Praxisseminar: Das Zusammenspiel von Corporate Compliance und Interner Revision

IIA_Blog_022024-2

Am 23. und 24. Januar 2024 fand an der Akademie für Interne Revision in Wien das Praxisseminar „Das Zusammenspiel von Corporate Compliance und Interner Revision“ statt. Das Seminarziel war es, die Synergien der Zusammenarbeit von Compliance und Interner Revision aufzuzeigen und Compliance-Prozesse darzustellen, in denen die Interne Revision mit ihrer Arbeit Effizienz- und Effektivitätssteigerungen bewirken kann. Dabei wurden folgende Seminarinhalte anhand von Vorträgen, Fallbeispielen, Erfahrungsberichten aus der Praxis und Gruppenarbeiten vermittelt:

  • Grundlagen von Compliance-Management-Systemen
  • Interne Compliance-Untersuchungen
  • Compliance-Prüfungen und -Audits von Geschäftspartnern
  • Compliance-Kontrollen und -Assessments
  • Compliance-Prozessaudits
  • Fallstudien und Praxistipps

Dieser Artikel bietet einen Überblick über die Seminarinhalte hinsichtlich des effektiven Zusammenspiels zwischen Corporate Compliance und Interner Revision sowie darüber, wie sie gemeinsam zur Stärkung der Unternehmensintegrität beitragen können.

1. Definition und Grundlagen von Corporate Compliance

Corporate Compliance bedeutet Regeltreue bzw. Regelkonformität. Das umfasst die Einhaltung, Steuerung und Kontrolle von gesetzlichen und unternehmenseigenen Regelungen bei der Erfüllung der betrieblichen Aufgaben. Compliance ist aufgrund drohender Rekordgeldbußen und Schadenersatzforderungen in Millionenhöhe bei Compliance-Verstößen von großer Bedeutung. Immer mehr Unternehmen führen daher Compliance-Management-Systeme (CMS) ein, um derartigen Konsequenzen und Reputationsverlusten entgegenzuwirken.

Der Ausgangspunkt für alle Unternehmen ist jedoch gleich: Sie müssen sicherstellen, dass alle einschlägigen Vorschriften beachtet werden. Im Einzelnen ist die Ausgestaltung eines CMS immer unternehmensindividuell vorzunehmen, abhängig von der Branche, in der das Unternehmen tätig ist, aber auch von seiner Größe, Komplexität sowie seiner nationalen und internationalen Positionierung. Compliance in einem Kreditinstitut muss anders aussehen als in einem Pharmaunternehmen, bei einem internationalen Konzern, bei einem mittelständischen Familienunternehmen oder bei einem Unternehmen, das nur am heimischen Markt auftritt.

Demzufolge kann die Einhaltung von Compliance-Anforderungen, die aufgrund der vielen und unterschiedlichen Gesetze, Regelungen und Standards Organisationen auf lokaler, nationaler, internationaler und branchenweiter Ebene betreffen, eine Herausforderung sein. Die Nichteinhaltung kann zu steuerlichen, zivilrechtlichen oder sogar strafrechtlichen Sanktionen führen. Darüber hinaus bringen Rechtsverstöße auch wirtschaftliche Risiken mit sich; im Extremfall kann das bestandsgefährdend für das Unternehmen sein. Außerdem entwickeln sich Gesetze, Vorschriften und Standards ständig weiter. Somit wird Compliance zu einem kontinuierlichen Prozess und ist nicht nur ein einmaliges Projekt.
Ein risikobasierter Ansatz für das CMS ist wichtig. Dies bedeutet, dass ein Unternehmen entscheiden muss, welche Anforderungen, Bedürfnisse und Erwartungen es hat. Die Bedürfnisse im Hinblick auf Compliance-Anforderungen sind anhand der Identifizierung von Compliance-Risiken durch Bezugnahme auf Compliance-Verpflichtungen für seine Aktivitäten, Produkte, Dienstleistungen und relevanten Aspekte seiner Organisation zu eruieren. Ziel dabei ist es, Situationen zu ermitteln, in denen Nichteinhaltung möglicherweise auftreten kann. Bei der Risikobewertung wird festgelegt, welche Risiken die Organisation akzeptieren kann und will. Dabei können die Risiken priorisiert werden und dienen als Grundlage für die Bestimmung des Bedarfs an Kontrollmaßnahmen.

Das Ziel eines CMS muss sein, Compliance-Verstöße zu reduzieren oder ganz zu vermeiden. Somit ist es die Aufgabe der Unternehmensleitung, Risiken aus Compliance-Verstößen zu identifizieren, zu bewerten und zu managen, um diesen möglichst schon präventiv zu begegnen.

2. Definition und Grundlagen der Internen Revision

Die Interne Revision bietet unabhängige und objektive Prüfungs- und Beratungsdienstleistungen, um Mehrwerte zu schaffen und Geschäftsprozesse zu verbessern. Durch ihre systematische und zielgerichtete Herangehensweise bewertet sie die Effektivität des Risikomanagements, der Kontrollen und der Führungs- und Überwachungsprozesse.
Als wesentlicher Bestandteil des internen Kontrollsystems trägt die Interne Revision dazu bei, Risiken zu identifizieren, Betrug zu verhindern und die Unternehmensziele sicherzustellen. Unabhängigkeit und Objektivität sind dabei von entscheidender Bedeutung. Sie prüft nicht nur die internen Kontrollen, sondern auch Governance-Strukturen und -Prozesse, um sicherzustellen, dass diese den Best Practices entsprechen.

3. Gemeinsame Ziele und Zwecke

Corporate Compliance und Interne Revision streben gemeinsam danach, Unternehmensintegrität zu gewährleisten, transparente Geschäftspraktiken zu fördern und das Risikomanagement zu verbessern.

Gemeinsamkeiten der beiden Abteilungen können im Überblick sein:

  • Überwachungsfunktion (Interne Revision und Compliance-Organisation sind Teil des Überwachungssystems)
  • Prüfende und beratende Tätigkeit
  • Recht auf Auskünfte und Dokumenteneinsicht im Unternehmen
  • Risikominimierende und präventive Wirkung
  • Compliance-Thema ist ein wichtiges Prüfgebiet der Internen Revision
  • Compliance-Management ist oft in der Internen Revision angesiedelt
  • Unterstützung der Unternehmensleitung
  • Regelmäßige Berichterstattung an die Unternehmensleitung
  • Unterstützung durch die Unternehmensleitung ist wichtig („tone-from-the-top“)

Corporate Compliance und Interne Revision sind zwei unterschiedliche, aber miteinander verbundene Konzepte im Bereich der Unternehmensführung und -kontrolle. Konkrete Ziele der beiden Abteilungen beinhalten auch die Verhinderung und Aufdeckung von Verstößen gegen interne und externe Vorgaben.

In vielen Organisationen arbeiten die beiden Funktionen zusammen, um sicherzustellen, dass das Unternehmen sowohl die gesetzlichen Anforderungen einhält als auch über wirksame interne Kontrollen verfügt.

4. Risikomanagement und Zusammenarbeit

Corporate Compliance und Interne Revision können ebenso zusammenarbeiten, um potenzielle Risiken zu erkennen. Dies ermöglicht eine proaktive Herangehensweise an die Risikominimierung und -prävention.

Überblick gemeinsamer Themenbereiche:

  • Früherkennung von Risiken: Mit der Zusammenarbeit von Corporate Compliance und Interne Revision werden potenzielle Risiken frühzeitig identifiziert, bevor sie zu ernsthaften Problemen werden.
  • Gemeinsame Datenanalyse: Durch den Austausch von Daten und Informationen verbessern beide Funktionen ihre Fähigkeit, Unternehmensdaten zu analysieren und fundierte Entscheidungen zu treffen. Diese effiziente Überwachung unterstützt die Compliance-Abteilung dabei, ihre Maßnahmen zu optimieren und sicherzustellen, dass alle relevanten Vorschriften eingehalten werden.
  • Effiziente Überwachung von Compliance-Maßnahmen: Die Interne Revision unterstützt die Compliance-Abteilung dabei, die Wirksamkeit ihrer Maßnahmen zu überwachen und sicherzustellen, dass relevante Vorschriften eingehalten werden.
  • Kontinuierliche Verbesserung: Durch regelmäßige Kooperation können beide Funktionen ihre Prozesse optimieren und sich kontinuierlich an neue rechtliche Anforderungen sowie geschäftliche Herausforderungen anpassen.

Um ein Verständnis der geltenden Compliance-Anforderungen zu gewährleisten, ist eine klare Kommunikation zwischen der Compliance und der Revisionsabteilung erforderlich. Die Revisionsabteilung sollte über Änderungen in den Vorschriften auf dem Laufenden gehalten werden, und die Compliance-Abteilung sollte regelmäßiges Feedback von der Internen Revision erhalten, um eine kontinuierliche Verbesserung des CMS basierend auf den gewonnenen Erkenntnissen zu ermöglichen.

Da sich die Interne Revision grundsätzlich durch betriebswirtschaftliches Know-how und die Kenntnisse der innerbetrieblichen Strukturen sowie Prozesse auszeichnet, können beispielsweise interne Compliance-Untersuchungen und Reviews federführend von dieser durchgeführt werden. Diese sollte sich wiederum mit der Compliance- und Rechtsabteilung hinsichtlich der Bewertung der Untersuchungsergebnisse abstimmen.

Im Falle einer Zusammenarbeit bei einer Compliance-Untersuchung sollten gemeinsame Ziele für die interne Untersuchung definiert werden, um sicherzustellen, dass diese effizient und effektiv durchgeführt wird. Klar definierte Rollen sind wichtig, um Doppelarbeiten zu vermeiden. Bei komplexen rechtlichen Angelegenheiten sollten sowohl die Compliance- als auch die Interne Revisionsabteilung auf juristische Expertise zurückgreifen, um sicherzustellen, dass die Untersuchung rechtskonform durchgeführt wird. Das Ziel dabei ist es, die Wahrheitsfindung zu unterstützen und Compliance-Verstöße aufzudecken. Es ist von Vorteil, gemeinsame Berichte und Empfehlungen zu erstellen, um die Geschäftsführung über die Ergebnisse der internen Untersuchung zu informieren.

5. Organisatorische Ausgestaltung

Bei der Zusammenarbeit zwischen Interner Revision und Compliance ist es wichtig, dass die Funktionstrennung anhand des „Lines of Defense“-Modells eingehalten wird. Dieses Modell definiert klar die Erwartungen der Aufsicht an das interne Überwachungssystem und soll wie folgt abgebildet werden:

  • Erste Verteidigungslinie: Das operative Management ist für die Identifizierung, Bewertung, Kontrolle und Reduzierung von Risiken im Rahmen des Tagesgeschäfts verantwortlich. Es gewährleistet auch die Übereinstimmung der Aktivitäten mit den Unternehmenszielen.
  • Zweite Verteidigungslinie: Diese umfasst Risikomanagement-, Controlling- und Compliance-Funktionen, um die von der ersten Verteidigungslinie konzipierten Kontrollen zu erweitern und zu überwachen.
  • Dritte Verteidigungslinie: Die Revision fungiert als objektive und von den operativen Themen unabhängige Prüfungsinstanz. Sie unterstützt die Geschäftsleitung, Führungskräfte und Überwachungsinstanzen und stellt Sicherheit über die Angemessenheit und Wirksamkeit der Überwachungs-, Risikomanagement- und Kontrollstrukturen bereit.

Themen wie Datenschutz, Informationssicherheit und Compliance fallen in die Zuständigkeit der zweiten Verteidigungslinie (Risikomanagement, Controlling und Compliance-Funktionen), nicht jedoch in die der Revision als dritte Verteidigungslinie. Die Revision prüft unabhängig, ob die Verantwortlichen ihre Aufgaben wahrgenommen und kontrolliert haben. Damit werden eine Art Gewaltenteilung und mehrstufige Kontrollmechanismen im Unternehmen etabliert.

6. Fazit

Um den wachsenden Anforderungen an Unternehmensintegrität und -performance gerecht zu werden, ist eine enge Zusammenarbeit zwischen Corporate Compliance und Interner Revision von entscheidender Bedeutung. Die enge Zusammenarbeit zwischen Corporate Compliance und Interner Revision schafft eine robuste Tandemstrategie, die nicht nur die Einhaltung von Vorschriften gewährleistet, sondern auch die Effizienz steigert und das Vertrauen der Stakeholder stärkt. Diese koordinierte Anstrengung bildet die Grundlage für eine nachhaltige und erfolgreiche Unternehmensführung.

Zusammenfassend zeigt dieser Artikel, dass das Zusammenspiel von Corporate Compliance und Interner Revision eine entscheidende Rolle für den langfristigen Erfolg eines Unternehmens spielt. Durch die Integration dieser beiden Funktionen können Unternehmen nicht nur rechtlichen Anforderungen gerecht werden, sondern auch eine robuste Grundlage für Integrität, Effizienz und Risikomanagement schaffen.

Über die Autorin

linkedin
Inhaltbars