Compliance - oder sagen Sie einfach Regelkonformität

Alle Welt spricht von Compliance, zuerst im Zusammenhang mit der IT, heute mit der gesamten Unternehmensführung. Damit Compliance gelebt werden kann, muss diese Regelkonformität zu Ihrer Unternehmenskultur passen.

Die Grundlagen für Compliance bilden Gesetze, in Ihrem Unternehmen selbst vorgegebenen Werte, die gültige Strategie und die aktuell vorgegebenen Ziele. Alle diese Regelwerke finden sich heute in Ihren Geschäftsprozessen und damit auch in der IT (Informationstechnologie) wieder. Somit gilt es, Änderungen in den Grundlagen und damit in den aktuell gültigen Regelwerken auch direkt in der IT abzubilden. Dies ist ganz unabhängig davon, ob diese Regelwerke von außen vorgegeben sind, wie dies bei Gesetzen und Verordnungen der Fall ist, ob Sie diese mit Kunden und Lieferanten in Form von Verträgen vereinbart haben oder ob Sie sich diese als Wertecodex oder Organisationsanweisung für Ihr Unternehmen selbst gegeben haben.

Compliance erscheint komplex
Die ersten Veröffentlichungen zu Compliance kamen von Softwareanbietern und Wirtschaftsprüfern. Es ist sicher erlaubt, hier ein gewisses Maß an Eigeninteresse zu vermuten, denn die beschriebene Komplexität und Regelungsvielfalt stellte bisherige Managementsysteme und IT-Dokumentationen weit in den Schatten. Dabei konnte der Anschein aufkommen, dass Compliance auf einer gesetzlichen Grundlage fußt. Dies ist ganz klar nicht der Fall. Spätestens, wenn die Widersprüche, mit denen sich Compliance sehr schnell auseinander setzen muss, gesehen werden und die Frage auftaucht, welche der Regeln gilt denn nun für uns, ist sichtbar, dass hier für jedes Unternehmen selbst Entscheidungen getroffen werden, welche Regeln in welcher Form als relevant angesehen werden.

Widersprüche lösen
Ein beispielhafter Widerspruch, den es in einem Unternehmen zu lösen gilt, ergibt sich aus der Archivierung, also dem Umgang mit eMails und anderen elektronischen Dokumenten. Auf der einen Seite gebietet das deutsche Datenschutzgesetz einen hoch sensiblen Umgang mit eMails, die an im Unternehmen beschäftigten Personen zugestellt werden. Auf der anderen Seite erfordern sowohl die Aufbewahrungsvorschriften des Handelsgesetzbuches als auch der Steuergesetze die nachhaltige Archivierung und Zuordnung zu einzelnen Vorgängen von steuerrelevanten Informationen. Noch größer wird der Widerspruch, wenn im Umgang mit angelsächsischen Ländern die Verordnung des Sarbanes-Oxley Act (SOX) greifen. Hier kann die gegnerische Partei aus einer Geschäftsverbindung auf die Herausgabe aller Korrespondenz der letzten zwei Jahre bestehen.

Reduzierung der Komplexität 
Welche Widersprüche bei der systematischen Überprüfung von gültigen Regeln auf das Unternehmen wirken, wird nicht zuletzt von dessen Struktur beeinflusst. So können unterschiedliche Geschäftsfelder durch sich teilweise widersprechende technische Normen und Sicherheitsmaßnahmen geprägt sein oder verschiedene Standorte im Ausland konträr wirkenden Rechtssystemen dienen. Damit die notwendigen Entscheidungen, und nur die Unternehmensleitung kann und muss diese treffen, welche Regelwerke in welcher Form in die täglichen Geschäftsprozesse einfließen, gilt es, die Reduzierung der Komplexität umzusetzen.

Dabei kann eine Matrix helfen, die in der auf der einen Seite festgehalten wird, in wie weit ein Regelwerk für das Unternehmen relevant ist und auf der anderen Seite wird aufgeführt, welche Managementsysteme von den Regelwerken direkt betroffen sind und welche Ausprägungen daraus gültig sind. So kann der Prozess Finanzreporting sowohl für die Beschreibung und Einhaltung eines Risikomanagementsystems als auch für die Einhaltung der Bilanzierungs- und Publikationsvorschriften nach dem Deutschen Handelsgesetzbuch HGB herangezogen werden. Damit der Aufwand im Unternehmen überschaubar bleibt, gilt es, beide Aufgaben mit dem identischen Prozess abzubilden. Anhand dieses Beispiels wird deutlich, dass Änderungen in der Unternehmensstrategie und / oder anderer Richtlinien sofort Einfluss auf die Managementsysteme und damit auf die Compliance haben. Eine Änderung der Bilanzierungsform auf IFRS bewirkt die Frage: "Wird zusätzlich weiterhin nach HGB bilanziert?" In diesem Fall gilt es, den Prozess Bilanzreporting nach den Richtlinien IFRS zusätzlich abzubilden ohne die bisherigen zu stören.

Punkte aus IT-Sicht
Die Sicht der IT auf Regelkonformität wird aktuell von wesentlichen Themengruppen beherrscht:

• Digitale Betriebsprüfung
• IT-Sicherheit und Datenschutz
• eMail-Archivierung
• Elektronische Signatur

Digitale Betriebsprüfung
Die in der Abgabenordnung AO, den Grundsätzen ordnungsgemäßer Buchführungssysteme GoBS, demnächst GoBIT und den Grundsätzen der GDPdU mit dem zugehörigen Fragen- und Antwortkatalog beschriebenen Anforderungen an steuerpflichtige Unternehmen, eine digitale Betriebsprüfung vorzubereiten und zu unterstützen, haben eine neue Qualität gewonnen. Mit dem Jahressteuergesetzt 2009 ist es erstmals möglich, gegen ein Unternehmen ein Zwangsgeld bis zu 250.000,00 Euro zu erheben, wenn diese Unterstützung nicht gewährleistet wird. Die Herausforderung bei der digitalen Prüfung ist die Bereitstellung der verschiedenen Zugriffsformen Z1, Z2 und Z3, die Verbindung von strukturierten Daten (Buchungssätzen) und zugehörigen bildlichen Informationen (Scann einer Eingangsrechnung). 

IT-Sicherheit und Datenschutz
Die Gewährleistung der IT-Sicherheit, also der Verfügbarkeit und Sicheren Speicherung von Daten, der klaren Regelung von Zugriffsrechten von Personen auf Daten und deren Schutz vor Spionage und Verlust wird über die Anforderungen eines gültigen und vom Wirtschaftsprüfer testierbaren Risikomanagements gesteuert. Die Anforderungen des neuen Datenschutzgesetzes mit dem § 42a BDSG schreibt eine Meldepflicht vor, sofern ein Verstoß gegen Datenschutzregelungen, ganz besonders im Umgang mit personenbezogenen Daten erfolgt. 

eMail-Archivierung
Der Widerspruch zwischen Datenschutz (dem in Deutschland gültigen informellen Selbstbestimmungsrecht über das persönliche Postfach) und den Anforderungen der Archivierung von steuerrelevanten Daten und Handelsbriefen, geregelt in EuroSOX (8. EU-Abschlussprüfer-Richtlinie 07/2008) und dem Archivierungs- und Aufbewahrungspflichten der Abgabenordnung AO § 146 2.1 gilt es zu lösen. Dabei ist zu berücksichtigen, dass die Regelung im Umgang mit persönlichen Postfächern bei geduldeter oder zugelassener privater Nutzung des Internets nicht nur einer Besitzvereinbarung, sondern zusätzlich der Individualvereinbarung mit jedem Mitarbeiter bedarf. Gerade diese Regelung wird bei bestehenden Arbeitsverhältnissen zu einem intensiven Austausch mit den Mitarbeitern führen. 

Elektronische Signatur
Die elektronische Signatur zur Rechtssicherheit im elektronischen Geschäftsverkehr greift immer stärker um sich. Aktuelle europäische Bemühungen, die in Deutschland gültige, sehr hohe Norm der qualifizierten Signatur zu reduzieren, zeigen voraussichtlich in den Niederlanden erste Ergebnisse. So kann auch davon ausgegangen werden, dass zukünftig eventuell eine geringere technische Anforderung EU-weit akzeptiert werden. Auf alle Fälle ist sicher zu stellen, dass jedes Unternehmen sich insbesondere beim Versand von Rechnungen und Handelsbriefen zukünftig korrekt verhält.

Hauptmaßnahmenfelder der IT
Beim Vorgehen im Unternehmen kann die IT diese Fragen beantworten:

• Welche Daten und Informationen (digital) unterliegen Regelwerken?
• Ist die Entstehung von Daten eindeutig geregelt? (Beispiel: Finanzreporting)
• Ist die Speicherung sicher?
• Ist der Zugriff nur für autorisierte Personen sicher gestellt?
• Ist der Prozess Entstehung – Speicherung – Zugriff per System nachvollziehbar und dokumentiert?
• Ist die IT-Infrastruktur ausreichend verfügbar? (Beispiel: Definierte Wiederanlaufzeiten nach Systemausfall.)
• Werden Daten nur in zulässiger Form gespeichert (Datenschutz)?

Einige Fakten und Argumente für Unternehmen
In der Diskussion des Unternehmens muss jedem Verantwortlichen klar sein, welche Wirkung die Einhaltung von Compliance oder Regelkonformität bedeutet: 

• Compliance ist eine Vorbehaltsverantwortung der Geschäftsführung bzw. des Vorstands und ist nicht delegierbar.
• Die Umsetzung von Compliance ist eine Gemeinschaftaufgabe der Verantwortlichen für Organisation, Recht, Personal, Rechnungswesen und IT.
• Wirtschaftsprüfer und Aufsichtsgremien bestehen auf der Testierbarkeit der Verfahrensdokumentation für die Managementsysteme (Risiko, Prozesse, IT, QM und IKS).
• Datenschutz, IT-Sicherheit und Archivierung unterliegen regional unterschiedlichen rechtlichen Regelungen.
• Die Archivierung von eMails stellt eine besondere Herausforderung dar. Es gilt den Widerspruch zwischen den Datenschutzanforderungen und den Aufbewahrungsregelungen zu lösen.

Drehbuch für die Umsetzung im Unternehmen
Ein klares Drehbuch hilft bei der Umsetzung im Unternehmen:

1.     Identifizieren Sie, welche Themen für das Unternehmen als relevant angesehen werden.
Welche Gesetze, Regelwerke oder bilaterale Verträge bestehen in einer Region (Nation, Bundesstaat, weltweit) zu den relevanten Themen. Legen Sie fest, ob die Umsetzung von Compliance zentral oder dezentral erfolgt. Die dezentrale Umsetzung kann von Vorteil sein, wenn in der internationalen Situation besonders unterschiedliche kulturelle Werte an den Standorten gelebt werden.

2.     Drehbuch Compliance mit Prioritäten
Schaffen Sie einen Projektplan mit Vorgaben der Unternehmensleitung und markieren Sie, ob diese bereits ganz oder teilweise umgesetzt sind, bzw. wann dies geplant ist. Nehmen Sie Themen auf, für die die Unternehmensleitung noch Vorgaben erarbeiten muss und diskutieren Sie mit dem Wirtschaftsprüfer, welche Punkte im Jahresabschluss testiert werden sollen oder müssen.

3.     Entscheidung und Umsetzung
Nutzen Sie zur Findung von Entscheidungen und der Umsetzung vorhandene Checklisten, Handbücher zu den einzelnen Themengebieten. Dies kann in der IT auch das Handbuch des Bundesamtes für Sicherheit in der Informationstechnik www.bwi.de sein. Schaffen Sie mit einer Aufwand-Nutzen-Analyse die Freigabe für einzelne Projektteile und Budgets. Im Unternehmen darf durchaus bewusst sein, was passiert und welche Risiken bestehen, wenn einzelne Punkte nicht umgesetzt werden. Diese Alternativen bei bewusster Nichtumsetzung müssen der Unternehmensleitung bekannt sein und dort auch verantwortet werden. Dies gilt im Innen- und im Außenverhältnis. 

4.     Prozessgestützte Dokumentation
Die Einarbeitung der Lösungen und Verfahren passieren sinnvoller Weise in vorhandenen Managementsystemen (Qualitätsmanagement, Risikomanagement, IT-Verfahrensdokumentation, internes Kontrollsystem IKS). So ist eine einfache Handhabbarkeit sicher gestellt und es sind keine neuen Methoden oder Audits für die Mitarbeiter erforderlich.

Compliance Zusammenfassung
Damit Ihr Unternehmen nach außen regelkonform auftritt und im Innenverhältnis regelkonform arbeitet gelten diese Schritte:

• Die Organe des Unternehmens müssen ihre Verantwortung kennen.
• Der Ausgangspunkt für die Umsetzung der einzelnen Regelwerke ist deren Relevanz für das eigene Unternehmen.
• Mit der Zerlegung in einzelne Entscheidungen wird die Komplexität aus der Gesamtaufgabe herausgenommen.
• Compliance wird zu einem prozessgestützten Drehbuch zur Umsetzung bestehender Regelwerke.
• Grundlage für die Ausprägung der Compliance ist die gelebte Unternehmenskultur.
• Compliance ist nicht branchenspezifisch.