70
Die Zuordnung von Verantwortlichkeiten und Aufgaben beinhaltet die Festlegung, wer im jeweiligen Unternehmensbereich für die Erfassung und Bewältigung bedeutsamer Risiken oder – im Falle der Nichtbewältigung – für die Weiterleitung von Informationen über bedeutsame Risiken zuständig ist. Ein Informationsaustausch über die erfassten Risiken ist dabei zwischen den jeweiligen Unternehmensbereichen erforderlich, um die Möglichkeit der Aggregation von Einzelrisiken, der wechselseitigen Verstärkung von Risiken zu einem bestandsgefährdenden Risiko oder der Kompensation von Risiken analysieren zu können. Zweckmäßigerweise sollte die Verantwortung für den Informationsaustausch den jeweils für die Unternehmensbereiche zuständigen Berichtsempfängern übertragen werden.[95]
71
Die Einrichtung eines Überwachungssystems ist erforderlich, um die Einhaltung der implementierten Maßnahmen zur Erfassung und Kommunikation bestandsgefährdender Risiken und deren Veränderung zu gewährleisten. Dabei sollten entsprechende Maßnahmen in die Abläufe integrierte Kontrollen, wie beispielsweise die Überwachung der Einhaltung der Meldegrenzen, die EDV-gestützte Kontrolle der Termintreue oder die Genehmigung und Kontrolle der Risikoberichterstattung, umfassen. Zudem sollten die Maßnahmen des RFS auch Gegenstand der Tätigkeit der Internen Revision sein. Dabei können z.B. die vollständige Erfassung aller Risikofelder des Unternehmens oder die kontinuierliche Anwendung der Maßnahmen der Prüfung durch die Interne Revision unterliegen.[96]
72
Die Dokumentation der getroffenen Maßnahmen soll primär der Sicherstellung der dauerhaften, personenunabhängigen Funktionsfähigkeit des Risikofrüherkennungssystems dienen. Daneben stellt die Dokumentation für den Vorstand einen Nachweis der Erfüllung seiner Pflichten nach § 91 Abs. 2 AktG dar. Als Dokumentation bietet sich insbesondere die Erstellung eines Risikohandbuches an, welches die organisatorischen Regelungen und Maßnahmen zur Einrichtung des Systems beinhalten sollte. Konkrete Themen des Risikohandbuches können insbesondere die Definition der Risikofelder, die zu bestandsgefährdenden Entwicklungen führen können, die Grundsätze für die Risikoerkennung, Risikoanalyse und Risikokommunikation, die Festlegung von Verantwortlichkeiten und Aufgaben für Risikoerkennung, Risikoanalyse und Risikokommunikation oder die Regelungen zur Berichterstattung über erkannte und nicht bewältigte Risiken an die zuständigen Stellen sowie zur Risikoverfolgung darstellen.[97]
3. Fazit
73
Die vorstehenden Ausführungen verdeutlichen, dass das Risikofrüherkennungssystem Elemente des Risikomanagementsystems aufweist. Der Fokus – insbesondere bei der Risikoerkennung und der Risikoanalyse – liegt dabei jedoch auf der Früherkennung bestandsgefährdender Risiken und Entwicklungen. Da das allgemeine Risikomanagement die Erfassung und Analyse sämtlicher Unternehmensrisiken umfasst, stellt das Risikofrüherkennungssystem somit einen speziellen Ausschnitt bzw. Teilaspekt des Risikomanagementsystems dar.
1. Vorbemerkung und Begriffsbestimmung
74
Bevor auf die Konzeption eines CMS anhand Darstellung der derzeit in Deutschland anerkannten Best-Practice-Rahmenwerke eingegangen wird, erfolgt zunächst eine kurze Einführung der Begriffe Compliance Management und Compliance Management System. Unter Compliance Management wird u.a. die Sicherstellung und Förderung der Einhaltung von Gesetzen und Unternehmens- bzw. Konzernrichtlinien durch geeignete Maßnahmen verstanden.[98] Des Weiteren werden Prozesse, welche die durch die Organisation anzuwendenden Regeln, wie z.B. Gesetze, Richtlinien oder Verträge, identifizieren und den Compliance-Status beurteilen sollen, vom Begriff Compliance Management umfasst. Gegenstand des Compliance Managements ist dabei u.a. die Bewertung der Risiken und Kosten von Non-Compliance und deren Vergleich mit den zum Erreichen von Compliance notwendigen Kosten sowie die auf dieser Basis vorzunehmende Priorisierung und Durchführung notwendiger, korrigierender Maßnahmen.[99]
75
Aufbauend auf dem Verständnis des Begriffs Compliance Management definiert der Prüfungsstandard 980 des IDW[100] ein Compliance Management System als die auf der Grundlage der von den gesetzlichen Vertretern festgelegten Ziele eingeführten Grundsätze und Maßnahmen eines Unternehmens, die auf die Sicherstellung eines regelkonformen Verhaltens der gesetzlichen Vertreter und der Mitarbeiter des Unternehmens sowie ggf. von Dritten abzielen. Ziel eines Compliance Management Systems ist folglich die Einhaltung bestimmter Regeln und die Verhinderung wesentlicher Regelverstöße. Dabei kann ein CMS auf abgegrenzte Teilbereiche, wie z.B. Geschäftsbereiche, Unternehmensprozesse (wie z.B. Einkauf oder Vertrieb) oder bestimmte Rechtsgebiete (wie z.B. Steuern oder Kartellrecht), ausgerichtet werden.[101] Der ISO-Standard 19600[102] definiert das CMS als Gesamtheit interagierender Elemente einer Organisation, um Richtlinien, Ziele und Prozesse zu etablieren, welche das Erreichen der festgelegten Ziele gewährleisten sollen. Dabei ist eine Ausrichtung des CMS auf eine oder mehrere Bereiche bzw. Funktionen der Organisation möglich. Zudem sind Organisationsstrukturen, Rollen und Verantwortlichkeiten Regelungsbereiche des CMS.[103] Einer kurzen und prägnanten Definition folgend werden im CMS organisatorische Vorkehrungen gesehen, mittels derer die Begehung von Gesetzesverstößen durch Mitarbeiter der Gesellschaft verhindert werden sollen.[104]
76
Zusammenfassend kann auf Basis der vorstehenden Begriffsbestimmungen festgestellt werden, dass das Compliance Management und das Compliance Management System die notwendigen Maßnahmen, Instrumente und Prozesse liefern sollen, um die Einhaltung von externen und internen Regeln zu gewährleisten.
77
In Deutschland haben sich zwei Rahmenwerke für Compliance Management Systeme als Best Practice-Standard etabliert. Zum einen handelt es sich dabei um den IDW Prüfungsstandard 980, welcher eine umfangreiche Darstellung der Grundelemente eines CMS enthält, und zum anderen um den ISO-Standard 19600, der auf eine weltweite Anwendbarkeit abzielt. Nachfolgend sollen die Konzepte beider Standards dargelegt werden, um ein Verständnis für den Aufbau und die Struktur eines CMS zu erhalten.
a) Hintergrund
78
Der durch den Hauptfachausschuss (HFA) des IDW am 11.03.2011 verabschiedete IDW PS 980 regelt primär den Inhalt freiwilliger Prüfungen von Compliance Management Systemen und zeigt die Berufsauffassung auf, nach der Wirtschaftsprüfer diese Aufträge durchführen sollen. Demzufolge sind insbesondere Vorgaben und Erläuterungen zu Gegenstand, Ziel und Umfang der Prüfung sowie zu konkreten Prüfungsanforderungen (wie z.B. Prüfungsplanung, Prüfungshandlungen oder Dokumentationspflichten des Wirtschaftsprüfers) Gegenstand des Standards.[105] Da der Standard darüber hinaus jedoch auch Compliance-spezifische Begriffsbestimmungen sowie die Definition und Darstellung der Grundelemente eines CMS enthält, hat er sich national zu einem Best Practice-Rahmenwerk für Compliance Management Systeme entwickelt. Als Benchmark für das theoretische Soll-Konzept von Compliance Management Systemen besitzt der Standard daher in der Unternehmenspraxis insbesondere bei der Entwicklung und Implementierung eines CMS eine hohe Relevanz.
b) Grundelemente eines CMS
79
Dem Sollkonzept des IDW PS 980 folgend, sollte ein CMS aus den sieben Grundelementen Compliance-Kultur, Compliance-Ziele, Compliance-Risiken, Compliance-Programm, Compliance-Organisation, Compliance-Kommunikation