Skandale, die die Schlagzeilen in der Presse beherrschen, sind aber nur die Spitze eines Eisbergs – Studien belegen, dass immer mehr Firmen mit Rechtsverstößen bis hin zu kriminellen Taten zu kämpfen haben. Kontrollmechanismen sind deshalb gefragter denn je. Umsetzen lässt sich dies mit einem passend zugeschnittenen Compliance-Management-System und innovativen Revisionsmethoden.
Neue Spielregeln für Compliance und interne Revision
Gesetzestreue und Redlichkeit sind für ein gut geführtes Unternehmen seit jeher selbstverständlich. Auch sind Vorstände und Geschäftsführer aufgrund ihrer allgemeinen Legalitäts- und Organisationsverantwortung faktisch zu einer Rechtsbefolgung im gesamten Unternehmen, sog. Compliance, verpflichtet. Spiegelbildlich resultiert hieraus eine umfassende Überwachungspflicht für Aufsichtsgremien wie z. B. Aufsichtsräte, Beiräte o. ä. Aktuell kündigen sich eine Verschärfung der Sanktionen und Haftungsregelungen bei unternehmensbezogenen Straftaten sowie Veränderungen der Compliance- und Investigationspraxis an, die keinesfalls allein Großkonzerne betreffen, sondern auch für mittelständische Unternehmen weitreichende Konsequenzen haben.
Im Fokus steht der Beschluss der Bundesregierung vom 16.6.2020, den Entwurf eines Gesetzes zur Stärkung der Integrität der Wirtschaft in das Gesetzgebungsverfahren einzubringen. Kernstück dessen ist das „Gesetz zur Sanktionierung von verbandsbezogenen Straftaten (Verbandssanktionengesetz – VerSanG-E)“.
Im Kern regelt der Gesetzentwurf die Sanktionen von Verbänden, z. B. AG, GmbH oder GmbH & Co KG, wegen sog. Verbandstaten von Leitungs- und Nichtleitungspersonen und verbindet scharfe Sanktionen mit Anreizen für ein angemessenes und wirksames Compliance-Management-Systeme (CMS; siehe im Detail S. 27). Allgemeine Pflichtbestandteile für ein CMS lässt der Regierungsentwurf jedoch offen.
CMS und interne Revision – Abstrakte Regelungen als Chance für einen proaktiven Umgang mit Risiken
In der Praxis haben sich verschiedene Rahmenwerke für CMS (IDW PS 980, ISO 19600/37001, der DOJ Leitfaden in seiner Neufassung von 2020) sowie der Leitfaden des Serious Fraud Office etabliert. Inhaltlich werden darin jeweils ähnliche Grundelemente eines CMS aufgeführt. Diese reichen von der Risikoidentifikation und -bewertung, über die Etablierung angemessener Verhaltensgrundsätze und -richtlinien, bis hin zu Überwachungs- und Kontrollmaßnahmen.
Als Ordnungsrahmen für ein funktionsfähiges CMS hat sich in der Vergangenheit das sog. Three Lines of Defense-Modell (TLoD) durchgesetzt. Es stellt sich wie folgt dar:
Die „erste Verteidigungslinie“ bildet das operative Management. Dieses ist für die Sicherstellung der Identifizierung, Beurteilung, Kontrolle sowie eine Verminderung der Risiken im Rahmen des Tagesgeschäfts verantwortlich.
Die „zweite Verteidigungslinie“ enthält Risikomanagement-, Controlling- und/oder Compliance-Funktionen zur Sicherung der ersten Verteidigungslinie.
Die „dritte Verteidigungslinie“ bildet eine prozessunabhängige Instanz, wie z. B. die interne Revision oder externe Partner. Experten prüfen und beurteilen die Überwachungs-, Risikomanagement- und Kontrollstrukturen der vorherigen Verteidigungslinien und unterstützen in dieser Funktion die Geschäftsleitung und die Aufsichtsgremien.
Das Modell legt – wie der Name schon sagt – den Schwerpunkt auf Abwehrmaßnahmen mit isolierten Aufgabenbereichen. Gleichwohl besteht die Notwendigkeit, Chancen zu erkennen und Risiken zu minimieren.
Das Institute of Internal Auditors (IIA) hat aus diesem Grund das TLoD Modell zum Three Lines Modell (TLM) weiterentwickelt und im Juli 2020 der Öffentlichkeit präsentiert (s. oben).
Das neue Modell ist darauf ausgerichtet, die Verantwortlichkeiten und Interaktionen von Leitungsorgangen, Management und interner Revision besser zu identifizieren und zu strukturieren, um eine effektivere Zusammenarbeit zu erreichen. Die wesentliche Änderung besteht in der Festlegung von sechs Kernelementen, die sich auf die Unternehmensführung, die Rolle des Leitungsorgans, das Management und die Aufgaben der ersten und zweiten Linie, die Aufgaben der dritten Linie, die Unabhängigkeit der dritten Linie sowie die Schaffung und den Schutz von Werten beziehen.
Das TLM ist unter Berücksichtigung von Größe, Struktur und Komplexität eines Unternehmens skalierbar und damit für jedes Unternehmen handhabbar. In der praktischen Umsetzung des Modells gilt es daher, die Spezifika (Größe, Branche, Absatzmärkte, Kunden- und Lieferantenstruktur, IT etc.) des jeweiligen (mittelständischen) Unternehmens als Basis für ein maßgeschneidertes CMS heranzuziehen und bedarfsbezogene Schwerpunkte zu bilden.
Folgende beispielhafte Fragen können für eine Selbsteinschätzung der unternehmensspezifischen Compliance-Komplexität und -Risiken berücksichtigt werden:
- Hat die Entwicklung unserer Prozesse und Strukturen mit unserem Wachstum mitgehalten – oder fehlen möglicherweise die Ressourcen?
- Welche Anforderungen bestehen für die Produktion und den Vertrieb im Ausland?
- Welche Auswirkungen haben staatenspezifische Rechtsräume und Geschäftsgepflogenheiten auf meine inländischen Compliance-Risiken?
- Wie werden Compliance-Risiken bei M&A- Projekten gesteuert?
- Hinterfragen wir kritisch (Geschäfts-) Entwicklungen oder belassen wir es bei einem flauen Bauchgefühl?
- Haben wir die notwendige Kompetenz, Tools und Know-how, um digitalisierte Geschäftsprozesse und Massendaten zu analysieren?
- In welchen Projekten haben wir in der Vergangenheit das meiste Geld verloren und warum?
Nur eins ist teurer als Compliance – Non-Compliance
Dass Compliance eine große Bedeutung hat ist den meisten Aufsichtsgremien, Geschäftsführern und Führungskräften klar. Dennoch scheuen sich viele, ein in sich geschlossenes CMS aufzusetzen oder unabhängige Experten hierfür heranzuziehen. Nach wie vor überwiegen in mittelständischen Unternehmen noch Einstellungen wie „Compliance verursacht großen Aufwand und bringt nichts“, „Andere Themen sind uns gerade wichtiger“, „Wir haben bereits alle möglichen Richtlinien, das muss reichen“.
Dabei sind die Risiken und Kosten bei Non-Compliance bekannt: Sie reichen von Reputationsschäden über die Gefährdung von Geschäftsbeziehungen, Blacklisting oder Ausschluss von Ausschreibungsverfahren und Verlust von Kunden bis hin zu Kosten der Fallaufarbeitung, Strafzahlungen sowie Haftstrafen und Entlassungen von straffälligen Mitarbeitern, der Unternehmensleitung und Organen. Dem gegenüber stehen die Vorteile eines effektiven CMS:
- Vermeidung und Prävention von Straftaten und Fehlverhalten sowie damit verbundene finanzielle Schäden und Organhaftung
- Schutz der Unternehmensreputation
- Schaffung von Vertrauen seitens der Gesellschafter und Aktionäre
- Sicherung der Wettbewerbsfähigkeit und Beziehungen mit Geschäftspartnern (Kunden, Banken, Lieferanten etc.)
- Bindung und Gewinnung von Mitarbeitern und High Potentials
- Förderung von integrem Führungsverhalten und Akzeptanz in der Belegschaft
Compliance ist daher nicht allein als Kostenfaktor zu sehen, sondern bildet eine wichtige Basis für Vertrauen im Markt und die finanzielle Gesundheit eines Unternehmens. Daneben bieten sich eine Vielzahl von Chancen aus einer gelebten Compliance-Kultur.
Compliance und interne Revision neu denken
Digitalisierung und automatisierte Geschäftsprozesse bestimmen heute die Überlebensfähigkeit von Unternehmen. Dagegen stehen traditionelle Überwachungsinstrumente, die sich vorrangig auf Vergangenheitsbewältigung und punktuelle Sachverhalte fokussieren.
Moderne CMS, flankiert von prozessunabhängigen Instanzen, wie interne Revisionen, müssen mit Veränderungen Schritt halten, um bestehendes Vertrauen im Unternehmen und im Markt zu erhalten. Die Revision wird in diesem Zusammenhang als strategischer Partner für Geschäftsleitung und Aufsichtsgremien an Bedeutung gewinnen.
Neu gedacht werden muss nicht nur, „was getan werden soll“, sondern auch „wie etwas getan wird“ und „wer es tut“.
Dem Einsatz innovativer Tools kommt eine rasant wachsende Bedeutung zu. Diese ermöglichen es, Informationen in kürzester Zeit aufzubereiten, Risiken zu identifizieren und Reaktionen bei den Überwachungsinstanzen auszulösen. Anwendungsgebiete solcher Tools sind z. B. das systematische AntiFraud-Management, die Erkennung von ineffizienten und kostspieligen Prozessen und die Ablösung unzeitgemäßer und zeitaufwendiger Stichprobenverfahren.
Klassisch aufgestellte Kontroll- und Unterstützungseinheiten stoßen aufgrund einer dynamisch zunehmenden Risikokomplexität und der dadurch notwendigen Spezialkenntnisse an Know-how- und Ressourcengrenzen. Künftig ist zudem von steigenden Anforderungen der Behörden und damit verbunden einer Ausweitung von Governance-Reviews auszugehen, die technologisch und personell unterstützt werden müssen. Lösungen sind bspw. flexible Teamzusammensetzungen oder Co-Sourcing mit externen Partnern, in denen das passende Know-how und Ressourcen bedarfsgerecht und situativ gebündelt werden.
Die Schwerpunkte der Überwachung müssen sich einerseits an den tatsächlichen Risiken orientieren. Andererseits müssen sich Überwachungsinstanzen im Sinne eines vorausschauenden Ansatzes ad hoc zu besonderen Risikosituationen und projektbegleitend als Sparringspartner der operativen Einheiten einbringen.
Es steht daher ein Rollenwechsel an, der sich durch die Nutzung innovativer Tools, der flexiblen Bündelung interner und externer Kompetenz sowie einem dynamischen Einsatz von Revisionsteams auszeichnet. Die aktuellen Entwicklungen in der Fachwelt verbunden mit den rechtlichen Entwicklungen (VerbSanG-E) geben unausweichlich die Richtung vor: Compliance und interne Revision müssen proaktiv und neu überdacht werden.