Der Standard IDW PS 980 - 27. Februar 2015

Der Weg ist steinig, aber sicher

Gerade im Bereich der Compliance sind Begriffs- und Pro­zess­­defi­ni­tionen von Vorteil. Das Institut der Wirt­schafts­prüfer hilft hier weiter und ver­öffent­licht ver­ständ­liche Regeln, die Orien­tie­rung und Weg­weiser sein sollen.

DATEV magazin: Warum müssen sich Unternehmen mit dem Thema Compliance beschäftigen?

CHRISTOPH BALK: Der Grund dafür ist eigentlich ganz einfach. Es gab Zeiten, in denen verdeckte Auftragsprovisionen und schwarze Parteispenden gegen Vorteilsgewährung ganz normal waren – in Deutschland bis 1996 sogar steuerlich noch abzugsfähig. Doch die Zeiten ändern sich, und man hat erkannt, dass Korruption volkswirtschaftliche Prosperität verhindert. Wenn von einem Dollar produziertem (Markt-)Wert nur ein Cent beim originären Hersteller verbleibt, dann hat keiner Lust, dafür zu arbeiten. Das haben die früher sogenannten Dritte-Welt-Staaten schon lange erkannt und unternehmen deswegen große Anstrengungen gegen Korruption – sogar Länder, von denen man das früher oder heute nicht erwarten würde. Und hier liegt für uns Europäer auch die Gefahr. Wir denken, im Ausland sei ein bisschen Bakschisch noch ganz normal, doch schwups sind wir im falschen Umfeld, und ein Whistleblower hat geflüstert. Und dann wird gerne auch ein Exempel statuiert: „Schaut mal“, heißt es dann, „ihr wollt uns was erzählen und seid doch selbst korrupt.“

DATEV magazin: Die zunehmende Globalisierung spielt also auch hier eine Rolle?

CHRISTOPH BALK: Ja. Die Dichte nationaler und internationaler Regeln, etwa gegen Korruption, hat in den letzten zehn Jahren im Vergleich zu früher exorbitant zugenommen. Es gibt heute viel mehr Methoden und Behörden, um Verstöße aufzudecken. Art und Höhe der Sanktionen gehen heute in Bereiche, die für Unternehmen existenzgefährdend sein können. Diese müssen sich heute ihren Investoren gegenüber durch unabhängige Experten bestätigen lassen, dass sie über Management- und Entwicklungsprozesse verfügen, um Compliance-Risiken zu vermeiden beziehungsweise Regelkonformität sicherzustellen. Das strahlt inzwischen auf viele, auch kleine Zulieferer aus, von denen sich Großunternehmen die Existenz derartiger Maßnahmen bestätigen lassen und denen ansonsten ein Delisting droht.

DATEV magazin: Compliance betrifft aber doch nicht nur das Pro­blem der Korruption.

CHRISTOPH BALK: Korruption war der häufigste Auslöser für die Entwicklung von Gegen­maß­nahmen. Die höchsten Risiken drohen daneben heute in den strafrechtlich relevanten Bereichen Kartell und Absprachen, Wirtschaftsspionage sowie Datendiebstahl. Durch die zunehmende Beschäftigung der Behörden mit Aufdeckungsmethoden, Sanktionsmechanismen und ihrer Wirkung wächst die Bedeutung von Compliance auch in weiteren Rechtsfeldern, zum Beispiel Steuern und Kapitalmarktrecht. Die jüngere Rechtsprechung über grundlegende Pflichten, wie etwa die Buchführungspflicht, zeigt, wie wichtig eine klar dokumentierte Orga­ni­sa­tion und Über­wachung auch für kleine und mittlere Unternehmen ist, um Straf- beziehungsweise Ordnungs­gelder zu vermeiden.

Compliance-Kultur schafft Bewusstsein und beeinflusst Mitarbeiter in Richtung auf regelkonformes Verhalten. 

CHRISTOPH BALK: Der Prüfungsstandard stellt grundlegende Elemente dar, sich systematisch und methodisch dem Thema zu nähern. Um den Nutzen aus Standards zu ziehen, ist es hilfreich, zwischen Standards zur Prüfung selbst und Standards für den Gegenstand der Prüfung zu trennen. Das gilt für den PS 980 ganz besonders. In der Praxis wird beides leicht vermischt. Obwohl der PS 980 eigentlich ein Standard zur Prüfung ist, beinhaltet er sinnvolle Hinweise für die Ausgestaltung von Compliance-Management-Systemen, kurz CMS.

DATEV magazin: Wie ist der PS 980 aufgebaut und strukturiert?

CHRISTOPH BALK: Beim PS 980 handelt es sich um einen relativ kurzen sowie übersichtlichen Prüfungsstandard. Die eigentlichen Fragen zur Prüfung bildet er in seinen ersten fünf Abschnitten ab. Ferner enthalten sind tiefer gehende Anwendungshinweise und Erläuterungen sowie zwei Anlagen, eine mit Standards für den Prüfungsgegenstand und eine mit konkreten Hinweisen zur Berichterstattung.

DATEV magazin: Und wo sind die Maß­nahmen zur Compliance konkret geregelt?

CHRISTOPH BALK: Die Bestimmungen im zweiten Abschnitt legen fest, wie die im Standard verwendeten Begriffe, wie Compliance, CMS, oder allgemein anerkannte Rahmenkonzepte zu verstehen sind. Für den Praktiker von Interesse sind die in den Begriffsbestimmungen enthaltenen Aussagen, dass es anerkannte Rahmenkonzepte gibt und dass die Dokumentation an Bedeutung gewinnt.

DATEV magazin: Welche Parameter sind nun bei der Konzeption eines umfassenden Compliance-Management-Systems von Bedeutung?

CHRISTOPH BALK: Zunächst einmal die Grundeinstellung, die sogenannte Awareness der in einem Unternehmen arbeitenden Menschen. Sie müssen Dinge für möglich halten, die man früher nicht für möglich gehalten hätte.

Compliance-Kultur schafft Bewusstsein und beeinflusst Mitarbeiter in Richtung auf regelkonformes Verhalten.

Sie müssen sich bewusst machen, dass eigenes Handeln sich doch auf Vermögen und Rechtsgüter anderer unangemessen auswirken kann und dass auch kleine Verstöße im digitalen Zeitalter aufgedeckt werden können. Um das zu erreichen, müssen Maßnahmen entwickelt werden, die in Richtung auf ein regelkonformes Verhalten beeinflussend wirken. Bei derartigen Maßnahmen zur Förderung einer günstigen Compliance-Kultur kommt der Geschäftsleitung eine ganz besondere Vorbildfunktion zu. Wenn sie sich nicht an die eigenen Grundsätze hält, werden Mitarbeiter diese auch nicht für so wichtig erachten. Daran anschließend sind die eigentlichen Compliance-Ziele festzulegen. Bei kleineren Unternehmen kann die Festlegung der Ziele noch auf der Ebene der Geschäftsführung oder einer zweiten Führungsebene erfolgen. Mit zunehmender Größe werden dann meist eigenständige Verantwortungsbereiche zur Erarbeitung von Beschlussvorlagen sowie zur Durchführung der Aufsicht und Kontrolle durch entsprechende Gremien erforderlich. Die Bandbreite der darauf aufbauenden Compliance-Organisation korrespondiert mit der jeweiligen Unternehmensgröße. Sie reicht von der Be­stim­mung eines Compliance-Verantwortlichen für die Kommunikation der Compliance-Grundsätze bis hin zu der Einrichtung professioneller Com­pliance-Officer mit in der Organisation verteilten Compliance-Managern.

DATEV magazin: Diese sind dann zuständig für die Analyse der Compliance-Risiken beziehungsweise das Erstellen eines Compliance-Programms?

CHRISTOPH BALK: Die Analysetätigkeiten können bei kleineren Unternehmen noch in der regelmäßigen Risikoinventur auf Führungsebene bestehen. Mit wachsender Unternehmensgröße werden systematische Verfahren (Informationsmanagement) zur Bestandsaufnahme von Compliance-Risiken erforderlich. Die daraus abzuleitenden Maßnahmen münden dann in das zu erstellende Compliance-Programm.

DATEV magazin: Ob Compliance in einem Unternehmen erforderlich ist, hängt aber doch ganz entscheidend von seiner Größe, Geschäftstätigkeit und dem rechtlichen Umfeld ab.

CHRISTOPH BALK: Ja, und der PS 980 erlaubt einen flexiblen Einsatz, spezifisch nach dem jeweils konkreten Bedarf eines Unternehmens, zielgerichtet auf abgrenzbare Teilbereiche, auch bei geänderter oder insgesamt neuer Konzeption des CMS. Da Unternehmen einem sich regelmäßig ändernden Umfeld ausgesetzt sind, ist ein CMS kein statisches, sondern ein dynamisches System, das auf die Änderungen von Umweltbedingungen reagieren muss.

DATEV magazin: Können Sie skizzieren, wie ein CMS funktioniert?

CHRISTOPH BALK: Der Kern ist die Risikoanalyse. Zunächst muss man sich das Geschäftsmodell und das wirtschaftliche und rechtliche Umfeld anschauen und analysieren, ob hieraus Gefahren von Verstößen entstehen können. Davon und von der Größe des Unternehmens hängen dann die weiteren Maßnahmen ab. Für das Compliance-Management haben sich in der betrieblichen Praxis unterschiedliche Ausprägungsformen gebildet. Sie reichen von einzelnen punktuellen Maß­nahmen bis hin zu Systemen mit einer weltweit ausgeprägten Compliance-Organisation in Konzernen.

DATEV magazin: Das heißt?

CHRISTOPH BALK: Bei den kleineren Einheiten werden Grundprinzipien zur Compliance in die bestehende, kaufmännisch eingerichtete Organisation integriert. Hierzu gehören etwa Doku­men­ta­tions- und Nachweispflichten nach Steuerrecht und dem Geldwäschegesetz für Zahlungs­vor­gänge – speziell für Barzahlungen –, Geschenke, Reisekosten und Spesen, Bewirtungen, Provisionen oder Beraterhonorare sowie Pflichten zu deren internen Überprüfung durch eine unabhängige Stelle.

DATEV magazin: Davon abzugrenzen wären dann Unternehmen mittlerer Größe?

CHRISTOPH BALK: Auf der Ebene der mittelständischen Organisation werden die organi­sa­to­rischen Einrichtungen systematisiert, da sich Funktionen und Verantwortungen für die unterschiedlichen Geschäftsprozesse mehr und mehr verteilen. Gemeint sind Dokumentationen der Stellen und Geschäftsprozesse als Elemente eines internen Kontrollsystems, kurz IKS, die systematisch um Elemente des Compliance-Managements ergänzt werden. Ein Beispiel hierfür ist das Festlegen von Intervallen für die Risikobestandsaufnahmen (Inventuren) und von Infor­ma­tions­quellen für die Risikoidentifikation. Als Informationsquellen dienen zum Beispiel Indikatorlisten von Organisationen wie Transparency International oder Erhebungen der Bundes- und Landeskriminalämter. In mittelständischen Organisationen gibt es immer bestimmte Kommunikationseinrichtungen wie Arbeitsverträge, Organisationsanweisungen, Intranet oder Rundschreiben. Beispiele für Compliance-Kommunikation sind dabei die Erweiterung der Kommunikation mit Verhaltensgrundsätzen, etwa einem Code of Conduct, Rundschreiben, Schulungen, schriftliche Verpflichtungen in Mitarbeiterverträgen oder auch entsprechende Gestaltung von Verträgen mit Geschäftspartnern.

DATEV magazin: Und wie sieht es bei Großunternehmen und Konzernen aus?

CHRISTOPH BALK: Auf Ebene der großen Organisationen wird in der Regel ein umfassendes CMS mit formaler Beschreibung und Berichtswesen erforderlich. Idealerweise sollten die vorhandenen Einrichtungen des IKS, des CMS und des Risikomanagementsystems, kurz RMS, ineinandergreifen.

DATEV magazin: Ist Compliance demnach Bestandteil interner Kontroll- beziehungsweise Risikomanagementsysteme?

CHRISTOPH BALK: Definitiv ja. Die Methodik ist allen drei Systemen gleich, und auch das jeweils betrachtete Unternehmen und seine Organisation sind identisch. Das Betrachten von Risiken erhält durch Compliance ein nur zusätzliches Argument. Wenn Unternehmen sich Ziele setzen und sie verfolgen, müssen sie immer drei Argumente betrachten: das operationale Wie bei den Geschäftsabläufen, das Messen des finanziellen Erfolgs und das Einhalten der Spielregeln. Durch die Identifikation der relevanten Regeln ist Compliance also kein Selbstzweck, sondern sichert nachhaltigen Geschäftserfolg, wenn sich Unternehmen zum Beispiel in neue Märkte begeben oder neue Produkte entwickeln.

DATEV magazin: Wie häufig sollten die Geschäftsabläufe überprüft werden?

CHRISTOPH BALK: Wichtig ist, dass man Compliance nicht als eine regelmäßige Übung ansieht. Vielmehr handelt es sich um lebende Kommunikationsprozesse beziehungsweise Verfahren zur Überwachung und Verbesserung. Das betrifft insbesondere auch die regelmäßige Information der Betroffenen.

DATEV magazin: Meine abschließende Frage: Erfüllt der PS 980 insgesamt seinen Zweck?

CHRISTOPH BALK: Die Absicht bei der Entwicklung des Standards war es nicht, Compliance neu zu definieren. Vielmehr haben wir versucht zu systematisieren, was unter dem Begriff Compliance diskutiert wird, und für die Prüfer- und Unternehmerpraxis handhabbare Hilfestellungen zu entwickeln.

Zu den Autoren

CB
Christoph Balk

Diplom-Volkswirt, Wirtschaftsprüfer, Steuerberater, Certified in Risk ­Management Assurance sowie Partner bei PKF Fasselt Schlage Partnerschaft mbB am Standort Duisburg

Weitere Artikel des Autors
Robert Brütting

Rechtsanwalt in Nürnberg und Fachjournalist Recht sowie Redakteur beim DATEV magazin

Weitere Artikel des Autors