Standorte anzeigenCompliance: Definition, Bedeutung & Tipps für den Einstieg
Was gehört zur Compliance, warum wird das Thema für Unternehmen immer wichtiger und wie richten Unternehmen ein Compliance Management ein? Ein Leitfaden.
Auf nationaler und internationaler Ebene gewinnt Compliance an Bedeutung: Die EU verabschiedet Richtlinien, welche die Regierungen der EU-Länder in Form neuer Gesetze umsetzen müssen und Unternehmen werden zu neuen Berichtspflichten verpflichtet. Umweltsünden, sexuelle Belästigung, Lobbyismus oder Steuertricks rufen auch in der Öffentlichkeit immer häufiger scharfe Reaktionen hervor. Unternehmen können sich schützen, indem sie ein effektives Compliance Management System einführen. Welche Bedeutung Compliance hat, welche Regelungen Unternehmen im Auge behalten müssen und wer für Compliance verantwortlich ist, erklären wir im Leitfaden.
Compliance: Definition & Bedeutung
Compliance bedeutet, dass sich ein Unternehmen an die geltenden Regeln und Gesetze hält – sowohl landesspezifische Gesetze als auch Vorgaben von Regulierungsbehörden und interne Weisungen im Unternehmen. Bei der Einhaltung guter Compliance helfen eine ganze Reihe an Werkzeugen und Prozessen, die ein Unternehmen einführen und nutzen kann. Sie sollen gewährleisten, dass Fehlverhalten oder Compliance-Verstöße schon frühzeitig entdeckt, aufgeklärt oder verhindert werden können, bevor es zu schwerwiegenden Folgen wie Strafverfolgung, Bußgeldern oder einer schweren Rufschädigung für Unternehmen kommt.
Wo liegen die Ursprünge von Compliance?
Der Startschuss für mehr Regelkonformität in Unternehmen begann nach einigen Skandalen in den USA: In den Siebzigerjahren bestachen die Lobbyisten des Rüstungskonzerns Lockheed die Politiker anderer Länder, um sie zum Kauf von Kampfflugzeugen zu bewegen. Die Affäre machte auch in Deutschland Schlagzeilen, wo sie den damaligen Verteidigungsminister, CSU-Politiker Franz-Josef Strauß, und seine Partei in Bedrängnis brachte. Auch in Italien, den Niederlanden und Japan hatte Lockheed mit Milliardenzahlungen den Kauf seiner Kampfflugzeuge voranzubringen versucht – der Skandal führte in den USA zur Verabschiedung des Foreign Corrupt Practices Act, kurz FCPA. In den Jahrzehnten danach gewann das Thema Compliance weiter zunehmend an Bedeutung.
Welche Themen gehören zur Compliance?
Zur Compliance gehört mehr, als das Unternehmen vor Bestechlichkeit oder Korruption zu schützen. Compliance am Arbeitsplatz umfasst auch, weiteres potenziell straffälliges Verhalten zu vermeiden, etwa sexuelle Belästigung am Arbeitsplatz. In den USA hat der Skandal um den Filmproduzenten Harvey Weinstein, dem Vergewaltigung und Belästigung vorgeworfen wird, hohe Wellen geschlagen. Weinstein landete vor Gericht und die #MeToo-Bewegung wirft seitdem ein grelles Licht auf unangemessenes und straffälliges Verhalten gegenüber meistens Frauen. Aktuelle Umfragen zeigen, dass zahlreiche Frauen am Arbeitsplatz bereits sexuelle Belästigung erfahren haben. Wird solches Verhalten im Unternehmen nicht verhindert oder bleibt ungesühnt, ist nicht nur der physische und psychische Schaden für die Betroffenen groß. Machen sie das Erfahrene öffentlich, drohen unter Umständen Ermittlungen sowie ein Imageschaden für das Unternehmen als Arbeitgeber und in der öffentlichen Wahrnehmung gegenüber Geschäftspartnern und Kunden.
Auch die Vermeidung von Bilanzskandalen ist ein wichtiger Bereich der Compliance. Um die Jahrtausendwende galt der amerikanische Konzern Enron bei amerikanischen Medien und Anlegern noch als unternehmerisches Wunderkind – bis das Topmanagement um die Jahrtausendwende der umfangreichen Bilanzfälschungen überführt wurde. Der Skandal riss nicht nur das Unternehmen in die Insolvenz, sondern führte auch zur Einführung des Sarbanes-Oxley Act (SOX) und neuen Vorschriften für die Unternehmensberichterstattung. Auch Deutschland erlebte kürzlich einen ähnlichen Skandal, als der Finanzdienstleister Wirecard der Bilanzfälschungen überführt wurde – Ex-Vorstand Jan Marsalek ist seitdem auf der Flucht, der Vorstandsvorsitzende Markus Braun sitzt seit über eineinhalb Jahren in Untersuchungshaft.
Unternehmen müssen außerdem Themen wie den firmeneigenen Code of Conduct, Umweltschutz, Arbeitsrecht und Preisabsprachen im Auge behalten. Je nach Branche müssen Mitarbeiter auch zu spezifischen Regelungen geschult werden, etwa zur Bestechlichkeit im Gesundheitswesen.
Zusätzliche Analysen, um nachhaltig Risiken zu minimieren, können folgende Bereiche abhängig von Unternehmensgröße und -komplexität betreffen:
- Prüfungen durch Dritte bzw. von Dritten (Third Party Due Diligence)
- Sicherheitsverfahren und -kontrollen
- Erstellung von Reportings
- Erstellung von Dokumentation zur Risikofrüherkennung
- Entwicklung und Umsetzung von Richtlinien und Regeln
- Case Management: System zur Gewährleistung und Fallbearbeitung
Warum ist Compliance für Unternehmen wichtig?
Compliance ist für Unternehmen nicht länger nur eine Option, sie wird gefordert. Bei Verstößen drohen CEOs, Geschäftsführern und Vorständen Strafverfolgung und Bußgelder. Auch der öffentliche Druck ist gewachsen: In Zeiten von #MeToo und einem erhöhten Klima- und Umweltbewusstsein drohen bei Regelverstößen große Ruf- und Imageschäden für Unternehmen – Social Media, die Medien und die Öffentlichkeit können diesen Effekt noch verstärken.
Wer in Compliance investiert, profitiert auf mehreren Ebenen:
- Verstöße können frühzeitig erkannt und verhindert werden
- das Unternehmen verhält sich gesetzeskonform
- Geschäftsführer und Mitarbeiter sind vor Strafzahlungen oder Strafverfolgung geschützt
- das Unternehmen genießt ein hohes Ansehen
- das Unternehmen wird attraktiver für neue Mitarbeiter, Geschäftspartner oder Investoren
Compliance: Rechtliche Grundlagen
Je nach Größe und Geschäftsbereich des Unternehmens sind mehrere Gesetze und Compliance-Richtlinien relevant: Internationale Konzerne müssen sich an die Gesetze und Regulierungen sämtlicher Märkte halten, in denen sie agieren. International wichtig sind der Foreign Corrupt Practices Act (FCPA) und der UK Bribery Act, die Vorschriften zur Vermeidung von Korruption enthalten.
Der Deutsche Corporate Governance Kodex (DCGK) definiert die gesetzlichen Vorgaben für börsennotierte Unternehmen in Deutschland. Für Familienunternehmen gelten abgeschwächte Regelungen, die im Governance Kodex zusammengefasst sind. Sowohl auf europäischer als auf nationaler Ebene wird ab 2023 das Lieferkettengesetz (LkSG) gelten, das den Schutz von Menschenrechten und Umwelt sichern soll.
Relevant sind außerdem Regelungen wie die EU-Geldwäscherichtlinien und das Geldwäschegesetz. Die ISO 37301 gibt die Einführung eines global standardisierten und zertifizierbaren Compliance Management Systems und Whistleblowing-Richtlinien vor. Für den Schutz von Whistleblowern gibt es bereits seit 2019 die EU-Direktive 2019/1937, die sie vor Repressalien bewahren soll. Die Bundesregierung hat zwar versäumt, sie rechtzeitig in das Hinweisgeberschutzgesetz auf nationaler Ebene zu überführen, trotzdem können und sollten Unternehmen dieses Thema nicht mehr ignorieren.
Compliance-Kultur: Wie können Unternehmen Compliance integrieren?
Für erfolgreiches Compliance-Management bildet Integrität, genauer gesagt eine gelebte Compliance-Kultur, die Voraussetzung. Sie sollte ein fester Bestandteil der Firmenkultur sein und bildet das Fundament eines erfolgreichen Compliance-Management-Programms: Ohne Integrität besteht die Gefahr, dass Unternehmen ihre Ethik- und Compliance-Programme nur als eine Reihe von Aktivitäten sehen, die sie abhaken müssen – oder noch schlimmer: als ein Hindernis beim Erreichen ihrer Geschäftsziele.
Was versteht man unter einer Compliance-Kultur?
Viele Unternehmen und Organisationen bieten ihren Mitarbeitern zwar Compliance-Schulungen an, jedoch geht eine gelebte Compliance-Kultur weit darüber hinaus. Um eine Kultur zu fördern, die auf Compliance-Richtlinien und ethischem Verhalten beruht, sollte das Thema Compliance sich in den täglichen Arbeitsabläufen wiederfinden und die Grundlage für das individuelle sowie kollektive Verhalten sein. Um das zu erreichen, gilt es Rollen, wie die eines Compliance-Officers und -Managers zu schaffen und Ressourcen langfristig zu investieren, um die Kontrolle und Anpassung geeigneter Maßnahmen vorzunehmen.
Leitfaden für eine erfolgreiche Compliance-Kultur?
Die Einführung einer erfolgreichen Compliance-Kultur geschieht auf mehreren Ebenen. Die sechs wichtigsten Aspekte hat Thomson Reuters* wie folgt zusammengefasst:
- Ein Bewusstsein für sich ändernde Richtlinien schaffen, um langfristig Risiken minimieren zu können
- Eine effiziente Kommunikation, die konsistent vom C-Level bis hin zu Senior Managern regelmäßig wiederholt wird
- Bildung für alle Mitarbeiter, die regelmäßig und in eher kleinen Häppchen weitergegeben wird, um somit die Aufnahme von Informationen sicherzustellen (sogenanntes Microlearning)
- Effektive Technologie, welche zum einen Inhalte in unterschiedlichen Formaten weitergibt und zum anderen Mitarbeiter befähigt das Thema Compliance digital zu managen, zu dokumentieren und zu reporten
- Es gilt Anreize zu schaffen, um Mitarbeiter zu motivieren und zu zeigen, das positives Verhalten gefördert wird
- Incident Reporting und Case Management sind essenziell, um Fehlverhalten bzw. unethisches Verhalten nachzugehen und zu bearbeiten
*Vgl. Thomson Reuters unter: https://legal.thomsonreuters.com/en/insights/infographics/a-culture-of-compliance?How-should-businesses-spend-compliance-resources-in-2017-09Mar17 (aufgerufen am 08.12.2022).
So richten Sie ein Compliance-Management ein
Wenn sich Ihr Unternehmen erstmals mit Compliance-Management beschäftigt, können Ihnen die folgenden sechs Tipps beim Start behilflich sein:
- Stellen Sie sicher, dass alle hinter den Compliance-Zielen stehen – von Führungskräften bis Fachspezialisten sollten alle relevanten Stakeholder verstehen, warum ein Compliance-Programm wichtig ist und welche Ziele das Programm verfolgt. So setzen Sie ein gutes Beispiel für das gesamte Unternehmen.
- Führen Sie eine Risikobewertung durch – Auf diese Weise fokussieren sich der Vorstand und das obere Management auf die Risiken, die innerhalb Ihrer Organisation am Wichtigsten sind. Darauf aufbauend können Sie entscheiden, welche Maßnahmen nötig sind, um diese Risiken zu vermeiden, zu minimieren oder auszuräumen.
- Prüfen Sie bestehende Regeln – Verschaffen Sie sich einen Überblick über den Status Quo, um Lücken in Ihren internen Vorschriften aufzudecken und zu identifizieren, wo Sie nachbessern oder ergänzen müssen.
- Bieten Sie Trainings an – Nur die Vorschriften zu aktualisieren reicht nicht aus: Mitarbeiter müssen die Vorgaben verstehen und realisieren, wie sie sie auf ihre tägliche Arbeit anwenden. Diese Informationslücke füllen Sie mit Trainings.
- Etablieren Sie einen Compliance-Monitoring- und Prüfprozess – Auf diese Weise machen Sie ihr Programm zukunftstauglich und stellen sicher, dass es aktuell und relevant bleibt.
- Integrieren Sie Verantwortlichkeit – Definieren Sie Prozesse und Konsequenzen für den Fall, das Angestellte gegen die Regeln verstoßen. Es muss klare disziplinarische Richtlinien und Protokolle geben, die aktiv zur Anwendung kommen.
Erfahren Sie mehr zu ISO 37001, dem neuen internationalen Standard für Compliance Management Systeme.
Wer ist im Unternehmen für Compliance zuständig?
Dies variiert je nach Unternehmensgröße und Organisationsstruktur. Generell liegt die Verantwortung für Compliance beim oberen Management. Die Organisation und Durchführung übernehmen im Unternehmen Compliance Officer, je nach Größe auch eine eigene Compliance-Abteilung: Sie stellen sicher, dass sich die Mitarbeiter an Gesetze, Regulierungen und die firmeneigenen Regelwerke und Verhaltenskodexe (den sog. “Code of Conduct”) halten – und zwar in allen Geschäftsbereichen und an allen Standorten. Dafür halten sie sich selbst über die neuesten Vorgaben vom Gesetzgeber und Regulierungsbehörden auf dem aktuellsten Stand und schulen Mitarbeiter regelmäßig in den für die Compliance relevanten Bereichen.
Compliance Officer identifizieren potenzielle Risiken für das Unternehmen. Sie implementieren Vorgaben und Prozesse, die sicherstellen sollen, dass das Unternehmen regelkonform agiert. Sie unterziehen das Compliance Management regelmäßiger Analysen und Überarbeitungen, um es an neue politische oder wirtschaftliche Gegebenheiten anzupassen und eventuell neu auftretende Risiken zu vermeiden.
Was nach einem sehr umfangreichen Job klingt, kann durch ein effektives Compliance Management System (CMS) und Compliance Tools erheblich vereinfacht werden.
Digitale Software-Lösungen helfen bei der Auswertung und Organisation der Compliance-Aufgaben: Ein digitales Hinweisgebersystem ist rund um die Uhr für Mitarbeiter erreichbar und bereitet Meldungen standardisiert auf. Ein Approval Manager bündelt Anträge und Anfragen zu Geschenken und Einladungen, die direkt im Programm freigegeben werden können.
Eine Compliance-Plattform kann sämtliche Tools übersichtlich bündeln, dient außerdem als Bibliothek für verschriftlichte Richtlinien wie den Code of Conduct und bietet Compliance Officern Auswertungs- und Analysefunktionen, die ihnen die Arbeit zusätzlich erleichtern.
Dieser Leitfaden erklärt Ihnen, wie Sie sicherstellen, dass Sie alle relevanten Stakeholder zielgruppengerecht in den Change-Prozess der Einführung eines Hinweisgebersystems integrieren.
