Die zehn Gebote für eine erfolgreiche Compliance- Arbeit

Management

Der Auf- und Ausbau eines Compliance-Management-Systems (CMS) erfordert keine speziellen Kenntnisse. Denn Compliance ist keine Raketenwissenschaft. Es ist vielmehr so, dass alle im Wesentlichen wissen, was zu tun ist, es muss nur gemacht werden. Wenn Sie oder Ihr Unternehmen also für sich erkannt haben, eine Compliance-Organisation einrichten zu wollen, steht der hierfür benötigte Rahmen mehr oder weniger fest. Praktisch gibt es vier Fragen auf dem Weg zu einer erfolgreichen, d.h. wirksamen, Compliance-Organisation.

I – Fragen, die im Vorfeld beantwortet werden müssen

Die Frage, ob Sie überhaupt ein CMS benötigen?
Diese Frage haben Sie entweder schon für sich selbst beantwortet oder sind auf dem Wege, diese Frage zu bejahen. Falls Sie hier noch zweifeln, hilft es sich z.B. mit der Literatur, aktuellen Urteilen oder dem Benchmark im Vergleich zu anderen Unternehmen ähnlicher Größenordnungen auseinanderzusetzen.

Was gehört zu einem CMS?
Die mehr oder weniger verbindlichen Regelwerke gleichen sich vom Inhalt her im Wesentlichen (IDW PS 980, UK-BA, FCPA, etc.). Die „3 Säulen“ (Prävention, Erkennen, Handeln) bzw. die erforderlichen „Elemente“ eines CMS (Compliance-Kultur, d.h. „tone from the top“, Ziele, Organisation, Risiken (d.h. Analyse), Programm, Kommunikation (Training), Überwachung/Verbesserung) gehören immer zu einer angemessenen Compliance-Organisation.

Wie können die abstrakten Elemente eines CMS in die Praxis umgesetzt werden?
Was die Ausprägung bzw. den Reife- oder Detaillierungsgrad dieser Elemente betrifft, bietet sich auch hier ein Benchmark oder die Analyse von Urteilen („Siemens-Neubürger“) an. Sehr hilfreich ist es, entsprechende Studien auszuwerten (zum Beispiel die Studie: Empfehlungen für die Ausgestaltung und Beurteilung von Compliance-Management-Systemen vom Konstanzer Institut für Corporate Governance).

Wie stelle ich sicher, ob mein CMS wirksam ist?
Ein wirksames CMS ist das Ziel aller Bemühungen. Ob Sie dieses Ziel erreicht haben, ist nur schwer festzustellen. Eine externe Prüfung (z.B. nach dem IDW PS 980) oder aber auch eine regelmäßige Compliance-Umfrage (siehe das Gebot Nr. 9.) kann dabei helfen.

Nutzen Sie frei zugängliche Vorlagen und Checklisten, um ein Compliance Self-Assessment durchzuführen. Identifizieren Sie gegebenenfalls vorhandene Lücken und schließen Sie diese. Dabei ist auch zu beherzigen, dass es insbesondere am Anfang nicht immer gleich die teure, beratergetriebene Lösung sein muss. So lässt sich zum Beispiel eine Whistleblowing-Hotline auch schnell und unkompliziert bei einer Anwaltskanzlei einrichten. Für viele Elemente gibt es auch Lösungen mit „Bordmitteln“, also bereits vorhandenen Anwendungen (z.B. Software-Lösungen). Natürlich kosten (neue) IT-Projekte immer Zeit und Nerven. Dies führt gleich zu dem in diesem Zusammenhang ebenso wichtigen Gebot der 80/20-Regel.

II – Beherzigen Sie die 80/20-Regel

Das Paretoprinzip (benannt nach Vilfredo Pareto (1848–1923), auch Pareto-Effekt) besagt, dass 80 Prozent der Ergebnisse in 20 Prozent der Gesamtzeit eines Projekts erreicht werden. Die verbleibenden 20 Prozent der Ergebnisse benötigen 80 Prozent der Gesamtzeit und verursachen die meiste Arbeit. Wenn Sie also mit den Arbeiten zum Aufbau eines CMS beginnen, bedenken Sie, dass Perfektionismus Zeit und knappe Ressourcen kostet und doch nur selten zu – messbar (siehe unten) – besseren Ergebnissen führt. Außerdem können sich in schnell wandelnden Unternehmen/Branchen die Verhältnisse ändern, bevor Sie die vermeintlichen 100 Prozent erreicht haben und diese vielleicht schneller als gedacht zur Makulatur geworden sind. Das 80-20-Prinzip gilt natürlich nicht bei der Frage, ob ein Compliance-Verstoß aufgeklärt wird. Die Regel kann aber helfen, ob bei einer Mehrzahl von gravierenden Verstößen wirklich jeder noch so kleine Verstoß am Rande lückenlos aufgearbeitet bzw. verfolgt werden muss. Nicht selten werden diese Fälle von den Strafverfolgungsbehörden wegen Geringfügigkeit eingestellt. Handeln Sie im Zweifel also wie die Staatsanwaltschaft, die sich auf die großen Fälle konzentriert.

Das Gleiche gilt für die risikoorientierte Analyse und Steuerung der (Compliance-)Risiken. Dies sind in der Regel Korruption, Kartellrecht und ggf. branchenspezifische Risiken (wie zum Beispiel Umwelt- oder Arbeitsschutz). Richten Sie Ihren Fokus daher auf die wesentlichen Risiken,denn Ihr Unternehmen hat trotz aller Compliance-Aktivitäten immer noch das Ziel, Gewinne zu erzielen. Bürokratische Compliance-Organisationen stehen diesem Ziel eher im Weg.

III – Nicht alle Aufgaben übernehmen / Compliance nicht überfrachten

Compliance ist nicht das berühmte „Mädchen für alles“. Sie müssen daher als Compliance-Beauftragter nicht alle Themen selbst besetzen. Die Verantwortung zur Einhaltung von Compliance obliegt in erster Linie den operativen Bereichen. Auch der Missbrauch der Compliance-Organisation als „Resterampe“ für Themen oder Aufgaben, für die sich sonst kein Verantwortlicher finden lässt, ist nicht der richtige Weg.

Der Compliance-Beauftragte sollte vielmehr bei noch im Aufbau befindlichen Compliance-Aktivitäten und für die notwendige fachliche Begleitung vor allem für eine belastbare Compliance-Struktur, ein nachvollziehbares Compliance-Konzept, eine klare Definition von Aufgaben, Befugnissen und Berichtswegen sorgen.

Um die – vertretbaren – Haftungsrisiken des Compliance Managers zu gestalten, ist es empfehlenswert, dessen konkrete Aufgaben und Zuständigkeiten in der Stellenbeschreibung bzw. im Arbeitsvertrag genau festzuschreiben und auf dieser Basis eine klare organisatorische Strukturierung der Verantwortung im Unternehmensbereich Compliance zu schaffen. Gerade weil der Compliance Officer eine Schlüsselstellung für das Compliance System einnimmt, sollte genau definiert sein, wie sein Verantwortungsbereich auch im Hinblick auf die ihm zur Verfügung stehenden Ressourcen und Berichtswege sachgerecht eingegrenzt ist. Diese Stellung und die Berichtswege sollten in einer Compliance-Richtlinie dokumentiert sein (siehe Gebot 10.). Eine wesentliche Handlungspflicht besteht am Ende darin, dem in der Compliance Organisation zuständigen Vorgesetzten bzw. der Geschäftsleitung in erforderlichem Umfang und zeitnah Bericht zu erstatten. Insofern gilt: Melden macht frei (und belastet den Vorgesetzten).

IV – Awareness vor Detail­regelung und -schulung

Bei dem Umfang und dem Detaillierungsgrad von Regeln und Richtlinien ist analog zu dem 80-20-Prinzip auf eine überschaubare Anzahl von Vorschriften zu achten. Dies gilt vor allem  hinsichtlich der Tatsache, dass Richtlinien knapp, klar und gut verständlich geschrieben sein sollten, um von den Mitarbeitern gelesen und verstanden zu werden. Schreiben Sie daher lieber eine ein- bis zweiseitige, klar gestaltete Schnellübersicht („safety card“) als eine 30-seitige Richtlinie. Fragen Sie sich selbst, ob dies noch mitarbeiter- bzw. empfängerorientiert ist. Aufgrund der Vielzahl von einzuhaltenden Regelungen sollte der Schwerpunkt darauf liegen, die Mitarbeiter auf das Thema Compliance aufmerksam zu machen. Die Fragen zu dem richtigen Verhalten in Zweifelsfällen kommen dann häufig von ganz allein. Eine Aufzählung der Regelungen und Vorschriften im Detail ist hingegen wenig zielführend und wird im Zweifel von der Belegschaft weder gelesen noch verstanden.

Nicht alles, was man regulieren kann, muss man außerdem auch regulieren. Stellen Sie sich folgenden Fall in Ihrem Unternehmen vor:

Ein Handwerker eines Auftragsunternehmens hat sich Zugang zu einem angrenzenden Damen-WC verschafft und hat innerhalb der Toilettenkabine heimlich ein Video von einer WC-Besucherin aufgenommen. Er wurde auf frischer Tat ertappt, hat Hausverbot bekommen, das Video wurde gelöscht, der Inhaber des Handwerksbetriebs hat ihn fristlos entlassen und sich gegenüber dem Unternehmen schriftlich entschuldigt.

Wenn jetzt der Ruf nach einer Richtlinie laut wird, um diesen Fällen künftig vorzubeugen, wie würden Sie entscheiden?

Hinweis: Außerdem kann die geplante Verschärfung des § 299 StGB („wer seine Pflichten gegenüber dem Unternehmen verletzt“, d.h. Geschäftsherrenmodell) eventuell sogar bei einem hohen Regelungsgrad künftig leichter zu einer Strafbarkeit führen.

V – Prozessintegration

Erfahrungsgemäß ist die beste Lösung, die Compliance-Aktivitäten in die Geschäftsprozesse zu integrieren. Wenn Sie zum Beispiel Regeln für die Annahme von Geschenken und Einladungen aufstellen, können Sie diese Grundsätze in die hierfür bereitgestellten Formulare und eingerichteten Melde- und Genehmigungsprozesse durch Vorgesetzte oder HR implementieren. Die Compliance-Organisation sollte in der Regel keine – zusätzliche – Kontrollinstanz im Prozess sein, sondern üblicherweise bei Zweifelsfragen um Rat gefragt werden können. Je nach Natur der Anfrage kann dann natürlich auch einmal die Empfehlung ausgesprochen werden, eine bestimmte Handlung nicht vorzunehmen, oder Compliance-Funktion dafür zuständig sein, dies mit der Geschäftsführung abzustimmen.

VI – Austausch pflegen

Das Rad muss nicht neu erfunden werden! Teilen Sie gute Ideen und Ansätze Ihrer täglichen Compliance-Arbeit mit anderen Kollegen und unterstützen Sie so die Verbesserung von Compliance insgesamt. Dazu gehört natürlich ein „Nehmen“ und „Geben“. Hinterfragen Sie andererseits auch die Schulungs- und Kommunikationskonzepte anderer im Hinblick auf ihre Akzeptanz im Unternehmen. Nicht alles, was sich in der Theorie gut anhört funktioniert auch in der Praxis oder in anderen Betrieben.

Streben Sie zudem die Vernetzung untereinander über Verbände, Roundtables, Kongresse oder – häufig kostenfreie – Mandantenveranstaltungen der großen Anwaltskanzleien an. Nutzen Sie den hierdurch gewonnenen Kreis an Mitstreitern als „Resonanzboden“ für Fragen Ihrer täglichen Arbeit.

VII – Unternehmensinterne Ressourcen nutzen

Wie bereits unter 1. angedeutet, sind insbesondere für den Anfang keine komplizierten oder anspruchsvollen Systeme oder externe Berater erforderlich. Für viele Aufgaben einer Compliance-Organisation lassen sich daher – zumindest für den Anfang – auch interne Lösungen finden:

•    Unterstützung durch die interne Kommunikation bei der Mitarbeiteransprache (z.B. beim Formulieren von Richtlinien, E-Mails, Texten etc.)
•    Marketing für die Gestaltung von Drucksachen, besonders im Hinblick auf die korrekte Corporate Identity
•    IT für Projekte (z.B. eLearning) oder (forensische) Untersuchungen (z.B. Datensicherung)
•    HR für Schulungen, interne Mitarbeiter-Umfragen etc.
•    Datenschutzbeauftragter hinsichtlich der DS-Konformität von Untersuchungen und Datenanalysen
•    Revision bei der Unterstützung von Untersuchungen oder (Massendaten-)Analysen mittels der dort vorhandenen Software
•    Rechtsabteilung kann kritische Themen prüfen und bei der Vermittlung oder Einholung von externem Rechtsrat helfen
•    Betriebsrat, der im Übrigen bei fast allen Compliance-Aktivitäten zu beteiligen oder mindestens zu informieren is
t

Pflegen Sie daher einen guten Kontakt und einen regelmäßigen Austausch zu den Fachabteilungen, die Sie bei Ihrer täglichen Arbeit entlasten und unterstützen können.

VIII – Compliance ist Kommu­nikation

Dies ist vielleicht in der Praxis das wichtigste Gebot: Compliance IST Kommunikation – oder: Ohne Kommunikation ist keine wirksame Compliance möglich! Die Aktivitäten der Compliance-Organisation können nur wirksam werden, wenn sie an die Mitarbeiter kommuniziert werden. Unter Kommunikation sind nicht nur Schulungen im engeren Sinne zu verstehen, sondern auch die Vermittlung von Richtlinien und Grundsätzen. Das Ziel muss nicht nur die konkrete Wissensvermittlung sein, sondern generell alles, was den Bekanntheitsgrad der Compliance-Organisation erhöht (siehe das Gebot Nr. 4).

Dabei ist darauf zu achten, dass vorzugsweise über das gesamte Jahr ein – leichtes – „Grundrauschen“ erzeugt wird. Nicht besonders gelungen wäre es, wenn stattdessen die Aktivitäten gebündelt in einem einzigen großen „Feuerwerk“ verpuffen. Strecken Sie also die Kommunikationsmaßnahmen über einen längeren Zeitraum und vermeiden Sie so eine Überfrachtung der Mitarbeiter mit Compliance-Themen. Berücksichtigen Sie dabei auch größere Urlaubszeiten oder Auftragsspitzen, in welchen die Compliance-Kommunikation möglicherweise zur Unzeit erfolgt. Folgende Themen bieten sich für eine Kommunikation an die Mitarbeiter geradezu an:

•    Bekanntgabe der (neuen) Compliance-Organisation und des Namens des Compliance-Beauftragten an die Mitarbeiter
•    Schriftliche Information über neue Richtlinien, Hilfsmittel etc.
•    Schulung der neuen Mitarbeiterbeispielsweise im Rahmen einer Einführungsveranstaltung
•    (Unternehmensweite) Schulung für Compliance bzw. Spezialthemen
•    Launch oder Ausbau der Intranetpräsenz des Compliance-Bereichs
•    Die Durchführung von Compliance-Umfragen (siehe das Gebot Nr. 9)
•    Persönliche Compliance-Besprechungen mit Mitarbeitern und Führungskräften
•    Regelmäßige Compliance-Nachrichten, Newsletter und Ähnliches
•    Compliance-Day im Unternehmen
•    Gegebenenfalls Information über personelle Änderungen

Nutzen Sie dabei die gesamte Klaviatur der Kommunikationskanäle. Die persönliche Ansprache sollte dabei im Vordergrund stehen, aber die Kommunikation via Intranet (eLearning), die schriftliche Ansprache (E-Mail oder Newsletter) und Tone from the Top (Kommunikation des Themas durch die Geschäftsführung) sind mindestens genauso wichtig.

IX – Der Effekt zählt (und messen Sie ihn auch)

Bei allen Maßnahmen der Compliance-Organisation und der Kommunikation von Compliance an die Mitarbeiter gilt: Der Effekt zählt! Erwägen Sie daher auch einmal unorthodoxe Maßnahmen, um für Compliance und das Thema zu werben. Ob Sie zum Beispiel Kaffeetassen oder Mousepads mit einem flotten Merkspruch versehen – alles ist erlaubt.

Wenn Sie an einen Zauberkünstler denken, dann interessiert Sie bei einem Trick auch nicht, wie teuer die Apparatur war oder wie lange es gedauert hat, bis der Zauberkünstler den Trick einstudiert hat. Solange das Publikum staunt und sich an das Gesehene erinnert, ist es ein guter Trick. Denken Sie dabei unbedingt empfängerorientiert. Nicht jedem Mitarbeiter ist es gegeben, langatmigen juristischen Formulierungen zu folgen.

Da Sie als Compliance-Beauftragter allerdings selten direkten Applaus erhalten, ist es erforderlich, zu versuchen, die Akzeptanz Ihrer Kommunikations- und sonstigen Aktivitäten zu messen. Hierzu gehört die Durchführung von sog. „Compliance Perception Surveys“ (siehe Compliance MANAGER, Ausgabe 1, ab S. 36). Ein Umstand, der in der Praxis meiner Ansicht nach noch viel zu viel vernachlässigt wird. Legen Sie daher Wert auf das Ergebnis Ihrer Bemühungen und führen Sie eine kurze, aber regelmäßige Umfrage unter den Mitarbeitern durch. Sie erhalten dadurch ein durchaus brauchbares Bild über die Aufnahme des Themas Compliance in der Belegschaft und können die Ergebnisse für die Feinjustierung und Verbesserung der Compliance-Organisation nutzen. Außerdem dienen die Ergebnisse natürlich auch Ihrer Kommunikation an die Geschäftsführung, um zum Beispiel ein höheres Budget, eine bessere personelle Ausstattung (oder auch eine Gehaltserhöhung) zu rechtfertigen.

X – Transparenz und Dokumentation

Es ist eine Binsenweisheit, dass Compliance-Verstöße im Verborgenen passieren oder zumindest im Verborgenen bleiben sollen. Daraus folgt umgekehrt, dass viele Vorgänge ihre Brisanz verlieren, wenn sie transparent gemacht und dokumentiert werden.

Bei dem häufig nachgefragten Thema „Geschenke & Einladungen“ lassen sich Zweifelsfälle in den meisten Fällen zugunsten des Mitarbeiters lösen, wenn der Wert und die Umstände des Geschenks oder der Einladung dokumentiert werden. So lässt sich dann auch problemlos prüfen, ob es in der Geschäftsbeziehung Gründe gibt (beispielsweise anstehende Vertragsverhandlungen), die einer Annahme des Geschenks im Einzelfall entgegenstehen. Haben Sie dabei auch den Mut, bei den Ihnen angetragenen Fragen eine Entscheidung zu treffen, und begründen Sie diese auch für die Mitarbeiter nachvollziehbar. Es zeigt sich, dass auch ablehnende Entscheidungen oder Empfehlungen von den Mitarbeitern verstanden und sogar dankbar angenommen werden, weil ihnen dadurch der Interessenskonflikt genommen wird.

Dokumentieren Sie daher alle an die Compliance-Organisation herangetragenen Anfragen, Vorgänge, Hinweise auf Compliance-widriges Verhalten und die im Rahmen der Untersuchungen festgestellten Ergebnisse. Diese Informationen stellen eine Grundlage für Ihr Reporting an die Geschäftsführung und gegebenenfalls den Aufsichtsrat, die Wirtschaftsprüfer und so weiter dar.

Aus der statistischen Entwicklung der Anfragen und Fälle können Sie außerdem ablesen, ob Ihre Compliance-Aktivitäten auf fruchtbaren Boden fallen. So sollte sich über einen längeren Zeitraum die Anzahl der Anfragen tendenziell erhöhen und durchgeführte als guter Ausgangspunkt für die Compliance-Richtlinie dienen.

Nehmen Sie in die Richtlinie aber keine Absichtserklärungen oder den Wunschzettel eines idealen CMS auf. Die Interne Revision, der Wirtschaftsprüfer und gegebenenfalls auch Strafverfolgungsbehörden werden Sie an Ihren eigenen, in der Richtlinie dokumentierten Ansprüchen messen. Defizite bei der Umsetzung gehen dann zu Ihren Lasten.

Insgesamt gilt, dass eine Compliance-Organisation sich ständig weiterentwickelt und weiterentwickeln muss. Solange dies im Einklang mit der Unternehmensentwicklung und mit Augenmaß erfolgt, steigt erfahrungsgemäß die Akzeptanz von Compliance über die Jahre an.

Weitere Artikel