Heute lancieren die Unternehmen digitale Initiativen in einem Umfeld, das von grossen Datenmengen, verstärkter Automatisierung, cleveren Cyberangriffen, einer sich verändernden Regulierungslandschaft und wechselnden Kundenerwartungen geprägt ist. In diesem Kontext gehört die Überregulierung nach wie vor zu den grössten Risiken. Das bestätigen auch die CEOs, die an der 22. Ausgabe der «Annual Global CEO Survey» von PwC Global teilgenommen haben. Mit der zunehmenden Breite und Beschleunigung der digitalen Transformation entwickeln sich auch die regulatorischen Compliance-Anforderungen weiter. Immer häufiger treten hierbei Probleme auf; diese erzeugen mit wachsender Wahrscheinlichkeit einen Schneeballeffekt.
Strengere Regulierungsvorschriften, steigender Druck durch globale Bewegungen (wie #metoo) und Aufpasser wie Whistleblower, Aktivistengruppen und investigative Journalisten erhöhen die Wichtigkeit einer starken und ethischen Kultur sowie transparenterer interner Berichtskanäle. Compliance-Mängel können für die Unternehmen weitreichende Folgen haben, etwa Reputationsschäden, Kundenabwanderung und hohe Bussgelder. Tatsächlich bergen Compliance-Verstösse grössere Gefahren als je zuvor.
Neuer Prüfungsstandard für vertrauenswürdige Compliance-Management-Systeme
EXPERTsuisse hat den neuen Schweizer Prüfungsstandard PS 980 («Schweizer Prüfungsstandards» oder «Norme d'Audit Suisse») veröffentlicht. Dieser definiert die Prüfungsgrundsätze von Compliance-Management-Systemen (nachfolgend CMS genannt). Demnach werden die Compliance-Anforderungen entweder durch das Gesetz vorgegeben oder freiwillig eingehalten. Die Norm bietet dem Prüfer erstmals einen umfassenden Rahmen zur Bewertung der Wirksamkeit eines CMS. Dadurch ermöglicht sie den Unternehmen, ihre Programme transparenter zu gestalten, das Vertrauen ihrer Anspruchsgruppen zu stärken und sich kommerzielle Vorteile zu erschliessen. Letztlich wirkt die Bereitstellung einer formalen Prüfung als Katalysator für mehr Vertrauen zwischen Unternehmen und ihren Anspruchsgruppen. Der Prüfungsstandard bietet einen doppelten Mehrwert: Die Prüfer können anhand der Leitlinien eine unabhängige Beurteilung der Konzeption, Umsetzung und Wirksamkeit des CMS durchführen. Die Unternehmen ihrerseits erhalten eine ausgezeichnete Grundlage für das Überprüfen und Verbessern ihres bestehenden Compliance-Programms.
Grundelemente für ein effektives Compliance-Programm
Die Norm befasst sich nicht nur mit den erforderlichen Verfahren, um ein Prüfungsurteil über ein effektives CMS zu formulieren. Sie führt zudem sieben Grundelemente ein, die miteinander in Wechselwirkung stehen (vgl. Abbildung 1). Diese sind für ein effektives Compliance-Programm zentral und sollten in die Geschäftsprozesse des Unternehmens integriert werden: 1) Compliance-Kultur, 2) Compliance-Ziele, 3) Compliance-Risiken, 4) Compliance-Programm und 5) Compliance-Organisation, 6) Compliance-Kommunikation, 7) Compliance-Überwachung/-Verbesserung.
Unternehmen, die diese Grundelemente mit den entsprechenden Kriterien erfolgreich umsetzen, können:
- eine Ethik- und Compliance-Kultur auf allen relevanten Ebenen des Unternehmens etablieren,
- die Auswirkungen der Geschäftsziele auf das CMS berücksichtigen,
- einen strukturierten Risikobewertungsansatz zur Bestimmung von Compliance-Risiken vorantreiben,
- ein wirksames CMS einrichten, das Compliance-Risiken frühzeitig erkennt und vermeidet,
- die Verantwortlichkeiten und Zuständigkeiten für die Compliance-Organisation definieren und
- ein effektives Compliance-Programm aufbauen und aufrechterhalten.
