Compliance

Compliance

11. Juni 2024

Das englische Wort Compliance bedeutet auf Deutsch die Einhaltung von Vorschriften bzw. Regeltreue. Im Unternehmenskontext sind unter Compliance die Maßnahmen zur rechtskonformen und integren Führung der Geschäfte und zum dafür erforderlichen Verhalten der Mitarbeitenden zu verstehen. In der Regel sind damit einerseits die Beachtung von Recht und Gesetz, also externer Regeln und andererseits für die Integrität und Redlichkeit die Einhaltung interner Regeln gemeint. Die wichtigste dieser Maßnahmen ist die Erstellung eines internen Systems aus Regeln und Richtlinien. Grundsätzlich haben Unternehmen hierbei einen breiten Spielraum und können ihr Compliance Management System relativ frei gestalten. Das System soll aber die Politik, Ziele und Prozesse zur Zielerreichung festlegen.

Für Unternehmen ist der Aufbau eines solchen Systems zwar aufwändig, führt aber auch zu mehr Rechtssicherheit, Wettbewerbsvorteilen gegenüber Konkurrenten und positiven Werbeeffekten. Daneben stärken verlässliche Unternehmensstrukturen das Vertrauen der Mitarbeitenden.

Compliance

Gesetzliche Regelungen

Grundsätzlich müssen sich alle Unternehmen als Teilnehmer am Geschäfts- und Rechtsverkehr an die geltenden Gesetze und sonstigen Vorschriften halten. Es gibt aber spezielle Gesetze und Vorschriften, in denen Compliance Vorgaben besonders geregelt werden.

Der Deutsche Corporate Governance Kodex (DCGK) enthält alle wesentlichen gesetzlichen Regelungen zur Leitung und Überwachung börsennotierter Gesellschaften in Deutschland sowie Empfehlungen für eine verantwortungsvolle Unternehmensführung anhand inländischer und internationaler Standards. Nach § 161 Aktiengesetz (AktG) sind der Vorstand und der Aufsichtsrat aller börsennotierten Gesellschaften in Deutschland verpflichtet, jährlich eine Erklärung über die Einhaltung der Empfehlungen des DCGK abzugeben. Der DCGK ist kein Gesetz, sondern wurde von einer Kommission erarbeitet und wird von dieser regelmäßig überprüft, er informiert lediglich über die geltende Rechtslage und gibt zusätzlich Empfehlungen.

Die EU Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden sowie der entsprechende deutsche Umsetzungsakt, das Hinweisgeberschutzgesetz (HinSchG), das seit 01.01.2024 für alle Unternehmen mit mindestens 50 Beschäftigten gilt, enthalten Mindestvorgaben für den Schutz von sogenannten Whistleblowern.

In anderen Gesetzen finden sich weitere einzelne Regelungen, die Compliance in Unternehmen betreffen, etwa § 91 Abs. 2 AktG, § 80 Wertpapierhandelsgesetz, § 25a Kreditwesengesetz, § 123 des Gesetzes gegen Wettbewerbsbeschränkungen, § 242 Bürgerliches Gesetzbuch (BGB), wo der Grundsatz von Treu und Glauben geregelt ist oder § 43 GmbHG über die Sorgfalt eines ordentlichen Geschäftsmanns.

Compliance Maßnahmen

Die wichtigste Maßnahme im Rahmen von Compliance in Unternehmen ist das Erarbeiten eines internen Regel- und Richtlinienwerkes für alle Mitarbeitenden. Dazu zählen etwa ein Verhaltenskodex, Vorgaben zum Wertemanagement sowie Regeln zur Korruptions- und Geldwäscheprävention.

Durch die Führungskräfte muss sodann sichergestellt werden, dass die Mitarbeitenden von diesen internen Regeln ausreichend Kenntnis haben und zur Meldung eventueller Verstöße und Fehler ermutigt werden. Denn solche Meldungen sind letztlich das Wichtigste Instrument, um Verstöße zu vermeiden und als Unternehmen regelkonform und redlich zu handeln, auch um Haftungsrisiken zu verringern. Zu den Maßnahmen gehört daher auch die Einrichtung eines Kommunikations- und Meldesystems für Mitarbeitende und Externe, um Verstöße aufdecken zu können.

Gibt es einen Betriebsrat im Unternehmen, kann eine Betriebsvereinbarung über die internen Regelungen geschlossen werden. Arbeitsrechtlich können die Compliance Regeln im Rahmen des Direktionsrechts des Arbeitgebers durchgesetzt werden. Meist enthalten Verhaltenskodizes und interne Regelwerke Hinweise zu arbeitsrechtlichen Sanktionen, wie etwa Abmahnungen, im Falle von Pflichtverletzungen.

Die zweite besonders wichtige Maßnahme ist der Aufbau einer Compliance Struktur. Diese besteht aus drei Einheiten: Einerseits gilt es ein Risikoprofil zu erstellen, also Gefahren regelmäßig zu analysieren. Die erkannten Risiken sind die Grundlage für die zu ergreifenden Maßnahmen, die zu deren Verhinderung beitragen sollen. Risikopotenzial liegt allgemein vor allem in den Bereichen:

Daneben ist die Ziel- und Zwecksetzung (Scoping) von großer Bedeutung. Hierbei wird die Relevanz der festgestellten Risiken bewertet, ein unternehmensspezifischer Sollmaßstab festgelegt und anhand dessen die geeigneten Maßnahmen erarbeitet. Auch die Aufbauorganisation trägt maßgeblich zu einem funktionierenden Compliance Management System bei. Dabei müssen die Beauftragten und Funktionsträger benannt, Pflichten delegiert, Prozesse koordiniert und gesteuert werden. In diesem Rahmen wird ein Verantwortlicher als zentraler Ansprechpartner für Compliance-Themen ernannt und gegebenenfalls zusätzlich ein Gremium eingesetzt, in dem auch Verantwortungsträger des Unternehmens tätig werden.

Die Maßnahmen sind abhängig von der Unternehmensgröße und -struktur, der Branche und dem Geschäftsfeld, den individuellen Risiken sowie den bereits vorhandenen Mechanismen.

Zertifizierung

Es ist grundsätzlich möglich, das Compliance Management System zertifizieren zu lassen. Eine solche Zertifizierung führt allerdings zur Anwendbarkeit einer größeren Zahl von Vorgaben, die das System erfüllen muss. Grundlage für die Zertifizierung können z.B. die Norm ISO 37001 oder der IDW Prüfungsstandard (PS) 980 sein.

Nach der ISO 37001 sind verpflichtende Bestandteile des Compliance Management Systems die Risikobeurteilung, die Compliance Politik, Schulung und Kommunikation, Leistungsbewertung und Compliance Verpflichtungen.

Bei der Risikobeurteilung müssen die konkret im Unternehmen bestehenden Risiken identifiziert, analysiert und bewertet werden. Dies muss regelmäßig überprüft und an Veränderungen angepasst werden. Die Beurteilung muss dokumentiert und diese Dokumentation aufbewahrt werden.

Compliance Politik umfasst die übergeordneten Grundsätze und Verpflichtungen, die für Compliance im Unternehmen erforderlich sind, also insbesondere die Anwendung, den Kontext, den Umfang und die Grundsätze des Compliance Management Systems. Über diese Politik sind die Mitarbeitenden angemessen und regelmäßig zu schulen.

Die Leistungsbewertung betrifft die Überwachung, ob die Ziele erreicht werden, wobei die zu bewertenden Parameter sowie der Zeitpunkt und das Vorgehen bei der Bewertung festgelegt werden müssen. Gegebenenfalls ist es empfehlenswert, Einheiten für eine gleichmäßige Bewertung zu erarbeiten. Auch diese Ergebnisse unterliegen einer Dokumentation, die aufzubewahren ist.

Innerhalb des gesamten Unternehmens, also von der Führungsebene bis hin zu den einzelnen Abteilungen und Mitarbeitenden müssen die aus den allgemeinen Compliance Vorgaben folgenden individuellen Compliance Verpflichtungen abgeleitet sowie deren Auswirkungen auf den Arbeitsalltag beurteilt werden und schließlich eine Integration in die konkreten Prozesse und Abläufe erfolgen.

Compliance Kultur

Mit Compliance Kultur sind die von der Unternehmensleitung vermittelten grundlegenden Einstellungen und Werte, ethische Grundsätze und Verhaltensweisen gemeint (auch „Tone from the Top“). In der Regel sind sie die Grundlage des Compliance Management Systems und werden in den internen Regelwerken verschriftlicht.

Am wichtigsten in diesem Zusammenhang ist allerdings die Kommunikation dieser Grundlagen, insbesondere an die Mitarbeitenden, z.B. durch Schulungen und Kampagnen, um eventuelle Vorbehalte abzubauen, Sicherheit im Umgang mit den Regeln zu schaffen und die Umsetzung sicher zu stellen. Jeder Mitarbeitende sollte die Grundlagen, Regeln, Verantwortlichkeiten und Maßnahmen verstehen und verinnerlichen und auch wissen, wo bei Zweifeln nachgelesen werden kann. Dabei sollte jede Verunsicherung der Mitarbeitenden oder negative Auswirkungen auf das Klima im Unternehmen vermieden werden, in dem mit auf die Kultur zugeschnittener, umfangreicher Information dafür gesorgt wird, dass die Regeln nachvollziehbar sind und die Mitarbeitenden sich mit den Zielen und Grundlagen identifizieren können. Durch die Kommunikation der Compliance Kultur wird für alle Mitarbeitenden und Geschäftspartner die Bedeutung der Regeltreue im Unternehmen verdeutlicht.

*Verwenden wir zukünftig das generische Femininum oder das generische Maskulinum bezieht das immer sämtliche Geschlechter mit ein und dient ausschließlich der besseren Lesbarkeit.

Passende Beiträge zum Thema: