Compliance „verstehen, akzeptieren und leben“

24. Juni 2013

Noch schätzen Unternehmen die Wirksamkeit ihres Compliance Management Systems weitaus höher ein, als es tatsächlich ist. Denn vielfach mangelt es an einem institutionalisierten Compliance Risikomanagement System. Zu diesem Ergebnis kommt die „Compliance Benchmark Studie 2013“ der Wirtschaftsprüfungs- und Beratungsgesellschaft KPMG.

Effektives Compliance Management braucht kontroll- und wertorientierte Elemente

Noch vor wenigen Jahren bedeutete Compliance ausschließlich die regulatorische Umsetzung gesetzlicher Vorgaben in entsprechende unternehmensinterne Richtlinien. „Die Unternehmen haben erkannt, dass das heute nicht mehr reicht. Ein effektives Compliance Management System beruht auf einer Balance zwischen kontroll- und wertorientierten Maßnahmen, aus detektiven und präventiven Strategien“, erklärt KPMG-Partner Christoph Schenk.

Aufgaben der Firmenkultur und der Kommunikation

Der größte Handlungsbedarf, so zeigt es die aktuelle Studie, besteht in der Entwicklung von unternehmenskulturellen und kommunikativen Maßnahmen. Viele der befragten Unternehmen unterschätzen offenbar die Bedeutung von solchen so genannten Soft Controls, die aber erst eine Akzeptanz der neu eingeführten Normen ermöglichen. Schenk: „Notwendig ist ein umfassendes Compliance Change Management, das Mitarbeitern und externen Dritten vermittelt wird, so dass die Verhaltensrichtlinien verstanden, akzeptiert und schließlich gelebt werden.“

Die KPMG-Studie zeigt zudem eine häufig fehlende Einbindung und Überwachung der Tochtergesellschaften in das zentrale Compliance Management System. Das betrifft knapp ein Drittel der börsennotierten und über 40% der mittelständischen Unternehmen. „Diese Einbindung setzt aber eine wirksame unternehmensweite Umsetzung von Compliance-Vorgaben voraus. Auch global aufgestellte mittelständische Unternehmen müssen strukturierte Risikoidentifizierungsprozesse einführen, die etwa den UK Bribery Act oder den US-amerikanischen FCPA einbeziehen“, erläutert der KPMG-Experte.

Auch Geschäftspartner müssen mitziehen

Ein positiver Trend ist es, dass die Unternehmen zunehmend auch von ihren Geschäftspartnern verlangen, dass sie sich an Compliance-Regeln halten. Fast 60% der börsennotierten und über 40% der mittelständischen Unternehmen bauen inzwischen in Verträge mit Geschäftspartnern Compliance-Klauseln ein.

Ein wirksames Compliance-Management-System, in Anlehnung an die Anforderungen des IDW PS 980, ist als ein fortwährender Regelkreis zu verstehen, der ein systematisches Ineinandergreifen der Risikoexposition eines Unternehmens, einer entsprechenden Programmentwicklung sowie einer darauf aufbauenden Überwachung dieses Systems darstellt. Solche Prozesse erleichtern eine Kategorisierung und Bewertung bestehender Risiken und den Aufbau geeigneter Risiko minimierender Maßnahmen.

Für eine wirksame Compliance empfiehlt KPMG fünf Maßnahmen

1 Systematische Identifizierung und Erfassung von potenziellen Compliance-Risiken

Nur durch Erfassung der eigenen Risikoexposition kann ein geeignetes Compliance-Programm abgeleitet werden, um gezielte Maßnahmen zur Reduzierung der Risiken zu entwickeln und um letztendlich gesetzliche Sorgfalts- und Überwachungspflichten zu erfüllen.

2 Kontinuierliche Verbesserung und Überwachung

Aussagen über die Wirksamkeit des eigenen Compliance-Management-Systems können nur über entsprechende Überwachungsmaßnahmen wie unabhängige Prüfungen, interne Kontrollen und Reporting-Prozesse getroffen werden. Die Unternehmen müssen daher einen Fokus auf kontinuierliche Verbesserung und Erweiterung ihrer Compliance-Maßnahmen legen ebenso wie auf robuste Kontrollen.

3 Einbindung und Überwachung der Tochtergesellschaften


Es gibt unterschiedliche Lösungsmöglichkeiten zur Ausgestaltung des Compliance-Managements in den Tochtergesellschaften. Teilweise werden Compliance-Maßnahmen in der Zentrale entwickelt und dann an die rechtlichen Einheiten ausgerollt. Alternativ besteht die Möglichkeit, dass die Tochtergesellschaften ein dezentrales Compliance-Management aufbauen. Von großer Bedeutung hierbei ist aber, dass in beiden Fällen auf Gruppen- bzw. Konzernebene die Hoheit über das Risiko- und somit auch Programmmanagement verortet bleibt.

4 Kommunikation von Compliance als zentrale präventive Maßnahme

Damit Compliance-Maßnahmen akzeptiert und gelebt werden, müssen Unternehmen sicherstellen, dass die Vorgaben und damit verbundenen Verhaltenserwartungen in Compliance-relevanten Prozessen bekannt sind und auch verstanden werden.

5 Einbettung von Compliance in die Unternehmenskultur

Um den Wandel in den Köpfen der Mitarbeiter und Geschäftspartner zu begleiten, sind Strategien geeignet, die über übliche – primär rechtliche und betriebswirtschaftliche – Maßnahmen hinausgehen. Eine Compliance-Kultur wird durch psychologische und soziologische Methoden ermöglicht, die im Idealfall interdisziplinär konzipiert und umgesetzt werden.

Eine Zusammenfassung der wichtigsten Ergebnisse der Compliance Benchmark Studie 2013 steht unter www.kpmg.com/de zum Download zur Verfügung.

investor relations