Dr. Monika Bauch -

Management Consulting

News 3/2014 Compliance, Internes Kontrollsystem und Prozesseffizienz

Compliance ist branchenübergreifend und unabhängig von der Unternehmensgröße ein sehr wichtiges, aber auch sehr sensibles Thema. Die Nichteinhaltung von Vorschriften u.a. in Form von Betrugsfällen und Korruption hat in den letzten Jahren bei Unternehmen verschiedenster Branchen immer wieder zu hohen Bußgeldern und zu Reputationsschäden geführt. Die Verantwortung für das Thema „Compliance“ wird daher der Ebene der Geschäftsführung bzw. des Vorstands (s. hierzu auch den Deutschen Corporate Governance Kodex (DCGK)) zugeordnet. Die Ausgestaltung eines Compliance Management Systems (CMS) dient dazu, die Einhaltung von Gesetzen, unternehmensinternen Richtlinien (u.a. Verhaltensregeln) und Kodizes, zu denen sich ein Unternehmen bekennt, sicherzustellen, Zuwiderhandlungen abzustellen und bei Bedarf zu sanktionieren. Insbesondere bei börsennotierten Unternehmen wird hierzu in der Regel ein Compliance-Beauftragter ernannt. Prüfungsausschüsse der jeweiligen Aufsichtsräte erhalten über die Vorstände Compliance-Berichte und werden regelmäßig über etwaige Vorfälle informiert.

Ein weiteres wichtiges Instrument, um Unternehmensrisiken wirkungsvoll zu begegnen, ist das Interne Kontrollsystem (IKS). In der Regel dient das sogenannte COSO-Modell als Basis, das neben der Compliance, die Abdeckung operationeller Risiken und Risiken in der Finanzberichterstattung zum Ziel hat. Ein IKS unterteilt sich in der Regel in übergeordnete Kontrollen auf Ebene des Managements, z.B. die Erarbeitung interner Regeln zu bestimmten Themen. Daneben gibt es einen Risikokatalog, in dem Risiken auf operationeller Ebene für verschiedene Unternehmensbereiche definiert sind. Ein wichtiger Bereich ist unter anderem die IT, insbesondere im Hinblick auf automatisierte Kontrollen in den IT-Systemen. Die Risiken sind mit entsprechenden Kontrollaktivitäten abzudecken. Bewährt hat sich die Dokumentation in standardisierter Form, wobei bei jeder beschriebenen Kontrollaktivität insbesondere die Handlungsweise im Fehlerfall und der Nachweis, dass die Kontrolle durchgeführt wurde, festzulegen ist. Damit wird erreicht, dass die Kontrollaktivität nach einem definierten Ablauf erfolgt, und dass jeder, der eine Kontrolle durchzuführen hat, weiß, was zu tun ist. In einem effektiven System, sind hierzu auch die wesentlichen Prozesse der einzelnen Bereiche dokumentiert. Die Kontrollen werden dann jeweils bei dem Prozessschritt zugeordnet, wo die Kontrolle durchgeführt wird. Somit gibt es für die Definition notwendiger Kontrollaktivitäten zwei Ansatzpunkte, zum einen vom Risikokatalog ausgehend und zum anderen von den dokumentierten Prozessen. Hierdurch wird schnell klar, dass sich ein effektives und effizientes Prozessmanagement vorteilhaft auf das IKS auswirkt. Für das Interne Kontrollsystem eines Unternehmens wird in der Regel ein IKS-Manager benannt. Zudem ist das IKS Teil der Abschlussprüfungen bei börsennotierten Unternehmen.

Zu den drei Themen Compliance, Internes Kontrollsystem und Prozesseffizienz gibt es noch zahlreiche Details, die gerne im Gespräch und in Form von Projekten vertieft werden können. Bei einer effektiven und effizienten Ausgestaltung bieten die Themen Compliance und IKS große Chancen die Qualität der Leistungen eines Unternehmens zu erhöhen und vorhandenen Risiken mit geeigneten Regelungen und Abläufen zu begegnen.

In der Praxis zeigt sich jedoch, dass auch die nach außen mustergültig wirkende Ausgestaltung eines CMS und IKS nicht immer vor negativem Handeln schützt. Branchenübergreifend und unabhängig von der Größe der Unternehmen zeichnen sich nicht nur in der Wirtschaft neben vielen positiven Fortschritten zum Teil Entwicklungen ab, die dringend Gegenmaßnahmen erfordern.

Eine Auswahl von Beispielen und Empfehlungen aus der Praxis soll im Folgenden gegeben werden:

- Bei der Besetzung der Positionen Compliance-Beauftragter und IKS-Manager sollten besonders vertrauenswürdige, mit dem Unternehmen und dem Thema vertraute Personen gewählt werden, die ausschließlich hinter dem Unternehmen stehen, keine Partikularinteressen verfolgen und ihre Position auch nicht missbrauchen. Kommt noch hinzu, dass negative Aktionen vorwiegend von dem Ressort ausgehen, dem der Compliance-Beauftragte selbst zugeordnet ist, zeigt sich dass die Unabhängigkeit ein wesentliches Element für die Wirksamkeit dieser Position wäre.

Ein „offenes Ohr“ aller Ressorts bei fragwürdigen Verhaltensweisen und Vorgängen schafft unter Umständen zusätzliche Sicherheit für ein Unternehmen.

- Gleiches gilt für den IKS-Manager. Wird nicht entsprechende Sorgfalt hinsichtlich des IKS-Systems und insbesondere bei der Dokumentation der Kontrollen gewahrt, so besteht ebenfalls die Gefahr, Fraud zu unterstützen. Das IKS-System ist ein wichtiger Baustein. Allerdings sollte dies so effektiv und effizient wie möglich geführt werden. Dies setzt gut ausgebildete Mitarbeiter voraus. Zudem lässt sich beispielsweise durch ein Handeln im Sinne eines internen Dienstleisters, d.h. durch bestmögliche Unterstützung der wertschöpfenden Fachbereiche, viel Zeit sparen und die Qualität erhöhen. 

- Des Weiteren sollte unbedingt darauf geachtet werden, dass die Unterlagen, die den Prüfern zur Verfügung gestellt werden mit den Unterlagen im IKS-Dokumentationssystem übereinstimmen.

 - Richtig interessant wird es, wenn ein Compliance-Beauftragter auch noch externe Dritte deckt und deren Beauftragung fördert. Falls diese dann auch noch mit dem IKS-Manager in Zusammenhang stehen, dann wissen Sie, wer alles dem negativen Netzwerk angehört. In der Praxis hat sich gezeigt, dass dies allerdings nur funktioniert, wenn Personen aus den Ebenen darüber dies wissentlich decken.

- Nicht die Masse von Regelungen, sondern der Umgang und die Reaktion auf Hinweise sind für ein wirksames CMS und IKS von entscheidender Bedeutung.

- Zu beobachten ist, dass bei kriminellen Vorhaben Netzwerke gebildet werden, sowohl auf allen Ebenen im Unternehmen als auch sehr häufig von außen gesteuert. Ein Nicht–Mitmachen und sich nicht daran beteiligen würde bereits in vielen Fällen Schaden vom Unternehmen und an Einzelpersonen abwenden. Um zu verhindern, dass dennoch einzelne Personen unter Druck gesetzt werden, sind weitere Maßnahmen zu treffen. Denkbar wäre z.B. die Benennung mehrerer Vertrauenspersonen über verschiedene Bereiche eines Unternehmens hinweg.

- Zu beobachten ist, wie zahlreiche Unternehmen an scheinbar vertrauenswürdige Organisationen detaillierte Informationen über Unternehmensdaten, - strategien, - sicherheitslücken geben. Ein Blick darauf, wo die Unternehmen angesiedelt sind, wohin die Informationen unter Umständen weitergegeben werden, welche „Dienstleistungen“ (beispielsweise das Ausspionieren von Konkurrenten und Einzelpersonen) angeboten werden und welche Methoden angewendet werden, die bei Unternehmen und Einzelpersonen großen Schaden anrichten können, würde vielleicht schon helfen, mehr Vorsicht an den Tag zu legen und das „zufällige“ Eintreten von Schadensfällen zu verhindern.

- Falls Sie Dinge aufgedeckt haben, die nicht rechtmäßig sind, ist vorsichtiges Vorgehen angebracht. Bringen Sie sich nicht in Gefahr. Sie wissen nie, wer alles eingeweiht ist.

- Zu beobachten ist auch, dass manche fragwürdigen Methoden, Verhaltensweisen und Aktionen krimineller Netzwerke nicht einmal auf den beruflichen Bereich begrenzt bleiben, sondern bis in das Privatleben von Einzelpersonen reichen und damit außerhalb des CMS oder IKS eines Unternehmens liegen. Abhilfe können hier dann nur noch das Treffen von Sicherheitsmaßnahmen auch außerhalb des Unternehmens und vor allem die Schärfung des Bewusstseins in unserer Gesellschaft schaffen, derartige Vorkommnisse nicht zu tolerieren und gemeinsam Gegenmaßnahmen zu treffen.

Die Diskussion der Themen zeigt, dass die Ausgestaltung eines effektiven und effizienten CMS und eines IKS in den Unternehmen große Vorteile bringt, regelkonformes Verhalten wird gefördert und Hürden werden aufbaut, um nicht-regelkonformes Verhalten zu erschweren. Letztendlich bietet aber kein System hundertprozentige Sicherheit. Allein der Mensch und damit die Verantwortlichen, Beteiligten und unsere Gesellschaft entscheiden über den Erfolg derartiger Systeme.

Wie ist Ihre Meinung zu diesen Themen? Welche Erfahrungen haben Sie gemacht? Arbeiten Sie gerade an dem ein oder anderen der genannten Punkte in Ihrem Unternehmen und benötigen Unterstützung zu den Themen Internes Kontrollsystem und Prozesseffizienz? Gerne können Sie unter Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! Kontakt aufnehmen.

Diese Webseite arbeitet mit Cookies. Wenn Sie mehr erfahren möchten klicken Sie auf den Button "Weitere Informationen".
Weitere Informationen Ok Ablehnen