Diese Website verwendet technisch notwendige Cookies, um Ihnen die grundlegenden Funktionen dieser Webseite bereitzustellen. Diese sollten Sie akzeptieren.
Compliance Management
Folge 4: Compliance Richtlinien – den Rahmen definieren
Solide Richtlinien – oft auch „Policies“ genannt – sind die Grundlage für ein Compliance Management System (CMS), das Verbindlichkeit nicht scheut.
Richtlinien als Rückgrat des CMS
Wie im vorhergehenden Blogbeitrag erwähnt, fangen viele Compliance-Verantwortliche direkt mit der Erstellung und Verkündung von für notwendig gehaltenen Richtlinien an. Dies gibt scheinbar Sicherheit, denn man kann (auf dem Papier) etwas vorweisen.
Richtig ist: Ein knappes, verständliches und den Risiken im Unternehmen angepasstes Set von Richtlinien sorgt für die notwendige Struktur und markiert den Erwartungshorizont. Hat man also durch ein gründliches Risk Assessment ein Verständnis für die sensiblen, risikogeneigten Bereiche entwickelt, bilden Richtlinien den Rahmen, diese Risiken auf Regelungsebene zu adressieren. Sie stellen weiterhin den Standard dar, an dem sich das Compliance-Programm und auch das Verhalten der Mitarbeiter messen lassen muss.
Aber was sind Richtlinien eigentlich? Vereinfacht gesagt, sollen Richtlinien die „externen“ Gesetze in die Unternehmenssprache umsetzen. Diese „Sprache“ sollte der Unternehmenswirklichkeit entsprechen und – natürlich – verständlich sein. Das scheint offensichtlich, doch die Praxis zeigt, dass diese Erwartung nicht immer erfüllt wird.
Folgende „Dos & Don’ts“ sind besonders hervorzuheben:
Do:
- Übersichtliche Struktur
- Klare Sprache
- Wo möglich: visuelle Gestaltung
- Definition von zentralen Begriffen
- Bezug und Widerspruchsfreiheit zu anderen Richtlinien
Don’t:
- Lange Texte
- Kopie von Teilen des Gesetzestextes
- Unklare juristische Begriffe und Formulierungen
- Fehlen von unternehmensbezogenen Beispielen
Hohe Anforderungen an formale Kriterien werden zumindest bei Richtlinien im Compliance-Bereich häufig nicht gestellt. Compliance-Verantwortliche in Unternehmen sind daher zumeist recht frei, wie und mit welchem Inhalt sie die konkreten Regeln formulieren, sofern diese dem Zweck dienen, kollektives Verhalten im Unternehmen erfolgreich zu organisieren. Es ist hierbei wichtig, sich zu verdeutlichen, dass es unterschiedliche „Regeltypen“ [1] gibt, etwa:
- „Grenzregeln”, die erklären, wann die Grenze des akzeptierten Verhaltens überschritten ist
- „Prioritätsregeln”, die im Fall eines Konflikts eine Lösung vorgeben
- „Umsetzungsregeln“, die erklären, wie eine bestimmte Vorgabe im Unternehmen gelebt werden soll
- „Kommunikationsregeln“, die angeben, welche Funktionsbereiche/Personen über gewisse Verhaltensweisen oder Entscheidungen zu informieren sind
Nicht jeder Regeltyp muss immer abgebildet sein, die Auswahl hängt hier maßgeblich vom Einzelfall ab. Aber eines ist klar: Einfache Regeln erhöhen insgesamt die Wahrscheinlichkeit, dass sich die Adressaten auch an sie halten.
Wichtig: Stakeholder frühzeitig einbeziehen!
Papier ist bekanntlich geduldig. Eine nach allen Regeln der Kunst ausgemeißelte Richtlinie muss nicht zwingend auf Gegenliebe stoßen. Sorgen Sie also dafür, dass alle wichtigen Funktionen zu der Richtlinie gehört und beteiligt werden. Beteiligt sollte hier durchaus heißen, dass ein aktiver Beitrag geleistet wird.
Schulung und Kommunikation
Es reicht nicht aus, eine Richtlinie in den Tiefen des Intranets zu vergraben. Das „Roll-out“, also die systematische Kommunikation, Schulung und Umsetzung der neuen Regeln, ist genauso wichtig. Der Erfolg der Richtlinie hängt davon ab, ob ihre Verankerung in der DNA des Unternehmens gelingt. Besonders bewährt hat sich die Erstellung häufig gestellter Fragen und Antworten zu einer Richtlinie („Q&A“). Erläutern Sie hier noch einmal im Frage-Antwort-Spiel die wichtigsten Grundlagen. Fügen Sie hinzu, was Mitarbeiter Sie zu der Richtlinie fragen. Formulieren Sie sorgfältig eindeutige Antworten dazu. Dies wird auch Ihnen als Compliance-Verantwortlicher helfen, den Umfang und die Konsequenzen der Regelungen genau zu bedenken. Das Beste ist: Sie können die Q&A über einen langen Zeitraum weiter fortschreiben, kontinuierlich verbessern und haben gleichzeitig eine Referenz Ihrer Beratungstätigkeit.
[1] Donald Sull/Kathleen M. Eisenhardt, Simple Rules: How to Thrive in a Complex World.
Ausblick:
In der nächsten Folge geht es weiter mit dem Thema „Compliance Prozesse“.
Falls Sie unsicher sind, wie Sie Ihr Compliance Projekt erfolgreich aufsetzen und durchführen können, nehmen Sie gern Kontakt mit mir auf.