Compliance-Management und Risikomanagement

Unter dem Begriff Risiko wird im weiteren Sinne die positive wie auch die negative Abweichung vom Erwartungswert verstanden. Im engeren Sinne wird unter Risiko ausschließlich die negative Abweichung vom Erwartungswert verstanden. Etwas allgemeingültiger kann der Risikobegriff als Gefahr der Zielverfehlung bzw. Strategieverfehlung aufgrund von hindernden Ereignissen oder Handlungen definiert werden.

 

Risikomanagement als Steuerungsinstrument von Risiken umfasst sämtliche organisatorischen Regelungen und Maßnahmen zur planmäßigen und systematischen Identifizierung, Analyse und Bewertung von Risikofaktoren. Ziel ist, durch die Einrichtung eines Frühwarnsystems den Fortbestand der die Gesellschaft gefährdenden Entwicklungen rechtzeitig zu erkennen, im Weiteren Maßnahmen zur Risikosteuerung zu entwickeln und dadurch die Unternehmensfortführung mit ausreichender Wahrscheinlichkeit zu sichern. Risiken sollen minimiert und beherrscht sowie Leistung und Effizienz gesteigert werden.

 

Die Kernelemente eines Risikomanagementsystems sind zum einen die Risikostrategie, die von der Unternehmensleitung entwickelt und von der Unternehmensstrategie abgeleitet wird und zum anderen der Risikomanagement-Prozess. Dieser erstreckt sich von der Risikoerfassung über die Risikobewertung bis hin zur Risikobewältigung. Die Ergebnisse der Identifikation, Analyse und Bewertung von Risiken fließen in die Risikoüberwachung und ä-berichterstattung ein. Der Gesamtprozess ist strukturiert zu überwachen und zu überprüfen, woraus sich ein weiteres Kernelement, die Risikoüberwachung, ergibt. Sie dient u. a. der Sicherung der Nachhaltigkeit des Systems. Ein Risikomanagementsystem ist folglich ein Steuerungselement der wirtschaftlichen Entwicklung eines Unternehmens und liegt damit in der Verantwortung der Unternehmensleitung.

 

Rechtliche Grundlagen zur Einrichtung eines Risikomanagementsystems existieren in vielfältiger Form und variieren je nach Branche und Rechtsform der Organisation. Beispielsweise regeln die §§ 289 und 315 HGB die Berichtspflichten über das Risikomanagementsystem im Lagebericht. Das Aktienrecht fordert in § 91 Abs. 2 vom Vorstand die Einrichtung eines Überwachungssystems, damit der Fortbestand der die Gesellschaft gefährdenden Entwicklungen früh erkannt wird. Die Überwachungspflicht des Aufsichtsrates im Hinblick auf das unternehmensweite Risikomanagementsystem ist in § 107 Abs. 3 AktG konkretisiert. Die Regelungen des Aktiengesetzes strahlen auf Organisationen anderer Rechtsformen in Abhängigkeit von Größe, Komplexität und Struktur aus. Die Bundesanstalt für Finanzdienstleistungsaufsicht legt z.B. Mindestanforderungen an das Risikomanagement (MaRisk) fest. Für öffentliche Bereiche kann die Verpflichtung zu einem Risikomanagement aus § 53 HGrG sowie aus der Bundeshaushaltsordnung, den Landeshaushaltsordnungen und den Gemeindeordnungen der jeweiligen Länder abgeleitet werden. Im Gesundheitswesen geht die Pflicht der Leistungserbringer zur Implementierung eines Risikomanagementsystems aus den §§ 135a und 137 Abs. 1d SGB V hervor.

 

Compliance bedeutet grundsätzlich die Einhaltung von Regeln (gesetzliche Bestimmungen und unternehmensinterne Richtlinien). Compliance beschränkt sich nicht auf die bloße Einhaltung von Vorgaben, sondern umfasst auch organisatorische Maßnahmen. Unter einem Compliance-Management System sind die auf der Grundlage der von den gesetzlichen Vertretern festgelegten Ziele eingeführten Grundsätze und Maßnahmen eines Unternehmens zu verstehen, die auf die Sicherstellung eines regelkonformen Verhaltens der gesetzlichen Vertreter und der Mitarbeiter des Unternehmens sowie ggf. von Dritten abzielen, d.h. auf die Einhaltung bestimmter Regeln und damit auf die Verhinderung von wesentlichen Verstößen. Es gilt somit, auf der Grundlage der von den gesetzlichen Vertretern festgelegten Ziele die Einhaltung sowohl rechtlicher Normen und organisatorischer Regeln als auch die Einhaltung einer werteorientiert gelebten Kultur zu bewirken. Abweichendes Verhalten soll im Idealfall durch Präventivmaßnahmen verhindert, bei entsprechendem Eintreten aber auch sanktioniert werden. Ein Compliance Management System kann sich auf Geschäftsbereiche, operative Prozesse, Länder oder auch auf bestimmte Rechtsgebiete wie beispielsweise das Kartellrecht beziehen. Haftungs- sowie finanzielle Risiken sollen reduziert und Image- bzw. Reputationsverluste durch Negativberichterstattungen vermieden werden. Ein Compliance Management System kann dazu beitragen, das Vertrauen in das Unternehmen nicht nur seitens der Geschäftspartner und des Marktes, sondern ebenso der Investoren und der Öffentlichkeit zu stärken. Es handelt sich um eine sinnvolle Maßnahme guter Unternehmensführung.

 

Die sieben Grundelemente des Compliance-Managements nach IDW PS 980 sind die Förderung einer Compliance-Kultur, die Festlegung von Compliance-Zielen, die Analyse der Compliance-Risiken, die Erstellung des Compliance-Programms, der Aufbau einer Compliance-Organisation und die Entwicklung eines Kommunikationsverfahrens sowie eines Überwachungs- und Verbesserungsprozesses. Mindestens einmal jährlich ist dem Vorstand ein Compliance-Bericht vorzulegen, in dem die durchgeführten Maßnahmen sowie Regelverstöße und die Reaktion des Unternehmens darauf dargestellt werden.

 

Rechtsnormen mit Bezug auf Compliance sind in Deutschland nur in geringem Umfang vorhanden. Eine generelle branchenunabhängige Pflicht zur Errichtung eines formalisierten Compliance Management Systems besteht nicht. Beispielsweise regeln § 25a KWG und § 64a VAG, dass Kredit- und Finanzdienstleistungsunternehmen bzw. Versicherungsunternehmen über eine ordnungsgemäße Geschäftsorganisation verfügen müssen, die die Einhaltung der von ihnen zu beachtenden Gesetze und Verordnungen sowie der aufsichtsbehördlichen Anforderungen gewährleistet. Nach Ziffer 4.1.3 des Deutschen Corporate Governance Kodex wird als Compliance die Verpflichtung des Vorstands bezeichnet, für die Einhaltung der gesetzlichen Bestimmungen und unternehmensinternen Richtlinien zu sorgen und auf deren Beachtung durch die Konzernunternehmen hinzuwirken. Eine Pflicht zur Errichtung eines Compliance Management Systems lässt sich aus dem Kodextext nicht ableiten.

 

Wird das Compliance Management System als eigenständig neben dem Risikomanagementsystem angesehen, führt dies dazu, dass beispielsweise der Compliance Officer das Compliance Management verantwortet und der Risk Manager das Risk Management. Es wird jeweils separat an den Vorstand berichtet.

 

Compliance-Management und Risikomanagement gehören zusammen. Beim Risikomanagement geht es in erster Linie um wirtschaftliche Entwicklungen und Risiken, die frühzeitig erkannt und gesteuert werden sollen. Compliance-Management befasst sich schon im Vorfeld mit der Vermeidung von Regelverstößen. Das Compliance-Management erweitert den Blick des Risikomanagements. Compliance Management ist Bestandteil des Risikomanagements.

 

Zum Vergrößern bitte anklicken

 

Interdependenzen können beispielsweise dahingehend bestehen, dass ein Gesetzesverstoß zwar nicht bestandsgefährdend sein muss, aber kann. Die Prozesse und Strukturen beider Systeme überschneiden sich. Sowohl Risikomanagementsysteme als auch Compliance Management Systeme zielen darauf ab, Risiken zu identifizieren, sie zu bewerten und durch geeignete Gegenmaßnahmen zu vermeiden. Weitere Schnittstellen sind z.B. die Überwachung von Risiken und auch der grundsätzliche Kommunikationsprozess. Oftmals liegt hier der Grund für Unterscheidungen nur in den verschiedenen Blickwinkeln von Risikomanagement und Compliance-Management. Es gilt somit im Sinne der Effizienzsteigerung Synergieeffekte zu erkennen und zu nutzen. Durch eine regelmäßige und zwischen den Systemen abgestimmte Risikoerhebung, Risikoprävention sowie Risikoüberwachung und Berichterstattung können sowohl die Nutzung von Geschäftschancen, als auch die Einhaltung gesetzlicher Vorgaben und damit die Sicherung der Reputation effizient erreicht werden. Redundanzen werden vermieden und ein einheitliches Verständnis des Gesamtrisikos des Unternehmens entsteht. Das Compliance-Management leistet damit ebenso wie das Risikomanagement einen Beitrag zur Risikovermeidung und Existenzsicherung eines Unternehmens.