Compliance und/oder Revision — Gesetzliche Pflichten, Zusammenarbeit und Abgrenzung
Text von Christoph Hagen, langjähriger Revisionsleiter und verantwortlich für Compliance Management beim WDR Westdeutscher Rundfunk Köln und der AfA AG Bremen.
Compliance oder Revision? Compliance und Revision? Geht es auch ganz ohne? Mit dieser Frage beschäftigen sich aktuell viele deutsche Unternehmen und auch die öffentliche Hand. In naher Zukunft werden die gesetzlichen Pflichten verschärft und Unternehmens- und Behördenleitungen verpflichtet sein, neue betriebliche Funktionen zu etablieren, die den beiden Berufsbildern zuzurechnen sind. Während die korrespondierenden berufsständischen Organisationen jeweils damit beschäftigt sind, sich voneinander abzugrenzen, müssen die Entscheidungsträger den gesetzlichen Auflagen gerecht werden und dies in effektiver und wirtschaftlicher Weise organisieren.
Der Gesetzesgeber wird in naher Zukunft die Anforderungen in zweierlei Hinsicht verschärfen. Zum einen werden gemäß der EU-Whistleblower- Richtlinie Unternehmen mit mehr als 50 Mitarbeiter*innen (Nationalstaaten können die Schwelle auf bis zu 250 Mitarbeiter anheben) sowie Behörden und Kommunen mit mehr als 10.000 Einwohnern dazu verpflichtet, Hinweisgeber-Systeme einzurichten, über die Verstöße gegen nationales und EU-Recht gemeldet werden können. Die Richtlinie, die zum 16.12.2019 beschlossen wurde, muss bis zum 17.12.2021 national umgesetzt werden. Zum anderen sieht auch das Verbandssanktionengesetz (VerSanG) eine ganze Reihe von Neuerungen vor, die zum Teil mit erheblichen Konsequenzen für Unternehmen verbunden sein werden. Das Gesetz liegt im Entwurf vor und wird nach dem jetzigen Stand eine entsprechende Pflicht nach einer Übergangsfrist von 2 Jahren vorsehen. Dieses „Gesetzes zur Stärkung der Integrität in der Wirtschaft“, das neue VerSanG, wird wohl noch in diesem Jahr in Kraft treten.
Unternehmen, aber auch Behörden und Kommunen sind also gut beraten, sich jetzt mit der Frage zu beschäftigen, welche organisatorischen Vorkehrungen getroffen werden müssen, um diesen Anforderungen gerecht zu werden und zu entscheiden, ob eine eigene Revision und oder Compliance-Stelle benötigt wird. Zunächst ergibt sich bei Betrachtung der Berufsbilder Interne Revision und Compliance aus den Aufgabengebieten beider Funktionen eine Reihe von Gemeinsamkeiten. Diese sind beispielsweise:
1) Die Prüfung und Überwachung der Einhaltung von gesetzlichen und unternehmensinternen Bestimmungen (to comply with)
2) Eine Beratungsfunktion bzw. Unterstützung für die Geschäftsleitung und das Management
3) Im englischsprachigen Raum es gibt gleich lautende Begrifflichkeiten wie Compliance Audit, Internal Audit, Assurance and Consulting Services, auch im deutschsprachigen Raum identische Begriffe wie Prüfung, Überwachung, Monitoring, Kontrolle.
4) Beide Funktionen berichten regelmäßig an die Geschäftsleitung, Gremien und Stakeholder
Durch Sonderregelungen in der Finanzbranche, vor allem bei Kredit-/Finanzinstituten sind dort beide Funktionen detailliert vom Gesetzgeber geregelt. Dagegen verschwimmt die Wahrnehmung der beiden Funktionen Revision und Compliance in den anderen Branchen der Privatwirtschaft und des öffentlichen Bereiches weiterhin.
Die Revision hat sich immerhin mit dem umfassenden Regelwerk des DIIR, den Deutschen Institut für interne Revision, Standards geschaffen, die in der Praxis großer Unternehmen angewendet werden können und durch Zertifizierungen unterstützt werden. Das Regelwerk Revision kann auf eine langjährige Praxis aufbauen, Interne Revisionen gibt es im privaten Unternehmen „seit Menschengedenken“ und auch zunehmend in der öffentlichen Verwaltung, neben den Rechnungsprüfungsämtern und Rechnungshöfen. Allerdings — für Neueinsteiger in diesem Gebiet oder als Hilfestellung für die Frage „Revision und/oder Compliance?“ ist das Regelwerk zur Revision aufgrund seiner Fülle und Komplexität kaum geeignet.
Das moderne Revisionsverständnis umfasst die folgende Definition: „Die Interne Revision erbringt unabhängige und objektive Prüfungs- und Beratungsleistungen, welche darauf ausgerichtet sind, Mehrwerte zu schaffen und die Geschäftsprozesse zu verbessern. Sie unterstützt die Organisation bei der Erreichung ihrer Ziele, indem sie mit einem systematischen und zielgerichteten Ansatz die Effektivität des Risikomanagements, der Kontrollen und der Führungs- und Überwachungsprozesse bewertet und diese verbessern hilft. Die Interne Revision unterstützt die Unternehmens- bzw. Organisationsleitung in ihrer Kontrollfunktion im Rahmen ihrer Steuerungsaufgabe durch unabhängige Prüfungen.“
Der Compliance-Begriff hingegen kommt aus dem angloamerikanischen Raum. Im Jahr 2014 wurde die ISO-Norm 19600 veröffentlicht, in der beschrieben wurde, wie in einem Unternehmen ein Compliance-Management-System (CMS) eingeführt, umgesetzt und die Wirksamkeit nachgewiesen werden kann. Diese ISO 19600 war allerdings als empfehlende Norm konzipiert und damit nicht unmittelbar zertifizierbar. Diese Nichtzertifizierbarkeit wurde in den vergangenen Jahren zunehmend als Problem erkannt. Deshalb ist im April 2021 mit der ISO 37301 eine zertifizierbare Norm in Kraft getreten. Auch der TÜV Rheinland hat mit der TR CMS 101:2011 einen Standard für Compliance Management Systeme (CMS) veröffentlicht.
Das Institut der Internen Revision nimmt in einem eigenen Positionspapier eine begriffliche und inhaltliche Abgrenzung der Funktionen Interne Revision vs. Compliance vor. Es wird jedoch eindeutig die Position der Revisionssicht bezogen, so dass daraus für den unvoreingenommenen Entscheider keine echte Hilfestellung erwächst.
Geeigneter für diese Fragestellung ist da schon die Einordnung beider Begriffe in die Corporate Governance:
Im EU Green Paper „The EU corporate governance framework” vom Juli 2011 erfolgte eine Zuordnung und Abgrenzung der Aufgaben der beiden Funktionen Compliance und Interne Revision.
In diesem Papier wurde das sogenannte Drei-Linien-Modell („Three lines of defence“) postuliert, mit dem die Steuerung von Unternehmen (Governance) im Hinblick auf a) das Kerngeschäft, b) auf Risiken und Kontrollen sowie c) die Interne Revision strukturiert wird.
Demnach hat die Interne Revision –vereinfacht gesprochen — als c) — dritte Linie des Modells, die Ordnungsmäßigkeit, Angemessenheit, Zweckmäßigkeit und Wirtschaftlichkeit der Aufbau- und Ablauforganisation des a) Kerngeschäfts aber auch b) des Risiko-Managements und der Kontrollen, also der ersten und zweiten Linie zu prüfen.
Die Compliance Funktion nimmt dagegen b) die Kontrollfunktion der zweiten Linie ein. In vielen Fällen wird die Compliance-Stelle auch mit Aufgaben des Risikomanagements betraut. Die interne Revision führt insofern auch Prüfungen der Compliance-Funktion sowie zur Struktur weiterer interner Kontrollfunktionen und auch des Risikomanagements durch.
Quelle: ECIIA (2011) und Prof. Dr. Marc Eulerich in ZIR 2/12, Erich Schmidt Verlag GmbH & Co KG
Folgt man diesem Ansatz, so lassen sich trotz der begrifflichen Nähe von Revision und Compliance und den in der Praxis oft vorgefundenen Überschneidungen einige klare Unterschiede zwischen beiden Funktionen feststellen.
Die Compliance-Stelle ist selbst Teil des internen Kontrollsystems und unterstützt die Geschäftsleitungen und Führungskräfte bei Themen wie dem IKS, Risikomanagement, dem internen Vorschriftenwesen oder Fragen zu Hinweisgebersystemen. Sie ist somit Bestandteil von Geschäfts- und Entscheidungsprozessen und führt Kontrollaufgaben für die Führungskräfte im Rahmen des Tagesgeschäftes aus.
Sie ist insofern themenspezifisch beschränkt und kann durchaus in bestimmten Bereichen eine Weisungsbefugnis haben. Die Compliance-Stelle nimmt in dieser Funktion oftmals auch an den Sitzungen der Geschäftsleitung teil und ist möglicherweise unmittelbar in betriebliche Entscheidungen und Maßnahmen zur Abwehr von Risiken eingebunden.
Prüfungen im eigentlichen Sinne nimmt eine Compliance Stelle dagegen nur in Einzelfällen wahr, denn aufgrund der vorherigen Einbindung in operative Prozesse kann es dazu kommen, dass die Prüfungsfragen, Feststellungen und Wertungen der Compliance-Stelle auch Aspekte betreffen, wo diese an betriebliche Entscheidungen oder auch deren operativer Umsetzung beteiligt war. In diesen Fällen kann die Compliance-Stelle nicht unvoreingenommen sein.
Sofern sich Unternehmen darüber hinaus eine eigene Interne Revision leisten, ist es genau diese Unvoreingenommenheit, die in Anwendung der berufsständischen Standards erreicht werden soll. Die Revision kann deshalb unabhängige Prüfungs- und Beratungstätigkeiten erbringen, da sie weder selbst Kontrollen in der zweiten Linie vornehmen noch in die operative Umsetzung der eigenen Empfehlungen oder gar in operative Aufgaben (erste Linie) eingebunden werden sollte.
Im Drei-Linien-Modell prüft also die Revision die Arbeit der Compliance Stelle als wichtigen Bestandteil des Internen Kontrollsystems. Die Revision selbst ist kein Bestandteil der Kontroll-, Geschäfts- und Entscheidungsprozesse, sondern hat eine unabhängige und übergeordnete Funktion, die sich regelmäßig auf das gesamte Unternehmen bezieht und keine prüfungsfreien Räume zulassen sollte. Die Revision darf keinesfalls eine Weisungsfunktion haben, auch nicht gegenüber der Compliance-Stelle. Sie ist letztlich ein Bestandteil der Aufsicht. Insofern kann und sollte ihr Personal und auch nicht einspringen, wenn operative Kapazitätsengpässe oder Kontrollaufgaben zu bewältigen sind.
Es sind daher nur Unternehmen ab einer gewissen Größe oder mit speziellen Risikolagen, die es sich leisten können, eigens Personalkapazitäten für solche unabhängigen Prüfungsleistungen einer Internen Revision vorzuhalten. Bei kleineren Unternehmen mit einer Risikolandschaft, die auch vom Gesetzgeber als nicht besonders regulierungswürdig eingestuft wird, kann dagegen eine Compliance Stelle regelmäßig die Führungskräfte und Unternehmensleitung bei ihrer Kontrollfunktion unter-stützen und möglicherweise Aufgaben der Führung in speziellen Bereichen wie dem Risikomanagement selbst übernehmen.
Fazit
Für die betriebliche Frage „Compliance und/oder Interne Revision?“ ist nicht die theoretische oder definitorische Abgrenzung beider Funktionen entscheidend. Es hängt vielmehr von den jeweiligen Geschäfts- und Behördenleitungen ab, von deren Risikoempfinden und Verständnis einer Corporate Governance und Steuerung. Wollen sie dauerhaft in Kapazitäten für eine komplett unabhängige Prüfungs- und Beratungsfunktion wie die Revision investieren? Wenn diese Frage bejaht wird, ist die Etablierung einer Revisionsfunktion der richtige Weg. Wird dagegen eher die zusätzliche Expertise und Unterstützung im bestimmten Kontroll- und Steuerungsbereichen als notwendig erachtet, so ist der Einstieg in eine Compliance-Funktion der richtige Weg. Diese kann unabhängig, aber auch operativ agieren, wenn Bedarf entsteht. Sollte solch eine Compliance-Stelle in der betrieblichen Praxis mehr und mehr prüferische Aufgaben übernehmen, so kann dies der Einstieg in die Etablierung einer eigenen Revisionsfunktion sein.
