Compliancemanagement hat sich in den letzten Jahren als entscheidender Faktor für den Erfolg und die Nachhaltigkeit von Unternehmen etabliert. Die zunehmende Komplexität von Vorschriften und die wachsenden Erwartungen von Stakeholdern gilt es zu erkennen und ihnen Rechnung zu tragen, doch dies macht auch ein Neudenken und eine Transformation in diesem Bereich notwendig. Ein modernes und effektives Compliancemanagement kann nicht nur rechtliche Risiken minimieren, sondern auch das Vertrauen in Unternehmen stärken und die Unternehmenswerte schützen. Doch es stellt sich auch neuen Herausforderungen der Komplexität, Governance und letztendlich der holistischen Wirksamkeit von Risiko und Compliance.
Compliance: Warum ein Neudenken notwendig ist
Compliancemanagement hat sich inzwischen als eine zentrale Funktion in großen Unternehmen etwa aus dem DAX 40, aber auch im Mittelstand etabliert. Die Ausprägung der Organisation variiert dabei je nach Unternehmensgröße, Risikokultur, Internationalität, Sektor und Regulierungsumfeld. Risikothemen wie Antikorruption, Kartellrecht, Datenschutz oder Accounting- und Taxcompliance sind im täglichen Geschäft selbstverständlich geworden. Dennoch ist ein Umdenken erforderlich: Die Anzahl der Vorschriften und (De-)Regulierungen nimmt ständig zu. Im Bereich der regulatorischen Compliance kommen neue Themen wie Exportkontrolle und Sanktionen, Nachhaltigkeitscompliance (inkl. Lieferkettensorgfaltspflichtengesetz und Corporate Sustainability Due Diligence Directive, CSDDD), Produkt- und technische Compliance, digitale Compliance einschließlich des EU Artificial Intelligence Act (EU AI Act) und die EU-Whistleblower-Direktive hinzu. Darüber hinaus beeinflussen geopolitische Veränderungen, globale Strukturkrisen, Sicherheitsmanagement, Arbeitsschutz, DEI (Diversity, Equity, Inclusion) etc. die Compliancelandschaft erheblich. Und letztendlich bleibt auch das Thema Ethik von essentieller Bedeutung.
Compliance befindet sich hier genau im Mittelpunkt der Transformation – mit der großen Frage, wie die zukünftige Rolle der Compliance-Officer bei einer solchen Komplexität auszufüllen ist. Denn die Complianceorganisation kann nicht Experte für die Vielzahl von Themen und Herausforderungen rund um Risiko und Compliance sein. Sie soll auch nicht die volle Verantwortung für diese Themen tragen – denn diese ist auch in anderen Funktionen wie Risikomanagement, Nachhaltigkeit, Personal, IT, Revision, Legal oder Sicherheit mit deren jeweiliger Kompetenz verortet. Doch letztendlich tragen die Geschäftsführung oder der Vorstand die Verantwortung für das Gesamtthema, und bei Organisationen mit Aufsichtsrat wird die Überwachung der Wirksamkeit der Systeme, die durch das Management implementiert wurden, essentiell. Somit werden die Themen Governance, Risk and Compliance (GRC) sowie Integrated Assurance wieder stärker in den Fokus moderner Organisationen gerückt, um das Risiko- und Compliancemanagement zu vereinheitlichen, zu vereinfachen, es aber auch wirksamer zu machen.
Compliancemanagement als Fundament von GRC?
Strukturelles Compliancemanagement hat sich im Wesentlichen durch große Unternehmensskandale in den 2000er und 2010er Jahren entwickelt. Unterschiedlichste Standardsetter, Behörden und NGOs haben umfassende Anforderungen an das klassische Compliancemanagement definiert, die Unternehmen sukzessive entwickelt und umgesetzt haben. Durchgesetzt hat sich ein klassisches „Prevent-Detect-Respond“-Modell, das regulatorische Compliancerisiken und verstöße frühzeitig ins Auge fasst und managt, bis hin zur Internal Investigation. Auf dieser Grundlage und bei einer überschaubaren Anzahl an Compliancerisikofeldern hat sich ein etabliertes Compliance-Governance-und-Operations-Modell entwickelt, auf das sich Unternehmen verlassen können (Abb. 1).
Standards für die Entwicklung eines Compliance-Management-Systems (CMS) basierten lange Zeit auf Richtlinien aus den Vereinigten Staaten, dem Vereinigten Königreich (UK Bribery Act ) und dem bekannten IDW Prüfungsstandard 980, die im Wesentlichen Anforderungen an systematische CMS beschrieben haben. Doch auch diese Welt wird komplexer: Neben den obigen Standards haben sich auch aus der ISO-Familie verschiedene Rahmenwerke entwickelt (ISO 37001, ISO 37310). Die Anforderungen, beispielsweise aus der DOJ Guidance, wurden 2024 erheblich verschärft, insbesondere im Bereich Technologie und Anwendung von KI. Für weitere Risiken wurden zusätzliche Standards entwickelt (z.B. ISO 42001 für KI-Management-Systeme, der UK „Failure to Prevent Fraud“ Act usw.).
All dies macht das ganzheitliche Management von Compliance schwieriger – doch Compliance hat basierend auf den Erfahrungen aus der klassischen CMS-Historie sehr gute Ansätze, um neben der Governance auch regulatorische Risiken zu managen.
Ein Blick über den Tellerrand und zur GRC
Der Blick in die vorherigen Herausforderungen und Standards ist wichtig, aber nicht abschließend. Denn neben den systematischen Ansätzen zum Compliancemanagement haben andere Managementmethoden aus den Bereichen Environmental Resources Management (ERM), interne Kontrolle und Überwachung ebenso einen maßgeblichen Einfluss auf GRC. So hat auch das IDW weiterführende Standards für angrenzende Systeme in dem Bereich. Aber auch das Committee of Sponsoring Organizations of the Treadway Commission (COSO) oder das ISO 31000 zu Risikomanagement und Control Frameworks sind essentiell bei Überlegungen zu GRC-Ansätzen für ein besseres Compliance- und Riskmanagement.
Denn das Ziel von GRC-Management ist es, eine ganzheitliche Sicht auf Governance, Risiken und Compliance zu entwickeln, um die strategischen Ziele des Unternehmens zu erreichen und es zu schützen. GRC zielt darauf ab, Risiken holistisch zu identifizieren, zu bewerten und zu managen, Governancestrukturen zu optimieren und Complianceanforderungen zu erfüllen. Dies umfasst eine einheitliche Methodik zur Analyse von Risiken, die Entwicklung von Richtlinien und Verfahrensanweisungen sowie die Implementierung von Prozessen und Kontrollen zur Risikominimierung.
Integrated Assurance wiederum strebt eine koordinierte und integrierte Überwachung und Bewertung der Risiko- und Compliancemaßnahmen an. Sie soll die Wirksamkeit der bestehenden Systeme und Prozesse sicherstellen und eine konsistente Berichterstattung über Risiken und Compliance gewährleisten. Dies erfordert eine enge Zusammenarbeit zwischen verschiedenen Abteilungen und Funktionen im Unternehmen, um Überschneidungen und ineffiziente Arbeitsweisen zu vermeiden. Beide Komponenten stehen in Interdependenz zueinander.
Zusammengefasst gilt es, aus der klassischen Compliance und den neuen Feldern über folgende Themen risikoübergreifend einen Konsens zu erreichen:
- Risiko-Assessment-Methodik: Gemeinsames Verständnis davon, wie Risiken im Unternehmen in den Bereichen Regulatorik, Reputation, Finanzen, Strategie und Operations analysiert und Maßnahmen abgeleitet werden.
- Richtlinien und Verfahrensanweisungen: Einheitlicher Ansatz für das Richtlinienmanagement, die Struktur der Dokumente, die Kommunikation, die Verbindlichkeit und die Überarbeitungszyklen.
- Prozesse und Kontrollen: Unternehmensweiter Ansatz zum Management risikobezogener Kontrollen und risikomitigierender Maßnahmen, insbesondere um Überschneidungen und Doppelungen zu vermeiden und Risiken zu managen.
- Überwachung und Monitoring: Messung der Wirksamkeit des Systems, einzelner Prozesse und Maßnahmen (auch unter Einsatz von Technologie).
- Kommunikation, Awareness und Training: Gesamtheitliches Kommunikations- und Lernsystem für Inhouse und ausgewählte (High-Risk-)Dritte zur Schaffung von Risikoawareness, Erwartungen an GRC und Compliance, aber auch an die Konsequenzen bei Non-Compliance.
- Der letzte und wichtigste Punkt ist eine abgestimmte Corporate Governance: ein holistisches Verständnis, wer Risikoowner und Risikomanager im Unternehmen ist und wie Interdependenzen zwischen Abteilungen und Organisationseinheiten vereinheitlicht und abgestimmt werden (Abb. 2).
Quo vadis, GRC und Compliance?
Effizientes Compliancemanagement muss integraler Bestandteil der Unternehmensführung sein, um die strategischen Ziele zu erreichen und die Reputation des Unternehmens zu schützen. Ein wirksames Compliancemanagement wird aus organisatorischer Sicht immer schwieriger, da sich der Scope der Complianceorganisation mittlerweile auf immer größere Dimensionen erstreckt – bei unklarer Governance.
Ein ganzheitliches, abgestimmtes Verständnis von Corporate Governance ist entscheidend, insbesondere für die Identifikation und Koordination von Risikoownern und -managern im Unternehmen. Ansätze wie GRC und Integrated Assurance bieten Perspektiven für eine zukünftige Risikoorganisation, stoßen jedoch auf Herausforderungen und erfordern zwingend ein Umdenken im Unternehmen.
Nur durch eine ganzheitliche, abgestimmte Herangehensweise kann eine nachhaltige und wirksame Risikoorganisation geschaffen werden, die auch dem konstanten Wandel gewachsen ist und Unternehmen ganzheitlich schützt und unterstützt.
