Compliance (BWL)

Compliance bzw. Regeltreue (auch Regelkonformität) ist in der betriebswirtschaftlichen Fachsprache der Begriff für die Einhaltung von Gesetzen und Richtlinien in Unternehmen, aber auch von freiwilligen Kodizes. Im Deutschen entsprechen diesem Begriff die Wörter „Regelüberwachung“ oder einfach „Überwachung". Die Sicherstellung von Compliance oder Regelüberwachung in Unternehmen kann organisatorische Maßnahmen stützen.

Definition

„Der Begriff Compliance steht für die Einhaltung von gesetzlichen Bestimmungen, regulatorischer Standards und Erfüllung weiterer, wesentlicher und in der Regel vom Unternehmen selbst gesetzter ethischer Standards und Anforderungen.“

– Eberhard Krügler^[1]

Es geht um die Sicherstellung von Gesetzes- und Regelungstreue im Unternehmen.

Durchführung

Um die Aufgaben zu lösen, gibt es unterschiedliche Ansätze. Das Nichteinhalten von Compliance-Regelungen gehört zu den zehn generellen Unternehmensrisiken. In einem Beobachtungszeitraum von zwei Jahren war jedes zweite Wirtschaftsunternehmen einer Studie von Wirtschaftskriminalität betroffen. Bei einer hohen Dunkelziffer wird der Gesamtschaden aufgedeckter Verstöße auf mehr als 6 Millionen Euro jährlich geschätzt.^[2] Compliance und Überwachung gilt als ein Element der ordnungsgemäßen Unternehmensführung, des Corporate Governance. Von Bedeutung für die Compliance ist die Informationssicherheit sowie die Einhaltung von Ausfuhrbestimmungen (innerbetriebliche Export- und Re-Exportkontrolle). Verstöße gegen die Überwachung der gesetzlich vorgeschriebenen Prozesse kann zu Unternehmensstrafen, Bußgeldern, Gewinnabschöpfung oder dem Verfall des durch den Gesetzesverstoß erzielten Gewinn führen. Diese direkten Verluste werden durch zusätzliche externe und interne Kosten für Verfahren, Schadensersatzansprüche und Rückabwicklungen erhöht.^[1]

Es besteht zwar keine Verpflichtung zur Einrichtung einer Complianceorganisation, aber gesetzestreues Verhalten ist unternehmerische Pflicht und es liegt im Eigeninteresse, Risiken zu verringern oder zu überwälzen. Mittelbar bestehen für Aktiengesellschaften und GmbHs Verpflichtungen durch die Geschäftsleiterverantwortung nach §§76, Abs. 1, 93 AktG und §43 GmbHG und eine strafrechtliche Organisationspflicht nach §§30 und 130 des Ordnungswidrigkeitengesetzes (OWiG).^[1] Unternehmen richten bei einer ausreichenden Größe eine Complianceorganiation ein, die Teil der Unternehmensorganisation ist. Vom Institut der Wirtschaftsprüfer wurde der IDW-Prüfungsstandard PS 980 entwickelt, um Compliancesysteme durch Wirtschaftsprüfer standardisiert zu untersuchen.^[1]

Bestandteil einer solchen Organisation ist ein „Mission Statement“, worin sich die Umternehmensleitung zu Gesetzestreue und Ethik bekennt, und wird ergänzt durch einen Verhaltenskodex, „Code of Conduct“, der den Mitarbeitern Verhaltensregeln vorgibt. Zu diesen Regeln gehören die Vermeidung von Korruption und Kartellabsprachen, das Einhalten von Vorgaben bezüglich Datenschutz und Gleichbehandlung sowie die Beachtung von Vorschriften zu Produktsicherheit und Arbeitsschutz. Aufbau, Pflege und Fortentwicklung werden einem Complianceverantwortlichen (Compliance Officer, Compliance Beauftragter) übergeben, der dann auch ein Complianceprogramm erarbeitet, Mitarbeiterschulungen und die Analyse der möglichen Risiken übernimmt. Regelstrukturen sind Hotlines (Whistleblowing Hotline), bei den Regelverstöße gemeldet werden können, die unernehmensintern oder bei externen Ansprechpartnern eingerichtet sind.^[1]

Bei Kreditinstituten und Finanzdienstleistern werden oft besondere Compliance-/Überwachungs-Abteilungen eingerichtet. Sie wachen beispielsweise darüber, dass die nationalen und internationalen Gesetze und Richtlinien gegen kriminelle Handlungen, Finanzsanktionen, Marktmissbrauch, Interessenkonflikte, Insiderhandel, Geldwäsche oder zum Datenschutz eingehalten werden. In Steuerberatungsgesellschaften kümmern sich Compliance-/Überwachungs-Abteilungen um die Erfüllung steuerlicher Deklarationsvorschriften (vor allem die Abgabe von Steuererklärungen) und übernehmen in der Regel keine eigentlichen Beratungsaufgaben. ^[3]

Compliance ist nicht nur Thema für Wirtschaftsunternehmen, auch Organisationen wie Religionsgemeinschaften, Schulen und Vereine unterliegen Regularien. ^[4] Auf der anderen Seite mehren sich Leitlinien, die sich Organisationen selbst geben, um damit nach außen wieder werben zu können.^[5]

Compliance-Organisation

Grundvoraussetzung für Compliance-Organisation im Unternehmen ist die Schaffung eines eigenen Verantwortungsbereiches. Ihn organisiert ein Compliance Manager, der sinnvollerweise unabhängig von bestehenden Hierarchien unternehmensweite Verantwortung trägt und entweder selber dem Vorstand angehört oder ihm direkt unterstellt ist.

Die vier Grundpfeiler für eine effektive Compliance-Organisation:

Organisation von Compliance

1. Identifikation von Risiken

• Benchmarking
• Identifikation und Analyse des rechtlichen Risikos
• Kenntnisse der rechtlichen Rahmenbedingungen

2. Internes Informationssystem

• Einschätzung des Schulungsbedarfs
• Entwicklung und Verbesserung von Unternehmensrichtlinien

3. Internes und Externes Kommunikationssystem

• Meldesystem für Verstöße
• Entwicklung von Verfahrensabläufen bei Beschwerden
• Kontakte mit Behörden

4. Internes Kontrollsystem

• Berufung eines Compliancebeauftragten
• Entwicklung von Kontrollverfahren und Kommunikationsabläufen

Dass eine Zusammenlegung von Compliance Management und Risk Management auch Synergien bringen kann, hat eine im Jahr 2009 durchgeführte Studie des Beratungshauses Deloitte gezeigt.^[6]

Compliance hat einen wirtschaftlichen Nutzen für die Unternehmen und deren Eigentümer durch die Vermeidung von Kosten, insbesondere durch Schäden, Strafzahlungen, notwendigen Maßnahmen oder Imageschäden.^[7][8] Sie soll das Unternehmen präventiv vor Fehlverhalten bewahren, das auf Unwissenheit oder Fahrlässigkeit beruht. Prinzipiell kann sich ein Unternehmen nur beschränkt gegen Compliance-Schäden schützen. Es ist aber eine Pflicht der Unternehmensleitung (z. B. Vorstand), alle notwendigen Maßnahmen zu veranlassen. Im Falle eines Verstoßes gegen diese Pflicht kann das Management für einen Verstoß gegen die Organisationssicherheit durch unzureichende Compliance-Organisation persönlich haftbar gemacht werden. Compliance-Systeme sind Organisationsmaßnahmen, die das rechtmäßige, verantwortungsbewusste und nachhaltige Handeln eines Unternehmens sowie seiner Organe und Mitarbeiter gewährleisten sollen. Da der Umfang der zu berücksichtigenden Gesetze und Regularien inzwischen stark angewachsen ist, kann die Kontrolle der Einhaltung nicht mehr durch eine Person im Unternehmen gewährleistet werden, d.h. in jedem Geschäftsbereich sollte sich eine Person das Spezialwissen aneignen.

Ziele

Ziele von Compliance

Risikominimierung, Effizienzsteigerung und Effektivitätssteigerung sind die vorrangigen Ziele von Compliance. Die Abbildung verdeutlicht in diesem Zusammenhang die betriebswirtschaftlichen Effekte des strategischen Einsatzes von Compliance-Maßnahmen. Interessant ist die Erkenntnis, dass bei 50 Prozent der Ziele ein Bezug zu Identitätsmanagement erkennbar ist.

Compliance-Prozesse

Für die Durchführung der betrieblichen Compliance-Aktivitäten ist die Etablierung spezifischer Prozesse erforderlich. Es handelt sich bei diesen Prozessen um sogenannte Metaprozesse, d. h. die Compliance-Prozesse beziehen sich auf die Unterstützung und risikoorientierte Steuerung der originären Geschäftsprozesse im Unternehmen. Im Folgenden werden wesentliche Compliance-Prozesse skizziert.

Prozesse der Risikoanalyse

Derartige Teilprozesse dienen der Identifikation von Bedrohungen und Gefahren im Rahmen der wertschöpfenden Aktivitäten des Unternehmens.

Prozesse der Abweichungsanalyse

Solche Prozesse werden ausgelöst, sofern der realisiert Ist-Wert einer Aktivität oder einer Aktivitätenfolge außerhalb des definierten Toleranzbereichs um den Soll-Wert liegt.

Prozesse des Umgangs mit Ausnahmesituationen

Im Mittelpunkt steht das (potentielle) Eintreffen gravierender Ereignisse mit erheblicher kritischer Relevanz für das Unternehmen. Es gilt, für solche Fälle mit vorstrukturierten Soll-Prozessen zum Zwecke der Aufklärung und Schadensbegrenzung vorbereitet zu sein.

Prozesse der Eskalation

Gegenstand von Eskalationsprozessen ist die Auflösung bereits entstandener sowie die Verhinderung zu befürchtender Non-Compliance-Situationen. Das Ziel dieser Prozesse besteht darin, kritische Aktivitäten zu eskalieren. Dies bedeutet, dass derartige Aktivitäten transparent gemacht und zeitnah einer verantwortlichen Instanz zum Treffen regulierender Entscheidungen zwingend vorgetragen werden.

Zertifizierung des Compliance Management Systems

Der TÜV Rheinland hat am 30. März 2011 den „Standard für Compliance Management Systeme“ (TR CMS 101:2011) veröffentlicht ^[9]. Der Standard richtet sich an Organisationen wie Unternehmen, Behörden und Nichtregierungsorganisationen (NGOs) und beschreibt die Elemente, die ein funktionsfähiges und wirksames Compliance Management System ausmachen. Er zeigt auf, welche nachprüfbaren Maßnahmen zu treffen sind, um eine Compliance-Organisation systematisch einzurichten, aufrechtzuerhalten, zu überwachen und ständig zu verbessern. Dies dient dem Ziel, alle relevanten Compliance-Anforderungen erreichen zu können. Der Standard TR CMS 101:2011 dient damit zugleich als Maßstab für die Zertifizierung eines bestehenden Compliance Management Systems. Er verlangt nicht das Schaffen bestimmter Strukturen oder Funktionen für das Erfüllen von Compliance, sondern fordert lediglich eine systematische Herangehensweise und die Umsetzung bestimmter (Mindest-)Elemente. Nach dem Standard müssen Compliance Management Systeme nicht einheitlich ausgestaltet sein, sondern können ausdrücklich den Besonderheiten der Organisation – wie Größe, Struktur, Aktivitäten, Produkte, spezifische Risiken etc. – Rechnung tragen. Organisationen haben damit ein hohes Maß an Flexibilität bei der Umsetzung ihres Compliance Management Systems.

Vergleichbar mit den Standards für Qualitätsmanagementsysteme (ISO 9001:2008) oder für Risikomanagementsysteme (ONR 49001:2004), enthält der Standard TR CMS 101:2011 Aussagen über das Festlegen von Compliance-Verantwortlichkeiten, die Bereitstellung von Ressourcen, die Durchführung von Audits und über die Notwendigkeit der kontinuierlichen Verbesserung. Darüber hinaus führt er die spezifischen Merkmale auf, die ein wirksames und von Einzelpersonen unabhängiges Compliance Management System aufweisen muss. Im Sinne einer ganzheitlichen Sichtweise von Compliance berücksichtigt der Standard auch die Aspekte „Organisationskultur“ und „Kommunikation“.

Der Standard TR CMS 101:2011 ist in folgende acht Kapitel gegliedert:

1. Anwendungsbereich

2. Ziele des Compliance Management Systems

3. Begriffe

4. Compliance Management System

5. Verantwortung der Leitung

6. Management von Ressourcen

7. Compliance-Prozesse und Umsetzung

8. Systemüberwachung, -analyse und –verbesserung.

Anwendungsbereich: Der Standard TR CMS 101:2011 ist national und international für alle Organisationen anwendbar.

Ziele des Compliance Management Systems: Ziel jedes Compliance Management Systems ist es nach dem Standard, systematisch die Voraussetzungen in der Organisation zu schaffen, dass Verstöße gegen Compliance-Anforderungen vermieden bzw. wesentlich erschwert werden und eingetretene Verstöße erkannt und behandelt werden können.

Begriffe: Kapitel 3 enthält Definitionen wichtiger Compliance-Begriffe, die im Standard TR CMS 101:2011 verwendet werden.

Compliance Management System: Damit die Anforderungen des Standards erfüllt werden können, muss ein Unternehmen eine systematische Compliance-Organisation, d.h. ein Compliance Management System einführen, dokumentieren, verwirklichen und aufrechterhalten. Dazu sind folgende Maßnahmen notwendig:

• die einzuhaltenden Prozesse sind festzulegen,
• die Verfügbarkeit der erforderlichen Ressourcen und Informationen ist sicherzustellen und
• die Prozesse sind zu überwachen, zu messen und zu analysieren.

Es gilt, das Compliance Management System selbst und seine Bestandteile, wie zum Beispiel Audit-Ergebnisse, Korrekturmaßnahmen etc., zu dokumentieren, um eine personenunabhängige Aufrechterhaltung und Funktionsfähigkeit des Systems sicherzustellen. Auch der Umgang mit dieser Dokumentation, beispielsweise Freigaben, Aktualisierungen, Verteilung, Aufbewahrungspflichten, muss festgelegt werden.

Verantwortung der Leitung: Im Einklang mit den gesetzlichen Organisations- und Aufsichtspflichten liegt ein Schwerpunkt des Standards auf der besonderen Verantwortung der „Leitung“ für die Einrichtung, Aufrechterhaltung, Bewertung und ständige Verbesserung des Compliance Management Systems. Es ist Aufgabe der Leitung, die internen Verantwortlichkeiten und Befugnisse festzulegen und einen Compliance-Beauftragten zu benennen. Nicht vorgegeben ist, auf welcher Führungsebene dieser Beauftragte angesiedelt sein soll. Auch das Schaffen einer eigenen, neuen Compliance-Stelle wird nicht verlangt. Allerdings muss es dem Compliance-Beauftragten möglich sein, seine Compliance-Aufgaben unabhängig wahrnehmen zu können. Inhärente Interessenskonflikte aufgrund der gleichzeitigen Zuweisung anderer Aufgaben sind auszuschließen. Darüber hinaus soll eine direkte Berichtsmöglichkeit an die Leitungsebene sichergestellt sein. Der Leitung obliegt es, den Mitarbeitern die Bedeutung von Compliance-Anforderungen und ihrer Erfüllung zu vermitteln. Von ihr wird ausdrücklich verlangt, ein Bekenntnis zur Schaffung einer Compliance-Kultur abzugeben. Ferner sollte sie ihre Erwartung zum Ausdruck zu bringen, dass die Compliance-Anforderungen tatsächlich eingehalten werden. Als Bestandteil ihrer Aufsichtspflichten nimmt die Leitung selbst regelmäßige Bewertungen des Compliance Management Systems vor. Zudem stellt sie die Einhaltung ihrer Informations- und Berichtspflichten gegenüber den internen Aufsichtsorganen sicher.

Management von Ressourcen: Kapitel 6 stellt die Pflichten für die Ermittlung und das Bereitstellen von Ressourcen dar, die für ein wirksames Compliance Management System erforderlich sind. Der Schulungsbedarf soll systematisch ermittelt werden; erforderliche Schulungen sind durchzuführen. Die Wirksamkeit der ergriffenen Maßnahmen ist regelmäßig zu beurteilen.

Compliance-Prozesse und Umsetzung: In Kapitel 7, „Compliance-Prozesse und Umsetzung“, beschreibt der Standard TR CMS 101:2011 die Compliance spezifischen Themen der Organisation. Gefordert werden systematische Risikoanalysen (sogenannte „Compliance Risk Assessments“). Die anwendbaren Compliance-Regeln müssen systematisch analysiert, identifiziert, dokumentiert sowie aktualisiert und den Betroffenen kommuniziert werden. Arbeitsabläufe sollen so ausgestaltet werden, dass Compliance-Anforderungen problemlos erfüllt werden können. Interessenskonflikte müssen identifiziert und organisatorisch nach Möglichkeit ausgeschlossen werden. Alle Compliance-relevanten Vorkommnisse sind zu dokumentieren.

Systemüberwachung, -analyse und -verbesserung: Wie andere Systemstandards betont der Standard TR CMS 101:2011 die Bedeutung einer kontinuierlichen Systemüberwachung und -analyse als Basis für einen ständigen Verbesserungsprozess. Erforderlich sind definierte Prozesse für das Überwachen, Analysieren und Verbessern dieses Systems. Der Standard erwähnt ausdrücklich interne Audits anhand eines geplanten Auditprogramms, Monitoring-Maßnahmen und die Pflicht zur Umsetzung der Erkenntnisse mit dem Ziel, das System zu verbessern.

Durch seinen organisationsübergreifenden und systematischen Ansatz ist es möglich, das Compliance Management System einer Organisation durch einen unabhängigen Dritten anhand des Standards TR CMS 101:2011 zertifizieren zu lassen. Die Zertifizierung findet typischerweise in zwei Stufen statt:

• Stufe 1 des Zertifizierungsaudits klärt die Zertifizierungsfähigkeit. Dabei erfolgt eine Prüfung, ob die Zertifizierungsvoraussetzungen grundsätzlich gegeben sind, das heißt, ob das Compliance Management System und seine Elemente dokumentiert sind (sog. „Dokumentenaudit“), ob ein Compliance-Verantwortlicher benannt wurde und ob Systembewertungen durch das Management vorgenommen wurden.
• In Stufe 2 des Zertifizierungsaudits findet die Überprüfung aller Elemente eines Compliance Management Systems auf Basis von Stichproben statt. Die Auditoren verfassen anschließend einen Bericht über das durchgeführte Audit. Im Falle eines positiven Befundes erteilt die Zertifizierungsstelle des Zertifizierers auf Empfehlung der Auditoren das Zertifikat. Dieses hat eine Gültigkeitsdauer von drei Jahren. Während dieses Zeitraums finden jährliche Überwachungsaudits statt.

Im Rahmen eines Voraudits kann optional vorab die Zertifizierbarkeit getestet werden. Häufig empfehlen sich auch vorgelagerte "Compliance Self-Assessments", die von der Organisation selbst durchgeführt werden können und die etwa von TÜV Rheinland unter "Compliance Care" angeboten werden.

Siehe auch

• Tax-Compliance
• IT-Compliance
• Management Risk Controlling (MRC)
• ISO 15489

Literatur

• Stefan Behringer (Hrsg.): Compliance kompakt - BestPractice im Compliance-Management, Erich Schmidt Verlag, Berlin 2010, ISBN 978-3-503-12076-5
• Jens Claussen: Compliance- oder Integrity-Management - Maßnahmen gegen Korruption in Unternehmen, Metropolis Verlag, Marburg 2011, ISBN 978-3-89518-871-8
• Thomas Faust: Compliance-Management – ein Patentrezept gegen Korruption? (Unterrichtsreihe ETHOS)
• Oliver Haag: Corporate Compliance – Ein Thema gerade auch für den Mittelstand, in: Der Personalleiter – DPL 2008, S. 40
• Christoph E. Hauschka: Corporate Compliance – Handbuch der Haftungsvermeidung im Unternehmen. Verlag C.H.Beck, München 2007, ISBN 978-3-406-54708-9
• Daniel G. Meister: Corporate Governance und Compliance-Management für Versicherungsunternehmen – Vor dem Hintergrund der Umsetzung von Solvency II, 2007, ISBN 978-3-8364-3383-9
• Klaus Moosmayer: Compliance -Praxisleitfaden für Unternehmen, Verlag C.H. Beck, München 2010, ISBN 978-3-406-54708-9
• Mark Pieth: Anti-Korruptions-Compliance : Praxisleitfaden für Unternehmen, Zürich 2011, ISBN 978-3-03-751365-1
• Gregor Thüsing: Arbeitnehmerdatenschutz und Compliance. Verlag C.H. Beck, München 2010, ISBN 978-3-406-60497-3
• Josef Wieland/Roland Steinmeyer/Stephan Grüninger: Handbuch Compliance-Management. Konzeptionelle Grundlagen, praktische Erfolgsfaktoren, globale Herausforderungen, Erich Schmidt Verlag, Berlin 2010, ISBN 978-3-503-12057-4
• Helmut Görling/Cornelia Inderst/Britta Bannenberg: Compliance – Aufbau, Management, Risikobereiche, C.F. Müller, Heidelberg 2010, ISBN 978-3-8114-3648-0

Einzelnachweise

1. ↑ ^{a b c d e} Compliance - ein Thema mit vielen Facetten. In: Umwelt Magazin. Heft 7/8 2011, Seite 50
2. ↑ Studie von PriceWaterhouse, 2007
3. ↑ Compliance ist keine Mode sondern hat eine lange Tradition, Post im SAPERION Blog, mit einer Liste auf Links zu international agierenden Firmen und ihre Compliance Programme
4. ↑ Ob Familie, Verein, Unternehmen oder Kirche – Vertuschung die Regel?
5. ↑ Leitlinien finden sich auch vermehrt in unseren Schulen und Pflegediensten, Post im SAPERION Blog mit einem weiteren Hinweis zum Gewissen: wer ein schlechtes hat, hat das Bedürfnis, sich zu Waschen
6. ↑ Deloitte sieht Prozessoptimierung durch Zusammenlegung von Compliance und Risk Management, Post im SAPERION Blog mit einer kurzen Zusammenfassung der Studie
7. ↑ Warum man sich um die Einhaltung von Regeln kümmern sollte und nicht wegschauen, Post im SAPERION Blog, im Kommentar mit einer lange Liste von Skandalen der letzten Jahre
8. ↑ Was hat denn der Bau der Berliner Kanalisation in der Mitte des 19. Jahrhunderts mit Compliance zu tun? Post im SAPERION Blog mit einem Beispiel neuer Regularien der Berliner Stadtverwaltung vor ca. 150 Jahren
9. ↑ [1]