Bei Compliance geht es im Kern um Strafrecht. Verstöße haben hier drastische Konsequenzen. In der Praxis erweitert man die Ziele so, dass die Mitarbeiter das geltende Recht einhalten und ethische Maßstäbe beachten.
Compliance-Management-Systeme
Compliance kann heute nicht mehr einfach so nebenbei mit erledigt werden. Sie stellt hohe Anforderungen an Compliance-Verantwortliche und ist zu einer echten Management-Aufgabe geworden. Die Technische Hochschule Deggendorf bietet einen Masterstudiengang Risiko- und Compliance-Management an.
Mit der Professionalisierung sind entwickelte sich eine Systematik. Es gibt die DIN ISO 19600:2014 (Compliance-Management-Systeme) und DIN ISO 37001:2016 (Korruptionsprävention). Sie stellen eine konzeptionelle Basis bereit, enthalten aber kein konkret umsetzbares Compliance-Programm. Die IHK Hamburg war an der Entwicklung eines Compliance Standards beteiligt, der speziell auf KMU zugeschnitten ist.
Diese Systeme folgen dem risikobasierten Ansatz und bilden Schwerpunkte, um das Compliance-Risiko effektiv zu reduzieren. Die Risiken werden zuerst analysiert und dann ein für das Unternehmen maßgeschneidertes Compliance-Programm entwickelt. Darin legt die Geschäftsleitung Maßnahmen zur Beseitigung erkannter Schwachstellen und übergreifende Regeln fest.
Die Compliance-Risikoanalyse beginnt mit der Ermittlung der einzuhaltenden Vorschriften. In der Regel ist das
- Verbot von Korruption
- Verbot von Kartellabsprachen
- Einhaltung der Pflichten als Arbeitgeber
- Datenschutz
- Steuerrecht und die Buchführungsvorschriften.
Das Management der Compliance-Risiken unterscheidet sich nicht wesentlich vom Management sonstiger operationeller Risiken.
Compliance-Kommunikation
Die Unternehmensleitung muss ihre Compliance-Ziele, ihre Werte und ihre Einstellung ins Unternehmen kommunizieren. Genauso wichtig ist auch der Informationsfluss zurück, um Entscheidungen treffen zu können (z.B. über die Behandlung von Compliance-Risiken oder die Reaktion auf Compliance-Verstöße). Kommunikation ist für Compliance zentral. Hier gibt es drei potentielle Problemfelder: Information, Mitteilung und Verstehen.
Information
Jeder Compliance-Kom¬mu¬ni¬ka¬tion liegt die zentrale Unterscheidung, was compliant und was non-compliant ist, zugrunde. Unklare Aussagen wie „Ich will, dass alles sauber läuft!“ oder „Ethisches Verhalten ist in unserem Unternehmen eine Selbstverständlichkeit.“ Bringen nichts. Besser, aber nicht optimal, ist die Formulierung: „Wir lehnen jede Form von Korruption ab“. Compliance-Kommunikation ist meist wirkungslos, wenn sie nur die Vorschrift zitiert. Um Verstöße zu vermeiden, muss konkret gesagt werden, was die Mitarbeiter tun (oder lassen) sollen.
Mitteilung
Die Information muss da, wo sie gebraucht wird, ankommen, und zwar am besten genau dann, wenn sie relevant ist. Dazu müssen Kommunikationswege, Inhalte, Anlässe und Regeltermine verbindlich festgelegt werden. Erfolgreiche Compliance-Kommunikation im Unternehmen setzt auf eine Kombination von formeller Kommunikation (schriftlich, klar, belastbar, verständlich) und informeller Kommunikation (kontextabhängig, einzelfallbezogen).
Wenn es darum geht, das Verhalten von Menschen zu beeinflussen, hat die informelle Kommunikation die beste Wirkung. Mitarbeiter richten sich an den Erwartungen ihrer Kollegen und insbesondere ihrer direkten Vorgesetzten aus. Erfolgreiche Compliance-Kommunikation macht sich diesen Effekt zunutze. Sie signalisiert den Mitarbeitern im Arbeitsalltag permanent, dass rechtskonformes und ethisches Verhalten die Norm ist. Wichtig ist, dass nonverbale Kommunikation oder schlechte Vorbilder die Botschaft verwässern. Compliance-Kommunikation sollte die prinzipiell rechtstreue Einstellung und die ethischen Werte des Unternehmens erlebbar machen. Präsenzveranstaltungen mit der Geschäftsleitung, Schulungen durch Experten und regelmäßige Treffen, in denen Erfahrungen ausgetauscht und über Compliance gesprochen wird, sind gute Möglichkeiten dafür. So entsteht eine kollektive Überzeugung, was akzeptabel ist und was nicht.
Formelle Compliance-Kommunikation in Form von schriftlichen, arbeitsrechtlich verbindlichen Anweisung, hat ebenfalls ihre Berechtigung. Wie sonst soll das Unternehmen nachweisen, dass es Maßnahmen getroffen hat, z.B. um Korruption zu verhindern. Schriftlich fixierte Vorgaben sind auch als Rückzugslinie wichtig. Sie erlauben Vorgesetzten und Mitarbeitern enttäuschte Erwartungen eskalieren. Vorgesetzten können, die Einhaltung von Compliance-Richtlinien arbeitsrechtlich durchzusetzen. Umgekehrt kann ein gesetzestreuer Mitarbeiter, auf die Unterstützung der Compliance-Organisation zählen. Die Richtlinien helfen in Konstellationen, in denen unmittelbare Vorgesetzte oder Kollegen Compliance-Vorgaben als lebensfremd, bürokratisch oder nicht umsetzbar ablehnen. Außerdem sollte ein anonymer Kommunikationskanal für Whistleblower eingerichtet werden.
Verstehen
Compliance-Kommunikation muss verstanden werden, damit sie wirkt. Pauschale Aussagen, wie „Wir lehnen jede Form von Korruption ab“, werden aber nur verstanden, wenn man bereits ein fortgeschrittenes Verständnis der Rechtslage hat.
Vor allem Juristen tun sich hiermit schwer. Die korrekte Verwendung juristischer Fachtermini reduziert zwar das Risiko, dass sich ein Rechtsrat nachträglich als unzutreffend erweist. Compliance-Kommunikation ist aber nicht dazu da, dass Juristen im Nachhinein Recht behalten. Sie wendet sich gar nicht an Juristen und sie kann das Non-Compliance-Risiko nur senken, wenn sie von den Mitarbeitern verstanden wird.
Die optimale Wirkung entfaltet Kommunikation im Compliance-Management, wenn das Verständnis der Mitarbeiter sich nicht darin erschöpft, dass sie erkennen, was sie zu tun und was zu lassen haben. Im Idealfall gelingt es darüber hinaus zu vermitteln, warum die Compliance-Vorgaben Sinn machen. Der Hinweis, dass es geltendes Recht ist und spürbare Konsequenzen bei einem Verstoß drohen, kann eine Vermittlung der Motivation des Gesetzgebers nicht ersetzen.
Kontrollen
Compliance-Management kommt nicht ohne Kontrollen aus. Zur Aufsichtspflicht von Geschäftsführern gehört, dass Unternehmensangehörige, die im Begriff sind eine Straftat zu begehen, davon abgehalten werden müssen. Kontrollen können Straftaten nicht vollständig verhindern. Wenn das interne Kontrollsystem gut funktioniert, wird es Verstöße erschweren, ihre möglichst frühe Entdeckung erleichtern und die Verfolgung sicherstellen.
Führungskräfte spielen hier eine hervorgehobene Rolle. Vorgesetztenkontrollen sind die effektivste Art, die Einhaltung von Regeln durch Mitarbeiter sicher zu stellen. Deshalb sollten erkannte Compliance-Risiken in verbindliche Kontrollpflichten der unmittelbaren Vorgesetzten übersetzt werden. Das offensichtliche Fehlen von Kontrollen erzeugt Non-Compliance.
Falls Verstöße auftreten, gilt es Konsequenzen aus dem Vorfall ziehen. Es gilt der Dreiklang aus Aufklären, Abstellen und Ahnden. Die vorhandenen Compliance-Maßnahmen müssen wegen Vorfalls optimiert bzw. Kontrolllücken geschlossen werden. Wichtig ist eine angemessene, nicht überzogene Reaktion auf das Fehlverhalten. Sonst entstehen schnell ein Klima der Angst und eine schlechte Fehlerkultur.