­no­va­ti­ven Re­vi­si­ons­me­tho­den.

© iStock

Neue Spielregeln für Compliance und interne Revision

Ge­set­zes­treue und Red­lich­keit sind für ein gut geführ­tes Un­ter­neh­men seit je­her selbst­verständ­lich. Auch sind Vorstände und Ge­schäftsführer auf­grund ih­rer all­ge­mei­nen Le­ga­litäts- und Or­ga­ni­sa­ti­ons­ver­ant­wor­tung fak­ti­sch zu ei­ner Rechts­be­fol­gung im ge­sam­ten Un­ter­neh­men, sog. Com­pli­ance, ver­pflich­tet. Spie­gel­bild­lich re­sul­tiert hier­aus eine um­fas­sende Über­wa­chungs­pflicht für Auf­sichts­gre­mien wie z. B. Auf­sichtsräte, Beiräte o. ä. Ak­tu­ell kündi­gen sich eine Ver­schärfung der Sank­tio­nen und Haf­tungs­re­ge­lun­gen bei un­ter­neh­mens­be­zo­ge­nen Straf­ta­ten so­wie Verände­run­gen der Com­pli­ance- und In­ves­ti­ga­ti­ons­pra­xis an, die kei­nes­falls al­lein Großkon­zerne be­tref­fen, son­dern auch für mit­telständi­sche Un­ter­neh­men weit­rei­chende Kon­se­quen­zen ha­ben.

Im Fo­kus steht der Be­schluss der Bun­des­re­gie­rung vom 16.6.2020, den Ent­wurf ei­nes Ge­set­zes zur Stärkung der In­te­grität der Wirt­schaft in das Ge­setz­ge­bungs­ver­fah­ren ein­zu­brin­gen. Kernstück des­sen ist das „Ge­setz zur Sank­tio­nie­rung von ver­bands­be­zo­ge­nen Straf­ta­ten (Ver­bands­sank­tio­nen­ge­setz – Ver­SanG-E)“.

Im Kern re­gelt der Ge­setz­ent­wurf die Sank­tio­nen von Verbänden, z. B. AG, GmbH oder GmbH & Co KG, we­gen sog. Ver­band­sta­ten von Lei­tungs- und Nicht­lei­tungs­per­so­nen und ver­bin­det scharfe Sank­tio­nen mit An­rei­zen für ein an­ge­mes­se­nes und wirk­sa­mes Com­pli­ance-Ma­nage­ment-Sys­teme (CMS; siehe im De­tail S. 27). All­ge­meine Pflicht­be­stand­teile für ein CMS lässt der Re­gie­rungs­ent­wurf je­doch of­fen.

CMS und interne Revision – Abstrakte Regelungen als Chance für einen proaktiven Umgang mit Risiken

In der Pra­xis ha­ben sich ver­schie­dene Rah­men­werke für CMS (IDW PS 980, ISO 19600/37001, der DOJ Leit­fa­den in sei­ner Neu­fas­sung von 2020) so­wie der Leit­fa­den des Se­rious Fraud Of­fice eta­bliert. In­halt­lich wer­den darin je­weils ähn­li­che Grund­ele­mente ei­nes CMS auf­geführt. Diese rei­chen von der Ri­si­ko­iden­ti­fi­ka­tion und -be­wer­tung, über die Eta­blie­rung an­ge­mes­se­ner Ver­hal­tens­grundsätze und -richt­li­nien, bis hin zu Über­wa­chungs- und Kon­trollmaßnah­men.

Als Ord­nungs­rah­men für ein funk­ti­onsfähi­ges CMS hat sich in der Ver­gan­gen­heit das sog. Th­ree Lines of De­fense-Mo­dell (TLoD) durch­ge­setzt. Es stellt sich wie folgt dar:

Abb.: TLoD-Modell mit strikter Trennung der Überwachungsaufgaben, angelehnt an das Positionspapier d © Abb.: TLoD-Modell mit strikter Trennung der Überwachungsaufgaben, angelehnt an das Positionspapier d

Die „er­ste Ver­tei­di­gungs­li­nie“ bil­det das ope­ra­tive Ma­nage­ment. Die­ses ist für die Si­cher­stel­lung der Iden­ti­fi­zie­rung, Be­ur­tei­lung, Kon­trolle so­wie eine Ver­min­de­rung der Ri­si­ken im Rah­men des Ta­ges­ge­schäfts ver­ant­wort­lich.

Die „zweite Ver­tei­di­gungs­li­nie“ enthält Ri­si­ko­ma­nage­ment-, Con­trol­ling- und/oder Com­pli­ance-Funk­tio­nen zur Si­che­rung der ers­ten Ver­tei­di­gungs­li­nie.

Die „dritte Ver­tei­di­gungs­li­nie“ bil­det eine pro­zes­sun­abhängige In­stanz, wie z. B. die in­terne Re­vi­sion oder ex­terne Part­ner. Ex­per­ten prüfen und be­ur­tei­len die Über­wa­chungs-, Ri­si­ko­ma­nage­ment- und Kon­troll­struk­tu­ren der vor­he­ri­gen Ver­tei­di­gungs­li­nien und un­terstützen in die­ser Funk­tion die Ge­schäfts­lei­tung und die Auf­sichts­gre­mien.

Das Mo­dell legt – wie der Name schon sagt – den Schwer­punkt auf Ab­wehrmaßnah­men mit iso­lier­ten Auf­ga­ben­be­rei­chen. Gleich­wohl be­steht die Not­wen­dig­keit, Chan­cen zu er­ken­nen und Ri­si­ken zu mi­ni­mie­ren.

Das In­sti­tute of In­ter­nal Au­di­tors (IIA) hat aus die­sem Grund das TLoD Mo­dell zum Th­ree Lines Mo­dell (TLM) wei­ter­ent­wi­ckelt und im Juli 2020 der Öff­ent­lich­keit präsen­tiert (s. oben).

Das neue Mo­dell ist dar­auf aus­ge­rich­tet, die Ver­ant­wort­lich­kei­ten und In­ter­ak­tio­nen von Lei­tungs­or­gan­gen, Ma­nage­ment und in­ter­ner Re­vi­sion bes­ser zu iden­ti­fi­zie­ren und zu struk­tu­rie­ren, um eine ef­fek­ti­vere Zu­sam­men­ar­beit zu er­rei­chen. Die we­sent­li­che Ände­rung be­steht in der Fest­le­gung von sechs Kern­ele­men­ten, die sich auf die Un­ter­neh­mensführung, die Rolle des Lei­tungs­or­gans, das Ma­nage­ment und die Auf­ga­ben der ers­ten und zwei­ten Li­nie, die Auf­ga­ben der drit­ten Li­nie, die Un­abhängig­keit der drit­ten Li­nie so­wie die Schaf­fung und den Schutz von Wer­ten be­zie­hen.

Das TLM ist un­ter Berück­sich­ti­gung von Größe, Struk­tur und Kom­ple­xität ei­nes Un­ter­neh­mens ska­lier­bar und da­mit für je­des Un­ter­neh­men hand­hab­bar. In der prak­ti­schen Um­set­zung des Mo­dells gilt es da­her, die Spe­zi­fika (Größe, Bran­che, Ab­satzmärkte, Kun­den- und Lie­fe­ran­ten­struk­tur, IT etc.) des je­wei­li­gen (mit­telständi­schen) Un­ter­neh­mens als Ba­sis für ein maßge­schnei­der­tes CMS her­an­zu­zie­hen und be­darfs­be­zo­gene Schwer­punkte zu bil­den.

Abb.: Drei-Linien-Modell angelehnt an das IAA Positionspapier vom 20.7.2020 © Abb.: Drei-Linien-Modell angelehnt an das IAA Positionspapier vom 20.7.2020

Fol­gende bei­spiel­hafte Fra­gen können für eine Selbst­ein­schätzung der un­ter­neh­mens­spe­zi­fi­schen Com­pli­ance-Kom­ple­xität und -Ri­si­ken berück­sich­tigt wer­den:

  • Hat die Ent­wick­lung un­se­rer Pro­zesse und Struk­tu­ren mit un­se­rem Wachs­tum mit­ge­hal­ten – oder feh­len mögli­cher­weise die Res­sour­cen?
  • Wel­che An­for­de­run­gen be­ste­hen für die Pro­duk­tion und den Ver­trieb im Aus­land?
  • Wel­che Aus­wir­kun­gen ha­ben staa­ten­spe­zi­fi­sche Rechtsräume und Ge­schäfts­ge­pflo­gen­hei­ten auf meine inländi­schen Com­pli­ance-Ri­si­ken?
  • Wie wer­den Com­pli­ance-Ri­si­ken bei M&A- Pro­jek­ten ge­steu­ert?
  • Hin­ter­fra­gen wir kri­ti­sch (Ge­schäfts-) Ent­wick­lun­gen oder be­las­sen wir es bei einem flauen Bauch­gefühl?
  • Ha­ben wir die not­wen­dige Kom­pe­tenz, Tools und Know-how, um di­gi­ta­li­sierte Ge­schäfts­pro­zesse und Mas­sen­da­ten zu ana­ly­sie­ren?
  • In wel­chen Pro­jek­ten ha­ben wir in der Ver­gan­gen­heit das meiste Geld ver­lo­ren und wa­rum?

Nur eins ist teurer als Compliance – Non-Compliance

Dass Com­pli­ance eine große Be­deu­tung hat ist den meis­ten Auf­sichts­gre­mien, Ge­schäftsführern und Führungskräften klar. Den­noch scheuen sich viele, ein in sich ge­schlos­se­nes CMS auf­zu­set­zen oder un­abhängige Ex­per­ten hierfür her­an­zu­zie­hen. Nach wie vor über­wie­gen in mit­telständi­schen Un­ter­neh­men noch Ein­stel­lun­gen wie „Com­pli­ance ver­ur­sacht großen Auf­wand und bringt nichts“, „An­dere The­men sind uns ge­rade wich­ti­ger“, „Wir ha­ben be­reits alle mögli­chen Richt­li­nien, das muss rei­chen“.

Da­bei sind die Ri­si­ken und Kos­ten bei Non-Com­pli­ance be­kannt: Sie rei­chen von Re­pu­ta­ti­ons­schäden über die Gefähr­dung von Ge­schäfts­be­zie­hun­gen, Black­lis­ting oder Aus­schluss von Aus­schrei­bungs­ver­fah­ren und Ver­lust von Kun­den bis hin zu Kos­ten der Fall­auf­ar­bei­tung, Straf­zah­lun­gen so­wie Haft­stra­fen und Ent­las­sun­gen von straffälli­gen Mit­ar­bei­tern, der Un­ter­neh­mens­lei­tung und Or­ga­nen. Dem ge­genüber ste­hen die Vor­teile ei­nes ef­fek­ti­ven CMS:

  • Ver­mei­dung und Präven­tion von Straf­ta­ten und Fehl­ver­hal­ten so­wie da­mit ver­bun­dene fi­nan­zi­elle Schäden und Or­gan­haf­tung
  • Schutz der Un­ter­neh­mens­re­pu­ta­tion
  • Schaf­fung von Ver­trauen sei­tens der Ge­sell­schaf­ter und Ak­tionäre
  • Si­che­rung der Wett­be­werbsfähig­keit und Be­zie­hun­gen mit Ge­schäfts­part­nern (Kun­den, Ban­ken, Lie­fe­ran­ten etc.)
  • Bin­dung und Ge­win­nung von Mit­ar­bei­tern und High Po­ten­ti­als
  • Förde­rung von in­te­grem Führungs­ver­hal­ten und Ak­zep­tanz in der Be­leg­schaft

Com­pli­ance ist da­her nicht al­lein als Kos­ten­fak­tor zu se­hen, son­dern bil­det eine wich­tige Ba­sis für Ver­trauen im Markt und die fi­nan­zi­elle Ge­sund­heit ei­nes Un­ter­neh­mens. Da­ne­ben bie­ten sich eine Viel­zahl von Chan­cen aus ei­ner ge­leb­ten Com­pli­ance-Kul­tur.

Compliance und interne Revision neu denken

Di­gi­ta­li­sie­rung und au­to­ma­ti­sierte Ge­schäfts­pro­zesse be­stim­men heute die Über­le­bensfähig­keit von Un­ter­neh­men. Da­ge­gen ste­hen tra­di­tio­nelle Über­wa­chungs­in­stru­mente, die sich vor­ran­gig auf Ver­gan­gen­heits­bewälti­gung und punk­tu­elle Sach­ver­halte fo­kus­sie­ren.

Mo­derne CMS, flan­kiert von pro­zes­sun­abhängi­gen In­stan­zen, wie in­terne Re­vi­sio­nen, müssen mit Verände­run­gen Schritt hal­ten, um be­ste­hen­des Ver­trauen im Un­ter­neh­men und im Markt zu er­hal­ten.  Die Re­vi­sion wird in die­sem Zu­sam­men­hang als stra­te­gi­scher Part­ner für Ge­schäfts­lei­tung und Auf­sichts­gre­mien an Be­deu­tung ge­win­nen.

Neu ge­dacht wer­den muss nicht nur, „was ge­tan wer­den soll“, son­dern auch „wie et­was ge­tan wird“ und „wer es tut“.

Dem Ein­satz in­no­va­ti­ver Tools kommt eine ra­sant wach­sende Be­deu­tung zu. Diese ermögli­chen es, In­for­ma­tio­nen in kürzes­ter Zeit auf­zu­be­rei­ten, Ri­si­ken zu iden­ti­fi­zie­ren und Re­ak­tio­nen bei den Über­wa­chungs­in­stan­zen aus­zulösen. An­wen­dungs­ge­biete sol­cher Tools sind z. B. das sys­te­ma­ti­sche An­ti­Fraud-Ma­nage­ment, die Er­ken­nung von in­ef­fi­zi­en­ten und kost­spie­li­gen Pro­zes­sen und die Ablösung un­zeit­gemäßer und zeit­auf­wen­di­ger Stich­pro­ben­ver­fah­ren.

Klas­si­sch auf­ge­stellte Kon­troll- und Un­terstützungs­ein­hei­ten stoßen auf­grund ei­ner dy­na­mi­sch zu­neh­men­den Ri­si­ko­kom­ple­xität und der da­durch not­wen­di­gen Spe­zi­al­kennt­nisse an Know-how- und Res­sour­cen­gren­zen. Künf­tig ist zu­dem von stei­gen­den An­for­de­run­gen der Behörden und da­mit ver­bun­den ei­ner Aus­wei­tung von Go­ver­nance-Re­views aus­zu­ge­hen, die tech­no­lo­gi­sch und per­so­nell un­terstützt wer­den müssen. Lösun­gen sind bspw. fle­xi­ble Team­zu­sam­men­set­zun­gen oder Co-Sour­cing mit ex­ter­nen Part­nern, in de­nen das pas­sende Know-how und Res­sour­cen be­darfs­ge­recht und si­tua­tiv gebündelt wer­den.

Die Schwer­punkte der Über­wa­chung müssen sich ei­ner­seits an den tatsäch­li­chen Ri­si­ken ori­en­tie­ren. An­de­rer­seits müssen sich Über­wa­chungs­in­stan­zen im Sinne ei­nes vor­aus­schau­en­den An­sat­zes ad hoc zu be­son­de­ren Ri­si­ko­si­tua­tio­nen und pro­jekt­be­glei­tend als Spar­rings­part­ner der ope­ra­ti­ven Ein­hei­ten ein­brin­gen.

Es steht da­her ein Rol­len­wech­sel an, der sich durch die Nut­zung in­no­va­ti­ver Tools, der fle­xi­blen Bünde­lung in­ter­ner und ex­ter­ner Kom­pe­tenz so­wie einem dy­na­mi­schen Ein­satz von Re­vi­si­ons­teams aus­zeich­net. Die ak­tu­el­len Ent­wick­lun­gen in der Fach­welt ver­bun­den mit den recht­li­chen Ent­wick­lun­gen (VerbS­anG-E) ge­ben un­aus­weich­lich die Rich­tung vor: Com­pli­ance und in­terne Re­vi­sion müssen pro­ak­tiv und neu über­dacht wer­den.

nach oben