Compliance-Monitoring – Die notwendige Kunst des Wissens

Schon 500 v Chr besagte ein altes Sprichwort des chinesischen Generals und Militärstrategen Sun Zi: „Tiefes Wissen heißt, der Störung vor der Störung gewahr sein...“. Auch heute kann der Zeitpunkt der Wissenserlangung erfolgsentscheidend sein und ist auch ein wesentlicher Bestandteil der Compliance-Welt. Der Wert, Wissen und Informationen möglichst frühzeitig einzuholen, zeigt sich vor allem auf den Finanzmärkten – Stichwort Insiderhandel. Aber auch die Durchführung von Compliance-Risikoanalysen zur frühestmöglichen Identifikation von Gefahren oder von Marktrecherchen zur Identifikation von Trends für die Produktentwicklung sind Beispiele, die das Diktum „Wissen ist Macht“ untermauern. Obwohl die Notwendigkeit frühzeitiger Informationen seit 500 v Chr bekannt ist, haben die wenigsten Unternehmen ein Compliance-Monitoring-System, das dem unternehmensinternen Bedarf nach zeitgerechten Informationen zur Gefahrenvermeidung Rechnung trägt, umgesetzt. Und das, obwohl auch die bekannten Compliance-Standards und Rahmenwerke (ISO 19600, ISO 37001, IDW PS 980, COSO etc) – trotz teilweise unterschiedlicher Struktur und Fokussierung – sich in der Forderung nach einem fortlaufenden Monitoring des Compliance-Management-Systems (CMS) als Grundlage stetiger Weiterentwicklung einig sind.

Einige Ursachen, warum erst wenige Unternehmen entsprechende Monitoring-Systeme eingeführt haben, sind:

• CMS-Implementierung noch nicht abgeschlossen (geplante Umsetzung noch nicht erfolgt);

• alleinige Implementierung punktueller Einzelmaßnahmen (Fokusthemen) ohne Einbindung in ein übergeordnetes CMS;

• unzureichendes Verständnis der Zielsetzung/Abgrenzung (fälschliche Annahme einer Abdeckung zB durch die interne Revision oder andere Querschnittsfunktionen);

• fehlende Erkenntnis des möglichen Mehrwertes (Prozessunterstützung, Risikosteuerung, Fehler-/Abweichungsidentifikation etc);

• unvollständige Umsetzung (zB aufgrund fehlerhafter/unzureichender Ergebnisse/Resultate) bzw stagnierende Weiterentwicklung aufgrund fehlender Einbindung des Monitoring-Systems in den internen Weiterentwicklungsprozess.

Bevor im Anschluss die zentralen Elemente bei der Einführung eines Compliance-Monitoring-Systems näher betrachtet werden, erfolgt zuerst eine Definition wesentlicher Eckpfeiler:

Abgrenzung Monitoring/Audit

Bei einem Audit handelt es sich um eine nachgelagerte (von den Prozessabläufen losgelöste) Betrachtung und Überprüfung der korrekten und effektiven Geschäftstätigkeit durch eine unabhängige Stelle (zB interne/externe Revision). Im Gegensatz dazu erfolgt ein Monitoring nahe bzw innerhalb der Prozessabläufe und ermöglicht somit eine zeitnähere Identifikation bzw abhängig von der Konzeptionierung sogar eine Korrektur/Vermeidung von Vorfällen und möglichen Compliance-Verstößen.

Verantwortlichkeit

Weder für ein ganzheitliches CMS, noch für ein explizites Compliance-Monitoring existieren bis auf einige branchenspezifische Ausnahmen (zB Banken, Versicherungen etc) gesetzliche Regelungen.

Eine Organverantwortung (Geschäftsführung, Vorstand, Aufsichtsrat etc) lässt sich somit lediglich aus allgemeinen Anforderungen an eine gesetzeskonforme und überwachte Unternehmensführung (zB § 70 Abs 1 AktG bei AGs) ableiten. Trotz fehlender Rechtsvorgaben empfiehlt sich jedoch im Eigeninteresse der Unternehmen, aber auch der leitenden Organe, die Konzeptionierung und Implementierung eines entsprechenden Compliance-Management-Systems.

Herausforderung

Trotz umfassender externer Erwartungshaltungen (Gesellschaft, Lieferanten, Kunden etc) hinsichtlich eines angemessenen Compliance-Monitorings zur Identifikation und Vermeidung von Compliance-Verstößen, existieren jedoch kaum Vorgaben und Anweisungen für dessen praktische Umsetzung.

Durch die notwendige Integration der Monitoring-Aktivitäten in die operativen Geschäftsabläufe des jeweiligen Unternehmens ist die Implementierung eines standardisierten Compliance-Monitoring-Systems (sozusagen ein System von der Stange) nur schwer möglich. Erforderlich ist vielmehr eine unternehmensspezifische Konzeptionierung und Implementierung maßgeschneiderter Monitoring-Aktivitäten.

Erfolgreiches Compliance-Monitoring – Nur mit Planung und Konzept

Da ein Compliance-Monitoring-System unternehmensspezifische Gegebenheiten der Aufbauorganisation zu berücksichtigen hat und gezielt in die Ablauforganisation integriert werden muss, stellt eine durchdachte Planung bei der Einführung den entscheidenden Erfolgsfaktor dar.

Zunächst sind die Anforderungen und Ziele des Compliance-Monitoring-Systems festzulegen und unter Einbindung der jeweiligen Unternehmensbereiche ein abgestimmtes Compliance-Monitoring-Konzept zu erstellen. Ähnlich den Vorzügen einer „Endoskopie“ als nicht-invasive Variante einer regulären Operation bietet ein Compliance-Monitoring-System drei wesentliche Vorteile:

• Minimaler Ressourcenbedarf
  Die risikobasierte Identifikation kritischer Punkte in den Prozessabläufen (Monitoringpunkte) sowie die daraus abgeleitete Fokussierung auf ausgewählte und explizit auf diese Punkte ausgerichtete Monitoring-Maßnahmen reduzieren den erforderlichen Ressourcenbedarf.
  

• Minimale Auswirkungen auf die Aufbau- und Ablaufstruktur
  Die Berücksichtigung der spezifischen Anforderungen und Eigenschaften der von den Monitoringpunkten betroffenen Prozesse ermöglichten eine optimierte Adaption sowie Integration der erforderlichen Monitoring-Maßnahmen.
  

• Maximaler Mehrwert durch zielgerichtete Informationssteuerung
  Die vorzeitige Erhebung des Informationsbedarfs der jeweiligen Adressatengruppen ermöglicht eine optimierte Steuerung und Verfügbarkeit der relevanten Informationen und somit einen maximierten Mehrwert.
  

Grundlage für die erfolgreiche Erstellung eines Compliance-Monitoring-Konzeptes ist es, im Vorfeld die richtigen Fragen zu stellen:

WER (Verantwortlichkeiten)

Basierend auf der Unternehmensstruktur, aber auch der jeweiligen Unternehmenskultur, besteht die Möglichkeit einer zentral gesteuerten Implementierung auf Konzernebene oder einer dezentral verantworteten Umsetzung in den jeweiligen Konzerneinheiten. Die Wahl der Umsetzungsvariante bzw auch die Kombination der beiden resultiert in unterschiedlichen Vor- und Nachteilen in der Implementierung, Steuerung, Überwachung sowie der Verantwortung für das Compliance-Monitoring-Systems.

Zusätzlich zur Positionierung des Compliance-Monitorings in der Konzernstruktur hat ebenfalls eine Verankerung der Verantwortlichkeiten innerhalb der Konzernsteuerung zu erfolgen. Entsprechend dem „Three Lines of Defense“-Modell sind Pflichten und Verantwortlichkeiten für das Management, die Compliance-Funktion, die interne/externe Revision und die Geschäftsführung sowie die zugrundeliegenden Schnittstellen und Informationspflichten zu definieren.

WAS (Betrachtungsebene)

Als Teil einer definierten Zielsetzung ist ebenfalls eine Festlegung der gewünschten Ausrichtung des Compliance-Monitoring-Systems (intern vs extern) erforderlich. Je nach Ansatz, oder auch in Kombination, verfolgt somit das Compliance-Monitoring-System bei einer internen Betrachtung die zeitnahe Abweichungsidentifikation von internen Anforderungen und Regelsets als Ziel. Eine externe Betrachtung fokussiert/ergänzt hierbei eine Überwachung hinsichtlich sich ändernder externer Anforderungen.

WODURCH (Maßnahmen/Kontrollset)

Grundlage eines Compliance-Monitoring-Systems ist die Konzeptionierung und Dokumentation eines risikobasierten Monitoring-Maßnahmensets. Das Monitoring-Maßnahmenset als Soll-Konzept der Monitoringaktivitäten definiert somit die fundamentalen Schlüsselelemente (Risiken/Gefahren, Prozesse, Monitoringpunkte, Kontrollen, Frequenzen, Verantwortlichkeiten etc).

WIE (Maßnahmenkategorien)

Abhängig vom möglichen Gefahrenpotential sowie dem Ausmaß und der Beschaffenheit der einer Monitoringmaßnahme zugrundeliegenden Informationsbasis (Systeme, Daten, Prozesse etc) sowie der Verfügbarkeit von Ressourcen hat die Wahl des jeweiligen zur Zielerreichung am besten geeigneten Ansatzes zu erfolgen. Die Wahl des korrekten Monitoring-Ansatzes (Einzelfallbetrachtungen, Stichprobenprüfungen, Continuous Audit Continuous Monitoring/CACM, interne/externe Revisionsprojekte, Funkusbetrachtungen etc) hat hierbei einen essenziellen Einfluss auf Verlässlichkeit und Aussagekraft der erhaltenen Resultate.

WANN (Zeitpunkt)

Basierend auf den möglichen Konsequenzen ist festzulegen, ob durch die Monitoring-Maßnahme eine reine Identifikation aufgetretener Abweichungen für die Zukunft oder eine explizite Verhinderung von Abweichungen erreicht werden soll. Zu beachten ist hierbei das Wechselspiel zwischen einer verbesserten Sicherheit bei vorgelagerten/verhindernden Monitoring-Maßnahmen, jedoch mit der Konsequenz einer möglichen Verlangsamung der internen Abläufe aufgrund der Integration von Monitoring-Maßnahmen in die Prozessabläufe.

WO (Anknüpfungs-/Integrationspunkt)

Die gezielte Berücksichtigung möglicher Anknüpfungs-/Integrationspunkte bei der Konzeptionierung und Implementierung von Monitoring-Maßnahmen (zB datenbasierte Vollprüfung, prozessintegrierte Freigabe- und Informationspflichten, Verifikation von Maßnahmen, stichprobenbasierte Plausibilisierung von Tätigkeiten etc) beeinflussen ebenfalls eine mögliche Nutzenmaximierung.

Fazit

Erfolgsfaktor eines effizienten und wertschöpfenden Compliance-Monitoring-Systems ist somit eine umfassende auf Risiko- und Gefahrenanalysen basierende Bedarfserhebung sowie eine daraus abgeleitete Planung des Compliance-Monitoring-Systems (Compliance-Monitoring-Konzept).

Nur bei einer vorgelagerten und vor allem auf die unternehmensspezifischen Eigenschaften abgestimmten ganzheitlichen Planung und Umsetzung eines Compliance-Monitoring-Systems ist eine harmonische Integration der geplanten Monitoring-Maßnahmen – unter Maximierung des Mehrwertes – in die organisatorische Aufbau- und Ablauforganisation zu erwarten.

Autoren

Mag. Raphael Iglhauser

Mag. Raphael Iglhauser, Manager bei KPMG Österreich, Certified Compliance Professional (CCP), mit Spezialisierung auf der Implementierung und Prüfung von Compliance-Management-Systemen und Internen...