„Compliance Essentials“ – Was aus der Perspektive von Justiz, Verbänden und Unternehmen wirklich zählt

Das Thema „Compliance“ ist mittlerweile in vielen Unternehmen angekommen und dabei längst mehr als nur ein Begriff, mit dem sich die Rechtsabteilungen und Anwälte der Unternehmen beschäftigen. Die Skandale und Verstrickungen namhafter Unternehmen in Fälle unmoralischer oder gar wirtschaftskrimineller Handlungen haben die Führungsebenen deutscher und internationaler Unternehmen aufgeschreckt und dem Ruf der Wirtschaft insgesamt einen erheblichen Schaden zugefügt. Die Vermeidung von Fällen der „Non-Compliance“ wird zunehmend nicht mehr nur unter dem Gesichtspunkt der Vermeidung rechtlicher Konsequenzen, sondern auch zum Schutz des „guten Rufs der Firma“ interessant.

Die derzeit betriebenen Compliance-Systeme in Unternehmen sind angesichts der Skandale der jüngeren Vergangenheit (in der Automobilindustrie etwa illegale Preisabsprachen sowie Abgasmanipulationen, in der Finanzindustrie unter anderem Zinsmanipulationen und Geldwäsche) lückenhaft und versagen oftmals. Auch umfangreiche Compliance-Maßnahmen und -Systeme in Konzernen und Großunternehmen schützen nicht vor genannten Fällen unmoralischer oder wirtschaftskrimineller Handlungen. Die Quantität an Maßnahmen ist somit für eine wirksame Prävention nicht entscheidend.

Natürlich wird es niemals das perfekte und lückenlose Compliance-Management-System (CMS) geben können, das jede dolose Handlung im Unternehmen verhindern kann. Vielmehr stellt sich die Frage, worauf es bei Compliance wirklich ankommt? In welcher Art und Weise müssen CMS ausgestaltet sein, um die Kriterien der Angemessenheit, Wirksamkeit und Glaubwürdigkeit zu erfüllen? Welches sind die „Compliance Essentials“, die ein Optimum an Sicherheit bei gleichzeitiger Zumutbarkeit der Compliance-Maßnahmen schaffen? Eine Compliance-Studie des Center for Business Compliance & Integrity (CBCI) zeigt, woran es in der Praxis oft hapert und dass man gerade im Mittelstand noch meilenweit von einer „Best Practice“ entfernt ist. So ist in diesem Bereich etwa die Kenntnis der Anforderungen an ein CMS noch zum großen Teil wenig vorhanden und gleichzeitig ist die Angst vor dem Entstehen einer „Ethik-Bürokratie“ enorm ausgeprägt (vgl Compliance im Mittelstand – Studie des Center for Business Compliance & Integrity).

Nicht zuletzt deshalb wurden unter Mitwirkung vieler Experten aus Unternehmen, Wirtschaftsprüfungsgesellschaften und Rechtsanwaltskanzleien die KICG-Leitlinien – Empfehlungen für die Ausgestaltung und Beurteilung von CMS entwickelt, da die Anforderungen an ein angemessenes, effektives und glaubwürdiges CMS von der Größe des Unternehmens, der Risikoexposition und dem Internationalisierungsgrad abhängen und gerade kein „One Size Fits All“-Ansatz sinnvoll erscheint. Dabei geben die Leitlinien stets nur Hinweise und Vorschläge, wie Compliance-Instrumente für unterschiedliche „Unternehmenstypen“ (es gibt vier KICG-Leitlinien, abgestuft nach der Unternehmensgröße sowie ein Guidance-Dokument und einen Annex für spezifische Anforderungen und Risikotreiber) beschaffen sein können, um die mit ihnen angestrebten Ziele und Zwecke zu erfüllen. Die Leitlinien sind dabei von der Idee „funktionaler Äquivalente“ beseelt. Am Ende muss ein CMS angemessen und wirksam sein – wie ein Unternehmen das genau realisiert, dabei sollte es eine größtmögliche Flexibilität geben.

Die Ziele der vorliegenden Studie sind, einerseits Orientierungsdefizite und Unsicherheiten bei der Entwicklung und Implementierung von Compliance-Systemen zu reduzieren und andererseits die KICG-Leitlinien von unabhängigen Experten verifizieren zu lassen und damit weiterzuentwickeln. Da es für Unternehmen von erheblicher Bedeutung ist, im Bereich Compliance einen möglichst breiten Konsens aller beteiligen Stakeholder hinsichtlich der zu erfüllenden Anforderungen zu finden, wurden Spezialisten aus unterschiedlichen Stakeholdergruppen (Richter, Staatsanwälte, Anwälte, Berater, Compliance Officer, Wissenschaft, NGOs) befragt.

Die nun vorliegenden Compliance Essentials stellen eine Zusammenfassung der wesentlichen Faktoren für die Bestimmung der Angemessenheit, Effektivität und Glaubwürdigkeit von Compliance-Systemen dar. Neben den insgesamt sechs identifizierten Compliance Essentials bietet die Studie einen Überblick über die aktuellen Entwicklungen im Compliance Management und die damit verbundenen unterschiedlichen Sichtweisen der befragten Stakeholder, wie etwa zur Diskussion um ein Verbandsstrafrecht.

Compliance Essential 1 – Tone at the Top

Der Tone at the Top ist der entscheidende Faktor eines Compliance-Systems, wenn es um dessen Wirksamkeit und Glaubwürdigkeit geht. Alle befragten Experten bestätigen die Bedeutung eines klaren Commitments der Führungsebene zu regeltreuem Verhalten und Compliance im Unternehmen. Die Studie zeigt, dass der Tone at the Top insbesondere im Vorbildcharakter der Geschäftsleitung gesehen wird. Die Unternehmensleitung kann durch ihr Verhalten und ihre Kommunikation gleichzeitig Einfluss auf die Unternehmenskultur nehmen und so gilt entsprechend der befragten Experten eine gelebte Verpflichtung zu Compliance und Integrität als essenziell. Vor allem kommt es aber darauf an, dass die Geschäftsleitung das Thema Compliance auch im Geschäftsalltag (vor)lebt, sich integer, dh entsprechend der Unternehmensregeln konform, verhält und Compliance konsequent in den verschiedenen Geschäftsbereichen umsetzt. Zusätzlich wird eine regelmäßige Kommunikation zu wesentlichen Verhaltenserwartungen als notwendig erachtet (vgl Abb. 1). Die befragten Richter und Staatsanwälte achten gleichzeitig darauf, ob die Zielsetzung des Unternehmens mit den internen Compliance-Vorschriften vereinbar ist. Nahezu alle Experten sind sich einig, dass ein starker Zusammenhang zwischen der Führungskultur und der Wirksamkeit eines CMS besteht und die Glaubwürdigkeit eines CMS maßgeblich von der Führungskultur im Unternehmen abhängt. Ebenso spielt die sorgsame Auswahl des Compliance-Verantwortlichen (zB Chief Compliance Officer) eine entscheidende Rolle. Neben juristischen Kenntnissen werden Kommunikationsstärke, didaktische Fähigkeiten und Widerstandsfähigkeit als notwendige Eigenschaften genannt.

Compliance Essential 2 – Risikoanalyse

Die Risikoanalyse ist nach Ansicht der Befragten das A und O eines CMS. Die Qualität der Risikoidentifikation und -bewertung ist entscheidend für die Angemessenheit und Effektivität eines CMS und trägt nicht zuletzt maßgeblich zu dessen Glaubwürdigkeit nach außen bei, wie insbesondere Richter und Staatsanwälte betonen. Die Risikoanalyse ist ein Grundelement für eine funktionsfähige Compliance und setzt voraus, dass die Risikoidentifikation und -bewertung regelmäßig und zentral stattfindet, so die befragten Experten. Für große Unternehmen wird darüber hinaus eine ergänzende dezentrale Risikoidentifikation gefordert. Auch bei der Risikoanalyse ist die Führungsebene von großer Bedeutung, vor allem wenn es darum geht, Risikopotenziale realistisch und frühzeitig zu erkennen (vgl Abb. 2). Dabei ist es wichtig, für das Unternehmen zutreffende spezifische Risiken zu erkennen und weiterhin kulturelle und organisatorische Besonderheiten zu berücksichtigen.

Compliance Essential 3 – Schulungen und Compliance-Kommunikation

Schulungen und Compliance-Kommunikation sensibilisieren Mitarbeiter in Bezug auf die gegebenen Risiken und schaffen in der Belegschaft Akzeptanz für Regeln und Richtlinien. Nur wenn die Mitarbeiter den Sinn der Vorschriften und Regelungen kennen, kann die daraus resultierende Akzeptanz für ein hohes Maß an regeltreuem Verhalten sorgen. Für die befragten Experten aus Unternehmen ist diese Maßnahme essenziell für die Effektivität und zugleich ein Indikator für die Glaubwürdigkeit eines CMS. So wird viel Wert auf regelmäßige und zielgruppenspezifische Schulungen der Mitarbeiter gelegt. Die Qualitätsmerkmale einer „guten“ Schulung liegen laut den Experten in Regelmäßigkeit, Zielgruppenorientierung (Anpassung der Beispiele entsprechend Branche oder Abteilung), sowie in der Praxis- und Alltagsnähe der verwendeten Beispiele. Die befragten Experten erwarten zudem regelmäßige informelle Schulungen der Mitarbeiter, der Geschäftsleitung und des Aufsichtsrates, unabhängig von der Unternehmensgröße (vgl Abb. 3). Regelmäßige Präsenzschulungen für Mitarbeiter erwarten circa 60 Prozent der Befragten, wohingegen 65 Prozent die entsprechenden Schulungen für die Geschäftsleitung voraussetzen – jeweils unabhängig von der Unternehmensgröße. Richter und Staatsanwälte sehen in Art und Umfang der Schulungen zudem einen Hinweis darauf, wie Compliance innerhalb eines Unternehmens kommuniziert wird. Mit welcher Ernsthaftigkeit Compliance im Unternehmen vermittelt wird, kann aus der Art und dem Umfang der Schulungen abgeleitet werden. Die notwendige Sensibilität und Akzeptanz für Compliance lässt sich nicht unbedingt durch eine hohe Schulungsfrequenz erreichen, sondern hängt vielmehr auch von der Qualität und einem funktions- und aufgabenspezifischen Konzept der Schulungen ab.

Compliance Essential 4 – Umgang mit Compliance-Verstößen

Der Umgang mit Compliance-Verstößen gehört für die befragten Experten unmittelbar zu den Bewertungskriterien von Compliance-Systemen. Ein konsequenter Umgang mit Fehlverhalten und Regelbrüchen ist demnach ein wesentlicher Faktor der Glaubwürdigkeit eines CMS. Nicht nur anhand der Präventionsarbeit und der dementsprechenden Ausgestaltung des CMS, sondern auch an den durchgeführten Sanktionsmaßnahmen wird deutlich, welchen Stellenwert die Vermeidung von betrügerischem Verhalten im Unternehmen und bei der Geschäftsleitung hat. Die Aufdeckung und Verfolgung von Fehlverhalten muss ohne Ausnahme, dh ohne Ansehen der Person und ihrer hierarchischen Position erfolgen. Des Weiteren sollten auch Verdachtsfälle im Unternehmen sorgfältig untersucht werden sowie entsprechende Prozesse zur vollständigen Aufklärung und allgemeingültigen und konsequenten Sanktionierung bereits im Vorfeld festgelegt sein.

Compliance Essential 5 – Hinweisgebersysteme

Die Einrichtung von Hinweisgebersystemen leistet einen weiteren wichtigen Beitrag zur Ernsthaftigkeit und Glaubwürdigkeit eines CMS, so die befragten Experten. Schließlich signalisieren gut durchdachte Hinweisgebersysteme ein unternehmensseitiges Interesse an der Aufdeckung und Aufklärung von Missständen. Nicht zuletzt deshalb werden Hinweisgebersysteme wiederholt als Mindestanforderungen einer Compliance genannt und bilden demnach unabhängig von Größe, Art und Branche eines Unternehmens ein unerlässliches Instrument für ein angemessenes CMS. Whistleblowing-Kanäle schaffen Schutz und Vertrauen für potenzielle Hinweisgeber und damit Anreiz, Fehlverhalten zu benennen. Wichtig ist es hierbei, die Anonymität zu sichern, gleichzeitig aber auch eine neutrale Prüfung der Hinweise auf Stichhaltigkeit sicherzustellen. Während laut den befragten Experten die Notwendigkeit eines Hinweisgebersystems außer Frage steht, besteht Uneinigkeit darüber, ob ein externes oder internes System zu bevorzugen ist. Insgesamt wird ein für Mitarbeiter und Externe zugängliches und anonymes System als angemessen eingestuft, das dem Unternehmen erlaubt, interne Untersuchungen zu einem Sachverhalt in die Wege zu leiten, ohne die hinweisgebende Person zu gefährden. Wie die Studie ebenfalls zeigt, erlebt Whistleblowing aktuell eine starke Konjunktur und die Einrichtung entsprechender Systeme wird zunehmend auch von kleineren Unternehmen erwartet.

Compliance Essential 6 – Mindestanforderungen an die Compliance

Zuletzt sind sich die befragten Experten einig darüber, dass die Anforderungen an die Compliance immer aus Unternehmensspezifika resultieren und es dementsprechend nicht möglich ist, allgemeingültige Anforderungen an ein angemessenes CMS zu definieren. Insbesondere für die befragten Richter und Staatsanwälte ist eine individuelle Betrachtung zur Einschätzung der Angemessenheit eines CMS unumgänglich. Ein effektives CMS muss somit zahlreiche Besonderheiten wie Unternehmensgröße, Art des Geschäfts, Rechtsform, Internationalisierungsgrad und branchenspezifische Regeln und Vorschriften beachten. Die Definition allgemeingültiger Anforderungen ist nur in der Form von Mindestanforderungen möglich, wie beispielsweise in einer angemessenen Ressourcenausstattung der Compliance. Ein Blick von außen auf das CMS durch Berater wird insgesamt positiv bewertet. Durch externe Beratung und die objektive Prüfung kann demnach die Funktionalität der Compliance erhöht werden und auch eine Bereitschaft zur Optimierung signalisieren, die wiederum die Glaubwürdigkeit steigert. Der regelmäßige Einbezug einer externen Beratung schützt außerdem vor Betriebsblindheit, die oftmals dazu führt, dass die eigentlichen Risiken verkannt und Schwerpunkte in der Gestaltung des Compliance-Systems falsch gesetzt werden. Auch Zertifizierungen können Vorteile aufweisen, stellen für Richter und Staatsanwälte jedoch keine Garantie für die Glaubwürdigkeit der Maßnahmen und eines CMS insgesamt dar.

Aktuelle Entwicklungen in der Compliance

Im Zuge der Experteninterviews konnten über die Compliance Essentials hinausgehende Fragestellungen identifiziert werden, die aufgrund ihrer Aktualität und Relevanz in der Compliance-Community diskutiert werden. Insbesondere fünf aktuelle Themen und Trends stehen aktuell im Fokus der Compliance-Szene:

Festgestellt werden konnte, dass Compliance nicht mehr als rein juristisches Thema wahrgenommen wird, sondern zunehmend auch Werte und die Unternehmenskultur einschließt. Der Trend hin zu wertebasierten Compliance-Ansätzen wird von den Experten verschiedener Stakeholdergruppen überwiegend begrüßt und zudem als wichtig eingestuft, um eine wirksame Compliance betreiben zu können. Die Berücksichtigung kultureller und wertebasierter Komponenten ist dabei keineswegs als Ersatz formaler Regeln und Vorschriften zu verstehen, sondern als unterstützende Elemente für integres Mitarbeiterverhalten im Sinne der Compliance. Eine wirksame und glaubwürdige Compliance ist nur realisierbar, wenn Regeln und Werte in der Unternehmenskultur fest verankert werden.

Damit einhergeht die Betonung der unternehmerischen Integrität durch die befragten Experten. Insbesondere für Richter und Staatsanwälte ist es entscheidend, wie Compliance tatsächlich im Unternehmen gelebt wird. Integrität und die Umsetzung von Compliance-Regeln im Geschäftsalltag ist für Angehörige dieser Stakeholdergruppe entscheidend bei der Bewertung von Compliance-Systemen. Integrität bedeutet in diesem Kontext, dass sich Unternehmen zu Werten und Regeln als handlungsleitende Prinzipien bekennen, die der eigenen Unternehmensidentität entsprechen. Nur wenn das Unternehmen konsistent mit diesen Werten und Prinzipien handelt, ist moralisches und integres Handeln gegeben. Auch Unternehmensvertreter, Anwälte und NGOs sehen den Schlüssel einer wirksamen Compliance im integren Vorbildverhalten der Führungskräfte und setzen verstärkt auf die Umsetzung von Compliance durch eine ehrliche und aufrichtige Haltung und Motivation der Verantwortlichen eines Unternehmens.

Des Weiteren gilt es, das Wesentliche im Blick zu behalten. Unternehmen sollten sich nicht in Kleinigkeiten verstricken, sondern sich auf die wesentlichen Sachverhalte und Risiken konzentrieren. Compliance ist nicht gleichbedeutend mit der Regulierung und Dokumentation sämtlicher denkbarer Vorkommnisse. Vielmehr sollten der Belegschaft Leitplanken als Orientierung für den Geschäftsalltag angeboten werden. Überformalisierte CMS sind nicht zweckdienlich und werden insbesondere von Richtern und Staatsanwälten kritisch gesehen.

Als vierter Trend wurde der Mittelstand im Fokus der Compliance thematisiert. Die Einrichtung von CMS wird nicht mehr nur von großen Unternehmen und Konzernen, sondern auch von mittelständischen Unternehmen gefordert. Ermittlungen umschließen längst auch kleinere Unternehmen, wie Richter und Staatsanwälte betonen. Auch im Falle dieser kleineren und mittelständischen Unternehmen wird Wert darauf gelegt, dass im Falle eines Verstoßes ein angemessenes und funktionsfähiges Compliance-System vorhanden ist.

Zuletzt beschäftigt die befragten Experten das nach wie vor umstrittene Verbandsstrafrecht. Das Meinungsbild ist hinsichtlich der Notwendigkeit und potenziellen Wirksamkeit eines Unternehmensstrafrechts in Deutschland geteilt. So spricht sich ein Teil der Experten für ein neues Verbandsstrafrecht aus, da dieses einen weiteren Treiber zur Umsetzung von Compliance darstellen könnte. Andere Experten halten die bestehenden Sanktionsvorschriften für ausreichend und sehen lediglich Probleme im Vollzug, dh in der konsequenten Umsetzung der bestehenden Vorschriften.

Die vollständigen Ergebnisse der Studie können in der Publikation „Compliance Essentials – Was aus der Perspektive von Justiz, Verbänden und Unternehmen wirklich zählt“ nachgelesen werden. Eine elektronische Kopie der Studie kann über die Homepage des KICG angefordert werden: www.kicg.htwg-konstanz.de.

Autoren

Prof. Dr. rer. pol. Stephan Grüninger

Prof. Dr. rer. pol. Stephan Grüninger ist Professor für Allgemeine BWL mit Schwerpunkt Managerial Economics an der Hochschule Konstanz. Er ist wissenschaftlicher Direktor des Konstanz Institut für ...