Archiv

Compliance – wozu?

Von Gerhard F. Knolmayer

Für die Medizin ist Compliance die Bereitschaft des Patienten, den Empfehlungen des Arztes Folge zu leisten, in der Physiologie ein Mass für die Dehnbarkeit von Körperstrukturen, und die EU-Subventionspolitik umschreibt damit die Einhaltung von Regeln u.a. zur Futtermittel- und Lebensmittelsicherheit. Im betrieblichen Umfeld versteht man unter Compliance die Einhaltung der gesetzlich, behördlich oder aufsichtsrechtlich vorgeschriebenen Anforderungen, die höhere Transparenz und Kontrollierbarkeit der Verhaltensweise von Unternehmen und ihren Mitarbeitern schaffen sollen. Doch wie breit sollen die Anforderungen an Unternehmen sein, und was ist gesamtwirtschaftlich optimal

Der Begriff Compliance erscheint häufig im Zusammenhang mit Forderungen zur Corporate Governance (korrekte Unternehmensführung). Von der OECD 1999 veröffentlichte und 2004 überarbeitete Grundsätze sollen Aktionärsrechte schützen, z.B. die Gleichbehandlung, die zeitnahe und präzise Offenlegung aller wesentlichen Angelegenheiten und die effektive Überwachung der Geschäftsführung. Die Mitglieder der Geschäftsleitung sollen in voller Sachkenntnis, in gutem Glauben, mit angemessener Sorgfalt und im besten Interesse der Gesellschaft und ihrer Aktionäre handeln und dabei durch Compliance-Systeme unterstützt werden.

Compliance und Governance

Der 2001 von Economiesuisse veröffentlichte Swiss Code of Best Practice for Corporate Governance sieht die Überprüfung der Compliance als Aufgabe des Verwaltungsrats und seines Prüfungsausschusses, die auf Basis des internen Kontrollsystems geschehen soll. Das (vermutlich 2008 in Kraft tretende) neue Obligationenrecht verpflichtet alle der Wirtschaftsprüfung unterliegenden Unternehmen, ein internes Kontrollsystem einzuführen.
In den letzten Jahren sind die Zahl der Vorschriften und ihr Detaillierungsgrad erheblich gewachsen – wohl ein Indiz dafür, dass in der Öffentlichkeit Misstrauen herrscht, ob die Unternehmen wirklich im Interesse der Aktionäre und anderer Stakeholder geführt werden. Zu dieser für die Zukunft unseres Wirtschafts- und Gesellschaftssystems unerfreulichen Einstellung tragen nicht zuletzt die auch von Wirtschaftsvertretern kritisierten Mega-Löhne mancher Topmanager, die teils überbordenden und den Arbeitsmarkt verzerrenden Boni, die «innovative» Umgehung von Offenlegungspflichten und andere Vorgehensweisen im Umfeld von Fusionen und Übernahmen bei.
Weitreichende und mit hohen personenbezogenen Strafdrohungen unterlegte Compliance-Vorschriften sieht der Sarbanes-Oxley Act (Sox) für alle an US-Börsen kotierten Unternehmen vor, mit unmittelbaren Auswirkungen auch auf Tochtergesellschaften und Unternehmen, die wesentliche Dienstleitungen erbringen. Mittelbare Bedeutung kann der Sox in rechtlichen Auseinandersetzungen gewinnen, wenn die in ihm beschriebenen Regeln als Sollzustand einer verantwortungsvollen Unternehmensführung interpretiert werden.
Der Sox verlangt, dass sich Unternehmen in der Gestaltung interner Kontrollsysteme an einem anerkannten Framework orientieren; in den USA wird dabei meist auf Coso rekurriert. Da die Geschäftsprozesse der Gesellschaften immer mehr von elektronischen Informations- und Kommunikationssystemen unterstützt werden, kommt der Kontrolle dieser IT-Systeme besondere Bedeutung zu. Da die Anforderungen an die Prozessgestaltung sehr hoch sind, wird weltweit kaum ein Unternehmen existieren, in dem alle Prozesse mit Bestnoten beurteilt würden. Es fehlen aber Aussagen, welches Niveau die IT-Prozesse erreicht haben müssen, um als «compliant» zu gelten.
Neben den traditionellen Regelungen zu Buchführung und Rechnungslegung gibt es eine Vielzahl unterschiedlichster Vorschriften. Compliance-Nachweise betreffen z.B. die Produkthaftpflicht, den Datenschutz, das Geldwäschereigesetz, Regulierungen der Bankenkommission und der SWX oder neu die Vorschriften von BaselII. Demnächst hat die Versicherungsbranche SolvencyII zu beachten, und EU-Regelungen wie Sepa (Single Euro Payments Area) und Mifid (Markets in Financial Instruments Directive) wirken sich auch auf Schweizer Banken aus. Ebenso wird das EU-Vorhaben Reach (Registrierung, Bewertung, Zulassung und Beschränkung chemischer Stoffe), wonach für rund 30000 chemische Substanzen detaillierte Sicherheitsdaten gesammelt und zwischen Unternehmen ausgetauscht werden sollen, international ausstrahlen.
Die Schätzungen der Zahl der zu beachtenden Regelungen gehen weit auseinander; so werden beispielsweise 25000 weltweit oder auch 100000 allein für die USA genannt. Aus der Pharmaindustrie wird geklagt, dass die geforderten Nachweise nicht mehr bewältigbar seien: Die Zahl der Prüfungen habe sich seit 1996 verdoppelt, und die Kompetenz der Prüfer wachse nicht im gleichen Masse.
Compliance-Nachweise erfordern besonders die Vorlage bestimmter Dokumente. Daher sind ein rasches Wiederauffinden und eine Archivierung von Dokumenten, die geschäftliche Zusammenhänge erkennen lässt, wichtig. Dokumente gibt es heute überwiegend (auch) in digitaler Form. Während zu den für die Buchführung prima vista relevanten Dokumenten seit längerem Archivierungsvorschriften bestehen und sie heute fast durchweg im Umfeld von ERP-Systemen (wie SAP R/3 bzw. mySAP ERP) verwaltet und gespeichert werden, schenken nur wenige Unternehmen der Archivierung von compliancerelevanten Dokumenten, die als E-Mails oder Instant Messages vorliegen, ausreichend Beachtung. Morgan Stanley etwa wurde zu einem Schadenersatz von 1,45 Mrd.$ verurteilt, weil für einen strittigen Rechtsfall relevante E-Mails nicht in (sehr kurzer) Frist auffindbar waren.

Die hohen Kosten wert

Das Einhalten oft unpräzise formulierter Vorschriften und das Erbringen entsprechender Nachweise sind enorm teuer. Ob diese Regelungen und die damit einhergehenden Kosten im Sinn des Aktionärs sind, lässt sich nicht allgemein beantworten: Aktionäre werden zunehmende Regulierungen begrüssen, wenn den Kosten eine angemessen höhere Wahrscheinlichkeit gegenübersteht, dass sie zum Wohl des Unternehmens beitragen. Wie sehr diese Wahrscheinlichkeit bei bestimmten Compliance-Kosten steigen muss, hängt von der individuellen Risikoeinstellung und -einschätzung der Anleger ab.
Unsere Erfahrung lehrt, dass selbst rigide Vorschriften und Prüfungen nur begrenzt wirksam sind. Fehlentwicklungen wie im Falle von Worldcom und Enron wären durch die kostenintensive Umsetzung von Sox kaum verhindert, sondern allenfalls erschwert worden. Generell sollten neue, vermeintlich dem Nutzen der Aktionäre dienende Regulierungen nicht vorbehaltlos als positiv beurteilt, sondern kritisch auf ihre Kosten-Nutzen-Relation überprüft werden.

Gerhard F. Knolmayer ist Professor für Wirtschaftsinformatik am Departement Betriebswirtschaftslehre der Universität Bern.

Der ganze Text ist für Abonnentinnen und Abonnenten reserviert. Abonnieren Bereits abonniert?