Compliance-Management im Mittelstand
Von Dr. oec. Oliver Bungartz, HamburgÜbersetzt bedeutet „Compliance“ nichts anderes als die Einhaltung von Regeln. Dies schließt nach gängigen Definitionen externe Regelungen (insbesondere Gesetze) als auch unternehmensinterne Regelungen mit ein. Wie bei jedem Spiel, müssen anscheinend auch im wirtschaftlichen Handeln jeglicher Organisationen und Unternehmen Regeln eingehalten werden. Diese nicht unbedingt neue Erkenntnis gilt natürlich auch – oder insbesondere – im Mittelstand.
Die öffentliche Wahrnehmung mit Bezug auf wirtschaftskriminelle Handlungen (z. B. Betrug, Untreue, Korruption oder Wettbewerbsdelikte) ist gerade im Mittelstand besonders sensibel. Dabei geht es auch um indirekte Schäden, wie z. B. den Reputationsverlust und dern daraus resultierenden politischen Druck. Die Kosten für die Aufarbeitung eines Regelverstoßes sind schwer abzuschätzen. Datenschutzaspekte sind neben wachsenden Haftungsrisiken für Vertretungs- und Überwachungsorgane zunehmend im Fokus. Nur einige weitere Beispiele sind Normen in den Bereichen Antikorruptionsrecht, Strafrecht, Arbeitsrecht und Persönlichkeitsrecht (z. B. allgemeines Gleichstellungsgesetz), Arbeitssicherheitsrecht, Datenschutz- und Datensicherheitsvorschriften sowie Gesundheitsbestimmungen und Umweltrecht.
Es wird schnell deutlich, dass ein regelkonformes Spiel erst möglich ist, wenn die relevanten Regeln vollständig bekannt sind. Dies bedeutet, dass die Analyse der Anforderungen bzw. eine Inventur aller zu beachtenden Gesetze und Regelungen für eine erfolgreiche Etablierung eines CMS an oberster Stelle stehen muss.
Zunehmende Fälle von Wirtschaftskriminalität und die dadurch verstärkte Wahrnehmung der Compliance-Problematik führten schon in der Vergangenheit zu einer verschärften Regulierung und strengeren Gesetzgebung. Im Zusammenhang damit haben steigende Haftungsrisiken und dafür notwendige Sicherungsmaßnahmen die Notwendigkeit für einen Compliance-Standard verdeutlicht.
Das Institut der Wirtschaftsprüfer in Deutschland e. V. (IDW) hat mit der Veröffentlichung des Prüfungsstandards „Grundsätze ordnungsmäßiger Prüfung von Compliance Management Systemen (IDW PS 980)“ auf diese Entwicklungen reagiert. In diesem Prüfungsstandard wird Compliance allgemein als die Einhaltung von Regeln (z. B. Gesetze, vertragliche Verpflichtungen und interne Reglungen oder Richtlinien) verstanden.
Auch wenn eine Prüfung des CMS nach dem IDW-Standard bislang freiwillig erfolgt und insb. durch große Konzerne beauftragt wird, setzt die Verlautbarung Maßstäbe und gibt wichtige Anregungen und Vorgaben auch für mittelständische Unternehmen.
Nach Auffassung des IDW sind unter einem CMS die auf der Grundlage der von den gesetzlichen Vertretern festgelegten Ziele eingeführten Grundsätze und Maßnahmen einer Organisation zu verstehen, die auf die Sicherstellung eines regelkonformen Verhaltens der gesetzlichen Vertreter und der Mitarbeiter des Unternehmens sowie ggf. von Dritten abzielen, d. h. auf die Einhaltung bestimmter Regeln bzw. die Verhinderung von wesentlichen Verstößen (Regelverstöße).
Die Angemessenheit eines CMS ist nach dieser Definition gegeben, wenn es mit hinreichender Sicherheit gewährleistet, dass Risiken für wesentliche Verstöße gegen die betreffenden Regeln rechtzeitig erkannt und Verstöße verhindert werden. Hierzu zählt nach Auffassung des IDW auch, dass bereits eingetretene Verstöße an die zuständige Stelle im Unternehmen zu berichten sind, damit die notwendigen Konsequenzen für eine Verbesserung des CMS getroffen werden.
Die Konzeption eines CMS umfasst nach IDW PS 980 die folgenden miteinander in Wechselwirkung stehenden Grundelemente, die in die Geschäftsabläufe eingebunden sind:
- Compliance-Kultur
- Compliance-Ziele
- Compliance-Risiken
- Compliance-Programm
- Compliance-Organisation
- Compliance-Kommunikation
- Compliance-Überwachung & -Verbesserung.
Das IDW versteht unter CMS-Grundsätzen allgemein anerkannte Rahmenkonzepte, andere angemessene Rahmenkonzepte oder vom Unternehmen selbst entwickelte Grundsätze für CMS. Als anerkanntes Rahmenkonzept für ein CMS nennt das IDW explizit das ERM-Konzept des Committee of Sponsoring Organizations of the Treadway Commission (COSO).
Das ERM-Rahmenwerk ist ursprünglich als umfassendes Modell eines unternehmensweiten Risikomanagements entwickelt worden und umfasst auch das interne Kontrollsystem (IKS). Nach dem COSO-Ansatz ist die Regeleinhaltung (Compliance) ein Ziel des Risikomanagements. Andersherum interpretiert: Wird die „Nicht-Einhaltung (Non-Compliance)“ von Regeln als Risiko betrachtet, ist und war Compliance schon immer Teil eines umfassenden Risikomanagements.
Gerade im Mittelstand sind aufgrund z. B. eingeschränkter finanzieller und personeller Ressourcen die Zusammenhänge von CMS, Risikomanagement und IKS
zu berücksichtigen. Die systematische Implementierung eines umfassenden Systems sollte in einem integrierten Ansatz münden, um ein schlankes, den gesetzlichen Anforderungen entsprechendes sowie effektives und effizientes System zu etablieren.
Fazit
Auch wenn bei dieser Betrachtungsweise dem Compliance- Management der Zauber eines „neuen“ Lösungsansatzes genommen wird, bleibt das regelkonforme Spiel eine stetige Herausforderung, der sich auch mittelständische Unternehmen unweigerlich zu stellen haben.
Foto: panthermedia/alphaspirit
