Compliance im Unternehmen

Compliance bedeutet die Einhaltung von Gesetzen und freiwilligen Selbstverpflichtungen im Unternehmen. Um dies zu gewährleisten, muss jedes Unternehmen angemessene und geeignete Maßnahmen treffen.

 

Dies ist Aufgabe der Geschäftsleitung.

 

Da aber die Geschäftsführung nicht jedem einzelnen Mitarbeiter kontrollieren kann, ist das Compliance im Unternehmen abteilungs- und prozessübergreifend mit einem Compliance-Management-System (CMS) zu verankern.

 

Was sich jetzt erstmal schwierig und komplex anhört, ist in der Praxis  nichts anderes, als die Zusammenfassung der von Compliance getroffenen Maßnahmen, zum Beispiel in Form von Verhaltenskodizes und Schulungen.

Die Compliance-Risikoanalyse

Es ist in der Praxis nahezu unmöglich, alle Compliance-Risiken zu kennen oder sich gar dagegen abzusichern. Um die Risiken zu managen und die Dunkelziffer an verbleibenden Risiken möglichst klein zu halten, ist eine Risikoanalyse unumgänglich. Zusätzlich müssen laufend die Prozesse auf Risiken durchleuchtet werden, um möglichst viele Risiken zu kennen. Denn nur bekannte Risiken können durch ein CMS entsprechend minimiert werden. Die Risiken mit der höchsten Eintrittswahrscheinlichkeit und dem höchsten ermittelten Schadenspotenzial müssen hierbei zuerst durch angemessene und geeignete Maßnahmen minimiert oder im Idealfall beseitigt werden.

Leider wird das Risikomanagement in vielen Unternehmen irrtümlicherweise immer noch als eine Art "Buchhaltung" der im Unternehmen existierenden operativen Risiken dargestellt. Dies ist jedoch nicht zielführend und geht an den gesetzlichen Mindestanforderungen (weit) vorbei. Zudem wird auch die Notwendigkeit, die Risiken in ihrem Zusammenwirken (Wechselwirkungen) zu betrachten, vernachlässigt. Aus § 93 AktG "Business Judgement Rule" mit Ausstrahlwirkung auf GmbHs ergibt sich vor allem für die Unternehmensführung die Pflicht, bei Vorbereitungen von unternehmerischen Entscheidungen eine adäquate Risikoanalyse durchzuführen und die ermittelten Risiken dem (geschätzten) Ertrag gegenüberzustellen. Existiert keine geeignete informationelle Fundierung/Dokumentation der Entscheidungen, so stellt dies eine Pflichtverletzung dar, die eine Schadensersatzpflicht auslösen kann. Hierbei liegt die Beweispflicht in der Regel bei der Unternehmensführung.

Eine angemessene und vor allem entscheidungsorientierte Ausgestaltung des Risikomanagements und des CMS sollte für Unternehmen, Unternehmer und Geschäftsführer sowie Entscheidungsträger eine Selbstverständlichkeit sein.

Compliance und die Öffentlichkeitswirkung

Bis heute, und es ist derzeit auch kein Ende in Sicht, wurden seitens des Gesetzgebers an Unternehmen immer mehr regulatorische Anforderungen gestellt, was im Umkehrschluss auch zu mehr Compliance-Risiken führte. Noch wichtiger als die Tatsache des stringenteren Regulierens ist aber die Wirkung von Verfehlungen in der Öffentlichkeit, an deren Aufdeckung und Diskussion die Medien seit Jahren ein wachsendes Interesse besitzen. Ein derzeit immer noch gegenwärtiges Beispiel ist die Diesel-Krise, bei der diversen Unternehmen Verfehlungen der Abgasvorschriften vorgeworfen wird. 

   

Compliance im Unternehmen umsetzen

Die klassischen Gründe für die Einführung und Umsetzung eines CMS im Unternehmen sind Haftungsvermeidungen durch Korruptions-, Wettbewerbs- oder Vermögensdelikte. Aber auch Themen, wie Reputationssicherung und Anforderungen an und von Geschäftspartnern (Business Partner Integrity Management) spielen eine zunehmende Rolle.

 

Zur Umsetzung gibt es jedoch viele Hilfsmittel und Orientierungshilfen. Unter anderem existieren gut verständliche Standards und sogenannte Best-Practice-Ansätze.

In der globalisierten Welt gibt es immer mehr Unternehmen, die von ihren Partnern oder Zulieferern die Existenz oder gar die Zertifizierung eines CMS einfordern. Die Mindestanforderung stellt hier oftmals die Anerkennung des eigenen Verhaltenskodex dar. Das von der Bundesregierung geplante Lieferkettengesetz macht es den Unternehmen ebenfalls nicht einfacher. 

Hierbei spielt das Compliance eine ganz entscheidende Rolle, denn ein gut funktionierendes CMS identifiziert, managt und minimiert Risiken und Probleme, bevor diese möglicherweise durch sogenannte "Whistle-Blower" (eventuell auch medienwirksam) an die Öffentlichkeit gelangen. 

 

Einer der bekanntesten Standards ist die ISO-Norm 19600 (Typ B-Norm - nicht direkt zertifizierbar), die im Dezember 2014 veröffentlicht wurde und 2021 durch die ISO-Norm 37301 (Typ A-Norm - direkt zertifizierbar) abgelöst wird. Ihr entscheidender Vorteil ist die universelle Einsetzbarkeit sowie die grenzen- und branchenübergreifende Flexibilität. Sie kann von kleineren, mittleren und großen Unternehmen, von Behörden, Vereinen und Verbänden angewendet und herangezogen werden. Darüber hinaus existieren noch weitere (zertifizierbare) Standards, wie die IDW-Prüfungsstandards 340 und 980. Beide Standards beschäftigen sich mit dem Risikomanagement in Unternehmen, der Ausgestaltung des Risikomanagements und der Notwendigkeit einer unternehmensinternen Revision.

Ausblick und aktuelles Geschehen

Verbandssanktionengesetz

Das "Gesetz zur Stärkung der Integrität in der Wirtschaft" (Verbandssanktionengesetz), welches in seiner Bezeichnung leicht irreführend ist, befindet sich derzeit in der Konsultationsphase mit den Verbänden. In diesem Gesetzesentwurf ist zum ersten mal von "Compliance" die Rede und von der Verpflichtung der Einführung unternehmensinterner Ermittlungen. Dies deutet auf eine klare Stärkung der Compliance-Position in Unternehmen per Gesetz hin. Als Begründung führt das Justizministerium Skandale, wie die Abgasmanipulationen (Diesel-Kriese), die Cum-Ex- und Cum-Cum-Geschäfte sowie neuerdings die Probleme um die Firma Wirecard an, die zu einer wesentlichen Ausdehnung und Verschärfung der Regelungen beitragen werden.

Der jetzt vom Justizministerium vorgelegte Gesetzentwurf konkretisiert ebenfalls das Strafmaß und sieht unter anderem eine drastische Erhöhung möglicher Geldbußen vor. Bisher liegt die Obergrenze bei (nur) zehn Millionen Euro. Laut Gesetzesentwurf soll sie bei Unternehmen mit mehr als 100 Millionen Euro Jahresumsatz bei zehn Prozent des Jahresumsatzes liegen. Außerdem geht der Gesetzentwurf darauf ein, dass das bisher geltende Unternehmensstrafrecht "auch die Verfolgung schwerster Unternehmenskriminalität" allein in das Ermessen der zuständigen Behörden stelle, "was zu einer uneinheitlichen und unzureichenden Ahndung geführt habe". Deshalb sollen künftig die Staatsanwaltschaften immer ermitteln müssen, wenn ein Verdacht gegen ein Unternehmen besteht. Zudem sollen verurteilte Unternehmen in einem Register eingetragen und geführt werden, das allerdings vorerst nicht öffentlich zugänglich sein soll. Hat hingegen eine Straftat eines Unternehmens viele Verbraucher geschädigt, so liegt eine Veröffentlichung der Verurteilung im jeweiligen Ermessen des Gerichtes, so der Gesetzesentwurf. 

 

Die umfänglichen aufsichtsrechtlichen Regelungen der Finanzdienstleistungsbranche dürften zukünftig wohl in einer ähnlichen Art und Weise auf die Industrie ausgedehnt werden. Für Finanzinstitute gibt es bereits Register, die die Verfehlungen der Institute speichern (sogenanntes Naming and Shaming). 

Das Justizministerium will außerdem Unternehmen mit einem umfassenden Compliance bei Verfehlungen strafmildernd berücksichtigen.

Die Mithilfe bei der Aufklärung durch unternehmensinterne Untersuchungen soll strafmildernd berücksichtigt werden können, so der Gesetzesentwurf (Windhund-Prinzip oder Kronzeugenregelung). Mit dem Gesetzesentwurf des Justizministeriums komme man dem universal anerkannten internationalen Standard nach, heißt es in dem Gesetzentwurf unter Verweis etwa auf die USA (US Foreign Corrupt Practices Act - FCPA) und andere OECD-Staaten (UK Bribery Act (Engeland), Loi Sapin II 2017 (Frankreich)). 

Fazit:

Aus der Entwicklung der Regulatorik der Finanzinstitute ist ableitbar, dass der Beginn von Regelungen in Industrie, Handel und Dienstleistung sehr ernst genommen werden sollte.

 

Der Zeitpunkt, um sich mit dem Thema Compliance zu beschäftigen, ist spätestens jetzt gekommen.

 

Es wird wohl nicht mehr lange dauern, bis die Unternehmen dies erkennen werden und danach handeln müssen, um zukünftig möglichen Sanktionen zu entgehen. Eines der zukünftigen Hauptprobleme wird sein, Mitarbeiter mit entsprechender Qualifikation einzustellen, alternativ entsprechend zu schulen. Es bleibt jedoch anzumerken, das es bis heute keine flächendeckende Ausbildung, wie (Fachhochschul-)Studiengänge oder berufsbegleitende Studiengänge in diesen Fachgebieten gibt.