Feuerschutzbeauftragter, Ersthelfer in Krankheitsfällen, Geschenke an und von Kunden: Wer sich dem Zertifizierungsprozess nach ISO 9001 unterzogen hat, kennt einen kleinen Ausschnitt der Compliance-Vorschriften. Wie sollte eine gute und angemessene Unternehmensführung im Alltag aussehen?
Reinhard K. Sprenger, einer der bekanntesten deutschen Managementberater, bezeichnet in „Das anständige Unternehmen“ Compliance als „das Fegefeuer der Moderne“. Und das zurecht, wenn man sich ansieht, dass deutsche Unternehmer rund 1.800 Einzelgesetze mit über 55.000 Einzelnormen sowie mehr als 2.700 Rechtsverordnungen mit etwa 40.000 Einzelvorschriften beachten müssen. Dieser Rechtsrahmen stellt einen Teil der sogenannten Corporate Governance dar, also der Grundsätze der Unternehmensführung. Compliance ist somit für jedes Unternehmen ein relevantes Thema. Welche Ausmaße die wuchernde Bürokratie annehmen kann, zeigt ein Blick in die Finanzindustrie: Die Deutsche Bank beschäftigt mehr als fünf Überwacher je 1.000 Mitarbeiter. Ein Verstoß gegen die umfangreichen gesetzlichen Vorgaben ist regelmäßig mit empfindlichen Strafen gegen die gesetzlichen Vertreter des Unternehmens versehen. Daher liegt es im Interesse und Bestreben der gesetzlichen Vertreter eines Unternehmens, die gesetzlichen Vorgaben einzuhalten.
Zentrale oder dezentrale Compliance?
Die Idee des Aufbaus eines Compliance-Management-Systems (CMS) umfasst die Förderung einer günstigen Compliance-Kultur sowie die Festlegung der Compliance-Ziele, ferner den Prozess der Feststellung und Analyse der Compliance-Risiken. Weiterhin ist Zielsetzung, ein Compliance-Programm zu erstellen, eine passende Aufbau- und Ablauforganisation einzurichten sowie Verfahren zur Überwachung und Verbesserung des unternehmensinternen Regelwerks zu entwickeln.
Die Einrichtung einer eigenen Stelle oder gar Abteilung für Compliance ist für kleine und mittelgroße Unternehmen aus Kostengründen häufig keine Alternative. Somit sind dezentrale Kontrollhandlungen innerhalb des Unternehmens von entscheidender Bedeutung für die Einhaltung des Regelwerks. Die Kontrollhandlungen sind dabei idealerweise von einem Mitarbeiter zu übernehmen, der im Rahmen seines Fachbereiches ohnehin über die entsprechende Kenntnis innerhalb des relevanten Rechtsgebietes und der internen Vorgaben verfügt. Vielfach ist dies in Unternehmen durch ein sogenanntes Vier-Augen-Prinzip schon umgesetzt. Die Aufnahme der einzelnen vorhandenen Kontrollhandlungen, die Konzeption und Analyse dieser führt dann in der Gesamtheit zu einem CMS.
Auslagerung als Ausweg aus dem Bürokratiekraken?
Eine große Zahl von Unternehmen hat wenigstens einen relevanten Prozess ausgelagert: die Erstellung der Steuererklärungen durch einen Steuerberater. Eine Auslagerung von Geschäftsprozessen auf Dritte ist in Zeiten der Globalisierung und der Fokussierung auf den eigentlichen Unternehmenszweck ein gern genutztes Mittel, um die Verwaltungslast und die damit verbundenen Kosten zu reduzieren. Das Risiko der Einhaltung der gesetzlichen Vorgaben geht jedoch nicht auf den Auslagerungsnehmer über, sodass etwa ein Regelverstoß beim Auslagerungsnehmer dem auslagernden Unternehmen ebenfalls zuzurechnen ist.Feuerschutzbeauftragter, Ersthelfer in Krankheitsfällen, Geschenke an und von Kunden: Wer sich dem Zertifizierungsprozess nach ISO 9001 unterzogen hat, kennt einen kleinen Ausschnitt der Compliance-Vorschriften. Wie sollte eine gute und angemessene Unternehmensführung im Alltag aussehen?
Dieser Herausforderung kann durch eine Vielzahl von Lösungswegen begegnet werden. So können selber Kontrollhandlungen vor Ort durchgeführt werden oder eventuell vorhandene Berichte von Kontrollorganen (wie etwa einer internen Revision) beim Auslagerungsnehmer gewürdigt werden. Eine weitere Möglichkeit ist die Prüfung nach IDW PS 951 beziehungsweise ISAE 3402 durch einen Wirtschaftsprüfer. Hierbei prüft der Wirtschaftsprüfer die Kontrollen beim Auslagerungsnehmer (Funktionsprüfung) und/oder analysiert die vorhandenen Kontrollen auf Angemessenheit (Aufbauprüfung). Hierdurch erlangt das auslagernde Unternehmen eine hinreichende Sicherheit, dass die internen Kontrollen und somit auch das CMS des Auslagerungsnehmers angemessen und funktionsfähig sind.
Überprüfung des Compliance-Management-Systems
Eine Möglichkeit, das CMS auf Vollständigkeit und Angemessenheit zu testen, besteht in der Prüfung durch einen Wirtschaftsprüfer nach dem IDW Prüfungsstandard 980. Hierbei prüft der Wirtschaftsprüfer, ob die in der CMS-Beschreibung enthaltenen Aussagen über die Grundsätze und Maßnahmen in allen wesentlichen Belangen angemessen dargestellt sind, dass die dargestellten Grundsätze und Maßnahmen in Übereinstimmung mit den angewandten Grundsätzen geeignet sind, mit hinreichender Sicherheit sowohl Risiken für wesentliche Regelverstöße rechtzeitig zu erkennen als auch solche Regelverstöße zu verhindern und dass die Grundsätze und Maßnahmen zu einem bestimmten Zeitpunkt implementiert sowie während eines bestimmten Zeitraums wirksam waren.
Fazit
Auf die Einrichtung eines angemessen CMS können Unternehmen heutzutage nicht mehr verzichten. Die Ausgestaltung in Art und Umfang liegt in der Hand der Unternehmen. Insbesondere die dezentrale Compliance bietet hierbei die Möglichkeit, bereits bestehendes Wissen zu nutzen, in die Konzeption eines CMS miteinzubinden und somit eine Compliance-Kultur zu etablieren, bei der regelkonformes Verhalten im Alltag gelebt wird. Hierfür sollten Unternehmen alle Mitarbeiter in die Prozesse einbinden und das Regelwerk so einfach und nachvollziehbar wie möglich halten. Die Anforderungen von außen sind umfangreich genug.
Zu den Personen
Wolfgang Schmidt-Gorbach ist Partner der optegra GmbH & Co. KG in München, einer mittelständischen Wirtschaftsprüfungs- und Steuerberatungsgesellschaft. Er verfügt über langjährige Beratungserfahrung in den Bereichen Lebensmittel, IT und Immobilien. Peter Lenz ist Wirtschaftsprüfer bei optegra GmbH & Co. KG in Köln. Seine Tätigkeitsschwerpunkte liegen in der Prüfung und Beratung von Finanzdienstleistungsunternehmen sowie Prozessanalyse und -optimierung. www.optegra.de