Compliance
Compliance ist ein relativ junges Feld in der Praxis, was aber seit einiger Zeit stark an Bedeutung gewonnen hat. Compliance befasst sich mit der Einhaltung der Gesetze und anderer verpflichtender Regeln. Daneben befasst sich Compliance aber auch damit, welche Regeln sich ein Unternehmen selber gibt. Damit ist es die Abteilung, die die Legalität und Integrität im Unternehmen sichern soll. Dazu gehört auch die Integrität der Finanzen und der Berichterstattung über die Finanzen, sowie die Sicherung der Ordnungsmässigkeit von unternehmerischen Entscheidungen. Damit ergeben sich vielfältige Schnittstellen zum Controlling, zu dessen Aufgaben die Vorbereitung von unternehmerischen Entscheidungen gehört.
Herkunft und Begriffsdefinition
Compliance stammt von dem englischen Verb ‚to comply with‘. Laut Oxford Dictionary wird es auf das lateinische ‚complere‘ (erfüllen, vollenden) zurückgeführt. Seinen Eingang in die wissenschaftliche Fachsprache fand der Begriff über die Medizin. Hier bezeichnet Compliance die Therapietreue des Patienten, also ob sich der Patient an die Weisungen des Arztes hält oder nicht. Im betriebswirtschaftlich-juristischen Zusammenhang ist es bedeutend, dass man ‚in compliance with the law‘ ist, also dass die bestehenden Gesetze eingehalten werden. Compliance hat sich als eigenständige Disziplin zunächst im angelsächsischen Raum entwickelt. In der US-amerikanischen Rechtspraxis wurde Unternehmen von den Gerichten empfohlen, Präventions- und Aufklärungsprogramme einzuführen, um die Haftung der Unternehmensleitungen zu minimieren (Eufinger 2012, S. 21).
Ziele und Aufgaben
Inzwischen hat sich Compliance in den meisten Grossunternehmen zu einer Abteilung entwickelt, die mit personellen und finanziellen Ressourcen gut ausgestattet ist. Dabei wird der Tätigkeitsbereich von Compliance wie folgt definiert: „Compliance umfasst die Gesamtheit der Maßnahmen, die ein Unternehmen ergreift, um sicherzustellen, dass die extern vorgegebenen Regeln (seien es Gesetze oder andere verpflichtende Regeln) eingehalten werden. Hinzu kommt, dass sich Unternehmen selbst Regeln geben, deren Maßstab ein ethisches und verantwortliches Handeln ist. Auch die Ausarbeitung dieser Regeln und die Maßnahmen, die zu ihrer Einhaltung ergriffen werden, sollen unter dem Begriff Compliance subsumiert werden.“ (Behringer 2018, S. 36) Damit gehört mehr zum Compliance Management als nur die Einhaltung von gesetzlichen Regelungen. Wie eine andere Investitionsentscheidung muss sich das Unternehmen überlegen, ob es sich selbst bestimmte Regeln auferlegen will, beispielsweise um daraus einen Nutzen im Verkauf oder im Recruiting zu ziehen (z.B. besondere ökologische Regeln in der Beschaffung). Gibt sich ein Unternehmen solche Regeln, ist die Einhaltung besonders wichtig, da der mit einem Verstoss verbundene Reputationsschaden erheblich sein kann.
Schnittstelle zum Controlling
Controller können einen wesentlichen Beitrag zu einem erfolgreichen Compliance-Management leisten (vgl. Hirsch und Fiack 2015, S. 69 f.) genauso wie Compliance-Manager einen wesentlichen Beitrag zu einem effektiven Controlling leisten können.
Im Rahmen ihrer Informationsversorgung sollten Controller auch das Compliance-Management mit zielgerichteten Informationen versorgen. Opportunistisches Verhalten von Mitarbeitern zu verhindern, ist im Rahmen ihrer Rationalitätssicherungsfunktion auch Aufgabe des Controllings. Dort wo Opportunismus in regelwidriges Verhalten umschlägt wird es zur Aufgabe des Compliance-Managements. Davon sind insbesondere die Anreizsysteme betroffen, die konzeptionell und operativ ganz wesentlich vom Controlling gesteuert werden. Sie haben erhebliches Potenzial für Missbrauch, z.B. durch Bilanzbetrug oder Kartellabsprachen. Auch die Budgetierung kann bereits zu opportunistischem Verhalten führen, z.B. durch bewusst zu niedrig bzw. zu hoch angesetzte Budgets.
Business Judgement Rule
Eine Kernaufgabe des Controllings ist die Erarbeitung von Entscheidungsgrundlagen, die als Basis für die Entscheidungen des Managements dienen. Dabei muss ein Controller die Business Judgement Rule berücksichtigen. Diese Regel entstammt dem amerikanischen Rechtskreis, ist aber inzwischen in Europa übernommen. In der Schweiz hat das Bundesgericht mit Urteil vom 18. Juni 2012 (Aktenzeichen 4A_74/2012) grundsätzlich die Regelung übernommen.
Die Business Judgement Rule ist relevant für die Unterscheidung zwischen einer Fehlentscheidung und Fehlverhalten. Eine Fehlentscheidung führt nicht zur Haftung des Managers, ein Fehlverhalten jedoch sehr wohl. Eine Fehlentscheidung kann z.B. dadurch entstehen, dass sich trotz gehöriger Sorgfalt ein Markt nicht so entwickelt hat, wie man das vorausgesagt hat. Es gelten die folgenden Bedingungen, damit sich ein Manager darauf berufen kann, eine haftungsbefreiende Entscheidung getroffen zu haben:
- Vorliegen einer unternehmerischen Entscheidung (es muss eine Alternative geben und die Entscheidung hängt mit dem Geschäftsbetrieb zusammen);
- Unbefangenheit und Unabhängigkeit (es darf keine persönlichen Bevorzugungen geben, d.h. der Entscheider darf nicht zum persönlichen Nutzen oder einzelner Personen handeln, sondern im Interesse des Unternehmens);
- gehörige Sorgfalt (es muss ein informed business judgement sein, d.h. der Entscheider muss sich ausreichend informiert haben; des Weiteren muss die Entscheidungsfindung in einem angemessenen Verfahren stattgefunden haben);
- Handeln im guten Glauben (es muss also im besten Interesse des Unternehmens entschieden worden sein und es darf keine offensichtlich unvernünftige Entscheidung getroffen worden sein).
Liegen alle vier Voraussetzungen vor, so kann sich ein Manager auf die Anwendung der Business Judgement Rule, die ihn vor Schadensersatz und strafrechtlicher Haftung schützt, berufen. Um das Vorliegen der Voraussetzungen belegen zu können, ist es notwendig zum Zeitpunkt der Entscheidung die Grundlagen ausreichend zu dokumentieren. Insbesondere bei der Dokumentation der Anwendung der gehörigen Sorgfalt (ausreichende Informationen, angemessenes Verfahren der Entscheidungsfindung) ist der Controller gefragt. Für das Management trägt das Controlling die Hauptverantwortung, die Informationen in angemessener Breite und Tiefe bereitzustellen. Bei der Erstellung von Dokumenten zur Entscheidungsvorbereitung muss das Controlling immer stärker berücksichtigen, dass sie zum Beweismittel bei einem Prozess werden können. Dieser Zusammenhang sollte dem Controlling viele Aufgaben erleichtern, da Rationalität und Sorgfalt Kernvoraussetzungen der Haftungsvermeidung sind.
Greift die Business Judgement Rule nicht, so wird aus der Fehlentscheidung eine schuldhafte Pflichtverletzung, die zu Schadensersatz für den Manager führen kann.
Aufgrund der vielfältigen Überlappungen zwischen Controlling und Compliance kann man konsequent zu Ende denken, dass man die beiden Abteilungen zu einer gemeinsamen zusammenlegt (Behringer, 2017). Dort wo Compliance in bestehende Abteilungen integriert wird, werden zumeist Rechtsabteilungen, die Interne Revision an manchen Stellen auch die Personalabteilung mit Compliance zusammengelegt. Das Controlling wird in theoretischen und empirischen Arbeiten nur selten genannt. Allerdings zeigt ein Blick auf die Biographie von vielen Compliance-Verantwortlichen, dass diese häufig eine Vergangenheit im Controlling hatten. Dies liegt sicherlich daran, dass beide Stabsfunktionen einen breiten Blick auf das Unternehmen haben, mit rechtlichen Normen umgehen müssen und dabei gleichzeitig breites betriebswirtschaftliches Verständnis brauchen.
Trotzdem wird man eine Unvereinbarkeit der Zusammenfassung von Controlling und Compliance konstatieren. Grund dafür ist die deutlich unterschiedliche Aufgabenstellung der beiden Abteilungen. Sie haben der Unternehmensleitung gegenüber unterschiedliche Rollen, in denen sie beide aber unmittelbar zusammenarbeiten sollten. Der Controller hat die Aufgabe die wirtschaftliche Rationalität zu sichern. Er ist Berater des Managements im Hinblick auf die Zielsetzung und Zielerreichung des Unternehmens. Die Rolle ist diejenige eines aktiven Beraters im strategischen und operativen Bereich, der Rationalität einfordert. Der Compliance-Manager dahingegen hat die Aufgabe, die Ordnungsmäßigkeit in Bezug auf externe und interne Regularien sicherzustellen. Er hat im Hinblick auf das Geschäftsgeschehen dabei eher eine passive Rolle, der ein Vetorecht bei Geschäftsvorfällen hat, die mehr schaden als nützen. Insofern wird es hier bei einer oben beklagten Doppelstruktur bleiben.
Compliance Management System
Bei der Ausgestaltung von Compliance Management Systemen (CMS) können Controller einen wichtigen Beitrag bei der Ausgestaltung der Instrumente leisten. Als Leitlinie für den Aufbau eines CMS können Unternehmen sich an einem internationalen Standard orientieren. Im Jahr 2021 tritt der ISO Standard 37301 in Kraft. Unternehmen können ihr CMS nach diesem Standard zertifizieren lassen. Dieser Standard löst den 2014 erschienenen Standard 19600 ab, der nur empfehlenden Charakter hatte, also keine anerkannte Zertifizierung ermöglichte. Die ISO Norm lehnt sich dabei am Demingkreis mit dem Zyklus Plan-Do-Check-Act an. Die Elemente der ISO 37301 sind die Folgenden:
- Am Anfang steht die Feststellung der Unternehmenssituation (Context of the Organisation): Der Ausgangspunkt des Aufbaus ist ein volles Verständnis der internen und externen Compliance-Risiken des Unternehmens. Hier können Controller aufgrund ihrer Erfahrungen wichtige Beiträge leisten, um die Unternehmenssituation konkret zu verstehen.
- Das zweite Element ist die Führung: Das Top-Management muss seine Rückendeckung für die Integrität des Unternehmens zeigen (tone at the top, tone from the top).
- Die Strategie bestimmt die Ziele, die mit dem CMS erreicht werden sollen. Die Ziele sollen messbar sein und realistisch. Hier können Controller ihre Erfahrungen aus der finanziellen Budgetplanung einbringen. So werden Ergebnisse messbar und können im Sinne eines kontinuierlichen Verbesserungsprozesses auch Zielkorrekturen oder -erweiterungen angebracht werden. Für das Controlling ergibt sich durch die Strategie auch ein wichtiger Anhaltspunkt, welche finanziellen Mittel für ein CMS budgetiert werden müssen.
- Die Hilfestellung befasst sich damit, wie konkret die Massnahmen im Unternehmen umgesetzt werden sollen, also welches Personal und welche Instrumente eingesetzt werden. Das Controlling könnte insbesondere involviert werden bei denjenigen Instrumenten, die dafür sorgen sollen, dass Bilanzbetrug verhindert werden bzw. erkannt werden soll.
- Der fünfte Bereich, der Betrieb, beschreibt den laufenden Einsatz der gewählten Instrumente, die sich aus der Strategie ergeben und in der Hilfestellung konkretisiert worden sind.
- Im sechsten Schritt ist das CMS mindestens jährlich zu bewerten. Sind die gesteckten Ziele erreicht worden oder gab es Abweichungen? Dieser Prozess ist dem Controlling aus dem jährlichen Planungszyklus vertraut.
- Die kontinuierliche Verbesserung sorgt dann dafür, dass die Erkenntnisse aus der Bewertung in eine Veränderung des CMS einfliessen.
Lern und Praxismaterialien
Fallstudie |
---|
Quellen
Literaturverzeichnis
- Behringer, S. (2018): Compliance – Prüfstein für eine gute Unternehmensführung, in: Behringer, S.: Compliance kompakt, 4. Auflage, Berlin 2018, S. 29 – 47.
- Behringer, S. (2017): Rationalität trifft Rechtskonformität. Zur Zusammenarbeit von Controlling und Compliance, Controller Magazin, 42. Jg., Heft 2, S. 4 – 9.
- Eufinger, T. (2012): Zu den historischen Ursprüngen der Compliance, Corporate Compliance Zeitschrift, 5. Jg. , S. 21-22.
- Hirsch B, Fiack S (2015): Compliance-Management und Controlling, ZRFC 10. Jg. S. 68–73.
Autor
Stefan Behringer