Nachdem Sie nun wissen, was Compliance ist und warum ein Compliance Management System die Haftung für das Unternehmen und die Unternehmensleitung reduziert (Teil 1) und Sie einen Überblick über die relevanten Bereiche und Vorschriften haben (Teil 2), soll es endlich losgehen – also „Butter bei die Fische“:
Vor rund zwei Jahren hatten wir schon einmal eine kleine Zusammenstellung der Rechtsprechung zu Compliance-Systemen gemacht. Wer es nachlesen will, findet diese hier:
Darum soll es heute aber nicht gehen, sondern darum, wie ein Compliance Management System konkret beschaffen sein muss.
Zahlreiche kluge Menschen haben sich darüber Gedanken gemacht – entsprechend viele Definitionen gibt es. Ein generelles richtig oder falsch gibt es dabei nicht. Die Ausgestaltung eines Compliance Management Systems kann immer nur ganz spezifisch für das jeweilige Unternehmen erfolgen. Dabei sind eine Vielzahl von unternehmensindividuellen Faktoren zu beachten; standardisierte Vorlagen bringen nach unserer Erfahrung nichts.
Das Institut der Wirtschaftprüfer sieht für seine Mitglieder in der Prüfung von Compliance Management Systemen ein neues Betätigungsfeld und hat im Jahr 2011 einen Prüfungsstandard dazu veröffentlicht (IdW PS 980).
Das IdW formuliert darin sieben Grundelemente eines Compliance Management Systems. Der Vorteil dieses Standards liegt für den Anwender darin, dass er eine Übersicht der „Bausteine“ und Anforderungen bietet und somit eine gute „Arbeitsvorlage“, um ein eigenes Compliance Management Systeme zu entwerfen. Zumal in der Folge reichlich Literatur zu den einzelnen Punkten erschienen ist.
Wir lehnen uns hier an diese Grundelemente an, stellen sie aber teilweise anders dar, damit eine Art Fahrplan herauskommt.
1.
Compliance-Kultur
Ausgangspunkt ist meist die Entscheidung der Geschäftsführung, das Thema anzugehen.
Auch nach dem Startschuss wird die Compliance-Kultur in einem Unternehmen vor allem geprägt durch die Grundeinstellung und das Verhalten des Managements.
Wird das Thema ernst genommen und geht die Leitung entschlossen mit gutem Beispiel voran oder ist es erkennbar nur ein Feigenblatt? Die Compliance-Kultur beeinflusst damit auch, welche Bedeutung, die Mitarbeiter des Unternehmens der Beachtung von Regeln beimessen und damit die Bereitschaft zu regelkonformem Verhalten.
2.
Compliance-Risken
Für mich ist einer der zentralen Punkte eines effizienten Compliance Managements die Risikoanalyse. Dabei werden die Bereiche und Prozesse im Unternehmen unter die Lupe genommen und genau geprüft, wo Verstöße gegen einzuhaltende Regeln drohen können und welche Folge diese haben.
Unterschiedliche Unternehmen sind vollkommen unterschiedlichen Risiken ausgesetzt und lassen sich nicht über einen Leisten scheren. Eine sorgfältige Risikoanalyse schützt daher vor Frust, konzentriert die Kräfte und spart Geld.
Beispielsweise hat ein Beratungsunternehmen andere Bereiche in denen Regelverletzungen drohen als ein Entsorgungsunternehmen oder ein Chemieproduzent. Während bei dem einen vermutlich das Thema Datenschutz besonders im Fokus steht, ist es bei dem anderen eher Umwelthaftung und ggf. Korruption.
Dem Thema Risikoanalyse widmen wir uns ausführlich in der 4. Folge unserer Miniserie.
3.
Compliance-Ziele
Das IdW geht davon aus, dass die gesetzlichen Vertreter auf der Grundlage der allgemeinen Unternehmensziele und einer Analyse und Gewichtung der für das Unternehmen bedeutsamen Regeln die Ziele festlegen, die mit dem Compliance Management System erreicht werden sollen. Aus Sicht des IdW ist das folgerichtig, da die Compliance-Ziele die Grundlage für die Prüfung durch den Wirtschaftsprüfer bilden.
Wenn man den ganzen theoretischen Ballast einmal weglässt, ist aufgrund des Legalitätsprinzips („Gesetzesverstöße müssen verhindert werden!“) das Ziel allerdings meist vorgegeben:
- Aufdeckung und Sanktionierung bereits begangener Compliance-Verstöße
- Verhinderung künftiger Verstöße, um drohenden Schaden für das Unternehmen aufgrund rechtswidrigen Verhaltens abzuwenden.
in den allermeisten Fällen braucht man hier keinen besonderen Aufwand zu treiben, um auf Teufel komm raus Ziele zu definieren.
Das kann in Fällen anders sein, in denen die Unternehmensziele nur mit laxeren Standards erreicht werden können. Häufig werden als Beispiele niedrigere Umwelt- und Korruptionsstandards bei Geschäften in Asien genannt (siehe Christian Schefold, ZRFC 6/12, 253, Katherine Xin und Wang Haijie, HBM Heft 11/2011).
4.
Compliance-Programm
Im nächsten Schritt geht es darum, wie sich die festgestellten Risiken begrenzen lassen.
Hier geht es beispielsweise darum, konkrete Richtlinien und Verfahrensanweisungen („Policies & Procedures“) zu entwickeln und Verhaltenskodizes zu erarbeiten, die für bestimmte Problemfelder grundsätzliche Reglungen treffen.
Ggf. wird auch ein internes Kontrollsystem erforderlich sein oder die Möglichkeit zur Meldung von Verstößen („Whistleblower-Hotline“). Auch weitere Motivationsfaktoren können sinnvoll sein, die Anreize zum regelkonformen Verhalten setzen und beispielsweise über Bonus/Malus-Regeln bestimmte Verhaltensweisen fördern.
Das Compliance-Programm ist in der praktischen Umsetzung der Kern bei der Einrichtung eines Compliance Management Systems. Die Herausforderung besteht dabei darin, nicht irgendein neues Handbuch zu schreiben, das in der Ecke liegt, sondern die Compliance in jeden Geschäftsprozesses zu integrieren. Nur so hält sich der Aufwand für die Mitarbeiter in Grenzen und das System wird gelebt.
Dieses Thema betrachten wir in Folge 5 unserer Minireihe noch einmal genauer.
5.
Compliance Organisation
Zu einem Compliance Management System gehören – wie immer in der Betriebswirtschaftlehre – eine Aufbau- und Ablauforganisation – also die Festlegung, wer wofür zuständig und verantwortlich ist und wie die einzelnen Schritte sind.
Das klappt natürlich nur, wenn das Unternehmen die dafür nötigen Ressourcen bereitstellt. Das sind in der Regel eigene, ggf. neue, Mitarbeiter die Zeit und Wissen haben, um sich um das Thema zu kümmern und/oder externe Dienstleister.
6.
Compliance-Kommunikation
Um die erfolgreiche Einrichtung eines Compliance Management Systems sicherzustellen, ist eine gute Kommunikation mit den betroffenen Personen (innerhalb und ggf. außerhalb der Organisation) erforderlich. Nur so können die im Compliance Programm definierten Maßnahmen und Vorgehensweisen wirksam umgesetzt werden.
Dieser Punkt darf nicht unterschätzt werden, denn es ist wichtig dass die jeweils betroffenen Mitarbeiter ihre Compliance-Aufgaben verstehen, und das Wissen haben, sie sachgerecht erfüllen können.
Gesetzesverstöße lassen sind nicht durch einen Text in einem Handbuch verhindern. Daher muss den Mitarbeitern das richtige Vorgehen vermittelt werden und dies muss für die spätere Enthaftung der Unternehmensleitung auch dokumentiert werden.
Gerade am Anfang sollte daher der Aufwand für Schulungen nicht unterschätzt werden. Durch E-Learning und die Bereitstellung von Angeboten in einem Intranet-Portal lässt sich der Aufwand jedoch reduzieren. Sprechen Sie und hierzu gerne an, wir geben Ihnen gerne Tipps.
7.
Compliance-Überwachung und Verbesserung
Es reicht nicht, ein Compliance Management System einmal einzuführen und dann laufen zu lassen. Das System muss vielmehr laufend überprüft werden, um zu beurteilen, ob es angemessen und wirksam ist.
Wenn im Rahmen dieser Überprüfung Schwachstellen im Compliance Management System oder Compliance-Verstöße festgestellt werden, muss das System nachjustiert und verbessert werden.
In der nächsten Folge geht es um die Risiko-Analyse. Falls Sie mehr dazu lesen wollen, hier die Übersicht über unsere Miniserie zum Thema Einrichtung eines Compliance Management Systems:
- In Teil 1 ging es darum, was Compliance ist und warum ein Compliance Management System die Haftung für das Unternehmen und die Unternehmensleitung reduziert.
- In Teil 2 haben wie die relevanten Bereiche und Vorschriften dargestellt, die Sie auf dem Schirm haben müssen.
- In diesem Teil 3 haben wir erklärt, welche Bausteine zu einem Compliance Management System gehören.
- In Teil 4 schauen wir uns die Risikoanalyse an.
- Und in Teil 5 kümmern wir uns schließlich darum, worauf bei der Einführung eines Compliance Management Systems konkret zu achten ist.
Sie haben einen Compliance-Notfall? Kein Problem, wir kümmern uns – nehmen Sie Kontakt auf.