In der täglichen Compliance-Arbeit zeigt sich schnell, dass ein CMS besonders dann erfolgreich ist, wenn es nicht als zusätzliches Programm – oftmals reaktionär – implementiert wird, sondern als integraler Bestandteil der vorgeschilderten Regeln gesehen, es also systematisch und organisatorisch in die Risikoanalyse und das Interne Kontrollsystem eingebettet wird bzw. darin aufgeht.

Die tatsächliche Situation in vielen Unternehmen, die nun seit einigen Jahren den oben skizzierten Anforderungen aus dem C-SOX unterliegen, ist allerdings das Vorhandensein separierter Systeme für IKS und Risikomanagement. Dazu kommt ein mehr oder minder wirksames Compliance-Programm. Die Folge dieser Insellösungen sind parallele, inhaltlich und methodisch nicht abgestimmte Prozesse zur Erhebung und Bewertung von Risiken, definierten Maßnahmen und Kontrollen. Verantwortlichkeiten für Compliance, IKS und Risikomanagement sind organisatorisch z.B. in den Bereichen Recht, Interne Revision oder Audit, Controlling oder – wo vorhanden – einer Compliance-Organisation getrennt. Durch solch separate Berichtsprozesse und eine unzureichende Konsolidierung der Informationen auf Management-Ebene kommt es schnell zu inhaltlichen Überschneidungen oder, schlimmer, zu Divergenzen.

Hat man diese Situation als verbesserungswürdig erkannt, stellt sich die Frage, wie eine sinnvolle Verzahnung gelingen kann. Zunächst empfiehlt sich die Zusammenführung der einzelnen Erhebungs-, Bewertungs- und Berichtsprozesse in einem Regelprozess. Risiken aus den Kategorien Strategie, Geschäftsbetrieb, Finanzen und Compliance werden dabei von den operativen Einheiten in einem einheitlichen Prozess und Turnus abgefragt, bewertet und in einem unternehmensweiten Risikoregister dokumentiert. Um die Vergleichbarkeit verschiedener Risiken aus unterschiedlichen Risikokategorien zu gewährleisten, kommt eine harmonisierte Bewertungsmethodik zum Einsatz, die sowohl eine monetäre als auch eine qualitative Einschätzung der Risiken in Bezug auch auf qualitative Dimensionen wie z.B. die Reputationswirkung, die Bindung von Managementressourcen oder eventuelle Haftungsrisiken ermöglicht. Im besten Fall erlaubt dabei ein unterstützendes einheitliches Tool, dass all diese Daten dezentral erfasst und zentral ausgewertet werden können.

Darüber hinaus ist zu überlegen, die Koordination und das Berichtswesen von Risikomanagement, Compliance-Management und Internem Kontrollsystem in einer definierten Governance-Funktion im Zentralbereich zu bündeln. Diese könnte zum einen für die stetige Ergänzung der Risikoerfassung um Compliance-Risiken sorgen und eine einheitliche Dokumentation des Risikoregisters gewährleisten und zum anderen sicherstellen, dass die getroffenen Gegenmaßnahmen im Rahmen des Internen Kontrollsystems in die Unternehmensprozesse einfließen und regelmäßig auf ihre Wirksamkeit hin überprüft werden. Damit würden weitere Reibungsverluste reduziert und es gäbe einheitliche Ansprechpartner für alle Fragestellungen rund um die genannten Teilsysteme mit entsprechendem Know-how und vor allem der erforderlichen Methodenkompetenz. Bei einer so weitgehenden Bündelung ist allerdings immer auch die Unabhängigkeit der einzelnen Verantwortlichen gefährdet. Zwar kann z.B. ein Vertreter der Compliance-Funktion Risiken identifizieren und bewerten und auch entsprechende Maßnahmen daraus ableiten, spätestens die Kontrolle sollte aber durch eine unabhängige Einheit vorgenommen werden. Umgekehrt wäre ein Risikomanagement-Verantwortlicher eventuell überfordert, Maßnahmen zu entwickeln, die geeignet sind, erkannte typische Compliance-Risiken aus den Bereichen Korruption oder Kartellrecht wirksam zu mitigieren.

Unabhängig davon, wie weit die Bündelung im Einzelnen geht, liegt ihr Vorteil in jedem Fall in einer Effizienzsteigerung durch einheitliche Abläufe und hohe Automatisierung der Prozesse. Auch erhöht die Verzahnung die Transparenz für das Management bzgl. der relevanten Risiken und der Wirksamkeit der Gegenmaßnahmen und Kontrollen. So können auch Compliance-Risiken einen stringenten Niederschlag in der Forecast-Erstellung und bei der Festlegung der Strategie finden. Nicht zuletzt erleichtert die Bündelung der Systeme auch die klare Zurechnung von Compliance- und Integritätsmanagement in die Linienverantwortung, da schnell klar wird, dass ähnlich der Risikobewertung und dem Internen Kontrollsystem auch das Compliance Management System originäre Aufgabe aller Geschäftsverantwortlichen und nicht – wie noch vielfach angenommen – der Compliance-Organisation ist.

5.1 Compliance-Kontrollen

Basierend auf den oben gemachten Ausführungen sollte also jedes gute Compliance-Management mit einer fundierten und systematischen Risikoerfassung z.B. nach den oben skizzierten COSO-ERM-Grundsätzen beginnen.

Hat ein Unternehmen im Rahmen seines Risikomanagements eine Analyse und Bewertung seiner Compliance-Risiken durchgeführt und den identifizierten Risiken über die Implementierung adäquater Compliance-Regeln geeignete Gegenmaßnahmen zugeordne...

Das ist nur ein Ausschnitt aus dem Produkt Haufe Compliance Office Online. Sie wollen mehr?


Meistgelesene beiträge