Theorie muss sein
Ganz allgemein bedeutet Compliance Regeltreue. Compliance beschreibt die Regelkonformität von Unternehmen, die sich verpflichten, Gesetze, Richtlinien und freiwillige Kodizes, z.B. Code of Conducts, einzuhalten. Allein das Aufstellen und Etablieren von Regeln führt in der Praxis aber nicht zwangsweise dazu, dass diese auch tatsächlich eingehalten und befolgt werden. Vielmehr ist es erforderlich, dass im Unternehmen eine entsprechende Wertekultur etabliert und (vor)gelebt wird. Diese Kultur setzt sich zusammen aus unterschiedlichen Elementen, bestehend aus Organisation, Zielen, Kommunikation, Überwachung, Verbesserung, Risikoanalyse und Programm.
Mitarbeiterfreundlich und empfängerorientiert
Bedenken Sie stets, wer beim Thema Compliance Ihr Adressatenkreis ist und gestalten Sie Compliance-Themen dementsprechend mitarbeiterfreundlich und empfängerorientiert. Zeit ist heutzutage ein kostbares Gut, von dem jeder Mitarbeiter (zu) wenig besitzt. Anstatt also eine 30-seitige Richtlinie in Prosa zu verfassen, kann es sich anbieten, eine ein- bis zweiseitige, klar gestaltete Kurzübersicht zu schreiben. Damit erhöhen Sie zum einen die Wahrscheinlichkeit, dass das Dokument überhaupt beachtet wird, und zum anderen steigern Sie die Akzeptanz eines mäßig beliebten Themas. Auch bei der Frage „wie“ das Thema übermittelt wird, lohnt es sich, sich Gedanken zu machen. Möglicherweise können komplexe Inhalte vereinfacht oder in kleinen „Häppchen“ wiedergegeben bzw. erläutert werden.
Dann ist noch zu bedenken, dass nicht jeder Mitarbeiter dieselben oder gar alle Informationen benötigt. Für die Annahme kann es enorm hilfreich sein, wenn die Informationen für die unterschiedlichen Adressaten „gefiltert“ werden, d.h. während der Mitarbeiter im Einkauf z.B. Informationen zum Verhalten bei Einladungen, Geschenken oder zum Umgang mit Wettbewerbern erhält, wird der Mitarbeiter aus dem Bereich HR eher zum Thema Datenschutz informiert.
Teamwork
Sollten Sie in einem Unternehmen arbeiten, in dem es einen Compliance Beauftragten oder Compliance Officer gibt, dann ist seine Rolle nicht so zu verstehen, dass nunmehr alle Compliance- Themen von diesem Mitarbeiter selbst bearbeitet werden sollen oder gar müssen. Compliance ist keine Sache, um die sich wenige „ausgewählte“ Mitarbeiter innerhalb eines Unternehmens kümmern. Vielmehr ist Compliance eine Angelegenheit, die jeden Einzelnen betrifft. Die Verantwortung zur Einhaltung obliegt vielmehr den operativen Bereichen. Der Compliance Beauftragte sollte „nur“ für eine notwendige fachliche Begleitung sorgen.
GMV ist Ihre Compliance-Garantie
GMV steht für den gesunden Menschenverstand. Bei allem Wirbel rund um das Thema Compliance gilt es, sich dem Projekt mit gesundem Menschenverstand anzunähern. Nicht alles, was man regulieren kann, muss auch reguliert werden. Hier sollte jedes Unternehmen auf seine individuellen Besonderheiten Rücksicht nehmen. Auch kann jede Maßnahme unter dem Aspekt der sogenannten Verhältnismäßigkeit näher betrachtet werden. Was für ein Unternehmen sinnvoll ist, kann für ein anderes wenig(er) Nutzen bringen. Als Orientierungshilfe kann herangezogen werden, dass je größer die Wahrscheinlichkeit eines drohenden (schweren) Schadens, desto dringender besteht hier Handlungsbedarf. Oder anders ausgedrückt: Nicht mit Kanonen auf Spatzen schießen.
Sharing is caring
„Sharing is caring“ oder anders: Das Rad muss nicht neu erfunden werden. Teilen Sie Ihr Wissen bzw. das Wissen Ihrer Mitarbeiter. Sorgen Sie dafür, dass (gute) Ideen und Ansätze Ihrer Compliance-Arbeit geteilt/ verbreitet/ veröffentlicht werden. Hiervon können alle profitieren. Sei es, weil Fragestellungen wiederholt vorkommen oder weil komplexe Themen zur Diskussion gestellt werden. Hierin liegt nicht nur eine Zeitersparnis einer möglicherweise doppelt- und dreifach investierten Arbeitszeit, sondern auch eine Steigerung der Effizienz der eingesetzten Ressourcen.
Kommunikation
Compliance ist Kommunikation. Oder anders: Ohne Kommunikation ist keine wirksame Compliance möglich. Kommunikation meint hierbei nicht nur den Austausch untereinander, sondern auch dass festgelegte interne Regeln und Richtlinien kommuniziert werden. Die Aktivitäten einer Compliance Arbeit können nur wirksam werden, wenn sie an die Mitarbeiter kommuniziert werden. Dabei ist alles erlaubt, was den Bekanntheitsgrad von Compliance erhöht. Ferner ist es auf Dauer effektiver, wenn Regeln oder Pflichten nachvollzogen werden können. Im Idealfall ist eine Compliance-Kampagne so zu gestalten, dass Mitarbeiter sich mit den eingeführten Verhaltensrichtlinien identifizieren.
Auch die Strategie der Kommunikation ist mit Bedacht zu wählen. Empfehlenswert ist, ein „Grundrauschen“ zu verursachen und aufrecht zu erhalten, anstatt ein Feuerwerk zu veranstalten. Hierbei kann und sollte man sich aller Kommunikationskanäle bedienen, die einem zur Verfügung stehen. Ob Intranet, Informationsbroschüren, internes Wiki, schriftliche Ansprachen per E-Mail, Newsletter oder Ansprachen von der Geschäftsleitung („Tone from the Top“) - erläuternde Kommunikation kann Ängste relativieren und Akzeptanz fördern. Der Kreativität des Formats sind hierbei keine Grenzen gesetzt. Der Vorteil digitaler Formate besteht darin, dass diese einen abwechslungsreichen Mix ermöglichen.
Transparenz & Dokumentation
Grundsätzlich sollen Compliance-Verstöße im Verborgenen bleiben, umgekehrt folgt daraus aber, dass Vorgänge ihre Brisanz verlieren, wenn sie transparent gemacht und dokumentiert werden. Dokumentieren Sie herangetragene Anfragen, Vorgänge und Hinweise auf compliance-relevantes Verhalten und die im Rahmen der Untersuchung festgestellten Ergebnisse. Die gewonnenen Informationen können im Nachgang eine solide Grundlage für Analysen und Reportings an die Geschäftsführung darstellen bzw. als Informationsplattform für andere Mitarbeiter dienen. Darüber hinaus ermöglicht eine saubere Dokumentation das Führen von Statistiken zu Fragen und sonstigen Anliegen.
Eine ordentliche und sorgfältige Dokumentation kann insbesondere bei einem Haftungsfall von enormer Wichtigkeit sein. Je besser Vorgänge und Abläufe dokumentiert sind, desto eher gelingt es, sich zu exkulpieren, d.h. sich vom Vorwurf zu entlasten. Dies wiederum hat Auswirkungen auf den Haftungsumfang. Es gilt der Grundsatz, dass die Beweislast der Partei obliegt, die Ansprüche - welcher Art auch immer – geltend macht. Hiervon gibt es aber Ausnahmen mit der Folge der sogenannten Beweislastumkehr. Das bedeutet, dass nunmehr die Gegenpartei die Beweislast für etwas trägt und nicht mehr die anspruchserhebende Partei. Gelingt die Beweiserbringung der Gegenpartei nicht, haftet sie. In so einem Fall kann dann eine sorgfältige Dokumentation der „befreiende“ Beweis sein.
Compliance leben und (weiter) entwickeln
Compliance ist lebendig. So muss das Thema auch innerhalb eines Unternehmens behandelt werden - es muss sich entwickeln und stets weiterentwickelt werden. Wichtig ist in diesem Zusammenhang vor allem, dass Führungskräfte als moralische Vorbilder und „Verbesserer des Unternehmens“ agieren und ihre (positive) Einstellung zum Thema Compliance im Alltag vorleben. Übereinstimmend mit gelebten Unternehmenswerten steigt erfahrungsgemäß der Zuspruch für Compliance über die Jahre.
Compliance & CMS
Ob für die Umsetzung von Compliance auch ein Compliance-Management-System (CMS) erforderlich ist, darf jedes Unternehmen für sich beantworten und entscheiden. Im Zeitalter der Digitalisierung, der Schnelllebigkeit und des Miteinander-vernetzt-Seins bietet sich eine digitale Lösung an, wenn sie nicht sogar die einzig adäquate Möglichkeit ist. In der Praxis sind Standards für CMS wie IDW PS 980 oder ISO 19600 als Orientierung hilfreich. Letztlich gilt es ein zum Unternehmen passendes System zu etablieren, d.h. die spezifische Unternehmenskultur, die Branche und die Größe des Unternehmens usw. bei der Wahl des CMS zu berücksichtigen.
Auch wenn in Deutschland kein Unternehmensstrafrecht existiert, können im Rahmen der sogenannten Verbandsgeldbuße (§ 30 Ordnungswidrigkeitengesetz-OWiG) bei Straftaten von Leitungspersonen des Unternehmens finanzielle Sanktionen gegen das betroffene Unternehmen festgesetzt werden. Vor über zwei Jahren hat der BGH in einem Urteil (Urteil vom 09.05.2017 – 1 StR 265/16) verlauten lassen, dass ein vorhandenes CMS bei der Begehung von Compliance-Verstößen bußgeldmindernd zu berücksichtigen ist. Das ist also nur ein weiteres Argument für ein CMS.
Compliance Excellence - denn gut ist der Feind von exzellent
Innerhalb einer Organisation und eines Unternehmens ist maßgeblich, dass festgelegte Prozesse auch eingehalten werden. Sie müssen für die Mitarbeiter aktuell, zugänglich und verständlich sein. Als Unternehmensleiter haben Sie drei zentrale Pflichten:
- Legalitätspflicht
- Pflicht zur sorgfältigen Unternehmensführung
- Allgemeine Überwachungspflicht.
Compliance Excellence unterstützt alle Manager, Compliance Officer und auch Mitarbeiter bei der Definition, Ausübung, Dokumentation und Nachhaltung von compliance-relevanten Abläufen wie zum Beispiel:
- Management-Prozesse
- Vorfall-Management
- Vertragsmanagement
- Richtlinienmanagement
- Due Diligence Personalauswahl
- Anreiz- und Sanktionsmechanismen
- Sourcing-Prozesse (Lieferantenauswahl)
- Recruiting Prozesse
- Invoicing Prozesse
- Einhaltung datenschutzrechtlicher Prozesse.
Die Mitarbeiter in den Bereichen Legal, Einkauf, Sales, Finance, HR etc. werden in ihren Aufgaben durch die Nutzung regelkonformer Geschäftsprozesse nach neuesten BPMN 2.0 Standards und die Bereitstellung von aktuellem Compliance-Wissen unterstützt und folgen den Anweisungen von intern festgelegten Berichtsmechanismen. Davon profitieren insbesondere international tätige Konzerne, denn damit gelingt eine wirksame Einbindung und Kontrolle von Mitarbeitern in den Niederlassungen im In- und Ausland.