Compliance umschreibt die Anforderung an Unternehmen, sich nach Recht und Redlichkeit zu verhalten. Damit ist also einerseits die strikte Vermeidung von Gesetzesverstößen und Regeln gemeint. Andererseits zielt Compliance auch auf die Einhaltung von selbstgewählten Leitlinien und Werten, dem sich eine Organisation freiwillig verpflichtet und die sich meist aus allgemeinen ethischen Richtlinien ableiten.
Verstöße gegen Gesetze, Verordnungen sowie selbst auferlegte Kodizes und Regeln werden von Geschäftspartnern und der Öffentlichkeit eventuell mit Reputationsverlust geahndet. Gesetzesuntreue wird zudem oft strafrechtlich verfolgt.
Compliance ist mehr als Gesetzestreue
Werte wie Verlässlichkeit, Kontinuität und Vertrauen in eine Organisation können nur dann bestehen, wenn sich ein Unternehmen deutlich zu Compliance bekennt, die Umsetzung konkreter Maßnahmen erfolgreich gelingt und zudem die Regeltreue dauerhaft sichergestellt wird. Gelebte Compliance-Kultur ist demnach eine zentrale Voraussetzung für nachhaltigen Erfolg.
Voraussetzungen für eine erfolgreiche Implementierung
Neben einer klaren, unternehmensbezogenen Definition von Compliance sowie dem deutlichen Bekenntnis der Geschäftsführung, muss ein Unternehmen zunächst eine umfassende Risikoanalyse erstellen.
Es gilt zunächst, Compliance-Handlungsfelder systematisch zu identifizieren und zu erfassen. Dazu gehört das Erkennen möglicher Risiken, wie zum Beispiel Korruption, Kartellverstöße und vor allem die komplexen Vorgänge und Auflagen beim Schutz von Daten und internen Informationen.
In einem nächsten Schritt müssen relevante Gesetze identifiziert werden, wie zum Beispiel die gesetzlich geregelten Aufbewahrungsfristen von handels- und steuerrechtlichen Dokumenten. Gerade in diesem Bereich gibt es bereits eine Vielzahl an Softwaresystemen, die deren Einhaltung unterstützen.
Die Risiken in Unternehmen sind abhängig von deren Größe, dem Absatzmarkt und der Organisationsstruktur. Manche Branchen, wie zum Beispiel öffentliche Verwaltungen, die Lebensmittel- und Pharmaproduktion oder Krankenhäuser obliegen bei der Archivierung von Unterlagen zudem gesonderten Vorschriften. Zu den wichtigsten Risikobereichen gehören
Wirtschafts- und Steuerrecht,
Arbeitsrecht,
Gesellschaftsrecht,
IT-Recht,
Öffentliches Recht,
Kartell- und Wettbewerbsrecht sowie
P-Recht (gewerbliche Schutzrechte u. Urheberrecht).
Weitere Handlungsfelder ergeben sich in der Regel aus den individuellen Richtlinien und Standards, die sich ein Unternehmen freiwillig auferlegt.
Ein Compliance Management System kann unterstützen
Unternehmen sollten ihren individuellen, goldenen Mittelweg finden zwischen übertriebenem Kontrolleifer und Laisser-faire. Unterstützen kann dabei ein Compliance Management System (CMS), das positive Auswirkungen auf sämtliche Geschäftsprozesse hat und sich dennoch in einem angemessenen Kosten-Nutzen-Rahmen bewegen sollte.
In der Praxis existieren bereits häufig interne Kontrollsysteme, die meist ein Zusammenspiel von organisatorischen Sicherungsmaßnahmen, Kontrollen und Revisionen sind. Ein modernes Compliance Management System integriert vorhandene Kontrollsysteme und ergänzt sie um weitere wichtige Handlungsfelder. Einen guten Leitfaden für Unternehmen und Organisationen bietet die 2014 veröffentliche Compliance-Management Norm ISO 19600, deren Empfehlungen unabhängig von der Unternehmensgröße skalierbar sind.
Erfolgreiche Implementierung eines CMS
Durch die Identifizierung der Risikobereiche werden bereits vorhandene Kontrollsysteme zusammengeführt, gleichzeitig muss auch die theoretische Grundlagenarbeit in einen pragmatischen und effizienten Regelbetrieb überführt werden. Je nach Unternehmensgröße erfolgt dann die Aufstellung eines Compliance Teams beziehungsweise die Ernennung eines Compliance-Beauftragten, der sich mit der Organisation notwendiger Prozesse befasst. Im Zuge dessen sollte auch eine genaue Ressourcenplanung vorgenommen und Verantwortlichkeiten sowie Befugnisse geklärt werden.
Eine große Herausforderung für Unternehmen ist zweifelsohne die Organisation und Etablierung von Mechanismen zur Kontrolle und Dokumentation von Regelverstößen. Schließlich gilt es hier rechtliche Vorschriften in konkrete Aufgaben umzuwandeln. Sie umfassen in der Regel einen Verhaltenskodex, Prozessbeschreibungen und Handlungsanweisungen und sollten gezielt im Hinblick auf einzelne Compliance-Risiken gestaltet werden.
In der Praxis arbeiten Compliance-Beauftragte eng mit den Kollegen aus dem Qualitätsmanagement zusammen. Zudem sollte im Vorfeld festgelegt werden, wie intern mit Compliance-Verstößen umgegangen wird und welche Konsequenzen beziehunsweise Sanktionen daraus erfolgen.
Dass schwerwiegende Regel- und Gesetzesverstöße weitreichende wirtschaftliche Folgen haben können, ist unbestritten. Häufig wird bei Compliance-Verstößen auch der Verlust des Versicherungsschutzes riskiert, bei einem fehlenden CMS kann es in manchen Fällen zu Haftungsansprüchen gegenüber der Geschäftsführung kommen.
Wichtig ist auch die Kommunikation von Compliance-Anforderungen innerhalb des Unternehmens. Nicht jeder Regelverstoß erfolgt vorsätzlich, das heißt, Aufklärung, Trainings und Schulungsmaßnahmen für Mitarbeiter sind oft unumgänglich, um eine Compliancekultur im Unternehmen zu etablieren. Kommunikation ist aber auch in umgekehrter Richtung notwendig: Es müssen regelmäßige Berichterstattungen an die Geschäftsführung beziehunsweise an den Vorstand und den Aufsichtsrat eingeplant werden.
Überwachung und regelmäßige Analyse des CMS
Ein Compliance-Management-System wird niemals abgeschlossen sein. Es ist vielmehr ein Prozess, der ständiger Beobachtung und Anpassung bedarf. Unsere schnelllebige Geschäftswelt erfordert eine kontinuierliche und regelmäßige Überwachung und Analyse:
Haben sich zwischenzeitlich neue Risikobereiche ergeben?
Gab es Gesetzesänderungen oder andere neue Gegebenheiten im Umfeld des Unternehmens?
Hat sich etwas an den internen Leitlinien geändert?
Allein wegen neuer, rechtlich bindender Auflagen und Vorschriften müssen CMS Regeln immer wieder angepasst und aktualisiert werden. Monitoring und interne Audits helfen hier, am Ball zu bleiben. Bei Regelverstößen kommt es zu festgelegten Reaktionen, wie Dokumentation, Korrekturmaßnahmen und Aktion, die einen weiteren Vorfall in Zukunft verhindern sollen.