„Der krisengeplagte Bilfinger-Konzern fordert von früheren Vorstandsmitgliedern Schadensersatz wegen Pflichtverletzungen. Der Aufsichtsrat habe beschlossen, gegen alle von 2006 bis 2015 amtierenden früheren Vorstände Ansprüche geltend zu machen, heißt es in einer Börsenmitteilung des Unternehmens. Den insgesamt zwölf Managern wird demnach vorgeworfen, das Compliance-Managementsystem nicht ordnungsgemäß eingeführt zu haben. Dies dient dazu, im Geschäftsleben das Einhalten aller Rechtsvorschriften zu gewährleisten.“ (spiegel.de, 20.02.2018)
Kernaufgabe eines Compliance Management Systems ist – natürlich – die im Rahmen der Risikoanalyse festgestellten Risiken zu verringern. Folgende konkrete Schritte sind bei der Einführung zu gehen:
Bestellung eines Compliance-Beauftragten
Der Compliance-Beauftragte – auch Compliance Officer genannt – ist diejenige Person im Unternehmen, die die Verantwortung für Compliance übernimmt.
Wegen der vielfältigen rechtlichen Aspekte dieser Tätigkeit hat der Compliance-Beauftragte meist einen juristischen Hintergrund, muss aber auch das Geschäft des Unternehmens gut kennen. Irina Jäkel hat ihn als „eine Mischung aus Sadomasochist und Religionslehrer“ beschrieben.
Eine solche eigenständige Position eines Compliance-Beauftragten ist nicht zwingend erforderlich und – gerade in kleineren Unternehmen – nicht zu realisieren; oft wird ein anderer Mitarbeiter das Thema Compliance mit übernehmen. Da der Compliance-Beauftragte aber sinnvollerweise unabhängig von bestehenden Hierarchien ist, bietet sich dann eher eine externe Lösung an, also ein Berater, der diese Aufgabe als Dienstleister übernimmt.
Wenn eine eigene Compliance-Abteilung geschaffen wird, sind dabei zwingend auch Fragen der Ausstattung und der organisatorischen Anbindung zu klären. Diesen Punkt wollen wir hier nicht vertiefen.
Verabschiedung eines Code of conduct/Compliance Kodex
In einem Compliance Kodex sind wesentliche Verhaltensgrundsätze niedergelegt; er kann als „moralische Richtschnur“ verstanden werden.
Damit er „wirkt“, muss er praxisnah und verständlich sein. Unser Tipp: Setzen Sie Schwerpunkte entsprechend den Ergebnisses der Risikoanalyse: niemand liest einen 200-seitigen Kodex.
Ein aus unserer Sicht gut gemachtes Beispiel ist der Compliance Kodex der Signal-Iduna.
Implementierung der Compliance Regeln in Prozesse
Das Qualitätsmanagementsystem vieler Unternehmen ist nach ISO 9000 oder einer anderen Qualitätsnorm zertifiziert. Jedenfalls in diesen Unternehmen gibt es Beschreibungen für die einzelnen Leistungsprozesse. Um nicht unterschiedliche Regelwerke nebeneinander zu verwalten und einheitliche Abläufe zu gewährleisten, ist es sinnvoll, die compliancerelevanten Aspekte so weit wie möglich in die ohnehin vorhandenen Prozessbeschreibungen zu implementieren.
Beispiel:
Das Gesetz zur Regelung eines allgemeinen Mindestlohns sieht in § 21 eine Geldbuße bis zu 500.000 € für denjenigen vor, der als Unternehmer einen anderen Unternehmer mit Werk- oder Dienstleistungen beauftragt obwohl er weiß oder fahrlässig nicht weiß, dass dieser keinen Mindestlohn zahlt.
In Unternehmen, die regelmäßig in nennenswertem Umfang Fremdleistungen vergeben, kann es Teil einer Lösung sein, die Dokumentvorlage mit der Angebote angefordert werden so zu ergänzen, dass der zu beauftragende Unternehmer versichern muss, den Mindestlohn nach § 20 Mindestlohngesetz zu zahlen.
Es lässt sich nicht beschönigen: das Durchleuchten von Prozessen und das Anpassen der Prozessbeschreibungen ist aufwändig, bietet allerdings aus meiner Sicht den unschlagbaren Vorteil, dass die compliancerelevanten Aspekte direkt in die normalen Handlungsabläufe integriert werden und dadurch mehr oder weniger automatisch miterledigt werden. Wenn die Prozessbeschreibungen beispielsweise auch Vorlagen und Checklisten enthalten, lässt sich so das regelkonforme Verhalten auch direkt dokumentieren.
Einführung eines Hinweisgebersystems
Ein typisches Element im Compliance Management sind Hinweisgebersysteme, auch Whistle-Blower-Hotlines genannt. Diese dienen dazu, Complianceverstöße aufzudecken, indem die Möglichkeit besteht, solche – in der Regel anonym – zu melden.
Dabei sind sowohl unternehmensinterne als auch externe Lösungen möglich. Bevor solch ein Hinweisgebersystem eingeführt wird, muss geklärt werden, ob eine anonyme Meldung überhaupt möglich sein soll, welche Folgen eine (ggf. unberechtigte) Meldung haben soll und wie das Hinweisgebersystem im Unternehmen kommuniziert wird.
Durchführung unternehmensinterner Untersuchungen
Unternehmensinterne Untersuchungen – auch Internal Investigations genannt – kommen eher in größeren Unternehmen vor; dabei handelt es sich um durch Berater des Unternehmens durchgeführte „Ermittlungen“ – eine Art private Staatsanwaltschaft.
Die Große Koalition will den Unternehmen weitere Anreize schaffen, solche internen Untersuchungen durchzuführen.
Das Thema soll hier nicht weiter vertieft werden. Allerdings ist das Verhältnis von Arbeitsrecht und Strafprozessrecht nicht unproblematisch; ebenso die Frage, was mit den Ermittlungsergebnissen geschieht (siehe hierzu Jeanne I. Wimmers, Internal Investigations in der Praxis Ein Thema, vier Sichtweisen).
Schulungen/Kommunikation
Papier ist geduldig. Ein effizientes Compliance Management System funktioniert nur, wenn alle Beteiligten informiert sind.
Erforderlich ist daher eine intensive Kommunikation des Themas gegenüber den Mitarbeitern – beispielsweise durch Online- und Offline-Schulungen und Informationsseiten im Intranet.
Auch muss dokumentiert werden, dass den Mitarbeitern die Informationen und in der Folge auch Änderungen zur Verfügung gestellt wurden. Effizient lässt sich das bei einer Unterrichtung in Form von Web-Based-Trainings gestalten, bei denen automatisch protokolliert wird, welche Mitarbeiter teilnehmen und/oder bei denen die Mitarbeiter am Ende Verständnisfragen beantworten müssen.
Weiter müssen die Mitarbeiter arbeitsvertraglich auf Einhaltung der Compliance verpflichtet werden; bei bestehenden Arbeitsverträgen sind ggf. Nachträge erforderlich. Außerdem sind ggf. Mitbestimmungsrechte des Betriebsrats zu beachten.
Weitere Maßnahmen
Daneben sind noch weitere Maßnahmen möglich.
Typisch ist die Durchführung regelmäßiger ggf. unternehmensübergreifender „Compliance-Runden“, in denen praktische Fragen besprochen werden. Auch können Anreizwirkungen zu regelkonformem Verhalten über die Vergütung der Mitarbeiter gesetzt werden, wenn Compliance als Bestandteil der Zielvereinbarung definiert wird. In standardisierten Bereichen sind auch elektronisch forensische Datenanalysen möglich.
Wichtig ist, dass nicht alle Maßnahmen, die (arbeits-)rechtlich, organisatorisch oder technisch möglich sind, auch ergriffen werden, sondern nur die für das jeweilige Unternehmen sinnvollen Maßnahmen ausgewählt werden, um das System nicht zu überfrachten.
Einen guten Überblick über die einzelnen Komponenten eines Compliance Management Systems bietet der Corporate Governance Bericht von Thyssen Krupp.
In unserer Miniserie haben wir die wesentlichen Elemente eines Compliance Management Systems dargestellt und erklärt, dass Unternehmen ein solches System beinahe zwingend brauchen, um die steigende Gefahr von erheblichen Geldbußen und weiteren Sanktionen zu verringern. Fehlen solche Systeme oder funktionieren sie nicht effizient, droht der Geschäftsführer von seinem Unternehmen, einem Insolvenzverwalter oder Gesellschaftern in Anspruch genommen zu werden.
Unser Appell: Gehen Sie das Thema an! Wenn Sie dabei Hilfe brachen, unterstützen wir Sie gerne. Nehmen Sie dazu gerne unverbindlich Kontakt mit uns auf.
Hier noch einmal die Übersicht über alle Folgen unserer Miniserie zum Thema Compliance:
- In Teil 1 ging es darum, was Compliance ist und warum ein Compliance Management System die Haftung für das Unternehmen und die Unternehmensleitung reduziert.
- In Teil 2 haben wir die relevanten Bereiche und Vorschriften dargestellt, die Sie auf dem Schirm haben müssen.
- In Teil 3 haben wir dargestellt, welche Bausteine zu einem Compliance Management System gehören.
- In Teil 4 haben wir die Risikoanalyse näher beleuchtet und
- in diesem Teil 5 haben wir schließlich skizziert, worauf bei der Einführung eines Compliance Management Systems konkret zu achten ist.