Compliance Management
Folge 2: „Wer bin ich – und wenn ja, wie viele?“[1]

Strafrechtlich relevantes Verhalten ist ubiquitär. Das bedeutet, es ist allgemein verbreitet und zieht sich durch alle Gesellschaften, Gesellschaftsschichten und Organisationen. Dieser Realität müssen sich auch Unternehmen stellen, allen voran die Geschäftsleitung. Diese muss im Rahmen der Legalitätspflicht dafür Sorge tragen, dass das Unternehmen so organisiert und beaufsichtigt wird, dass keine Gesetzesverstöße erfolgen. Dafür richtet die Geschäftsleitung eine risikoangemessene Compliance-Organisation ein (siehe auch die oft zitierte „Siemens-Neubürger“-Entscheidung).

Compliance Verantwortliche

Sie haben Compliance-Aufgaben übernommen. Oder Sie sind Compliance Officer. Oder Compliance Manager. Oder Compliance Specialist. Oder …

Gratulation – im Zweifel sind Sie jetzt „die Compliance-Organisation“. Aber nicht ganz so schnell: Die Geschäftsleitung behält grundsätzlich ihre Compliance-Verantwortlichkeit und kann diese nicht einfach an einen Compliance-Verantwortlichen „wegdelegieren“. Sie kann aber durchaus bestimmte Aufgaben übertragen. Die Aufgabe der Compliance-Organisation liegt dann in der Etablierung eines Compliance Management Systems („CMS“).

Wenn Sie Compliance-Aufgaben übernehmen, achten Sie darauf, dass sich Ihre Stellenbeschreibung mit dieser Aufgabe, nämlich der Entwicklung und Implementierung eines CMS, befasst. Nicht dort stehen sollte (wie schon gesehen): „Der Compliance Officer ist dafür verantwortlich, dass im Unternehmen keine Straftaten begangen werden.“ Derartiges können Sie niemandem versprechen. Erinnern Sie sich – „Ubiquität“. Sie können jedoch systematisch Maßnahmen ergreifen, welche die Begehung von Straftaten im Unternehmen erheblich erschweren und auf Verstöße professionell reagieren.

Aufgabenfelder

Welche Aufgabenfelder gehören nun zu Compliance? Darauf gibt es keine pauschale Antwort. Grundsätzlich richtet sich dies nach der Geschäftstätigkeit des Unternehmens und konkreten Vereinbarungen im Einzelfall.

Typische Themenfelder sind

  • Korruption, Betrug und Untreue, Geldwäsche, illegale Beschäftigung, andere Straftaten
  • Kartellrecht, Wettbewerbsrecht
  • Geschäftsgeheimnisse, Datenschutz, IT-Sicherheit
  • Menschenrechte, Nachhaltigkeit, Umwelt
  • Finanzberichterstattung, Steuerrecht
  • Arbeitsschutz, Produktsicherheit

Eine solche Liste kann fast beliebig erweitert werden, denn die Zahl einschlägiger Vorschriften ist groß. Bevor Sie sich hier im Detail von Einzelanforderungen verlieren, arbeiten Sie besser mit Themenbereichen. Prüfen Sie hierbei auch, inwieweit diese bereits von anderen Funktionen abgedeckt sind. Sie haben eine IT-Abteilung, die sich intensiv mit dem Thema IT-Sicherheit auseinandersetzt? Ihre Zollabteilung führt Sanktionslisten-Screenings durch? Ihre Finanzabteilung hat schon einmal etwas vom Geldwäschegesetz gehört und kennt die diesbezüglichen Pflichten Ihres Unternehmens? Großartig, lassen Sie es dabei. Aber halten Sie in einer (mit den jeweiligen Funktionen und der Geschäftsleitung abgestimmten) Übersicht fest, welches Thema bei wem aus welchem Grund gut aufgehoben ist. Stimmen Sie sich vor allem im Bereich von Schnittstellen sorgfältig ab. Zu oft kommt es vor, dass zwei Funktionen meinen, die jeweils andere hätte ein bestimmtes Thema sicher auf dem Radar. Am Ende fühlt sich dann keiner zuständig.

Wenn Sie „Ihre“ Themenbereiche identifiziert haben, müssen Sie weiter ins Detail gehen. Welche Einzelthemen gehören dazu? Welche Gesetze und anderen Regeln müssen sie im Blick behalten? Spätestens an diesem Punkt werden Sie froh sein, wenn Ihre Themenliste nicht zu stark ausufert.[2]

Ihre Verbündeten

Suchen Sie sich Verbündete. Wertvolle Partner für Compliance-Verantwortliche sind etwa in den Abteilungen Legal, Finance/Controlling, HR, IT und Internal Audit zu finden. Suchen Sie den regelmäßigen Austausch, auch mit dem Betriebsrat. Ein Compliance Committee kann überdies helfen, verschiedene Funktionen regelmäßig (etwa alle vier bis acht Wochen) unter einer Compliance-Agenda zu versammeln, funktionsübergreifend Informationen auszutauschen und zügig zu Entscheidungen zu gelangen.

Essentiell sind zudem starke Partner im Business, etwa im Sales oder Marketing, die das Compliance-Thema nicht nur verstehen, sondern auch im eigenen Interesse vorantreiben. Die Kernidee muss sein: Compliance ist nicht die Aufgabe (oder gar das „Problem“) des Compliance-Verantwortlichen, sondern des gesamten Unternehmens. Nur mit dieser tiefen Verwurzelung können Sie Multiplikatoreffekte für Compliance-Themen im Unternehmen nutzen und außerdem erreichen, dass Compliance-Regeln auf die Ebene des konkreten Tagesgeschäfts heruntergebrochen und damit auch tatsächlich verstanden und befolgt werden.

Definieren Sie Ihre Aufgaben nicht nur in „To-Do-Listen“, sondern planen Sie diese als Projekte akribisch im Voraus. Stimmen Sie Prioritäten und Ressourcen mit der Geschäftsleitung ab. Setzen Sie bei der Suche nach projektbezogenen Ressourcen auf Ihre „Verbündeten“ oder auch (bzw. gerade) auf noch nicht sehr engagierte Geschäftsbereiche und beteiligen Sie diese intensiv. Machen Sie dabei immer deutlich, warum Compliance kein Hindernis im Geschäftsalltag ist, sondern einen konkreten Mehrwert bietet. Damit kommen Sie dem Ziel, dass auch Mitarbeiter außerhalb des Compliance-Teams das Compliance-Thema vertreten und in der Organisation verankern, einen weiteren Schritt näher. Denn: Wie isst man einen Elefanten? Stück für Stück!
Ausblick

In der nächsten Folge geht es weiter mit dem wichtigsten Fundament Ihres CMS, nämlich „Risikoanalyse und -bewertung“.

Falls Sie unsicher sind, wie Sie Ihr Compliance Projekt erfolgreich aufsetzen und durchführen können, nehmen Sie gern Kontakt mit mir auf.

[1] In freier Verwendung des Titels von Richard David Precht, Wer bin ich – und wenn ja, wie viele. Eine philosophische Reise. München 2007.
[2] Sie werden zudem feststellen, dass sich Ihre Aufgaben ohnehin immer weiter auffächern und damit stetig anspruchsvoller werden. Damit wächst womöglich erst einmal die Unsicherheit. Sehen Sie dies als Spielart des Dunning-Kruger-Effekts, nach dem bei der Ausführung komplexer Aufgaben (wie Schachspielen oder Autofahren) Unwissenheit oft zu mehr Selbstvertrauen führt als Wissen.