Die Compliance-Kultur wird durch das Vorbild der Unternehmensführung bestimmt
Im ersten Teil unserer Serie über Compliance-Management haben wir Compliance und Compliance-Management-Systeme (CMS) definiert sowie erläutert, wie und mit welchen Grundelementen ein CMS die Einhaltung von Regeln, Verträgen und Gesetzen ermöglicht. In diesem Teil der CMS-Serie zeigen wir Ihnen, mit welchen Fragestellungen die einzelnen Elemente eines Compliance-Management-Systems entwickelt und praktisch umgesetzt werden. Wir stellen ferner unseren Ansatz bei der Überführung eines Compliance-Management-Systems in einen angepassten Regelbetrieb vor.
Realitätsbezogene Umsetzung
Die beste Dokumentation über ein Compliance-Management-System nützt wenig, wenn das System nicht gelebt wird. Deshalb sprechen wir uns für ein an das jeweilige Unternehmen angepasstes, individuelles CMS aus, das auch im täglichen Miteinander in Funktion ist und das Oberziel, die Vermeidung oder Aufdeckung von Compliance-Verstößen, erreicht. Der Regelbetrieb dient somit dem Unternehmen, den Mitarbeitern und den Eigentümern der Gesellschaft.
Zunächst sind sich die Grundelemente eines CMS in Erinnerung zu rufen, die der IDW-Prüfungs-Standard im Entwurf (IDW EPS 980 – Grundsätze ordnungsmäßiger Prüfung von Compliance-Management-Systemen) vorsieht:
- Kultur
- Ziele
- Organisation
- Risiken
- Programm
- Kommunikation
- Überwachung
- Verbesserung
Diese wollen wir Ihnen im Folgenden näher vorstellen und erläutern, da sie unabdingbar für ein Compliance-Management-System sind. So können Sie bereits bei der weiteren Erläuterung zu den Grundelementen sich selbst in Form einer ersten Bestandsaufnahme fragen, ob entsprechende Voraussetzungen in Ihrem Unternehmen bereits vorhanden oder noch zu schaffen sind.
Compliance-Kultur:
Der Fisch fängt immer vom Kopf …
Die Compliance-Kultur stellt die Grundlage für die Angemessenheit und Wirksamkeit des CMS dar. Sie wird vor allem geprägt durch die Grundeinstellungen und Verhaltensweisen des Managements sowie durch die Rolle des Aufsichtsorgans. Die Compliance-Kultur beeinflusst die Bedeutung, welche die Mitarbeiter des Unternehmens der Beachtung von Regeln beimessen und damit die Bereitschaft zu regelkonformem Verhalten.
Als Beispiel sei der eingangs erwähnte Siemens-Korruptionsfall genannt, der – nach Aufdeckung von Korruptionssachverhalten – zu einer „Null-Toleranz“ gegenüber Verstößen führte. In kleinen oder mittleren Unternehmen wird oftmals das Argument des „mangelnden Vertrauens“ gegenüber Mitarbeitern im Falle der Durchführung von Kontrollen angeführt. Dem lässt sich entgegenhalten, dass Kontrollen zum einen die gute Arbeit der Mitarbeiter bestätigen und zum anderen das bestehende Vertrauen in Mitarbeiter und Ihre Leistung noch stärken können.
Compliance-Ziele:
Was will eine Unternehmung mit der Einhaltung von Regeln erreichen?
Auf der Grundlage der allgemeinen Unternehmensziele und einer Analyse und Gewichtung der für das Unternehmen bedeutsamen Regeln, die mit dem CMS erreicht werden sollen, legen die gesetzlichen Vertreter die Ziele für das CMS fest. Diese Zielbestimmung umfasst die Festlegung der relevanten Teilbereiche (zum Beispiel: Lagerhaltung, Einkaufswesen, Vertrieb, Prozesse: Bestellung bis zur Bezahlung, Personalauswahl für Vertrauensstellungen, z. B. Kassenführer, Finanzchef etc., Qualitätskontrolle, Ausschreibungen usw.) und der in den einzelnen Teilbereichen einzuhaltenden Regeln (Einholung von Angeboten unterschiedlicher Anbieter, Wechsel bei Lieferanten, um keiner „Klüngelei“ Vorschub zu leisten, interne Rotation zur Vermeidung von Wissenszentren bei einzelnen Personen), um nur einige Beispiele zu nennen.
Compliance-Organisation:
Wie muss ich mich aufstellen und welche Prozesse sind zu schaffen?
Die Compliance-Organisation ist der Zielsetzung und der Größe der Unternehmung entsprechend anzupassen. Sie umfasst die Aufbau- und die Ablauforganisation als integrale Bestandteile der gesamten Unternehmensorganisation. Die notwendigen personellen und infrastrukturellen Ressourcen (IT/EDV) sind zur Verfügung zu stellen. Zu beachten ist dabei, dass nicht mit unverhältnismäßigen Mitteln Aufwand betrieben, sondern sich an der jeweiligen Unternehmung orientiert wird. Das heißt: Klare Regeln und einfache Anweisungen hier, wo ein kleiner mittelständischer Betrieb zu leiten ist und umfangreichere Dokumentation und Arbeitsplatzbeschreibungen dort, wenn es gilt, aufsichtsrechtliche Vorgaben der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) oder der Deutschen Bundesbank zu erfüllen. Die BaFin hat beispielsweise gerade die MaComp im Entwurf vorgelegt, die die Mindestanforderungen an Compliance-Systeme regeln. Im Übrigen ein sehr umfangreiches Werk. Also auch in diesem Bereich findet sich das Thema wieder.
Compliance-Risiken:
Welche möglichen wesentlichen Risiken habe ich in meinem Unternehmen?
Wir kommen zum Kern: Die Compliance-Risiken umfassen die möglichen Verstöße gegen einzuhaltende Regeln, die damit eine Verfehlung der Compliance-Ziele zur Folge haben könnten. Die Risiken sind je nach Unternehmensgröße, Branche, Mitarbeiteranzahl, Geschäftsmodell etc. individuell im Rahmen einer sogenannten Risikoinventur aufzunehmen und zu identifizieren. So könnten beispielsweise im Rahmen einer Risikoanalyse folgende (Rechts-) Bereiche relevant sein:
- Arbeitsrecht
- Steuern
- Korruption
- Betrug
- Produkthaftung
- Export
- Umwelt
- Kartellrecht
- Konzernrecht
- Aufsichtsrecht
- Sonstige
Die festgestellten Risiken sind dann im Hinblick auf Eintrittswahrscheinlichkeiten und mögliche Folgen (z. B. Schadenshöhe) zu analysieren. Diese Analyse ist in regelmäßigen Abständen und insbesondere bei Veränderungen im Unternehmen oder in der Unternehmensgruppe zu wiederholen und stellt - neben der Berichterstattung über die Risiken (Compliance-Risiko-Bericht) – nunmehr einen permanenten Prozess dar. Hier können Berichte im Monats-, Quartals- oder Jahresrhythmus erstellt werden.
Compliance-Programm:
Welche Maßnahmen und Vorkehrungen muss ich treffen?
Auf der Grundlage der Beurteilung der Compliance-Risiken werden Grundsätze und Maßnahmen eingeführt, die auf die Begrenzung der Compliance-Risiken und damit auf die Vermeidung von Compliance-Verstößen ausgerichtet sind. Das Compliance-Programm umfasst auch die bei festgestellten Compliance-Verstößen zu ergreifenden Maßnahmen. Als Beispiel sind die „Wohlverhaltensregelungen“ für Mitarbeiter zu nennen. Bei dem „Null-Toleranz-Kurs“ der Siemens AG waren Mitarbeiter anfangs derart verunsichert, dass sie stets gefragt haben, ob sie Geschäftspartner zu einer Tasse Kaffee einladen dürfen oder nicht.
Also: Compliance-Maßnahmen sind mit Augenmaß und angemessen durch eine Richtlinie mit sogenannten „Unbedenklichkeitsgrenzen“ vorzunehmen. In aller Regel sind Compliance-Verstöße stets Besonderheiten in einer Unternehmung. Und aus diesem Grunde sind ein Handlungs- und Aktionsplan sowie ein Kommunikationswegeplan in diesen besonderen Situationen dringend zu empfehlen. Dies wird in aller Regel erreicht durch Unterrichtung und schriftliche Anleitung für den Fall der Fälle, damit jeder Mitarbeiter weiß, was er wann wie zu tun hat.
Compliance-Kommunikation:
Welche Kommunikationswege sind festzulegen?
Die jeweils betroffenen Mitarbeiter und ggf. Dritte (z. B. Ombudsmann, Lieferanten, Kunden) werden über das Compliance-Programm sowie die festgelegten Kompetenzen, Rollen und Verantwortlichkeiten informiert, damit diese ihre Aufgaben im CMS ausreichend verstehen und sachgerecht erfüllen können.
Im Unternehmen selbst wird festgelegt, wie Compliance-Risiken sowie Hinweise auf mögliche und festgestellte Regelverstöße an die zuständigen Stellen im Unternehmen (z. B. den Compliance-Beauftragten, die gesetzlichen Vertreter und erforderlichenfalls das Aufsichtsorgan) berichtet werden.
So können bereits in der ersten Phase der Entdeckung eklatante Fehler von Mitarbeitern begangen werden. In einem Fall bekam die Unternehmensleitung einen anonymen Brief mit Beschuldigungen gegen mehrere Mitarbeiter im Unternehmen. Als „spontane Reaktion“ wurde dieser Brief kopiert und den „beschuldigten Mitarbeitern“ in das Postfach gelegt mit der Frage: „Stimmt das?“
In einem anderen Fall wurde zunächst gar nichts unternommen und erst zwei Jahre später bei der Entdeckung einer weiteren „Unregelmäßigkeit“ eine Sonderuntersuchung beauftragt. Es liegt wohl auf der Hand, dass zwischenzeitlich wertvolle Zeit ins Land gegangen war, ggf. weitere Vermögensschädigungen eingetreten sind und Beweise nur schwer zu erlangen waren.
Compliance-Überwachung und -Verbesserung:
Welche Kontrollen und Anpassungsprozesse sind wichtig?
Die Angemessenheit und Wirksamkeit des CMS ist in geeigneter Weise zu überwachen. Dies ist auch abhängig von der Größe und der Aufbau- sowie Ablaufstruktur einer Unternehmung. Voraussetzung für eine (effektive) Überwachung ist eine ausreichende Dokumentation des CMS, diese Dokumentation kann von einzelnen Handlungsanweisungen bis hin zu einem umfangreichen Compliance-Handbuch reichen. Werden im Rahmen der Überwachung Schwachstellen im CMS bzw. Verstöße festgestellt, so werden diese an die Unternehmensleitung bzw. an die hierfür bestimmte Stelle im Unternehmen berichtet.
Die gesetzlichen Vertreter (soweit nicht selbst betroffen), die Aufsichtsorgane (soweit nicht selbst betroffen) und/oder die Ombudsmänner bzw. Compliance-Beauftragten sorgen für die Funktionalität des CMS, die Beseitigung etwaiger Mängel und die Verbesserung bzw. Anpassung des Systems.
Einführung eines Compliance-Management-Systems
Die Verantwortung für die Errichtung eines Compliance-Management-Systems, das heißt „compliant“ zu sein, haben stets die Unternehmensführung und das Aufsichtsorgan. Durch die Einführung eines CMS können die aus Verstößen herrührenden Risiken reduziert werden. Dies trägt dann auch zum Fortbestand der Unternehmung bei. Wir möchten Ihnen nun unser Vorgehen bei der Einführung eines CMS vorstellen.
Grundsätzlich umfasst der Prozess der Einführung eines CMS sechs Schritte:
- Definition des Unternehmensziels „Compliance“
- Bestimmung von Verantwortlichkeiten (Zeit und Budget)
- Festlegung von Berichterstattungen und Dokumentationen
- Bestandsaufnahme sowie Stärken- und Schwächen-Analyse
- Einführung von Maßnahmen und Prozessen
- Überführung in den Regelbetrieb (inkl. Anpassungsprozess)
In Teil 3 der CMS-Serie werden wir die Einführungsschritte näher erläutern und Ihnen eine Compliance-Fragenliste für einen ersten Selbsttest zur Verfügung stellen. So haben Sie mit Ihrem CMS in Ihrem Unternehmen zumindest die grundsätzlichen Compliance-Themen und Compliance-Bereiche im Griff.