Compliance – mehr als Paragraphenreiterei
Gesetzliche Vorgaben galt es schon immer zu beachten. Jedoch verschärfen sich die Rechtsfolgen bei Verstößen zunehmend und Aufsichts- und Strafverfolgungsbehörden greifen immer stärker in den Geschäftsbetrieb ein.
Aus Unternehmens- und Organisationssicht besteht die wirkliche Neuerung der Compliance in der Herausforderung, ihren Pflichten zur Prävention, Aufdeckung und Reaktion nachzukommen, um die wachsenden Haftungsrisiken zu minimieren. Das zieht jedoch Anpassungen der Unternehmensstrategie/-ziele, Geschäftsprozesse oder Unternehmenskultur nach sich, wodurch der Aufwand zur Einführung und Umsetzung der dafür notwendigen Instrumente gestiegen ist.
Zu den Instrumenten zählen bspw. das Unternehmensleitbild, Verhaltenskodizes und das operative Berichtswesen. Auch aufbauorganisatorische Entscheidungen und Maßnahmen sind zu treffen, die sich u.a. mit der Frage beschäftigen, wie eine eigene Organisationseinheit für Compliance einzurichten ist. Welche Aufgaben hat ein Compliance Board, wie wird ein Compliance Committee besetzt, ist das Compliance Office Stabs- oder Zentralabteilung? Und welche Rolle spielen Revision und Rechtsabteilung? Es gibt nach wie vor keine gesetzlichen Vorgaben für den Aufbau eines Compliance-Managements. Und obwohl die Ambitionen zunehmen, aus dem aufwendigen Pflichtprogramm ein positives Kosten-Nutzen-Verhältnis zu schaffen, gehen viele Unternehmen das Thema nur halbherzig an und setzen die Implementierung und Verzahnung des Compliance-Managements nicht konsequent um.
Standards und Prozessmanagement – eine sinnvolle Kombination
Im Rahmen der Konzeption, dem Aufbau und der Einführung bieten verschiedene Standards und Normen eine Orientierung, wie z.B. der IDW PS 980, das COSO-Modell oder auch die ISO 19600:2014 Compliance Management Systems. Und ebenfalls die für diesen Herbst anstehende Einführung der überarbeiteten ISO 9001 macht deutlich: der Stellenwert risikobasierten Handelns nimmt weiter zu und erstreckt sich auch hier von der Risikobetrachtung innerhalb des einzelnen Prozesses bis in die Chefetagen, indem auch die Führungsprozesse mit diesem Thema konfrontiert werden. Der Prozess „Management Review“ dient bspw. dazu, die Eignung, Angemessenheit und Wirksamkeit des Managementsystems zu überprüfen und durch geeignete Maßnahmen sicherzustellen. Die Vorteile solcher Review-Prozesse werden schnell deutlich, wenn man deren Eingangsgrößen oder Inputs betrachtet. Denn neben Korrektur- und Vorbeugungsmaßnahmen sowie Auditergebnissen können je nach Unternehmensziel und -zweck weitere Inhalte in den Prozess eingehen. So wird das Thema Compliance im Kontext der Gesamtorganisation betrachtet und fördert im Sinne der kontinuierlichen Verbesserung auch die Effektivität und Effizienz der Risikosteuerung und Überwachung, der sich Funktionsbereiche und Systeme widmen. Dazu zählen u.a. Risikomanagement, Compliance Management, interne Revision oder internes Kontrollsystem.
Solche Entwicklungen lassen den Schluss zu, dass Compliance eine tiefe Verankerung in der Unternehmensarchitektur erfordert, um neben geforderter Regeltreue auch deren Potenziale erschließen zu können. Hier sorgt insbesondere das Prozessmanagement als Teil des Compliance Managements für einen Qualitäts- und Leistungssprung. Denn die Entwicklung und Verzahnung aller risiko- und prozessorientierten Managementsysteme sichert Transparenz, schafft klare Verantwortlichkeiten, ermöglicht redundanzfreie Abläufe und reduziert damit Verschwendungen. Compliance als permanent weiter zu entwickelnder (Führungs)Prozess inbegriffen.
So werden die richtigen Voraussetzungen geschaffen, damit Compliance nicht als bloße Pflicht abgetan wird, sondern als Chance für unternehmerischen Mehrwert verstanden und gelebt werden kann.
Quellen
(1)
– „CMS Compliance Barometer“, Anwaltssozietät CMS Hasche Sigle
– „Compliance im Mittelstand“, Deloitte
– „Compliance Management als stetig wachsende Herausforderung“, BearingPoint
(2)
– Standard „BME_C 1000“ im Lieferantenmanagement für Compliance/CSR-Prozess