Institut für Interne Revision ÖSTERREICH
Positionspapiere

Die Position des Instituts für Interne Revision Österreich

Wir laden Sie ein, sich mit Ihren Erfahrungen und Ihrem Wissen einzubringen! Schreiben Sie uns Ihre Meinung, lassen Sie uns das Positionspapier gemeinsam finalisieren . . .

Positionspapier zur Abgrenzung der Funktionen                               INTERNE REVISION & COMPLIANCE

Einleitung

Bei oberflächlicher Betrachtung der Berufsbilder Interne Revision und Compliance ergibt sich aus den Aufgabengebieten beider Funktionen eine Reihe von Gemeinsamkeiten, welche eine klare Abgrenzung in der Praxis manchmal schwierig gestalten. Diese sind:

1) Prüfung und Überwachung der Einhaltung von gesetzlichen und unternehmensinternen Bestimmungen (to comply with)

2) Beratungsfunktion bzw. Unterstützung für die Geschäftsleitung und das Management

3) Ähnliche oder gleiche Verwendung von Begrifflichkeiten wie bspw. Compliance Audit, Audit, Prüfung, Überwachung/Monitoring, Kontrolle, usw.

4) Berichterstattung an die Geschäftsleitung und sonstige Gremien und u.U. Stakeholder

Während in der Finanzbranche, vor allem bei Kredit-/Finanzinstituten beide Funktionen äußerst detailliert vom Gesetzgeber geregelt sind, verschwimmt die Wahrnehmung der grundlegenden Unterschiede in den anderen Branchen der Privatwirtschaft und des öffentlichen Bereiches.

Das Institut der Internen Revision nimmt mit diesem Positionspapier eine begriffliche und inhaltliche Abgrenzung der Funktionen Interne Revision und Compliance vor, um etwaige Missverständnisse zu vermeiden und um der Bedeutung der beiden Aufgabenbereiche gerecht zu werden.

Historische Entwicklung des Compliance-Begriffes

Der Compliance-Begriff kommt aus dem angloamerikanischen Raum, wo bereits seit den 1970er Jahren die Notwendigkeit der Einhaltung von Regelungen aus dem sprachlichen Kontext „to comply with“ (Deutsch: etwas einhalten) zur Bildung einer Compliance-Funktion geführt hat.

Diese Funktion war wie im deutschen Sprachraum nicht notwendigerweise an eine Organisationseinheit mit der Bezeichnung „Compliance“ gebunden, war jedoch im englischen Sprachgebrauch naheliegend und hat sich spätestens in den 1980er Jahren v. a.in den USA durchgesetzt.

Compliance hat somit zwei Bedeutungsebenen:

1.   Grundsätzliche Einhaltung bestimmter Standards und Regelungen

2.   Organisatorischen Maßnahmen zur Sicherstellung der Einhaltung,   z. B. durch eine Organisationseinheit häufig mit der Bezeichnung Compliance

Dieser angloamerikanische Einfluss war in Europa bzw. dem deutschsprachigen Raum bspw. im Finanzsektor deutlich spürbar, bspw. in Zusammenhang mit der Bekämpfung von Insiderhandel, also der unfairen Ausnutzung von nicht öffentlichen Informationen, welche Auswirkungen auf die Preisbildung von Finanzprodukten an Börsen haben können.

In Österreich war die Schaffung eines Standard Compliance Codes der österreichischen Kreditwirtschaft 1989 wegweisend. Dieser freiwillige Verhaltenskodex stellte einen Verhaltenskodex dar, um die recht allgemein gehaltenen gesetzlichen Anforderungen des Börsegesetzes im Detail auszuformulieren und so für eine gewisse Rechtssicherheit in Bezug auf die Bankenaufsicht zu sorgen.

Dieser Verhaltenskodex wurde von den zuständigen Behörden als Auslegung des Börsegesetzes geduldet und wurde so zum Handelsbrauch (Soft Law).

Der Begriff Compliance fand im FMA-Gesetz 2003 erstmals Eingang in ein österreichisches Bundesgesetz und fand eine weitreichendere Bedeutung in der Überschrift des § 18 „Einhaltung der Vorschriften (Compliance)“ im Wertpapieraufsichtsgesetz 2007. Demnach ist eine Stelle einzurichten, welche die Einhaltung der Bestimmungen dieses Gesetzes überwacht. In § 20 wird separat auf die Einrichtung einer internen Revision verwiesen.

Mit der Emittenten Compliance Verordnung (ECV) im Jahr 2007 schwappte die Verwendung des Begriffes Compliance bspw. auch auf börsennotierte Unternehmen außerhalb des Finanzsektors über, wobei weiterhin die Bekämpfung von Insiderhandel und Marktmanipulation in Zusammenhang mit Finanzinstrumenten (z.B. Aktien) überwog.

Parallel zu dieser Entwicklung entwickelte sich der Compliance-Gedanke unabhängig in technischen und medizinischen Bereichen (z.B. medical compliance hinsichtlich der ordnungsgemäßen Verordnung von Medikamenten) und wurde letztlich zu einem Allgemeingut im Wirtschaftsleben und öffentlichen Bereich.

Historische Entwicklung der internen Revision aus Sicht des IIA

Auf der Homepage des Institutes of Internal Audit wird auf die Ursprünge der internen Revision im heutigen Sinn mit der Zunahme großer Unternehmen im Rahmen der industriellen Revolution des 19. und 20. Jahrhunderts verwiesen.

Die steigende Komplexität der Geschäftsfelder in der Administration und Rechnungslegung, führten zu einem ebenso steigenden Kontrollbedarf innerhalb der Unternehmen.

Durch die rasch zunehmende Industrialisierung und Globalisierung wurde eine unabhängige Prüfungsinstanz im Unternehmen notwendig.Das IIA wurde 1941 gegründet und hatte bereits kurz nach dem zweiten Weltkrieg über 1.000 Mitglieder. Das Ziel des IIA war und ist es, die Bedeutung der internen Revision hervorzustreichen, zu bewerben und durch die Erarbeitung moderner einheitlicher Berufsstandards die Qualität der Revisionsfunktion weltweit zu sichern. Heute umfasst das IIA weltweit mehr als 185.000 Mitglieder.

Das moderne Revisionsverständnis umfasst die folgende Definition:

Die Interne Revision erbringt unabhängige und objektive Prüfungs-(„assurance-“) und Beratungsleistungen, welche darauf ausgerichtet sind, Mehrwerte zu schaffen und die Geschäftsprozesse zu verbessern. Sie unterstützt die Organisation bei der Erreichung ihrer Ziele, indem sie mit einem systematischen und zielgerichteten Ansatz die Effektivität des Risikomanagements, der Kontrollen und der Führungs- und Überwachungsprozesse bewertet und diese verbessern hilft.

Die Interne Revision unterstützt die Unternehmens- bzw. Organisationsleitung in ihrer Kontrollfunktion im Rahmen ihrer Steuerungsaufgabe durch unabhängige Prüfungen.

Einordnung in der Corporate Governance

Im EU Green Paper „The EU corporate governance framework” vom Juli 2011 erfolgt eine klare Zuordnung der Aufgaben der beiden Funktionen Compliance und interne Revision.

In diesem Papier wird das sogenannte Drei-Linien-Modell („Three lines of defence“) postuliert, mit welchem unter anderem die Steuerung eines Unternehmens (Governance) beschrieben wird.


 

Quelle: ECIIA (2011) und Prof. Dr. Marc Eulerich in ZIR 2/12, Erich Schmidt Verlag GmbH & Co KG

Demnach hat die interne Revision – stark vereinfacht gesprochen - die Ordnungsmäßigkeit, Angemessenheit, Zweckmäßigkeit und Wirtschaftlichkeit der Aufbau- und Ablauforganisation der ersten und zweiten Verteidigungslinie zu prüfen.

Die interne Revision führt somit umfassende Prüfungen der Compliance-Funktion durch, während sich umgekehrte Prüfungen auf vereinzelte, klar abgrenzbare Themenbereiche beziehen (z.B. Einhaltung der Regelungen zu unternehmensinternen Vertraulichkeits-bereichen zu denen auch die Revision idR zählt, Geschäfte von Revisionsmitarbeitern in Finanzinstrumenten, sicherheitsorganisatorische Fragen).

Unterschiede Compliance und interne Revision

Trotz der begrifflichen Verwechslung und den diffusen Grenzen zwischen beiden Funktionen lassen sich klare Unterschiede feststellen.

Trotz der fundamentalen Unterschiede der beiden Funktionen kommt es durch die unterschiedlichsten Ausgestaltungsformen in der Praxis häufig zu Missverständnissen hinsichtlich der Aufgaben und Positionierung der Compliance-Funktion und der internen Revision.

Diese Missverständnisse treten dort verstärkt auf, wo eine gesetzliche Regelung der beiden Funktionen nicht, nur teilweise oder bestenfalls nur indirekt gegeben ist (z.B. Einzelhandel, öffentlicher Bereich, börsennotierte Unternehmen) oder wo eine Organisationseinheit aufgrund der geringen Größe des Unternehmens beide oder sogar noch zusätzliche Funktionen wahrnimmt.

Hinzukommt die oberflächliche Wahrnehmung der Prüftätigkeit beider Funktionen, die in der Praxis zu einer Vermischung der Aufgaben führt.

In stark regulierten Branchen wie dem Bankwesen, wo es eine Vielzahl von gesetzlichen Anforderungen gibt, bestehen derartige Abgrenzungsprobleme idR nicht.

Management Summary

Für die Abgrenzung der Compliance-Funktion von der internen Revision ist die theoretische Einordnung der beiden Funktionen im modernen Verständnis einer Corporate Governance von entscheidender Bedeutung.

Maßgeblich ist hier das Modell der drei Verteidigungslinien der Europäischen Union aus dem Jahr 2011 (three lines of defence), welches das herkömmliche interne Überwachungssystem (Internes Kontrollsystem plus interne Revision) bzw. die Corporate Governance in drei Bereiche gliedert. In dieser Überwachungshierarchie obliegt es der internen Revision (3. Linie) sowohl die Geschäftseinheiten (1. Linie) und deren übergeordnete Ebene wie bspw. das Risikomanagement und Compliance (2. Linie) zu prüfen.

Aus der Theorie heraus stellt sich damit die Frage einer mangelnden deutlichen Abgrenzung der Funktionen oder sogar eines möglichen Konkurrenzverhältnisses nicht.

In jenen Bereichen des wirtschaftlichen und öffentlichen Lebens, in denen es an formalen, verbindlichen Anforderungen an eine Compliance-Funktion und/oder interne Revision mangelt, häufen sich jedoch in der Erfahrung vieler Kolleginnen und Kollegen die Probleme mit der Abgrenzungsthematik.

Diesem Problem kann letztlich nur mit Schulungen für die Geschäftsleitung und das Management begegnet werden, um sowohl das Wissen über das moderne Verständnis der Compliance-Funktion und der internen Revision herzustellen und damit die Akzeptanz des Mehrwerts und der sinnvollen Koexistenz beider Funktionen zu erhöhen.

 

Mag. Thomas Schelmbauer • Mitglied des Vorstandes 

Institut für Interne Revision Österreich • Schönbrunner Straße 218-220  
U4 Center, Stiege B, 3. OG • A-1120 Wien
mailto: thomas.schelmbauer(at)internerevision.at • www.internerevision.at

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 


 

 

 

 

 

 

                                 

thomas.schelmbauer(at)internerevision.at

Ich freue mich auf Ihre Anregungen  . . .

Bitte schreiben Sie mir!

 

Positionspapier zur Abgrenzung INTERNE REVISION & COMPLIANCE