Erfolgreich mit Compliance. Barbara Neiger
Чтение книги онлайн.
Читать онлайн книгу Erfolgreich mit Compliance - Barbara Neiger страница 8
Название: Erfolgreich mit Compliance
Автор: Barbara Neiger
Издательство: Автор
Жанр: Зарубежная деловая литература
isbn: 9783854024132
isbn:
COSO definiert drei Geschäftsziele eines IKS: (i) Effektivität und Effizienz der Geschäftsprozesse, (ii) Verlässlichkeit der finanziellen Berichterstattung und (iii) Einhaltung von gültigen Gesetzen und Vorschriften. Mit „Internal Control“ wird die Summe aller Instrumente verstanden, die erforderlich sind, um die Erreichung dieser drei Zielkategorien sicherzustellen. Die Instrumente sind in fünf Komponenten eingeteilt: Kontrollumfeld, Risikobeurteilung, Kontrollaktivitäten (im Sinne von Steuerung), Information und Kommunikation sowie Überwachung. Die drei Zielkategorien sowie alle fünf Komponenten werden sowohl auf Konzernebene wie auch auf alle Bereiche und/oder Aktivitäten einer Organisation (Einheiten) angewandt. Die drei Dimensionen sind in Abbildung 1 grafisch dargestellt, die Komponenten der 2. Dimension (Prozesse) werden nachfolgend näher erläutert.[46]
Abbildung 1
COSO Internal Control – Integrated Framework[47]
Kontrollumfeld – Mit dem Kontrollumfeld wird die Basis der Organisation umfasst. Diese wird ausgedrückt durch (i) Einflüsse und Werte, die die Verhaltensweisen lenken, durch (ii) Strukturen, die die Verantwortungen zuteilen und abbilden, und durch (iii) Abläufe, die die Koordination von Aufgaben regeln. All diese Parameter sind so zu gestalten, dass sie die Erreichung der Geschäftsziele unterstützen. Die Risikobereitschaft als Element des internen Umfeldes wird sowohl durch quantitative als auch durch qualitative Ziele und Beschränkungen ausgedrückt und fließt in der weiteren Folge als Messgröße für akzeptables Risiko in die Risikobeurteilung ein.
Risikobeurteilung – Die Bewertung identifizierter Risiken erfolgt durch Festlegung ihrer Eintrittswahrscheinlichkeit und des potenziellen Schadensausmaßes. Für die nach Risikotransfermaßnahmen (z.B. Versicherung) verbleibenden Restrisiken werden Steuerungsmaßnahmen zu ihrer Bewältigung gesetzt.
Steuerungsmaßnahmen – Vorschriften, Richtlinien und Verfahren (wie z.B. Aufgabentrennung, Stichproben etc.) werden implementiert, um den operativen Betrieb, die ordnungsgemäße Rechnungslegung sowie die Einhaltung der für die Organisation relevanten Regeln (Compliance) sicherzustellen.
Information und Kommunikation – Kenntnis über alle wesentlichen Prozessschritte ermöglicht es Mitarbeitern, ihre Verantwortlichkeit wahrzunehmen und ihren Beitrag zu einer effizienten Abwicklung der operativen Tätigkeiten, einer ordnungsgemäßen Rechnungslegung und der Einhaltung aller gesetzlichen Bestimmungen zu leisten.
Überwachung – Alle gesetzten Maßnahmen müssen regelmäßig überwacht und, falls erforderlich, verbessert werden. Die Funktionstätigkeit und Angemessenheit des IKS ist von einer unabhängigen Stelle zu prüfen.
1.4.3 Risikomanagement-System (RMS)[48]
Das Risikomanagement als Teil des IKS und zweites Instrument einer effizienten und effektiven Governance-Struktur ist darauf ausgerichtet, Chancen und Gefahren frühzeitig zu erkennen und dahingehend zu bewerten, wie sie die Erreichung der Unternehmensziele (in strategischer, operativer, Rechnungslegung und Compliance Sicht) beeinflussen können. Die Erkenntnisse unterstützen die Entscheidungsfindung einer zukunftsorientierten Planung und fließen in die Risikosteuerung ein.
Ereignisidentifikation – Es gilt, alle internen und externen Ereignisse zu identifizieren, die das Erreichen der Ziele einer Organisation beeinflussen. Diese Einflüsse können sowohl von positiver (Chance) als auch von negativer Natur (Risiko) sein.
Risikobeurteilung – Die identifizierten potenziellen Risiken werden in einem Risikokatalog zusammengefasst und nach ihrer Eintrittswahrscheinlichkeit und ihrer Auswirkung hin untersucht und bewertet. Anhand der Bewertungsergebnisse werden die Risiken priorisiert, um zielgerichtete Maßnahmen zu ihrer Bewältigung zu entwickeln.
Risikosteuerung – Risiken können durch Unterlassen einer Geschäftsaktivität vermieden werden. In allen anderen Fällen werden Maßnahmen zur Verringerung zu setzen sein, sei es durch Kontrollen oder durch Übertragung (z.B. Versicherungen).
1.4.4 Compliance-Management (CMS)
Als drittes Instrument einer effizienten und effektiven Governance-Struktur ist ein Compliance-Management-System darauf ausgerichtet, die Einhaltung von gesetzlichen, regulatorischen oder freiwillig eingegangenen Verpflichtungen bei der Ausübung der Geschäftstätigkeit zu gewährleisten. Durch geeignete Maßnahmen sollen Nichteinhaltungen von Compliance-Verpflichtungen verhindert werden. Verstöße sind rechtzeitig zu erkennen sowie Maßnahmen zur Bereinigung der Situation zu setzen. Durch Verbesserungen und Anpassungen des CMS werden Wiederholungen von Verstößen vermieden und Compliance der Organisation in Bezug auf die Abwicklung ihre Geschäftstätigkeiten (wieder)hergestellt.
Als Fazit ist festzuhalten, dass ein IKS, ein RMS und ein CMS Instrumente für eine effektive und effiziente Führung von Organisationen sind, die nicht losgelöst voneinander betrachtet werden können bzw. sollten. Ein CMS unterstützt bei der Bewältigung von Compliance-
Risiken und ist somit ein Teil des RMS. Die Bestimmung jener Compliance-Verpflichtungen, deren Einhaltung durch ein CMS und seine Maßnahmen zu gewährleisten ist, ergibt sich aus der Risikobewertung dieser Compliance-Verpflichtungen. Die Prinzipien eines Risikomanagements sind somit Teil eines wirksamen CMS. Compliance – als Organisationsziel – sicherzustellen, ist ein Kernelement eines IKS. Für seine Angemessenheit wird durch die Beurteilung der Gesamtrisikosituation einer Organisation vorgesorgt.
1.5 ISO 37301 als Best-Practice-Ansatz für regelkonformes Verhalten
Compliance-Management-Systeme haben sich erstmalig im Finanzsektor zur Bekämpfung von Geldwäsche entwickelt. Als treibende Kraft für die Festlegung von Standards im Kampf gegen Geldwäsche und Terrorismusfinanzierung wird seit ihrer Gründung im Jahre 1989 die Financial Action Task Force (FATFA) angesehen. Seit ihrem ersten Erscheinen 1990 gelten die regelmäßig aktualisierten 40 Recommendations (Empfehlungen) von FATFA[49] als Grundlage für internationale wie nationale Vorschriften. Für ausgewählte Risikogebiete (Geldwäsche, Finanzmarkttransaktionen oder Korruptionsbekämpfung) gibt es lokale oder regionale Richtlinien für Compliance-Programme, die die Einhaltung der entsprechenden Vorschriften sicherstellen sollen. Die Gefahr besteht jedoch darin, dass in einer Organisation mehrere Compliance-Management-Systeme nebeneinander entstehen, wodurch Effektivität und Effizienz verloren gehen und Compliance-Management zu einer Erschwerung der Geschäftsabwicklung wird.
Durch den systemorientierten Ansatz können in einem CMS nach ISO 37301 mehrere Compliance-Verpflichtungen zusammengefasst werden. Regelkonformes Verhalten wird in der Organisation unterstützt und gleichzeitig die Effizienz durch eine adäquate Allokation von Ressourcen gesteigert. Compliance-Management wird zur Unterstützung für eine nachhaltige Geschäftsentwicklung.
Die strafrechtliche Verantwortung von Organisationen (Verband) ist in Österreich im Verbandsverantwortlichkeitsgesetz geregelt.[50] Ein Verband ist für eine von einem Mitarbeiter begangene Straftat u.a. dann verantwortlich, wenn wesentliche technische, organisatorische oder personelle Maßnahmen zur Verhinderung der Tat unterlassen wurden. Es gibt keine Erläuterungen oder allgemein anwendbare Richtlinien, was unter „wesentliche technische, organisatorische oder personelle Maßnahmen“ zu verstehen ist. Eine ähnliche Reglung zur strafrechtlichen Verantwortung von Organisationen sieht das Schweizerische Strafgesetzbuch vor (§ 102 Abs.2 StGB).[51] Ein Unternehmen wird bestraft, wenn es nicht alle erforderlichen und zumutbaren organisatorischen Vorkehrungen getroffen СКАЧАТЬ