Integration von Assurance-Funktionen

Für die organisatorische Einbettung von Assurance-Funktionen in eine Unternehmung gibt es lediglich rudimentäre (aufsichts-)rechtliche Vorgaben, und auch ein eindeutiger Best-Practice-Ansatz hat sich bis dato nicht etabliert. Als Herausforderung wird insbesondere die Sicherstellung der Unabhängigkeit angesehen. Was sind mögliche Massnahmen dazu?

Integration von Assurance-Funktionen

 

«Die Compliance-Abteilung hat versagt», «Die Hinweise seitens Risikomanagement wurden ignoriert», so oder ähnlich tönt es in den Me-dien, wenn ungebührliches Geschäftsgebaren aufgedeckt wird. Oftmals zeigt sich in der Analyse, dass in den betroffenen Unterneh-men Assurance-Funktionen zwar installiert wurden, deren Durchsetzungskraft aber be-schränkt war. Woran kann das liegen?

Vorgaben bezüglich Organisation von Assurance-Funktionen
Für Banken und Versicherungen gelten die FINMA-Rundschreiben Corporate Gover-nance 2017/1 bzw. 2017/2, welche die Anfor-derungen an die zentralen Assurance-Funk­ tionen Risikomanagement und Compliance als Elemente eines wirksamen IKS erläutern. Während die Aufsichtsbehörde bei den sys-temrelevanten Banken insbesondere die or-ganisatorische Einbettung des Risk Officers konkret regelt (FINMA RS 2017/1, Rz 68), feh-len entsprechende Vorgaben im für die Ver­ sicherungen relevanten Rundschreiben.

 

Neben den FINMA-Rundschreiben gibt es weitere Dokumentationen wie den Prü-fungsstandard PS980 (EXPERTsuisse), wel-cher zentrale Merkmale einer (Compliance-) Organisation wie Festlegung von Rollen und Verantwortlichkeiten, Kompetenzen und Ressourcen sowie Berichtslinien nennt.

 

Gemeinsam ist diesen Vorgaben, dass explizit die Objektivität und Unabhängigkeit der Assurance-Funktionen (Kontrollinstan-zen) gefordert wird, ohne aber weiter auf die diesbezüglich sinnvolle Organisationsform einzugehen. Insofern besteht die Chance, ­eine auf die jeweilige Unternehmensgrösse und -komplexität angepasste Einbettung zu gestalten.

Das Modell der drei Verteidigungslinien
Als ein Modell zur Förderung der Unabhän-gigkeit von Assurance-Funktionen hat sich das Modell der drei Verteidigungslinien («three lines of defense») etabliert. Dieses wird auch von der FINMA in ihrem Erläuterungs-bericht zu den beiden erwähnten Gover-nance-Rundschreiben als Ansatz zur Defini­ tion von Rollen und Verantwortlichkeiten im Governance-System erwähnt. Die Assurance-

 

«Die Organisationsform von Assurance-Funktionen ist von der Unternehmensgrösse abhängig.»

 

Elemente Risk Management, Compliance und IKS werden dabei in der 2. Linie gebündelt und vom Tagesgeschäft (1. Linie) getrennt, um die Unabhängigkeit sicherzustellen. Neben den vorgenannten Assurance-Elementen werden oftmals auch die Bereiche Datenschutz, Informationssicherheit und Qualitätsmanagement als Einheiten der 2. Verteidigungslinie betrachtet. Die 3. Verteidigungslinie beinhaltet die interne Revisionsstelle. Der fehlende Einbezug der externen Revision und des Regulators ins Modell (z.B. im Sinne einer 4. und 5. Verteidigungslinie) wird in der Lehre zum Teil kritisiert.

 

Das vorgenannte Modell veranschaulicht zwar das Zusammenspiel der drei Verteidigungslinien und ihrer Berichtslinien, gibt aber keine konkreten Anweisungen für deren organisatorische Einbettung. Verschiedene Studien zeigen diesbezüglich eine grosse Heterogenität auf. So können Assurance- Funktionen

 

  • als Einzelpositionen in verschiedenen Ein-heiten implementiert sein;
  • organisatorisch in einer Stabsstelle gebün-delt werden;
  • einer ertragsorientierten Einheit unter­ geordnet sein; oder
  • gar mit ertragsorientierten Funktionen personell vermischt sein.

 

Die Organisationsform von Assurance-Funk-tionen ist zudem von der Unternehmensgrös­ se abhängig. Ab einer gewissen Anzahl Mit­ arbeitenden sollten die Funktionen der 2. Verteidigungslinie durch vom Tages­ geschäft unabhängige Personen wahrgenom-men werden. Bei kleinen und mittelgrossen Unternehmen können alle Assurance-Funk-tionen in einer Person vereint werden. Bei grösseren Unternehmen ergibt es hingegen Sinn, wenn die Funktionen durch verschie-dene Personen wahrgenommen werden. Je kleiner eine Unternehmung, desto eher wer-den Funktionen der 2. Verteidigungslinie durch operativ tätige Personen wahrgenom-men. Gerade in solchen Situationen ist es be-deutsam, dass die Funktionsträger über die nötige Persönlichkeit und Integrität verfügen bzw. das sich stetig wandelnde Wertesystem der Gesellschaft verinnerlicht haben, um ihre­ Kontrolltätigkeit objektiv und unabhän-gig auszuüben.

 

Eine Alternative bietet allenfalls die Ausgliederung der Kontrolltätigkeit an Dritte (z.B. Revisionsgesellschaften oder Anwalts-kanzleien).

 

Durch die Heterogenität der Organisa­ tionsformen müssen die regulatorisch gefor-derte Objektivität und Unabhängigkeit un-ternehmensspezifisch beurteilt werden.

Massnahmen zur Wahrung der Unabhängigkeit
Welche Opportunitäten gibt es, die einen Best-Practice-Ansatz bezüglich der organisa-torischen Einbettung von Assurance-Funk­ tionen und somit implizit auch einer mög-lichst hohen Unabhängigkeit begünstigen?

 

Organisatorische Zusammenführung
Die Assurance-Elemente Risikomanagement und Compliance stellen gemeinsam als wirk-sames IKS die Einhaltung der Corporate Governance sicher. Damit Synergien entste-hen, erscheint daher die Zusammenführung dieser Bereiche in eine organisatorische Ein-heit sinnvoll. Gerade zwischen Risiko­ management und Compliance gibt es Über-schneidungen. So sind Compliance-Risiken

 

«Assurance-Funktionen sollten als Teil der risikoorientierten Unternehmensführung betrachtet werden.»

 

letztlich operationelle Risiken, welche die Basis für ein risikoorientiertes internes Kon­ trollsystem (IKS) bilden. Im Weiteren können Redundanzen im Berichtswesen zu Händen der Geschäftsleitung und des Verwaltungs­ rates vermieden werden, indem nicht nur die zeitliche Publikation solcher Berichte, son-dern auch der inhaltliche Fokus auf die ein-zelnen Themen teamintern integral abge-stimmt werden. Durch Einsitz in die Ge-schäftsleitung, z.B. ohne Stimmrecht, um In-teressenskonflikte bei der Entscheidfindung zu vermeiden, kann zudem der Leitung einer solchen Assurance-Einheit ein zusätzliches Gewicht (tone-at-the-top) gegeben werden.

 

Personelle Entflechtung von 1. und 2. Verteidigungslinie
Wenn aufgrund der Unternehmensgrösse möglich, sind die Assurance- strikt von opera-tiven Tätigkeiten zu entkoppeln. Mindestens die jeweiligen Leitungen der 2. Verteidi-gungslinie sollten von der 1. Verteidigungs­ linie, insbesondere in personeller Sicht, un-abhängig sein. So werden potenzielle Interes-senkonflikte zwischen Handlungen als Ge-schäftspartner versus Gatekeeper (Kontroll-instanz) vermieden bzw. werden Kontroll­ instanzen nicht zu «risk takers».

 

Ernennung und Abberufung durch ein nicht operatives Organ
Während die interne Revision als 3. Verteidi-gungslinie der Oberleitung (Verwaltungsrat oder Ausschuss) unterstellt ist, sind die Assu-rance-Funktionen in der Regel einer ertrags-orientierten Einheit unterstellt. Dies gilt auch für eine Stabsstelle beim CEO. Um die Unab-hängigkeit zu wahren, kann die Ernennung oder Abberufung einer leitenden Assurance-Funktion von der Genehmigung durch die Oberleitung (VR oder dessen Risikoaus-schuss) abhängig gemacht werden. Weiter-führende Optionen sind z.B. ein Quasi-Kün-digungsschutz, durch den Stelleninhabende ­einer Assurance-Funktion für eine bestimm-te Zeitdauer nicht abgesetzt werden dürfen.

 

Keine Anreize durch variable, erfolgsorientierte Entschädigung
Die Nicht-Berücksichtigung der Assurance-Funktionen bei monetär entschädigten Er-folgskomponenten hat sich heute als Stan-dard etabliert und wird auch seitens des Re-gulators als eine Komponente für die Wah-rung der Unabhängigkeit propagiert (vgl. FINMA-Rundschreiben Corporate Gover-nance).

Fazit
Die Einbettung von Assurance-Funktionen in die Unternehmensführung lässt sich nur teil-weise im Sinne eines Best-Practice-Ansatzes beantworten.

 

Gerade unter dem Aspekt der grösst-möglichen Unabhängigkeit lassen sich aber Entwicklungsfelder erkennen, die den Ansatz ermöglichen.

 

Zentral erscheinen drei Aspekte:

 

  • der organisatorischen Zusammenführung,
  • der personellen Entkopplung von operati-ven Entscheidungsfunktionen,
  • der Delegation von Personalentscheiden an die Oberleitung und
  • der Vermeidung von Anreizen durch eine variable Entschädigung.

 

Inwiefern diese implementiert werden können, hängt immer auch von der Unter-nehmensgrösse und der Unternehmenkultur ab. Dabei sollten Assurance-Funktionen stets als Teil der risikoorientierten Unternehmens-führung, nicht jedoch als reaktive Kontrollin-stanz angesehen werden.

 

 

 

 

(Visited 559 times, 1 visits today)

Weitere Artikel zum Thema