ÖCOV & IIRÖ: Positionspapier zur Kooperation Compliance/Interne Revision

Compliance-Funktion und Interne Revision leisten einen wesentlichen Beitrag zu einer wirksamen Governance in einem Unternehmen bzw einer Organisation. Dies gelingt insbesondere im öffentlichen Sektor sowie in kleinen und mittelständischen Unternehmen (KMU) bzw Organisationen, in denen die Governance-Funktionen oftmals mit begrenzten Personalressourcen ausgestattet sind, umso besser, wenn Interne Revision und Compliance-Funktion strukturiert zusammenarbeiten. Die Arbeitsgruppe Süd des Österreichischen Compliance Officer Verbund (ÖCOV) hat dies zum Anlass genommen, in Zusammenarbeit mit dem Think Tank GRC des Instituts für Interne Revision Österreich (IIRÖ) ein „Positionspapier zum Zusammenwirken der Governance-Funktionen Compliance und Interne Revision“ zu erarbeiten. Auf Basis der geltenden Standards ISO 37301 Compliance Management Systems – Requirements with Guidance for Use und IDW Prüfungsstandard: Grundsätze ordnungsmäßiger Prüfung von Compliance-Management-Systemen (IDW PS 980) sowie den Internationalen Standards für die berufliche Praxis der Internen Revision und dem Three Lines-Modell (vormals Three Lines of Defense-Modell) des globalen Institute of Internal Auditors (IIA) wurden die Synergien einer Zusammenarbeit von einer zwölfköpfigen Arbeitsgruppe bestehend aus erfahrenen Compliance Officern und Internen Revisoren ermittelt und in einem Positionspapier festgehalten.

Zusammenwirken der Funktionen Compliance
und Interne Revision

Die Arbeitsgruppe hat für das Zusammenwirken der Funktionen Compliance und Interne Revision folgende vier mögliche Bereiche identifiziert: 

Laufender Informationsaustausch zu Richtlinien, Schulungen, Risiken und aktuellen Ereignissen bzw Erkenntnissen: Durch einen regelmäßigen Erfahrungsaustausch, etwa über die jeweils bearbeiteten Compliance-Verstöße, die für den Aufgabenbereich der jeweils anderen Funktion relevant sind, oder über Prüfungsergebnisse und identifizierte Compliance-Risiken, die für präventive Maßnahmen der Compliance-Funktion relevant sind, kann ein deutlicher Mehrwert erzielt werden. 

Kontrolle/Überwachung der Regelkonformität: Die Compliance-Funktion hat ihre Kontroll- bzw Überwachungsfunktion in Bezug auf den eigenen Zuständigkeitsbereich risikoorientiert wahrzunehmen, um allfällige Regelverstöße bzw Schwachstellen im Compliance-Management-System feststellen und in weiterer Folge abstellen zu können. Die Überwachungsaufgaben können von der Compliance-Funktion selbst oder in Abstimmung mit der Compliance-Funktion auch von der Internen Revision wahrgenommen werden. 

Sonderuntersuchung bzw anlassbezogene Prüftätigkeit: Das Zusammenwirken von Interner Revision und Compliance-Funktion bei Sonderuntersuchungen bzw anlassbezogenen Prüftätigkeiten ist in drei Konstellationen denkbar. Die beiden bekannteren Formen sind die Durchführung der Untersuchung entweder durch die Interne Revision oder selbständig durch die Compliance-Funktion, wobei die jeweils andere Funktion unterstützend tätig sein kann. In Österreich weniger oft praktiziert, aus Sicht der Arbeitsgruppe jedoch jedenfalls im Einklang mit den geltenden Berufsstandards und Normen, ist die Variante, dass Compliance-Funktion und Interne Revision Untersuchungen von Compliance-Sachverhalten gemeinsam durchführen. Im Falle einer gemeinsamen Durchführung von Untersuchungen wird empfohlen, den Auftrag vorab exakt zu definieren, hinsichtlich der Durchführung insbesondere die Verantwortlichkeiten und Untersuchungshandlungen gemeinsam festzulegen und nach Abschluss der Investigation einen gemeinsamen Bericht für die Unternehmensleitung zu erstellen. 

Audit/Prüfung des Compliance-Management-Systems: Im Rahmen von internen Audits/Prüfungen des Compliance-Management-Systems, die in regelmäßigen Zeitabständen durchzuführen sind, ist von einer unabhängigen Stelle zu prüfen, ob das Compliance-Management-System eines Unternehmens bzw einer Organisation angemessen und wirksam ist. Diese Prüfung kann von der Internen Revision im Rahmen ihrer laufenden, risikoorientierten Prüfungstätigkeit durchgeführt werden, kann in Teilbereichen aber auch von der Compliance-Funktion selbst wahrgenommen werden, sofern nicht die Tätigkeit der Compliance-Funktion selbst beurteilt wird (etwa die Beurteilung des On-boarding-Prozesses, wenn dies von HR selbständig durchgeführt wird).

Funktionen unter gemeinsamer Leitung

In der nationalen und internationalen Unternehmenslandschaft (mit Ausnahme des Finanzdienstleistungssektors) sowie im öffentlichen Sektor kann zunehmend bemerkt werden, dass Interne Revision und Compliance-Funktion unter gemeinsame Leitung gestellt werden. In der Praxis kommt dies überwiegend in zwei Konstellationen vor, entweder dass (a) die beiden Funktionen in einer Einheit zusammengelegt sind und von einer Führungskraft geleitet werden, oder dass es (b) für die beiden Funktionen jeweils eigene Einheiten gibt, die sowohl fachlich als auch disziplinär einer gemeinsamen Leitung unterstellt sind.  Sowohl die IIA Standards als auch die Compliance-Normen lassen prinzipiell die Wahrnehmung der Funktionen Compliance und Interne Revision unter gemeinsamer Leitung zu, sofern Vorkehrungen zur Begrenzung von Beeinträchtigungen der Unabhängigkeit und der Objektivität getroffen werden und ein Rollenkonflikt ausgeschlossen werden kann. Unter diesen Voraussetzungen konnten von der Arbeitsgruppe zahlreiche Vorteile einer gemeinsamen Leitung identifiziert werden, sei es, dass die Compliance-Funktion in dieser Konstellation kurzerhand Informationen erhält, die für präventive Maßnahmen zur Minimierung von Compliance-Risiken wesentlich sein können, oder, dass die Interne Revision durch ihre Prüftätigkeit mögliche Schwachstellen im Compliance-Management-System im kurzen Weg an die Compliance-Funktion kommunizieren kann. Daneben kann durch einen intensiveren Kontakt mit der Unternehmensleitung und dem Überwachungsorgan ein höheres Ansehen und ein gesteigertes Bewusstsein in der Unternehmensleitung und uU sogar eine Kostenoptimierung erzielt werden.

Arbeitsgruppe

Der Arbeitsgruppe gehörten neben der Autorin auf Seiten der Compliance Officer Martin Eckel (Taylor Wessing Wien), Michael Nuster (inecos e.U.), Rudolf Schwab (Telekom Austria AG), Andreas Raso (Veterinärmedizinische Universität Wien) und Sebastian-Dominik Zankel (ams-OSRAM AG), sowie von Seiten der Internen Revisoren der Leiter des Thinktank GRC Stephan Pichler (Go for Audit! Internal Audit & Risk Advisory Services e.U.), Alois Bürger (EVN AG), Markus Fally (Energie Steiermark AG), Martin Fitz (Julius Blum GmbH), Eckhard Knapp (TIWAG Tiroler Wasserkraft AG) und Andrea Rockenbauer (Mag. Andrea Rockenbauer Unternehmensberatung) an. Die Arbeitsgruppe konnte von der praktischen Erfahrung der Mitglieder Raso und Knapp, die in Doppelfunktion tätig sind, zusätzlich profitieren. Das Positionspapier wurde vom Vorstand und Beirat des ÖCOV sowie vom Vorstand des Instituts für Interne Revision Österreich einstimmig beschlossen.

Autoren

Dr. Iris Curman

Dr. Iris Čurman ist seit 2016 Leiterin der Stabstelle Compliance an der Medizinischen Universität Graz. Davor zunächst 12 Jahre als Universitätsjuristin mit den Schwerpunkten Universitäts-, Vertrag...