Skip to content Skip to footer
Suche

Ergebnisse laden

Update

Wie Sie ein wirksames Compliance-Programm aufbauen und etablieren

Cristian Manganiello
Assurance Partner

Heute lancieren die Unternehmen digitale Initiativen in einem Umfeld, das von grossen Datenmengen, verstärkter Automatisierung, cleveren Cyberangriffen, einer sich verändernden Regulierungslandschaft und wechselnden Kundenerwartungen geprägt ist. In diesem Kontext gehört die Überregulierung nach wie vor zu den grössten Risiken. Das bestätigen auch die CEOs, die an der 22. Ausgabe der «Annual Global CEO Survey» von PwC Global teilgenommen haben. Mit der zunehmenden Breite und Beschleunigung der digitalen Transformation entwickeln sich auch die regulatorischen Compliance-Anforderungen weiter. Immer häufiger treten hierbei Probleme auf; diese erzeugen mit wachsender Wahrscheinlichkeit einen Schneeballeffekt.

Strengere Regulierungsvorschriften, steigender Druck durch globale Bewegungen (wie #metoo) und Aufpasser wie Whistleblower, Aktivistengruppen und investigative Journalisten erhöhen die Wichtigkeit einer starken und ethischen Kultur sowie transparenterer interner Berichtskanäle. Compliance-Mängel können für die Unternehmen weitreichende Folgen haben, etwa Reputationsschäden, Kundenabwanderung und hohe Bussgelder. Tatsächlich bergen Compliance-Verstösse grössere Gefahren als je zuvor.


Neuer Prüfungsstandard für vertrauenswürdige Compliance-Management-Systeme

EXPERTsuisse hat den neuen Schweizer Prüfungsstandard PS 980 («Schweizer Prüfungsstandards» oder «Norme d'Audit Suisse») veröffentlicht. Dieser definiert die Prüfungsgrundsätze von Compliance-Management-Systemen (nachfolgend CMS genannt). Demnach werden die Compliance-Anforderungen entweder durch das Gesetz vorgegeben oder freiwillig eingehalten. Die Norm bietet dem Prüfer erstmals einen umfassenden Rahmen zur Bewertung der Wirksamkeit eines CMS. Dadurch ermöglicht sie den Unternehmen, ihre Programme transparenter zu gestalten, das Vertrauen ihrer Anspruchsgruppen zu stärken und sich kommerzielle Vorteile zu erschliessen. Letztlich wirkt die Bereitstellung einer formalen Prüfung als Katalysator für mehr Vertrauen zwischen Unternehmen und ihren Anspruchsgruppen. Der Prüfungsstandard bietet einen doppelten Mehrwert: Die Prüfer können anhand der Leitlinien eine unabhängige Beurteilung der Konzeption, Umsetzung und Wirksamkeit des CMS durchführen. Die Unternehmen ihrerseits erhalten eine ausgezeichnete Grundlage für das Überprüfen und Verbessern ihres bestehenden Compliance-Programms.

Grundelemente für ein effektives Compliance-Programm

Die Norm befasst sich nicht nur mit den erforderlichen Verfahren, um ein Prüfungsurteil über ein effektives CMS zu formulieren. Sie führt zudem sieben Grundelemente ein, die miteinander in Wechselwirkung stehen (vgl. Abbildung 1). Diese sind für ein effektives Compliance-Programm zentral und sollten in die Geschäftsprozesse des Unternehmens integriert werden: 1) Compliance-Kultur, 2) Compliance-Ziele, 3) Compliance-Risiken, 4) Compliance-Programm und 5) Compliance-Organisation, 6) Compliance-Kommunikation, 7) Compliance-Überwachung/-Verbesserung.

Unternehmen, die diese Grundelemente mit den entsprechenden Kriterien erfolgreich umsetzen, können:

  • eine Ethik- und Compliance-Kultur auf allen relevanten Ebenen des Unternehmens etablieren,
  • die Auswirkungen der Geschäftsziele auf das CMS berücksichtigen,
  • einen strukturierten Risikobewertungsansatz zur Bestimmung von Compliance-Risiken vorantreiben,
  • ein wirksames CMS einrichten, das Compliance-Risiken frühzeitig erkennt und vermeidet,
  • die Verantwortlichkeiten und Zuständigkeiten für die Compliance-Organisation definieren und
  • ein effektives Compliance-Programm aufbauen und aufrechterhalten.
Compliance-Management-System

Abbildung 1: Die sieben Grundelemente eines CMS nach PS 980

Anwendungsbereiche für die CMS-Grundelemente

Die Grundelemente dienen nicht nur einem unternehmensweiten CMS. Sie lassen sich auch als solides Governancerahmenwerk für die nachfolgenden Bereiche nutzen, um eine effektive Compliance zu gewährleisten und aufrechtzuerhalten.

1) Verteilte Lieferkette

Das aktuelle Ökosystem zeichnet sich dadurch aus, dass an der Produktion von nahezu allen physischen oder virtuellen Produkten und der Erbringung von Dienstleistungen viele Akteure beteiligt sind. Die Lieferanten und Komponentenhersteller arbeiten in einem interoperablen Arbeitsumfeld. Sie sind durch rechtliche Verträge und Beziehungen miteinander verbunden, die von finanziellen Interessen geprägt sind.

Um ihren eigenen Ruf zu schützen und über einen Risiko- und Qualitätsmassstab zu verfügen, verlangen multinationale Unternehmen von ihren Lieferanten Bescheinigungen, dass sie die gesetzlichen Mindestanforderungen und allgemein anerkannten Grundsätze eines CMS einhalten. Sowohl für Lieferanten als auch für multinationale Unternehmen bildet eine Zertifizierung des bestehenden CMS vor Aufnahme oder Fortsetzung einer Geschäftsbeziehung die Grundlage für gegenseitiges Vertrauen. Zu den möglichen rechtlichen Anforderungen gehören die Corporate Governance, die Bekämpfung von Geldwäscherei und Korruption oder Sanktionen. Es können auch freiwillige Grundsätze zur Anwendung gelangen, etwa Normen, wie sie in Übereinkommen der Internationalen Arbeitsorganisation IAO beschrieben sind (z. B. ethische Handelsinitiative, soziale Verantwortung und andere), «Sustainable Development Goals» (SDG) des UN Global Compact, Treibhausgasprotokolle oder Nachhaltigkeitsanforderungen an Lieferanten eines multinationalen Herstellers.

2) Datenschutz

Das Prinzip der Verantwortlichkeit wird zunehmend in die Datenschutzgesetze und -vorschriften eingebettet. So müssen beispielsweise Unternehmen, die der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU) unterliegen, nachweisen, dass sie diese Vorschriften einhalten. Unternehmen, die transparent über die Einhaltung der geltenden gesetzlichen Anforderungen berichten, schaffen das Vertrauen, das Geschäftspartner, andere Anspruchsgruppen und die Gesellschaft im Allgemeinen suchen.

Im Thema Datenschutz liegen zahlreiche Standards und Richtlinien vor, die im Rahmen eines datenschutzspezifischen CMS angewendet werden können. Hierbei können als Bewertungsgrundlage beispielsweise die CARPA (Certified Assurance Report-based Processing Activities Certification Criteria) der EU-DSGVO aus Luxemburg oder das NOREA Privacy Control Framework PCF aus den Niederlanden herangezogen werden.

3) Steuerkonformität

Die Einhaltung sämtlicher Steuervorschriften, die gesetzliche statutarische Rechnungslegung und die Steuerberichterstattung werden immer komplexer. Unternehmen bekunden zunehmend Mühe, mit weniger mehr zu erreichen und ihre Steuer- und Finanzfunktionen wertschöpfend zu nutzen. Die Zentralisierung der Finanz- und Buchhaltungsfunktionen stellt eine zusätzliche Herausforderung dar, gerade wenn komplexe lokale Vorschriften, unterschiedliche Technologien und manuelle Prozesse vorliegen. Dadurch steigt das Risiko von Compliance-Verstössen. Und schliesslich bleibt wenig Zeit für strategische Prognosen oder Planungen.

Ein steuerspezifisches CMS ermöglicht es Unternehmen, ein solides Compliance-Programm umzusetzen und gleichzeitig ihren Ansatz für die nationale und globale Compliance und Berichterstattung zu überdenken, indem sie ihre Technologien, Prozesse, Ressourcen und Dienstleister (einschliesslich Co-Sourcing-/Outsourcingpartner) genauer unter die Lupe nehmen.

4) Nachhaltigkeit

Auch die Nachhaltigkeit rückt weltweit immer stärker in den Fokus. Deshalb sehen sich Unternehmen mit einer stetig wachsenden Anzahl neuer Einschränkungen bei den verwendeten Materialien, ihren eigenen Emissionen, der Sicherheit ihrer Anlagen und anderen Aspekten ihres Betriebs konfrontiert. Freiwillige und unfreiwillige Beschränkungen gehen vielfach auf Brancheninitiativen zurück oder geschehen auf Druck von staatlichen und nichtstaatlichen Organisationen. Diese führen zu jeweils eigenen, sich häufig überschneidenden Berichtspflichten sowie Anforderungen an die Compliance- und Assurance-Funktionen von Unternehmen.

Nachhaltige Unternehmen wissen, dass die Nachhaltigkeits- und Compliance-Funktion das Fördern ethischen Verhaltens und die Einbettung von Werten in das Unternehmen entscheidend mitbeeinflussen. Diese Funktionen müssen sie in einem integrierten CMS stärker untereinander und unternehmensweit abstimmen, um effektiv widerstandsfähig zu werden.

PwC hilft mit

Der neue Schweizer Prüfungsstandard PS 980 zeigt klare Anforderungen und Strukturen eines CMS auf. Trotzdem lässt er den Unternehmen genügend Freiraum in der individuellen Ausgestaltung. Wir helfen Ihnen bei der Beurteilung der vielfältigen Anwendungsmöglichkeiten der CMS-Grundelemente, unternehmensweit oder auf spezifische Themengebiete bezogen.

Einerseits prüfen wir Ihr bestehenden CMS nach PS 980 hinsichtlich Angemessenheit und/oder Wirksamkeit. Andererseits können wir bereits während der Einführung eines CMS mit projektbegleitenden Prüfungen (z. B. Konzeptreview oder Gap-Analyse) pragmatische und zielorientierte Hinweise zur Ausgestaltung des CMS abgeben.

Kontaktieren Sie uns

Cristian  Manganiello

Cristian Manganiello

Partner for Risk and Compliance Management Services, PwC Switzerland

Tel.: +41 58 792 56 68