Definition und Bedeutung der Compliance
Der Begriff Compliance bzw. das Adjektiv compliant bedeuten im Organisationsbezug so viel wie Einhaltung von Regelungen, Recht und Gesetz durch Organisationen und deren Mitarbeiter. Compliance bzw. darauf aufbauend Compliance Management bezeichnet dabei eine dokumentierte und aktiv gelebte Struktur interner Regeln und Richtlinien sowie deren Überwachung.
Menschen machen Fehler und umgehen Regeln. Ob aus Unwissenheit, unbewusst, bewusst oder beabsichtigt spielt meist eine untergeordnete Rolle. Die Folgen daraus können für die Organisationen von ärgerlich bis existenzbedrohend reichen.
Compliance sollte generell bei allen Arten von Organisationen eine große Rolle spielen: Eine funktionierende Compliance Organisation kann dazu beitragen, zivil- und strafrechtliche Risiken zu reduzieren. Darüber hinaus verlangen viele Auftraggeber vor allem aus dem öffentlichen Bereich Nachweise eines nachhaltigen Compliance Management.
Ziele und Aufgaben der Compliance
Vorrangiges Ziel der Compliance ist es die Organisation integer und seriös am Markt zu repräsentieren. Dazu sind Maßnahmen zu definieren und durchzuführen, um Verstöße zu verhindern. Durch eine funktionierende Compliance Struktur in der Organisation schützen sich diese vor Regelverstößen und daraus folgenden direkten oder indirekten negativen Auswirkungen auf die Organisation.
Aufgabe der Compliance ist es also geeignete Abläufe zu definieren, zu kommunizieren und zu überwachen, um regelkonform, also compliant, zu arbeiten.
Risikobereiche der Compliance
Verstoßen Organisationen gegen Gesetze, spezifische Vorschriften, interne Richtlinien oder vorgeschriebene Best Practices, hat dies Compliance-Risiken zur Folge: rechtliche Sanktionen, finanzielle Verluste, Rufschädigung und Imageverlust
Die offensichtlichsten und am weitesten verbreiteten Compliance-Verstöße umfassen:
- Arbeitsrechtliche Verstöße
- Datenschutz-Verstöße
- Verstöße in der Exportkontrolle
- Geldwäsche
- IT-Sicherheitsverstöße
- Kartellrechtliche Verstöße
- Korruption/Betrug
- Marktmanipulation
Die typischen Risikobereiche für Compliance umfassen
- Steuern
- Arbeitsrecht
- Arbeitssicherheit
- Strafrecht
- Umweltschutz
- Zollvorschriften
- Produkthaftung
- Datenschutz
Arten von Compliance
Unter dem allgemeinen Begriff der Compliance (oder auch: Corporate Compliance) gibt es viele Teildisziplinen, die dem jeweiligen Fachbereich zugeordnet sind. Typische Beispiele hierfür
- Legal Compliance: generelle juristische Vorschriften, Anpassung an und Einhaltung von Gesetzen im In- und Ausland.
- Financial Compliance: Regelbeachtung im finanziellen Bereich, z.B. AktG zur Vorbeugung von Geldwäsche, Diebstahl, Korruption.
- IT-Compliance: v.a. durch die Regeln der DSGVO
- Tax-Compliance: v.a. basierend auf Steuergesetzen, zur Vermeidung von Steuerflucht und Steuerhinterziehung.
- Social Compliance: gesetzliche und ethisch-soziale Standards
- unternehmenseigene Codes of Conduct
Gesetze zur Compliance
In Deutschland regeln vor allem die Paragrafen §§ 9, 30 und 130 des Gesetzes über Ordnungswidrigkeiten (OWiG), direkt., die §§ 91, 93 AktG und § 43 GmbHG indirekt die Pflicht dazu, dass Unternehmen keine Regelverstöße begehen dürfen.
Generell ist aber jeder Organisation die Ausgestaltung ihrer Compliance-Struktur freigestellt. In der Praxis haben sich aber vor allem folgende Standards durchgesetzt, denen viele Compliance Officers folgen, um ihre Compliance Management Systeme prüfen zu lassen:
- ISO 19600
- ISO 37001
- IDW PS 980 (Institut der Wirtschaftsprüfer)
Regeln zur Compliance
Die Festlegung interner Regeln und Richtlinien sind Kernelement funktionierender Compliance Systeme. Neben gesetzlichen Normen definieren organisationeigene Richtlinien die Erwartungshaltung an Mitarbeiter in compliance-relevanten Situationen.
Es gibt keine generelle Festlegung, aber typische Richtlinien-Inhalte umfassen konkrete, alltägliche Beispiele samt deren Sanktionierung:
- Umgang z.B. mit Einladungen, Geschenken und anderen persönlichen Vorteilen
- Verhalten gegenüber Wettbewerbern,
- Regeln zur Gleichbehandlung,
- Konsequenzen bei Compliance Verstößen,
- allgemeine Verhaltensanforderungen.
Compliance Management System
Ein Compliance Management System (CMS) unterstützt die konkrete Ausgestaltung einer Compliance-Struktur. Es erfasst kurz zusammengefasst sämtliche Maßnahmen, Strukturen und Prozesse, die geeignet sind, um Verstöße zu verhindern, aufzudecken oder auf diese zu reagieren. Es dient somit der nachvollziehbaren Einhaltung bzw. Wiederherstellung der Compliance.
Es handelt sich bei einem CMS nicht zwingend um eine Systemlösung im IT-Sinne mit automatisierten Prozessen, sondern vielmehr um ein dokumentiertes Regelwerk, das von allen Organisationsmitgliedern anerkannt und gelebt wird,
Ein umfassendes, aktives, optimalerweise zertifiziertes CMS kann durchaus auch rechtliche Vorteile haben: bei festgestellten und sanktionierten Verstößen kann sich der Betrieb eines CMS strafmildernd auswirken bzw. Vorsatz und Leichtfertigkeit negieren.
Bestandteile des CMS
Gemäß IDW PS 980 und DIN ISO 19600 umfassen die Grundelemente eines CMS:
- Compliance-Kultur: Benennung, Vorleben und offensichtliches Ernstnehmen der Compliance
- Compliance-Ziele und ‑Scope: Definition, Dokumentation und Kommunikation derselben
- Compliance-Organisation: Definierte und umgesetzte Rollen und Verantwortlichkeiten, Aufbau- und Ablauforganisation
- Compliance-Risiken: Dokumentierte und beurteilte Risikoübersicht
- Compliance-Programm: Der Kern des CMS mit Grundsätzen und Maßnahmen zur Begrenzung von Compliance-Risiken und Regelverstößen
- Compliance-Kommunikation: sachgerechte Kommunikation an betroffene Personen innerhalb und außerhalb der Organisation
- Compliance-Überwachung und ‑Verbesserung: Überwachung und Umsetzung von identifizierten Handlungsbedarfen, z.B. durch interne Audits
- Krisenmanagement
Anforderungen an ein CMS
Zertifizierungsfähige Compliance Management Systeme sind einzuführen, zu dokumentieren, zu verwirklichen und aufrechtzuerhalten. Die daraus abgeleiteten notwendigen Maßnahmen umfassen:
- Festlegung einzuhaltender Prozesse
- Sicherstellung der Verfügbarkeit erforderlicher Ressourcen und Informationen
- Überwachung, Messung und Analyse aller relevanten Prozesse
Das Compliance Management System an sich und all seine Bestandteile sind zu dokumentieren, die personenunabhängige Aufrechterhaltung und Funktionsfähigkeit des Systems ist sicherzustellen. Auch der Umgang mit dieser Dokumentation, beispielsweise Freigaben, Aktualisierungen, Verteilung, Aufbewahrungspflichten, muss geregelt sein .
Compliance-Prozesse
In der ISO 19600 als Quasi-Standard sind einige Anforderungen für ein funktionsfähiges und nachhaltiges Compliance Management System enthalten:
- Risikoanalyse / Bewertung von Compliance Risiken: Identifikation aller Compliance-Bedrohungen im Rahmen wertschöpfender Aktivitäten eines Unternehmens
- Analyse des rechtlichen Umfeldes des Unternehmens
- Identifikation resultierender Compliance-Verpflichtungen
- Überblick über Aktivitäten im Unternehmen mit möglichem oder gegebenem Risikopotenzial
- Überblick über risikohohe Bereiche
- Prozesse der Abweichungsanalyse: Erkennen und Prüfen der Ergebnisse von Aktivitäten oder Aktivitätenfolgen, die sich außerhalb des definierten Toleranzbereichs befinden.
- Prozesse des Umgangs mit Ausnahmesituationen: Prozesse zur Aufklärung und Schadensbegrenzung
- Prozesse der Eskalation: Auflösung bereits entstandener sowie Verhinderung drohender Non-Compliance-Situationen
- Kontrollmaßnahmen
- systematische Maßnahmen auf Basis der Risikoanalyse, z.B. Verhaltenskodex mit Handlungsanweisungen und internen Regelungen.
- Transparente Kommunikation untereinander
- Transparente Kommunikation von Regeln und Verhaltensweisen.
- Kontrolle aller relevanten Aktivitäten
- Regelmäßige Prüfung und Aktualisierung des CMS.
Compliance im Unternehmen
Die gesetzliche Organisations- und Aufsichtspflicht und somit auch die Verantwortung für die Einrichtung, Aufrechterhaltung, Bewertung und ständige Verbesserung des CMS liegt bei der „Leitung“ einer Organisation.
Sie hat die explizite Aufgabe interne Verantwortlichkeiten und Befugnisse festzulegen und einen Compliance-Beauftragten / Compliance Officer zu benennen. Diesem muss es möglich sein, seine Compliance-Aufgaben unabhängig wahrnehmen zu können, Interessenskonflikte sind auszuschließen. Darüber hinaus soll eine direkte Berichtsmöglichkeit an die Leitungsebene sichergestellt sein.
Der Compliance Officer verantwortet in der Organisation die operative Einhaltung der Compliance. Ebenso regelt er den Compliance-relevanten Informationsfluss innerhalb der Organisation.
Für den Compliance Officer gibt es keine herkömmliche berufliche Ausbildung. Das Skillprofil sieht häufig eine umfassende kaufmännische oder gewerbliche Betriebserfahrung sowie Kenntnisse im juristischen Bereich vor.
Compliance-Verfahren
Bestehen hinreichende Verdachtsmomente auf einen Compliance-Verstoß, leitet die Organisation ein Compliance-Verfahren als unternehmensinternes Untersuchungsverfahren ein.
Ein dafür von der Organisation Beauftragter – häufig der Compliance Officer – geht allen Hinweisen von Zeugen nach und konsolidiert diese. Wird der Verstoß während des Compliance-Verfahrens als real und strafwürdig verifiziert, erfolgt die Übergabe des Falles an die Staatsanwaltschaft. Neben strafrechtlichen Sanktionen gegen den Urheber des Verstoßes, kann dieser auch durch die Organisation entlassen, herabgestuft und mit Regress belegt werden.
Chancen und Grenzen von Compliance
Allein die Beschäftigung mit Compliance führt oft dazu, dass bislang unbekannte Risiken erkannt und Maßnahmen eingeleitet werden können. Darüber hinaus sorgt Compliance auch regelmäßig für eine Art Selbstreinigungseffekt, um eigene Werte und Vorgehensweisen zu hinterfragen. Die ständige Prüfung und Aktualisierung des CMS sorgt zudem dafür, dass dies auch über den Zeitverlauf sichergestellt wird und die Organisation sich gegen gesetzliche, moralische und ethische Verstöße zu wehren weiß.
Compliance muss jedoch von der Spitze der Organisation vorgelebt werden, Führungskräfte aller Ebenen stehen hier in der Verantwortung als Vorbild für ihre Mitarbeiter. Umso schwerer wiegen Verstöße, wenn sie durch externe Institutionen wie die Medien bekannt gemacht werden. Politik, Automobilbranche, Finanzsektor oder Profisport haben auch in der jüngeren Vergangenheit gezeigt, dass neben finanziellen Sanktionen auch Imageschäden massive Auswirkung auf den Erfolg der Organisation haben können.
Umsetzung der Compliance
Damit Compliance in einer Organisation funktionieren kann, müssen alle Mitarbeiter und Verantwortliche Compliance-Anforderungen kennen und erfüllen. Compliance Management Standards bilden dabei die Leitplanken, und vor allem ist es Aufgabe der Führungskräfte Compliance vorzuleben.
Grundlage für ein funktionsfähiges Compliance Management System sind definierte Verantwortlichkeiten innerhalb der Organisation:
- Dokumentierte Entscheidung der Unternehmensleitung für ein Compliance Management System
- Festsetzung entsprechender Ziele
- Bereitstellung entsprechender Ressourcen
Bei der Implementierung und dauerhaften Verbesserung der Compliance definiert die Compliance-Strategie die während eines definierten Zeitraums zu erreichenden Ziele. Hierzu priorisiert die Organisationsleitung – ggf. in Zusammenarbeit mit oder als Vorgabe für den Compliance Officer – die kommenden Compliance-Aktivitäten.
So können bereits vor oder während des Aufbaus eines Compliance Management Systems einzelne Maßnahmen aufgrund bekannter Risiken als Ziel definiert werden. Bestehen keine offensichtlichen Risiken bzw. sind diese angemessen beachtet, folgen Aufbau/Update der einzelnen Module eines CMS, angefangen bei der Compliance-Kultur.
Bei der Konkretisierung des Compliance Management Systems sollten die Abläufe und Regelungen nicht zu komplex werden und nicht zu sehr in das Tagesgeschäft eingreifen. Je einfacher und klarer die Regeln, desto einfacher und eindeutiger können Beschäftigte sie verstehen und befolgen. Wichtiger als die Regelung jeder Eventualität ist die generelle Sensibilisierung der Belegschaft für das Thema Compliance: Es geht darum Awareness schaffen und zum bewussten Mitdenken anzuregen.
Herausforderungen bei Umsetzung der Compliance
Wie bei fast jedem Organizational Change-Vorhaben: Bei der Einführung oder Erweiterung eines Compliance Management Systems ist mit offenen oder stillen Widerständen zu rechnen.
Der Organisationsleitung obliegt die Vorreiterrolle während der Umsetzung, denn Compliance hat viel mit Kommunikation und Verständnis zu tun. Explizite Aufgabe der Leitung ist es, der Belegschaft die Bedeutung von Compliance-Anforderungen und ihrer Erfüllung zu vermitteln und vorzuleben. Ebenso muss sie die Erwartungshaltung kommunizieren, Compliance-Anforderungen tatsächlich einzuhalten. Zu vermeiden ist eine Angstkultur, in der Verstöße nicht benannt, Fehler nicht gemeldet werden. Vor allem sollen auch die Konsequenzen eines bewussten Verschweigens klar herausgestellt werden.
Im Gegenteil müssen Beschäftigte und Verantwortliche zu einer offenen Fehlerkultur motiviert werden, in der Verstöße klar benannt und auch sanktioniert, vor allem aber auch Lösungen gesucht werden. Die Bereitstellung einer Ansprechstelle/Hotline für anonyme Anfragen und Hinweise kann dabei die Hemmschwelle für die Kontaktaufnahme signifikant reduzieren.
Compliance in all seinen Details ist ein Expertenthema. Während der Implementierung eines Compliance Management Systems wird es erfahrungsgemäß nicht ohne objektiv-neutrale externe Unterstützung gehen, gerade bei Organisationen, die erste Schritte dieses Weges gehen. Die Berater aus dem Hause Firnkorn und Stortz können hier mit jahrzehntelanger Erfahrung unterstützen und beim Auf- und Ausbau eines angemessenen Compliance Management System in Gänze beraten, oder in den Teildisziplinen unseres IT Security oder Digital Transformation Consulting.