Seit ein paar Jahren treibt eine neue Spezies ihr Unwesen in Unternehmen… die Compliance Abteilungen oder, in kleineren Unternehmen, die allein kämpfenden Compliance-Verantwortlichen. Entstanden sind wir nach diversen Skandalen, die wir an dieser Stelle nicht (mehr) auflisten müssen. Leider stecken wir seitdem in einem ungewollten Konflikt. Von fast keinen Kollegen geliebt, obwohl wir uns über Unterstützung freuen und doch nur das Beste zum Schutz des Unternehmens wollen. Warum die Compliance gar kein Feind sein möchte, stellt Ihnen Jenny Schmigale in ihrer Position als Group Compliance Officer bei der Scandlines Deutschland GmbH vor.
Compliance möchte die Einhaltung von Gesetzen und Regeln im Unternehmen sicherstellen. Verkürzt beschrieben werden, basierend auf einer Analyse der Compliance-Risiken, relevante risikominimierende Maßnahmen, wie Richtlinien und Prozesse, abgeleitet und diese über angemessene Kommunikation und Schulung ins Unternehmen getragen. Weiterhin erfolgt eine regelmäßige Überprüfung, ob diese Richtlinien/Vorgaben eingehalten werden und sich die Unternehmensmitglieder rechtskonform verhalten. Hierzu gehört auch die Untersuchung von Vorfällen die bspw. ein Hinweisgebersystem an die Compliance-Abteilung heranträgt. All diese Elemente bilden das „Compliance Management System“.
All diese Aktivitäten können wir natürlich nicht in Bezug auf alle rechtlichen oder regulatorischen Anforderungen in einer Organisation ganz allein durchführen. Wir können nur ein System „animieren“ und sind auf die Beteiligung aller angewiesen. Weil es die Funktion wie auch das Berufsbild noch nicht so lange gibt, unterscheidet sich die Ausgestaltung in den Unternehmen noch sehr.
Leider gibt es etliche Funktionen in Unternehmen, die sich nicht über die Ankunft der Compliance-Abteilungen gefreut haben. Funktionen die eigentlich unsere Freunde sein müssten, wie das Risikomanagement oder die Interne Revision. Statt sich über die Kollegen mit gleicher Zielsetzung zu freuen und proaktiv die bereits entwickelten Methoden, etc. weiterzugeben, gibt es Machtgerangel und Kampf.
Betrachten wir heute einmal die geschätzten Revisoren. Wie auch jüngst in einem hier erschienenen Blog Artikel beschrieben, gefällt es ca. 11% von Ihnen überhaupt nicht, dass eine andere Abteilung plötzlich die Idee hat Prüfungen durchzuführen, schließlich ist dies ja nur ihnen vorbehalten. Hinzu kommen ca. 30%, die zumindest unterschwellig der Second Line eine fehlende Unabhängigkeit attestieren.
In Punkto Compliance und Prüfungen führt dies zu zwei Konfliktsituationen: Da wären die regelmäßigen Prüfungen die wir, das Compliance Management, durchführen und welche die Einhaltung seiner Regeln, Prozesse und Kontrollen sicherstellen sollen. Zudem kann ein Hinweis zum Verstoß gegen ebenjene Regeln, Prozesse und Kontrollen, Ermittlungen im Unternehmen notwendig machen. Solche Hinweise können bspw. durch das Hinweisgebersystem im Unternehmen eingehen.
Natürlich kann die Revision, abhängig von ihrem Mandat, alles im Unternehmen prüfen. Somit kann sie natürlich auch die Einhaltung der Compliance-Regeln, -Prozesse und –Kontrollen überprüfen. Sie kann sogar überprüfen, ob diese Elemente an sich, aus ihrer Sicht angemessen und effizient sind. Inwiefern die Revision Compliance-Ermittlungen im Unternehmen durchführt, hängt von vielen Dingen ab, insbesondere vom Mandat. So können diese Art von Ermittlungen durch die Compliance-Abteilung selbst, durch die Revision, aber eben auch externe Experten durchgeführt werden. Idealerweise hat die Compliance-Abteilung das Mandat und kann abhängig vom Fall und dem benötigten Spezialwissen entscheiden wer sie unterstützt. Viele Unternehmen haben genau dies nicht klar definiert. Dies führt zu Frustrationen bei allen Beteiligten. Denkbar wäre bspw. auch eine rein präventiv ausgerichtete Compliance-Abteilung, die jegliche Verantwortung für Prüfungen und Ermittlungen abgibt. Unter Umständen trauen sich Mitarbeiter dann auch eher Missstände anzusprechen. Es gäbe viele Lösungsmöglichkeiten…
Schlimm an diesem Gerangel ist, dass beide Funktionen dadurch an Akzeptanz im Unternehmen verlieren. Anderen Abteilungen verstehen nämlich nicht das Problem. Schließlich gehören beide Funktionen zu den „Kontroll- und Überwachungsfunktionen“ und „nerven“ regelmäßig, stellen die gleichen oder ähnliche Fragen und zu allem Überfluss überprüfen sie teilweise die gleichen Sachverhalte- vielleicht gar nur mit zwei Wochen Unterschied. Wir müssen hier besser zusammenarbeiten. Wenigstens die Prüfpläne abstimmen, gleiche Begrifflichkeiten verwenden. Oft benötigen wir auch die gleichen Informationen (z.B. zum Status gewisser Projekte im Unternehmen). Warum können wir nicht Informationen hierzu austauschen oder gemeinsame Termine mit den Abteilungen wahrnehmen, damit diese nicht alles doppelt und dreifach erklären müssen?
Das Compliance Management ist mit dem Vorwurf konfrontiert, dass ihnen die Unabhängigkeit als Second Line of Defense-Funktion fehlt. Zum einen ist es nicht so, dass das Compliance Management nicht schon eine gewisse Unabhängigkeit zur First Line of Defense hat. Zum anderen erhebt sie überhaupt nicht den Anspruch von den Prüfungen der Revision unberücksichtigt bleiben zu wollen – eher im Gegenteil der unabhängige und objektive Blick auch auf die Ausgestaltung der Regeln an sich, ist durchaus begrüßenswert. Insofern würde es, wenn überhaupt, doch eher zu mehr als weniger Kontrolle dieser spezifischen Prozesse und Kontrollen kommen. Die Sorge der Compliance-Welt ist sicher auch die, dass die Interne Revision ihren Bereich nicht regelmäßig prüft und dieser aber eben oft einer regelmäßigen Überwachung bedarf. Nur durch diese Prüfungen kann das Compliance Management auch selbst fortlaufend ihr Compliance Management System anpassen und verbessern.
Hinzu kommt, dass letztlich sowohl das Compliance als auch die Interne Revision mit neuen Anforderungen konfrontiert sind und sich gegenseitig helfen könnten. Wie für die Interne Revision, ist auch für Compliance die Digitalisierung ein wichtiges Thema. Dinge wie Continuous Audit sind relevante Themen für beiden Seiten – warum nicht gemeinsam daran arbeiten. Will die Interne Revision wirklich bei jeden „Hinweis“/Report durch das System selbst aktiv werden?
Letztlich kann vielleicht noch eine Sache festgehalten werden: Compliance Management verlangt wirklich sehr unterschiedliche Kompetenzen: vom Verständnis für Gesetzestexte und dergleichen, über Risikomanagement- und Schulungskompetenzen bis hin zu Prüfungs- und Ermittlungskompetenzen, um nur einige zu nennen, etc. Gerade kleine Compliance-Abteilungen oder häufig vorzufindende „One-man/woman-shows“ werden in den seltensten Fällen alle Bereiche selbst abdecken können. Ihr Interesse ist es aber ein funktionierendes Compliance Management System aufzubauen, das trotzdem alle wichtigen Elemente abdeckt. Wenn andere Funktionen im Unternehmen bestimmte Aufgaben bereits in gewisser Form oder mit bestimmten Methoden abdecken oder abdecken können, dann hat da prinzipiell niemand etwas dagegen. Es wäre nur schön, wenn wir mal kurz vorher darüber sprechen und uns abstimmen könnten. Letztlich sind wir Compliance-Beauftragen recht vermittelnde und integrative Kollegen.
Daher liebe Revisionskollegen, warum setzen wir uns nicht einmal an einen Tisch? Warum besprechen wir nicht einfach wer bei unseren speziellen Fällen die bessere Kompetenz und/oder Methodik für Ermittlungen und Prüfungen mitbringt oder wie wir uns gegenseitig helfen können? Können wir alternativ an einer gemeinsamen Terminologie oder Methode arbeiten, oder wenigstens unsere Prüfpläne abstimmen, damit die operativen Abteilungen nicht gleichzeitig von uns „Kontroll- und Überwachungsfunktionen“ überrannt werden. Letztlich wollen wir doch das gleiche: Unserer Unternehmensleitung die Sicherheit geben, dass die Risiken eines definierten Aufgabenfeldes „unter Kontrolle“ sind.
Quellen:
- IIA Position Paper: The Three Lines of Defense in effective risk Management and Control, Januar 2013, https://na.theiia.org/standards-guidance/Public%20Documents/PP%20The%20Three%20Lines%20of%20Defense%20in%20Effective%20Risk%20Management%20and%20Control.pdf (10.02.2019)
- DIIR – Deutsches Institut für Interne Revision e. V. Erarbeitet im Arbeitskreis „Interne Revision in der Versicherungswirtschaft“: Zusammenarbeit der Internen Revision mit Risikocontrolling und Compliance, DIIR-Schriftenreihe 43, Berlin: Erich Schmidt Verlag GmbH & Co. KG, 2010.
- Deloitte zur Zukunft von Compliance: https://www2.deloitte.com/de/de/pages/audit/articles/future-of-compliance.html