»Geschäftsfördernde Zuzahlungen« in Millionenhöhe von der Steuer absetzen – zumindest bis 1999 war dies unter bestimmten Voraussetzungen in Deutschland möglich. Seitdem haben sich die Gesetze deutlich verändert. Heute ist das Compliance Management schon bei geringen Beträgen alarmiert. Das Thema »Compliance« hört man im Unternehmensumfeld immer wieder. Doch was bedeutet das?
Wir erklären es in einfachen Worten und zeigen Fälle aus der Praxis auf, die zeigen, wie gutes Compliance Management Ihr Unternehmen unterstützen kann.
Inhalt
Was ist Compliance Management?
Für ein Unternehmen ist es überlebenswichtig, dass es sich an rechtliche Vorgaben (z. B. Gesetze) und interne Richtlinien (Code of Conduct) hält, da das Gesetz über Ordnungswidrigkeiten (OWiG) in §30 bis zu 10 Millionen Euro Strafe für Unternehmen vorsieht. Um diese Einhaltung im Unternehmensalltag sicherzustellen und Regelverstößen vorzubeugen, sind Prozesse und Systeme im Unternehmen nötig. Das ist die Grundidee hinter dem Compliance Management.
Ziel ist es, mögliche Verstöße frühzeitig zu erkennen und potenzielle Risiken (Schadens- und Haftungsfälle) vorzeitig vom Unternehmen abzuwenden. Gleichzeitig überwacht es die Einhaltung der Vorgaben. »Legalitätspflicht« wird dieses regelkonforme Verhalten genannt.
Compliance Verstoß -ein Beispiel
Ein Mitarbeiter aus dem mittleren Management hat unrealisierte Umsätze aus dem kommenden Jahr vorgezogen, um seine aktuellen Umsatzziele zu übertreffen und eine hohe Bonuszahlung zu erhalten. Ein Kollege nutzt das Whistleblowing-Programm des Unternehmens und meldet diesen Fall der Compliance Beauftragten. Diese prüft den Fall und kommt zum Ergebnis, dass die Vorgehensweise eine mögliche Betrugshandlung zum Schaden des Unternehmens darstellen kann.
Neben den Vorgaben des Gesetzgebers, umfasst das Compliance Management auch interne Regeln, wie zum Beispiel Unternehmensvorgaben in bestimmten Situationen. Typisches Beispiel sind Geschenke von Geschäftspartnern. Selbst ein Kugelschreiber kann als Bestechung bewertet werden (so ein Schreibgerät kann schließlich deutlich über 1.000 € kosten).
Die Einhaltung rechtlicher Vorgaben ist auch für den Inhaber des Unternehmens relevant, da dieser laut § 103 des OWiG (Gesetz über Ordnungswidrigkeiten) mit bis zu 1 Mio. Euro Strafe belegt werden kann, wenn relevante Aufsichtsmaßnahmen »vorsätzlich oder fahrlässig« unterlassen werden.
Neben den finanziellen Schäden (Strafen, Bußgelder, oder Sanktionen), kann ein Compliance-Verstoß auch zu Reputationsschäden führen, die dem Unternehmen zusätzlich stark schaden können.
Was ist ein Compliance Management System (CMS)?
Die rechtlichen Vorgaben und internen Richtlinien in einem Unternehmen sind in der Regel zahlreich und verändern sich ständig. Um also dauerhaft rechtskonform handeln zu können, ist es wichtig einen Überblick zu bewahren und Änderungen der Gesetze umzusetzen. Dafür ist ein systematisches Vorgehen notwendig. Ein Compliance Management System ist die logische Antwort auf dieses Problem. Damit diese Systeme standardisiert sind, gibt es die ISO 37301:2021 (2014 bis 2021: ISO 19600).
Die Bestandteile eines CMS
Compliance Management Systeme sind je nach Anforderung unterschiedlich. Es können zum Beispiel Whistleblowing-Systeme dazugehören. So können Angestellte und weitere Personen auf digitalem Wege Meldungen abgeben und Missstände melden. Auch ein Genehmigungssystem ist denkbar, bei dem Geschenke angemeldet und freigegeben werden.
In der Regel ist das Compliance Management System digital. Es gibt einige Hersteller, die eine entsprechende Software zur Verfügung stellen.
Die Funktion des Compliance Management Systems
Wie sind die Abläufe innerhalb des Compliance Management Systems? Es geht darum die Übersicht über alle Prozessfelder des Unternehmens zu erhalten,
- welche internen und externen Vorgaben erfüllt werden müssen
- welche Risiken bestehen könnten
- mit welcher Wahrscheinlichkeit sie eintreten und
- welchen Einfluss dies auf das Unternehmen hätten
Grundsätzlich lassen sich die Abläufe daher grob in drei Abschnitte teilen:
- Ermittlung des Compliance Risikos
- Bewertung des Compliance Risikos
- Überwachung der wesentlichen rechtlichen Risiken
Schritt 1: Ermittlung des Compliance Risikos
Jeder Unternehmer trägt ein gewisses unternehmerisches Risiko, da der Ausgang von Entscheidungen nicht vorhersehbar ist. Auch Fehlverhalten von Mitarbeitern können zu Risiken führen (»Corporate Misconduct«). Um Risiken einschätzen zu können, ist es wichtig einen Überblick über die Risikopotenziale von innen und außen, einschließlich der für das Unternehmen relevanten wesentlichen rechtlichen Risiken, zu erhalten. Wichtige Bereiche dabei sind u.a.:
- Organisationsanforderungen, die sich aus Spezialgesetzen ergeben wie dem HGB, AktG, KWG, WpHG….ergeben
- Der Datenschutz
- Die Geldwäscheprävention
- Korruption, Betrug
- Sonstige strafbare Handlungen (ssH)
Aus diesem Grund erfolgt die erste Risikoeinschätzung mit einem Compliance Risk Assessment. Dabei werden die genannten Bereiche von einem Compliance-Berater systematisch betrachtet. Dazu gehören ausführliche Fragebögen und häufig auch die Befragung der Mitarbeiter aus den unterschiedlichen Bereichen, denn sie kennen den Unternehmensalltag und den Umgang mit relevanten Themen.
Dieses Assessment bildet häufig die Basis für ein Compliance Management System. Sinnvoll kann auch ein jährliches Assessment sein, um den aktuellen Stand im Unternehmen zu dokumentieren.
Richtige Schwerpunkte setzen
Um effektiv Strukturen aufbauen zu können, ist es wichtig die Bereiche und Schwerpunkte zu kennen. Jedes Unternehmen ist anders und ein Unternehmen aus dem Finanzsektor hat mitunter andere Schwerpunkte als ein Unternehmen aus der Gesundheitsbranche, oder der Baubranche.
Ein Compliance Risk Assessment untersucht die möglichen Risiken und bietet so die Möglichkeit, passende Schwerpunkte zu setzen. Damit sind wir beim zweiten Schritt.
Schritt 2: Bewertung des Compliance Risikos
Sind die Risiken der unterschiedlichen Bereiche aus Schritt Eins bekannt, erfolgt die Einschätzung und Bewertung dieser Risiken. Dies ist eine Abwägung zwischen der Wettbewerbsfähigkeit auf der einen Seite und der Abwendung von Schäden, die dem Unternehmen massiv schaden könnten, auf der anderen Seite. Diese sind zum Beispiel:
- Strafzahlungen / Bußgelder
- Nicht-finanzielle Strafen, wie z. B. Haftstrafen
- Staatliche Sanktionen
- Reputationsrisiken
- Risiken für Leib und Leben
Qualitative und quantitative Bewertung der Risiken
Nach welchem System kann eine solche Bewertung erfolgen? Diese kann quantitativ erfolgen, hierbei werden Eintrittswahrscheinlichkeit und der mögliche Schaden in Euro ins Verhältnis gesetzt. Häufig relevante Themen in der Bewertung sind zum Beispiel:
- (Sehr) hohe Eintrittswahrscheinlichkeit und (sehr) hoher Schaden
- Mittlere Eintrittswahrscheinlichkeit, (sehr) hoher Schaden
- (Sehr) hohe Eintrittswahrscheinlichkeit, mittlerer Schaden
Schaden gering | Mittlerer Schaden | Hoher Schaden | Sehr hoher Schaden | |
Risiko gering | ||||
Mittleres Risiko | ||||
Hohes Risiko | ||||
Sehr hohes Risiko |
Die qualitative Risikobewertung geht noch einen Schritt weiter und teilt die Risiken in Risikoklassen ein. Diese werden zuvor anhand bestimmter Regeln festgelegt. Diese basieren auf den ermittelten wesentlichen operationellen und rechtlichen Risiken.
Risikobewertung als mögliche Haftungsminderung
Eine professionell durchgeführte Risikobewertung (Compliance Risk Assessment) und eine umfassende Compliance-Struktur sind Zeichen dafür, dass die Unternehmensführung bemüht ist, den Anforderungen des Gesetzgebers nachzukommen. Dies kann sich haftungsmindernd auswirken, solle es dennoch einen Compliance-relevanten Vorfall geben.
Schritt 3: Überwachung der wesentlichen, rechtlichen Risiken
Theoretisch ist es erstrebenswert, alle Unternehmensrisiken zu beseitigen. In der Realität ist die Anzahl der Risiken aber zu groß und eine Überwachung nie vollständig darstellbar oder erwünscht. Deshalb geht es im dritten Schritt darum, die wesentlichen rechtlichen Risiken zu ermitteln und fortlaufend zu überwachen (Monitoring).
Die Überwachung der wesentlichen rechtlichen Risiken sind ein Kernelement für die Fortentwicklung einer angemessenen Compliance-Organisation.
Durch eine fortlaufende, progressive Überwachung der rechtlichen Rahmenbedingungen wird es einem Unternehmen ermöglicht, sich auf neue rechtliche Rahmenbedingungen einzustellen, die sich entwickeln. Aktuelle Themen sind zum Beispiel die Hinweisgeberrichtlinie, die Änderungen zum Geldwäschegesetz , völkerrechtliche– und sanktionsrechtliche Vorschriften.
Beispiel: Die Gasturbinen AG exportiert weltweit Gasturbinen und Ersatzteile. Auch in die Länder der ehemaligen Sowjetunion. Da sie ein gutes Monitoringsystem zur Überwachung der wesentlichen rechtlichen Risiken hat, stellt sie fest, dass aufgrund der aktuellen geopolitischen Lage Zielländer ihrer Kunden z.B. in der mit Finanzsanktionen belegt worden sind. Sie kann somit den Export von Gütern in Länder, die »verboten« sind abwenden und somit Strafen umgehen und verhindern, dass die Gasturbinen AG selbst auf Sanktionslisten gesetzt wird wegen Beihilfe.
Compliance-Kultur in Unternehmen
Ein Compliance-Manager und entsprechende Richtlinien sind keine Garanten für rechtskonformes Handeln. Compliance muss gelebt werden – und zwar im gesamten Unternehmen. Die Geschäftsführung kann diesem Thema eine besondere Bedeutung zuweisen und dies den Mitarbeitern kommunizieren bzw. vorleben (»tone from the top«). Gerade wenn dieses Thema vom Management mitgetragen wird, erhöht dies die Wahrnehmung bei allen Beteiligten. Auch gemeinsame, regelmäßige Workshops zu dem Thema helfen, die Sensibilität für das Thema Compliance zu schaffen.
Internationales Compliance Management
Die Vorgaben für regelkonformes Verhalten ähneln sich in vielen Ländern. Gleichzeitig ist das Thema Compliance Management international im Detail häufig unterschiedlich. Gerade für Unternehmen, die in verschiedenen Ländern tätig sind, ist eine Gesamtbetrachtung wichtig.
Wir von Riscreen sind spezialisiert auf grenzübergreifendes Compliance Management und sehen in der täglichen Arbeit, worauf es ankommt, um weltweit regelkonform zu wirtschaften.
Riscreen berät Sie zu folgenden Compliance Themen
- Organisation
- Kommunikation
- Management
- Audits
- Prozesse
- Beratung zu Compliance Software
- Entwicklung von Compliance Software
Externe Dienstleister für Compliance Management
Häufig ist es sinnvoll, das Thema Compliance Management auszulagern und einem externen Spezialisten zu übertragen, da das »Compliance Outsourcing« diverse Vorteile mit sich bringt:
- Hundertprozentige Aufmerksamkeit
- Umfangreiches Know-how
- Volle Kostenkontrolle
- Keine Kosten für Weiterbildung
- Keine Interessenskonflikte
- Jederzeit kündbar
- Stellvertretung leicht verfügbar
- Unparteiisch
- Unabhängig
- Skalierbar