Kein Unternehmensbereich hat sich in den vergangenen 20 Jahren so signifikant entwickelt und professionalisiert wie „Compliance“. Die wesentlichen Treiber der Entwicklung dürften die erheblichen Reputations- und Vermögensschäden für die Unternehmen sowie das Haftungsrisiko für die Leitungsorgane gewesen sein.
Compliance-Abteilungen entwickelten sich selbst, Compliance-Officer diversifizierten ihr Know-how und spezialisierten sich; sie implementierten Compliance-Management-Systeme (CMS), und die Unternehmensangehörigen wurden entsprechend geschult und sensibilisiert.
Und dennoch erfahren wir täglich über die Medien Non-Compliance-Tatbestände aus vermeintlich gut aufgestellten Unternehmen. Warum ist das so?
Legal-Compliance – Korruption und Bestechung
Der Fokus der Compliance-Prävention liegt bei vielen Unternehmen nach wie vor auf dem Risiko „Korruption“. Abgesehen davon, dass der Tatbestand der Korruption im StGB nicht existiert, soll alles vermieden werden, was negative Schlagzeilen produzieren könnte, und dazu gehört prominent das Thema der Bestechung mit den entsprechenden Ausprägungen. Als Ombudsmann kann der Verfasser bestätigen, dass eine Vielzahl der per Whistleblowing eingehenden Hinweise entsprechenden Charakter aufweist.
Gängige Praxis fortgeschrittener Compliance fokussiert sich auf sogenannte Legal-Compliance. Zunächst erfolgt das Bekenntnis der Leitungsorgane zur Einhaltung von Gesetzen und Normen durch das Unternehmen im Rahmen seiner Geschäftstätigkeit. Die Unternehmenswerte werden mittels Code of Conduct proaktiv nach innen wie außen kommuniziert. „Legal“ gleicht dann das Geschäftsmodell mit dem rechtlichen Umfeld ab, dem das Unternehmen ausgesetzt ist. So werden die vermeintlichen Rechtsrisiken transparent gemacht, vielfach unter Anwendung von Leitfäden u.ä., die oftmals dem individuellen Geschäftsmodell noch nicht einmal gerecht werden. Entsprechend affine Anweisungen und Richtlinien werden erstellt und eingeführt; anschließend sollen daran ausgerichtete Schulungen der davon Betroffenen zur Einhaltung der entsprechenden Normen führen.
Rahmenbedingungen für effektive Compliance
Das alles erfordert schon einen gewissen Aufwand, der, vor allem im Mittelstand, kontrovers diskutiert wird. Spätestens seitdem sich nun auch in Deutschland (BGH Az.:1 StR 265/16) effektive (wirksame) Compliance-Management-Systeme bußgeld- und haftungsmindernd auswirken können, sollte dies aber kein Thema mehr sein. Was ist nun zu tun? Es reicht nicht aus, per Richtlinie Verhaltensweisen vorzugeben, vielmehr müssen Bedingungen geschaffen und die betriebsinternen Abläufe so gestaltet werden, dass Normverletzungen zukünftig jedenfalls deutlich erschwert werden. Das lässt sich aber leider nicht per Richtlinie verordnen. Dafür braucht es zwei Dinge:
- Eine Unternehmenskultur, die ethisches Handeln der Beteiligten fördert und honoriert (Tone from the Top), denn gute Compliance gründet auf Werten. Unternehmensangehörige sollen sich an ihnen orientieren, um ethisch entscheiden und handeln zu können. Hier gilt: Anspruch und Wirklichkeit klaffen oft auseinander. Dies sieht man besonders deutlich an den „großen“ Compliance–Fällen in deutschen Konzernen. De jure entspricht das CMS zwar den Empfehlungen von IdW, DIN o.ä. – nur die Unternehmenskultur konnte da nicht mithalten.
- Eine Corporate Governance, bei der die Organe ihrer Verpflichtung zur Führung und Aufsicht nachkommen. Geregelt ist dies u.a. im AktG (KonTraG, 1998) und im HGB (BilMoG, 2009) mit Ausstrahlung auf alle Unternehmensformen. Wir erinnern uns: Compliance = Einhaltung von Gesetzen und Regelungen!
Wirksames Risikomanagement
Kern dieser Regelungen ist ein wirksames Risikomanagement mittels Sicherung der Unternehmensprozesse auf der Basis von Prozessanalysen und anschließender Implementierung sog. Internal Controls. Dafür stellt das in den USA 2004 entworfene und zuletzt 2013 überarbeitete Enterprise Risk Management (ERM) Framework den heute international anerkannten Standard für ein umfassendes, unternehmensweites Risikomanagement dar; Internen Revisoren unter „COSO“ geläufig.
Nur Risiken, die erkannt werden, sind zu managen. Legal Risks sind dabei nur ein Teil der Compliance-Risiken. Prozessinterne Risiken, die unerkannt bleiben, bzw. nicht controlt werden, lassen auf mangelnde Umsetzung der Führungs- und Aufsichtspflichten für die Organe aus dem gesellschaftsrechtlichen Pflichtenkanon schließen; auch dies ist Non-Compliance mit den schon genannten Folgen.
So ist nicht der Vertrieb per se das kartell- bzw. wettbewerbsrechtliche Risiko. Vielmehr sind beispielsweise die Vergütungsform der Vertriebler, deren Incentivierung, die außerordentliche Entwicklung regionaler Marktanteile, das ständige Erreichen der Umsatzziele oder die Einschaltung von Agenten Indikatoren für Risiken in der Vertriebsfunktion.
Three Lines of Defence
Entsprechend sind die Unternehmens-Prozesse zu analysieren und mit Controls zu versehen. Von der Wirksamkeit der Controls hat sich der Prozessverantwortliche nachfolgend regelmäßig zu überzeugen (First Line of Defence); unterstützt wird er dabei von den sog. Governance-Funktionen wie Controlling, Risikomanagement und Compliance (Second Line of Defence). Idealiter prüft die Interne Revision (Third Line of Defence) die Wirksamkeit dieser Funktionen. Auch hier gilt, nicht das Einrichten dieser Funktionen ist ausreichend, sondern deren Wirksamkeit!
Mehr interessante Artikel zum Thema Revision >
Compliance-Management wirksam umsetzen
Abgerundet wird das CMS durch einen Prozess, welcher anonyme Meldungen an das Unternehmen ermöglicht, ein Gremium, das die Hinweise beurteilt, die weitere Bearbeitung der Hinweise regelt, gerichtsverwertbare Reports erstellt und Fehlverhalten sanktioniert.
Eine derartige Vorgehensweise erfolgt zweckmäßigerweise in Form eines Projektes unter Einbeziehung des Compliance- und der Prozessverantwortlichen. Eine externe Moderation stellt dabei die Systematik und die Orientierung an Benchmarks sicher. Der Aufwand wird belohnt durch eine gesetzeskonforme Corporate Governance, eine wirksame Compliance-Prävention, eine Sicherung des Vermögens und der Reputation. Nicht zu vergessen, die Chance der Exkulpation für die Unternehmensorgane im Fall der Fälle.
Hans-Ulrich Wabnitz
Vorstand DGCM, Deutsche Gesellschaft für Compliance Management e.V., Berlin
sowie
Geschäftsführender Gesellschafter der WABNITZ Unternehmensberatung Gesellschaft für Corporate Audit, Risk & Compliance mbH in Berlin
Sie möchten die nächsten Blogartikel nicht verpassen? Melden Sie sich zu unserem ibo-Newsletter an!