Wie Sie Ihr Top-Management von Compliance überzeugen 

Ethisches Verhalten und Compliance werden vom Gesetzgeber und auf internationaler Ebene immer stärker gesetzlich geregelt. Die EU hat mehrere Richtlinien auf den Weg gebracht, die von Mitgliedstaaten nationales Recht überführt werden müssen. Viele der Regelungen nehmen insbesondere international agierende Grosskonzerne in die Pflicht, doch auch mittelständische Unternehmen sehen sich neuen Verpflichtungen und Regeln gegenüber. Davon können auch Schweizer Unternehmen mit Niederlassungen in einem EU-Mitgliedsland betroffen sein.

Die EU plant etwa, mithilfe der CSR-Richtlinie ab 2023 die Nachhaltigkeitsberichterstattung verbindlich zu machen. Die neue CSR-Richtlinie soll die bisher geltende Nonfinancial Reporting Directive (NFRD) ersetzen und neue Berichtspflichten für Unternehmen einführen. Was im ersten Schritt nur für Unternehmen mit mehr als 250 Mitarbeitern verpflichtend sein soll, soll ab 2026 auch auf börsennotierte kleinere und mittelständische Unternehmen ausgeweitet werden. Erst im Februar legte die EU-Kommission ausserdem einen Vorschlag für das EU-Lieferkettengesetz vor, das in Europa ansässige Unternehmen dazu verpflichtet, ihre Lieferketten auf geltende Umweltschutz- und Menschenrechtsstandards zu überprüfen. Die Schweiz gleicht sich mit der Umsetzung des Gegenvorschlags zur Konzernverantwortungs-initiative (KVI) zumindest an die NFRD an. Voraussichtlich jedoch ohne die explizite Verknüpfung mit einem Berichterstattungsstandard. Eine Verordnung über die Sorgfaltspflichten und Transparenz für Unternehmen, sowie eine Änderung des Obligationsrechts sind in der Vernehmlassung. Eine erste Anwendung wird für 2023 erwartet.

Die im April 2021 veröffentlichte ISO 37301 bietet ein Rahmenwerk mit zertifizierbaren, internationalen Standards für ein Compliance-System. Schon seit 2016 definiert die Anti-Korruptionsrichtlinie ISO 37001 Richtlinien und Anforderungen für zertifizierbare Korruptionsprävention.

Auch beim Schutz von Whistleblowern ist die EU-Gesetzgebung weiter als die Schweiz. Die EU-Hinweisgeberrichtlinie verpflichtet Unternehmen mit mehr als 50 Mitarbeitenden in der EU, einen vertraulichen Meldekanal einzurichten. Für international agierende Konzerne in der Schweiz, die Niederlassungen oder Tochtergesellschaften mit mehr als 50 Mitarbeitern im EU-Ausland unterhalten, besteht dringender Handlungsbedarf. Denn sie unterliegen mit ihren Auslandstöchtern EU-Recht und müssen deshalb einen internen Kanal einrichten, über den Compliance-Verstösse anonym gemeldet werden können.

Obwohl es nach der letzten Abstimmung im Jahr 2020 weiterhin kein nationales Gesetz für den Schutz von Hinweisgebern in der Schweiz gibt, gab es jüngst Bewegung auf kantonaler Ebene.

Die Regierungen vieler Kantone haben den Schutz von Hinweisgebern auf die Agenda gesetzt und wollen dies zumindest für den öffentlichen Sektor regeln. Im Kanton Genf wurde das Gesetz «Loi sur la protection des lanceurs d’alerte au sein de l’Etat (LPLA) (12261)» (Gesetz zum Schutz von Whistleblowern Whistleblower im Staat Genf) verabschiedet, welches am 26. März 2022 in Kraft getreten ist. Auch im Kanton Tessin steht ein ähnliches Gesetz für den öffentlichen Sektor kurz vor der Verabschiedung im Kantonsparlament.

Compliance ist für Unternehmen aber nicht allein deshalb sinnvoll, weil der Gesetzgeber sie vorschreibt. Effiziente Compliance ist für Organisationen der beste Weg, sich selbst vor Schaden zu bewahren. Weil Compliance regelmässige Risikoanalysen, definierte Standards für das Geschäftsgebaren und Monitoring-Tools umfasst, ist sie ein unverzichtbares Tool für Unternehmen.

Von guter und funktionierender Compliance profitieren Organisationen auf mehr als einer Ebene. An erster Stelle bewahrt sie das Unternehmen vor Verstössen gegen Gesetze oder Vorgaben von Regulierungsbehörden und schützt damit vor Strafverfolgung, Strafzahlungen und erheblichem Imageverlust in der Öffentlichkeit.

Gleichzeitig hebt gute Compliance das Ansehen des Unternehmens sowohl nach innen als auch nach aussen. Durch Transparenz und ein Bekenntnis zum ethischen Handeln gewinnt die Organisation das Vertrauen ihrer Kunden, ihrer Geschäftspartner und ihrer eigenen Mitarbeiter. Auf diese Weise kann gute Compliance dazu beitragen, den Kundenstamm zu erweitern, neue Geschäftspartner zu gewinnen und auch talentierte Mitarbeiter zu werben.

Denn Compliance Management Systeme sind erwiesenermassen dann am erfolgreichsten, wenn sie in eine gut funktionierende Speak-up-Kultur eingebettet sind, d. h. eine Unternehmenskultur, in der das offene Ansprechen von Problemen ohne Angst vor Repressalien oder Benachteiligung möglich ist und die Mitarbeitenden dem Unternehmen vertrauen. Die Grundvoraussetzung hierfür ist, dass CEOs und die Geschäftsführung dabei als gutes Beispiel vorangehen („Tone from the top“) und diese Werte sowohl nach innen als auch nach aussen glaubwürdig vorleben und kommunizieren. Dazu gehört auch, dass die Geschäftsführung Compliance proaktiv immer wieder thematisiert und dadurch eine ermutigende Kommunikation fördert. Das Gegenteil einer Angstkultur, in der Mitarbeitende Fehler und Missstände aus Angst verschweigen. Es gibt genügend Beispiele aus der Wirtschaft, die jüngst gezeigt haben, wohin dies führen kann. Der Schaden ist deutlich grösser als das Investment in eine wertebasierte und transparente Unternehmenskultur.

Auf den ersten Blick mag Compliance Management wie ein Berg mit unzähligen Regeln und Prozessen wirken. Tatsächlich lässt sich eine Compliance-Abteilung und die Grundlage für ethisches Handeln relativ unkompliziert aufbauen. Dafür wird ein Compliance Officer angestellt oder bestimmt, der die Prozesse etabliert, Mitarbeiter schult und Risikoanalysen vornimmt.

Als Fundament für Compliance dient ein Code of Conduct, der einen Verhaltenskodex für alle Mitarbeiter des Unternehmens bis in die oberste Führungsetage vorgibt. Er ist auf das Profil des Unternehmens zugeschnitten, berücksichtigt eventuelle Besonderheiten der Branche und sollte problemlos für Mitarbeiter zugänglich sein. Damit sich gerade für kleinere und mittlere Unternehmen der Aufbau eines Compliance-Programms nicht wie die Besteigung des Mount Everest anfühlt, haben wir einen Leitfaden zusammengestellt.

In den vergangenen Jahren gab es einige spektakuläre Fälle von Whistleblowing. Etwa als ehemalige Mitarbeiter des Startups Theranos enthüllten, dass deren Geschäftsversprechen, mit nur einem Tropfen Blut Hunderte Tests durchführen zu können, eine Lüge war und die dafür angepriesene Technik fehlerhafte Ergebnisse lieferte. Das Unternehmen musste schliessen. Gründerin Elizabeth Holmes wurde kürzlich in einem Gerichtsprozess für schuldig befunden, Investoren, Geschäftspartner und Kunden getäuscht zu haben. Die Urteilsverkündung steht noch aus.

Strafverfolgung, der Eingriff von Regulierungsbehörden und hohe Strafzahlungen sind der Alptraum jedes Topmanagers. Hinweisgebersysteme sind ein hervorragender Schutzwall um dies vorneherein zu vermeiden: Whistleblower erhalten damit die Möglichkeit, ihre Hinweise auf mögliche Verstösse innerhalb des Unternehmens weiterzugeben, anstatt sich damit an Behörden oder die Öffentlichkeit zu wenden. Hinweisgebersysteme ermöglichen daher einer Organisation, Probleme oder Fehlverhalten intern früh zu entdecken und gegenzusteuern, bevor es zum Schlimmsten kommt. Hinweisgebersysteme sind deshalb ein entscheidender Baustein innerhalb des Compliance-Managements und in zahlreichen Unternehmen jeglicher Grösse und Branche seit Längerem bereits Best Practice.

Verhaltenskodex, Richtlinien zur Annahme von Geschenken und Einladungen und zur Vermeidung von Korruption, ein Hinweisgebersystem – wie behalten Compliance Officer die verschiedenen Teilbereiche im Blick? Am besten funktioniert das mit einer Software, die alle relevanten Informationen übersichtlich zusammenlaufen lässt. Dafür eignet sich zum Beispiel das EQS Compliance COCKPIT, mit dessen Hilfe sich die wichtigsten Workflows zentral überblicken und rechtssicher verwalten lassen.

Als Teil des Cockpits fungiert der Policy Manager wie eine Art Online-Bibliothek für Richtlinien, der sicher stellt, dass Mitarbeiter jederzeit und von überall darauf zugreifen können. Mit Hilfe des Approval Manager werden Genehmigungsanfragen zu Geschenken oder Einladungen gesammelt und können von dort effektiv abgearbeitet werden. Und über Integrity Line laufen – auf Wunsch anonyme – Hinweise von Hinweisgebenden ein, die dann effizient auf ihre Relevanz geprüft werden und denen nachgegangen werden kann.

Nicht zuletzt bietet das Cockpit den Compliance Officern die Möglichkeit, auf Basis der dort einlaufenden Informationen neue Risikoanalysen durchzuführen und Reports anzulegen. Sollte es doch einmal zu einem Vorfall kommen, der von externen Behörden geprüft wird, hilft eine solche Dokumentation bei der Untersuchung und weist nach, dass das Unternehmen von vorneherein alle erforderlichen Massnahmen für ein ethisches Compliance Management getroffen hat.