Tipps für ein effizientes Compliance-Management

Der Gesetzgeber fordert für die verschiedensten Branchen ständig neue Regeln und Sicherheiten für das Geschäft. Basel III, Solvency II, Facta sowie Datenschutz und -sicherheit sind nur einige Beispiele, womit Unternehmen heute an die Kandare genommen werden. Aber auch die Unternehmen selbst gehen häufig Selbstverpflichtungen ein, um einen hohen Integrationsstandard gewährleisten zu können. «Die Rolle von Compliance hat sich in den letzten Jahren stark gewandelt: weg vom reinen Erfüllen gesetzlicher Regelungen, hin zu einer Schlüsselvoraussetzung für die effektive Umsetzung von Unternehmensstrategien», sagt Cristian Manganiello, Director Risk Assurance bei Price­waterhouseCoopers (PwC). Der effiziente Umgang mit den gestiegenen Comp­liance-Anfor­derungen ist ein wesentlicher Erfolgsfaktor für die Unternehmensführung geworden. Um die Flut neuer Regulierungen und Risiken zu be­wältigen, müssen Unternehmen weiterhin in Systeme und die Ausbildung der Mitarbeiter investieren und sich auf die veränderten Rahmen­bedingungen einstellen. Doch wie lassen sich Verhaltensmassregeln, Gesetze und Richtlinien mit möglichst wenig Aufwand einhalten und ist die effektive Einhaltung dieser Vorschriften überhaupt nachweisbar? Ja, sagt Manganiello, mit intelligenten Ansätzen und Programmen. Dabei müssen Risiko-Management, Compliance-Management und interne Kontrollsysteme aufeinander ab­gestimmt sein, um eine ganzheitliche Betrachtung zu unterstützen. Firmen, die einen unternehmensweiten, integrierten Compliance-Ansatz verfolgen, erschliessen sich damit diverse Effizienzpotenziale. Zum einen lassen sich durch effektiven Technologieeinsatz und variablen Personalaufwand Kosten reduzieren. Zum anderen können mittels Standardisierung die Kontrollen und alle damit verbundenen Dokumentationen über Geschäftsbereiche und Länder hinweg rationalisiert werden. Wird das qualifizierte Personal gezielt für wichtige Aufgaben und Risikothemen eingesetzt, bleibt der Personalaufwand flexibel und kostengünstig. Beispielsweise lassen sich reine Einhaltungsprüfungen sehr gut auch outsourcen.

Als Grundvoraussetzung für ein effizientes Compliance-Management sieht Manganiello die Abstimmung sämtlicher Stakeholder auf strategischer Ebene. Ein Vergleich der Erwartungen der verschiedenen Interessengruppen zeige dabei in erster Instanz die unterschied­lichen Perspektiven auf. «Das Verständnis für den Zweck der Compliance und die daraus abgeleiteten Aktivitäten können wesentlich voneinander abweichen», weiss der Wirtschaftsprüfer. Einmal erhoben, lassen sich die Erwartungen im Unternehmen konsistent nachvollziehen, einheitlich kommunizieren und folglich auch einfacher umsetzen. Ausserdem werden Compliance-Funktionen bis dato häufig in verschiedenen Geschäfts­bereichen abgebildet. Viele Unternehmen führen auf neue regulatorische Anforderungen abgestimmte Prozesse beispielsweise zeitlich gestaffelt ein. «Mit der wachsenden Komplexität geht jedoch oft der Überblick verloren, inwieweit diese Prozesse gemeinsame Kontrollen nutzen», sagt Manganiello. Sein Tipp: Synergien optimal ausschöpfen, denn ein integrierter Compliance-Ansatz verringert die Komplexität und schafft mehr Transparenz hinsichtlich bestehender Risiken und der Einhaltung von Regeln. Lesen Sie auf der nächsten Seite: Redundanzen beseitigen

Viele Unternehmen verfolgen noch keine koordinierte Zusammenführung von Governance, Risiko-Management und Compliance-Aktivi­täten (GRC). Während die Wichtigkeit der einzelnen Disziplinen erkannt und entsprechend in diese investiert wird, fehlt das Zusammen­wirken untereinander. Insbesondere auch mit den Linienfunktionen, die das Geschäft und die Risiken am besten kennen. Die mangelnde Abstimmung kann wiederum zu mehrfachen Kontrollen für dieselben Prozesse führen. Mit­arbeiter beklagen sich häufig über eine steigende Anzahl von Kontrolltätigkeiten und werden im schlimmsten Fall kontrollresistent. «Aufgrund der heterogenen Compliance-Landschaft erfolgt keine durchgängige Kommunikation zwischen den Funktionen mit teilweise re­dundanten Prozessen», so Manganiello. Um einen risikobasierten Ansatz sicherzustellen, sollte die Landschaft also einheitlich gestaltet werden.

In der Studie «Deeper insight for greater strategic value. State of Compliance. 2013 survey» fanden die Studienverfasser von PricewaterhouseCoopers heraus, dass Compliance-Funktionen technologische Hilfsmittel wie etwa SAP-Lösungen für Governance, Risk und Compliance, hauptsächlich für die Dokumenten­verwaltung, interne Schulungen und dergleichen nutzen. Zur Überwachung von Risiken jedoch sehr selten, obwohl neue Funktionalitäten genau das ermöglichen. Die wenigsten Unternehmen verfügen zudem über eine GRC-Technologie, in der ein speziell auf ihr Unternehmen zugeschnittener Risikokatalog definiert ist –, obwohl entsprechende Lösungen längst auf dem Markt sind. In der Regel werden auch die Zusammenhänge zwischen den verschiedenen Risiken nicht erkannt. In der besseren Nutzung dieser Technologien liegt also noch viel Potenzial brach. Neben der unternehmensweiten systematischen Risikoanalyse im Rahmen eines Compliance-Programms empfiehlt es sich, dieses durch zusätzliche Elemente zu erweitern, beispielsweise durch ein Hinweissystem (Whistle Blower). Damit kommen schwere Verstösse gegen Gesetze oder interne Richtlinien schneller ans Licht. Die Firmenleitung kann Risiken – z.B. im Bereich Kartellrecht oder Korruption – dadurch besser begegnen und Schaden von Unternehmen und Beschäftigten abwenden. Im Idealfall nimmt zusätzlich ein externer, unabhängiger Mittler Hinweise auf Fehlverhalten entgegen und leitet diese auf Wunsch anonymisiert an das Management, respektive den Compliance-Manager, weiter. Das Hinweissystem sollte jedoch transparent sein, um einen fairen Umgang sowohl mit Tippgebern als auch mit Mitarbeitenden, die von einem Vorwurf betroffen sind, zu gewährleisten. Ein weiterer wichtiger Bestandteil moderner Compliance-Programme ist die Integritätsprüfung von Geschäftspartnern. Mit diesen Prüfungen lassen sich weltweit Risiken iden­tifizieren und auf mögliche Gefahren angemessen reagieren.

Eine weitere wichtige Komponente erfolg­reicher Compliance-Programme sind das Mana­gement und die Mitarbeitenden – und deren Einstellung. Hier die richtige Person für die richtige Tätigkeit einzusetzen, ist eine nicht zu unterschätzende Herausforderung. Ähnlich wie erfolgreiche Unternehmen ihre zukünftigen Führungskräfte durch die interne Revision schleusen, sollte dies in Zukunft auch für die Compliance-Funktionen gehandhabt werden, meint Manganiello. Es sei allerdings nicht Sinn und Zweck, diese oft überqualifizierten Ressourcen mit repetitiven, standardisierten Compliance-Aufgaben wie Testings zu betrauen, um die Wirksamkeit von Compliance-Programmen nachzuweisen, schreibt der Wirtschaftsprüfer auf der PwC-Webseite. «Solche Aktivitäten lassen sich problemlos zusammenfassen und an ein internes oder externes Shared Service Center auslagern.» So lassen sich Kosten unter Kont­rolle halten und das Unternehmen kann sich auf das Kerngeschäft konzent­rieren. Je positiver übrigens die Unternehmenskultur, umso höher die Akzeptanz und umso grösser der Erfolg von Compliance-Programmen. Und: Führungskräfte, die Compliance aus eigener Erfahrung kennen, werden auch für die richtige Einbettung im Unternehmen sorgen. Compliance wird dann eine Disziplin wie jede andere.