Vorstandshaftung

Ruhige Nächte durch Compliance
Von Bernd Michael Lindner und Daniel Coppi

Beitrag als PDF (Download)

Einführung

„Wann verschwindet Compliance wieder?“ Eine derartige Frage, die vor rund zwei Jahren noch häufiger gestellt wurde, ist heute undenkbar. Vielmehr nimmt die Bedeutung von Compliance immer mehr zu. Complianceverstöße haben dramatische Folgen. Neben enormen Strafzahlungen und den immer wieder diskutierten ­Reputationsrisiken steht die vermehrte Haftung der ­Vorstände dabei im Mittelpunkt.

Außerdem vergrößert sich das Spektrum an ­unterschiedlichen Anforderungen immer mehr. So beeinflussen die Compliancethemen eine Vielzahl von Prozessen. Beispielsweise sind bei dem Kundenannahmeprozess von Kreditinstituten die Themen Geldwäscheprävention, Finanzsanktionen/Embargovorschriften, Wertpapiercompliance, Tax-Compliance (unter anderem FATCA, CRS) sowie Datenschutz zu berücksichtigen. Erschwerend kommt hinzu, dass die Complianceanforderungen sich laufend verändern und global tätige Unternehmen länderspezifische Abweichungen ­beachten müssen.

Die Definition der relevanten regulatorischen Anforderungen, also die „Übersetzung“ der externen Verpflichtungen auf das Geschäftsmodell des jeweiligen Unternehmens sowie die Kommunikation (etwa im Rahmen einer Richtlinie), die Schulung und die Überwachung sind Aufgaben des Bereichs Compliance. Die fachliche und technische Umsetzungsverantwortung liegt in den Geschäftseinheiten (etwa im Vertrieb). Somit verbleibt auch die endgültige Complianceverantwortung auf Seiten der Geschäftseinheiten.

Dieser Schritt führt, vor allem nach medialen Compliancediskussionen, zu Unsicherheiten in den Vorstands-etagen, da die Rechtsprechung nicht nur konkretes Fehlverhalten anprangert, sondern auch die fehlende Bereitstellung des notwendigen Compliancerahmens im Unternehmen.

Aktuelle Diskussionstreiber in Compliance

Zusätzlich zur allgemeinen Komplexität eines etablierten Compliancemanagementsystems sind zurzeit zwei Diskussionstreiber mit zunehmender Relevanz im Markt erkennbar, die sich gegenseitig beeinflussen. Zum einen sind dies die Effizienz der Complianceprozesse und zum anderen der Einfluss der Digitalisierung auf Compliance. Bisher stand die von den Aufsichtsbehörden geforderte Angemessenheit und Wirksamkeit von Compliance im Fokus. Durch den zunehmenden Reifegrad von Compliance fordern Vorstände ebenso die Kosteneffizienz von Compliance. Dies gilt häufig auch für Unternehmen, bei denen sich die Complianceorganisation im Aufbau befindet. Dabei werden Doppelarbeiten, nicht notwendige Medienbrüche, aber auch zu viele „False positive“-Treffer beim Compliancemonitoring oder -screening moniert und neuerdings im Rahmen von Projekten näher analysiert. Daneben ist es fraglich, ob künftig die anstehenden Herausforderungen in Compliance langfristig nur mit dem Recruiting weiterer Mitarbeiter zu bewältigen sind. Die Nutzung der Informationstechnologie im Rahmen der Digitalisierung stellt eine weitere Strategie dar, die Herausforderungen zu bewältigen.

Ein Beispiel ist die Erstellung einer übergreifenden Risikoanalyse. Derzeit wird diese sehr aufwendig durchgeführt, leider aber häufig, ohne sie als tatsächliches Managementtool einzusetzen. Durch die Nutzung intelligenter IT-Tools ist zwar der initiale Aufwand etwas höher, aber die laufende Arbeitsbelastung ist beachtlich geringer – und, richtig kommuniziert, führen die Ergebnisse zu einer ungeahnten Complianceakzeptanz im Unternehmen.

Identifizierung relevanter Compliancethemen und Wirksamkeit der Compliancemaßnahmen

Im ersten Schritt sind die für das jeweilige Unternehmen relevanten Compliancethemen aus der Gesamtheit aller rechtlichen Regelungen und Vorgaben sowie die dafür verantwortlichen Mitarbeiter zu identifizieren. Ein pragmatischer Ansatz bewertet die für das Unternehmen relevanten Compliancethemen entsprechend ihrer Risiken. Compliancethemen mit höheren Risiken werden prioritär hinsichtlich der Wirksamkeit ihrer Maßnahmen untersucht. Eine häufige Frage in diesem Zusammenhang ist, ob die für die Unternehmenskantine relevante Hygieneverordnung ebenfalls ein zu untersuchendes Compliancethema darstellt. Die Antwort ist sehr unternehmensindividuell. Im Normalfall wäre es sicher ein wichtiges, aber kein compliancerelevantes Thema. Sollte sich aber in der Vergangenheit ein pressebekannter Salmonellenvorfall ereignet haben, kann es durch eine höhere Risikoeinstufung zu einem compliancerelevanten Thema werden.

Erst diese entwickelte Transparenz von Compliancethemen ermöglicht den nächsten Schritt: die Reduzierung der Unsicherheiten in den Geschäftseinheiten.

Unsicherheiten in den Geschäftseinheiten

In den Geschäftseinheiten bestehen hinsichtlich der Vollständigkeit und Angemessenheit der implementierten Compliancemaßnahmen Unsicherheiten. Die multiplen Zuständigkeiten im Unternehmen für verschiedene Anforderungsquellen (so gibt es oft einen anderen Verantwortlichen für FATCA und für Geldwäscheprävention, obwohl die Anforderungen an die Prozesse im Vertrieb sehr ähnlich sind) und deren unterschiedliche Aufbereitung können in den Geschäftseinheiten zu einer fehlenden Gesamtsicht führen und ein Gefühl der fehlenden Vollständigkeit hinterlassen. Weiterhin besteht Unsicherheit bezüglich der Beurteilung der Angemessenheit bestehender Maßnahmen sowie neu geplanter Umsetzungen. Der Grund für diese Unsicherheiten ist häufig in der Kommunikation neuer oder geänderter Compliancevorgaben zu finden. Oft werden nur die Richtlinien veröffentlicht, und den Geschäftseinheiten ist nicht klar, welche Prozesse anzupassen oder neu zu schaffen sind.

Vorgehensmodell zur Reduzierung der Unsicherheiten in den Geschäftseinheiten

Um die Unsicherheit in den Geschäftseinheiten zu reduzieren, empfehlen wir die Durchführung einer Compliancebusinessanalyse. Für alle Compliancethemen mit einem erhöhten Risiko werden dabei die relevanten Anforderungen an die Prozesse der Geschäftseinheiten identifiziert. Anschließend werden die vorhandenen Prozesse inklusive der zugehörigen IT-Systeme, Formulare und Verantwortlichkeiten erhoben. Die Synopse der entwickelten Prozesslandkarte mit den Compliance-anforderungen zeigt bestehende Lücken und erlaubt die Ableitung von Handlungserfordernissen für die Geschäftseinheiten.

Um zukünftig bei neuen oder aktualisierten Compliance-anforderungen die Unsicherheit der Geschäftseinheiten zu reduzieren, sollte Compliance nach der Erstellung oder Anpassung der jeweiligen Richtlinie analysieren, welche Geschäftseinheiten betroffen sind, und die möglichen Auswirkungen der Anforderungen diskutieren. Compliance nimmt somit seine Rolle als Berater wahr und erhöht die Akzeptanz im Unternehmen. Die eigentliche Umsetzung der Maßnahmen ist die Aufgabe der Geschäftseinheiten. Compliance kann somit im Nachgang seine Überwachungsfunktion noch immer unabhängig durchführen.

Fazit

In den vergangenen Jahren hat sich die Compliancefunktion signifikant verwandelt. Es ist absehbar, dass es auch weiterhin Veränderungen geben wird. Die gestiegene Aufmerksamkeit führte zu größeren Compliancebereichen. Im nächsten Schritt werden die Themen Effizienz und Digitalisierung in den Fokus gelangen. Diese Entwicklungen reduzieren zwar die Unsicherheit für die für Complianceverantwortlichen, aber noch nicht für die Verantwortlichen der Unternehmensbereiche, die die Complianceanforderungen umsetzen müssen. Erst durch einen intensiven Austausch mit Compliance hinsichtlich der Auslegung von Anforderungen lässt sich die Anzahl unruhiger Nächte aufgrund von Compliance reduzieren.

blindner@kpmg.com

dcoppi@kpmg.com