swissaxis

swissaxis 
swissRM™ 
swissIKS® 
swissPIXAS® 
swissGOVV® 
Menu
Menu

Riskmanagement & IKS News

Compliance im IKS – sinnvoller Schulterschluss oder gefährliche Vermischung?

Compliance im IKS – sinnvoller Schulterschluss oder gefährliche Vermischung?

Immer häufiger findet sich in IKS-Reglementen eine Dreiteilung der Ziele:

  • Effiziente und funktionsfähige Geschäftsprozesse
  • Verlässliche finanzielle Berichterstattung
  • Einhaltung von Gesetzen, Vorschriften und internen Weisungen

Compliance wird damit explizit Teil des internen Kontrollsystems.

Doch ist das fachlich sauber – oder verwischt es zwei unterschiedliche Disziplinen?

  1. Zwei Systeme – unterschiedliche Herkunft, gemeinsamer Zweck

Das interne Kontrollsystem (IKS) entstand primär aus dem Bedürfnis nach:

  • Prozesssicherheit
  • Vermögensschutz
  • verlässlicher Berichterstattung

Ein Compliance Management System (CMS) hingegen hat seinen Ursprung in der Sicherstellung der Einhaltung externer und interner Normen.

International ist die Verbindung jedoch längst anerkannt:

  • Das COSO-Framework definiert Compliance als eines der drei Kernziele interner Kontrolle.
  • ISO 37301 verlangt eine systematische Einbettung von Compliance in Governance- und Kontrollstrukturen.
  • Die Rechtsprechung (z. B. BGH 1 StR 265/16) erkennt ein wirksames Compliance-System als haftungsmindernd an.

Die Frage ist daher nicht mehr, ob Compliance integriert wird – sondern wie.

  1. Warum Integration sinnvoll ist

Gerade für KMU, Gemeinde-/Kantonsverwaltungen und Non-Profit-Organisationen ist eine parallele Führung von IKS und CMS kaum praktikabel.

Eine saubere Integration bringt klare Vorteile:

  • Reduktion von Doppelspurigkeiten
  • Einheitliche Dokumentation
  • Transparente Verantwortlichkeiten
  • Bessere Übersicht für Geschäftsleitung und Leitungsorgan
  • Höhere Revisions- und Haftungssicherheit

Compliance-Kontrollen sind

nichts anderes als spezifische Kontrollpunkte – und genau dafür ist ein IKS da.

  1. Wo die Gefahr liegt

Problematisch wird es, wenn Integration mit Vermischung verwechselt wird.

Typische Fehlentwicklungen:

  • Das IKS wird mit regulatorischen Detailanforderungen überladen.
  • Kontrollpläne wachsen unkontrolliert.
  • Der Fokus verschiebt sich von Wirksamkeit zu Formalismus.
  • Compliance dominiert das gesamte Risikoverständnis.

Ein solches System wird defensiv. Es verhindert Fehler – aber es verhindert unter Umständen auch unternehmerische Initiative.

Compliance darf schützen – aber nicht lähmen.

  1. Operative Umsetzung – wie Integration funktioniert

Eine wirksame Integration folgt keinem dogmatischen Modell, sondern einem klar strukturierten Vorgehen.

Schritt 1: Compliance-Mapping

Gesetzliche Vorgaben werden prozessbezogen erfasst:

Vorgabe → Prozess → Risiko → Kontrolle → IKS-Verankerung

Beispiel:

Datenschutz → HR-Prozess → unzulässiger Zugriff → Rollenberechtigung → IKS-Kontrollpunkt

Compliance wird dadurch operativ greifbar – nicht abstrakt.

Schritt 2: Risikoorientierte Priorisierung

Nicht jede Vorschrift erfordert dieselbe Kontrollintensität.

Unterscheiden Sie:

  • Hohe Haftungs- und Reputationsrisiken
  • Formale Dokumentationspflichten

Kontrolltiefe folgt Risiko – nicht Paragraphenzahl.

Schritt 3: Bestehende Kontrollen erweitern statt neue Systeme bauen

Integration bedeutet nicht, ein zusätzliches Compliance-Kontrolluniversum zu schaffen.

Sinnvoller ist:

  • Erweiterung bestehender Freigabeprozesse
  • Ergänzung bestehender Prüfungen um Compliance-Aspekte
  • Nutzung derselben Dokumentationsplattform

Ein Lieferantenfreigabeprozess kann beispielsweise automatisch Sanktionslistenprüfungen enthalten – ohne separates System.

Schritt 4: Klare Rollen definieren

Unklare Zuständigkeiten sind die häufigste Schwachstelle.

Bewährt hat sich folgende Struktur:

 

Rolle

Verantwortung

Fachbereich

Durchführung der Kontrolle

Compliance-Verantwortliche

Fachliche Definition

IKS-Verantwortliche

Systematische Verankerung

Leitungsorgan

Überwachung & Ambitionsniveau

Top-Management-Verantwortung bleibt zentral.

Schritt 5: Technische Unterstützung

Digitale Kontrolltools ermöglichen:

  • revisionssichere Dokumentation
  • automatische Erinnerungen
  • Management-Dashboards

IKS und Compliance sollten dieselbe Systembasis nutzen. Das reduziert Aufwand und erhöht Transparenz.

  1. Strategische Einordnung

Wichtig bleibt die Differenzierung:

  • Vermeidbare Risiken → über IKS steuern
  • Strategische Risiken → bewusst eingehen und führen

Compliance gehört zur ersten Kategorie.

Wenn Compliance jedoch das strategische Risikomanagement überlagert, entsteht eine reine Schutzlogik – und Chancen geraten aus dem Blick.

Ein ausgewogenes System sichert Einhaltung und ermöglicht gleichzeitig unternehmerische Entwicklung.

Fazit: Integration ist richtig – wenn sie intelligent erfolgt

Compliance ins IKS zu integrieren ist

  • fachlich fundiert
  • regulatorisch sinnvoll
  • organisatorisch effizient.

Voraussetzung ist jedoch:

  • risikoorientierte Priorisierung
  • klare Verantwortlichkeiten
  • schlanke, wirksame Kontrollen
  • technologische Unterstützung

Compliance darf kein Kontrollmonster werden.

Richtig eingebettet wird sie zum stabilisierenden Element eines wirksamen internen Kontrollsystems.

Quellen:

Eigene Veröffentlichungen:

  • Compliance und interne Kontrolle (September 2023)
  • Compliance und Risikomanagement (Oktober 2024)
  • Compliance-Checks im IKS (Februar 2025)

 

Externe Quellen:

  • COSO (2013): Internal Control – Integrated Framework
  • ISO 37301:2021: Compliance Management Systems – Requirements with guidance for use
  • OECD (2020): Good Practice Guidance on Internal Controls, Ethics and Compliance
  • Bundesgerichtshof (BGH), Urteil vom 9. Mai 2017 – 1 StR 265/16
image_pdfAls PDF speichern

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert