Compliance

Klingt Compliance,
ist aber ganz einfach.

Fairness und Transparenz als Erfolgsfaktor für Ihr Unternehmen.

Was bedeutet Compliance genau?

Kurz: alle Maßnahmen, die das rechtmäßige Verhalten eines Unternehmens, seiner Organe und der Mitarbeiter gewährleisten – alle gesetzlichen und unternehmenseigenen Vorgaben berücksichtigend.

Compliance ist damit nicht nur ein Thema für international agierende Großkonzerne: Immer mehr Mittelständler erkennen, dass Compliance keine lästige bürokratische Pflicht ist, sondern eine Chance, langfristig den Unternehmenserfolg zu sichern. Sie haben es im Vergleich zu Konzernen sogar leichter, da sie langfristig planen können, statt sich an Vorstandsperioden zu orientieren.

Warum ist Compliance wichtig?

Es war schon immer so und wird sich nie ändern: Vertrauen, basierend auf redlichem Verhalten und der Achtung von Normen und Werten, ist eine der härtesten Währungen im Geschäftsleben.

Verfehlungen, die Großkonzerne nur erschüttern, können für Mittelständler existenzbedrohend sein. Dieses Risiko lässt sich durch Compliance minimieren, wenn nicht gar verhindern. Sie ermöglicht ein einwandfreies Geschäftsgebaren – ganz im Sinne des berühmten Vorbilds, des ehrbaren Kaufmannes.

Risiken mangelhafter Compliance

Strafrechtliche Risiken

  • Strafverfolgung
  • Durchsuchungen in Unternehmen und bei Privatpersonen
  • Beschlagnahme von Unterlagen
  • Untersuchungshaft
  • Geldbußen
  • Gewinnabschöpfung
  • Steuernachforderungen
  • Vergabesperre und Eintragung in Korruptionsregister
1

Zivilrechtliche Risiken

  • Schadensersatzansprüche gegen Unternehmen und handelnde Personen
  • Nichtigkeit von Verträgen
  • Bindung von Managementkapazitäten
  • Kosten für Krisenberatung
  • Schadensersatzansprüche gegen die Geschäftsleitung
  • Steuernachforderungen
2

Drohender Image-Schaden

  • Kritische Berichterstattung in Medien
  • Vertrauensverlust bei Geschäftspartnern
  • Schlechteres Kreditrating
  • Fernbleiben von talentiertem Nachwuchs
  • Vertrauensverlust bei Mitarbeitern
3

Wir beraten Sie zu allen Punkten rund um Compliance-Management-Systeme:

Risikoanalyse

Die Compliance Risikoanalyse dient der systematischen Suche nach möglichen Ursachen und Auslösern für Compliance-Risiken.  

Als Compliance-Risiko wird die Gefahr bezeichnet, gegen geltende Gesetze, Vorschriften, vertragliche Verpflichtungen oder interne Richtlinien zu verstoßen. Im weiteren Sinne gehören dazu auch Risiken durch das Verletzen professioneller Standards und gesellschaftlicher Erwartungen. Entsprechende Verstöße verursachen Geldstrafen, Bußgelder oder zivilrechtliche Schadenersatzansprüche und nicht zuletzt Reputationsschäden. Sie können zu Kundenverlust, Abwanderung von Mitarbeitern sowie Wettbewerbsnachteilen führen, etwa durch den Ausschluss von öffentlichen Ausschreibungen.

Die Compliance Risikoanalyse ist Grundlage für die Entwicklung von Compliance Maßnahmen und daher der Planung des CMS vorgeschaltet. Das CMS kann nur dann zielgerichtet und wirksam sein, wenn es auf die wesentlichen Compliance Risiken der DPS ausgerichtet ist.

Für die Durchführung der Risikoanalyse wird der Top-Down Ansatz gewählt und die Risiken vom Management, Strategien und Geschäftsmodellen betrachtet. Dies sollte später – insbesondere im Zuge der laufenden Risikoanalyse durch den Bottom-Up Ansatz mit Workshops und Interviews mit den im Tagesgeschäft tätigen operativen Einheiten ergänzt werden. 

Dies erfolgt in den Schritten:

  • Risikoidentifizierung
  • Risikobewertung
  • Risikosteuerung
Kommunikation und Schulung

Ein nachhaltiges Compliance-Management ist nur dann möglich, wenn Compliance im Unternehmen tatsächlich gelebt und nicht nur als Formalie betrachtet wird. Der Stellenwert, den die Unternehmensleitung dabei dem Thema Compliance beimisst, ist von entscheidender Bedeutung für den Erfolg des CMS. Die Geschäftsleitung muss sich eindeutig und nachhaltig zu Compliance bekennen. Dabei muss für jeden einzelnen Mitarbeiter klar erkennbar sein, dass Compliance ein wesentlicher Bestandteil der Unternehmensführung ist. Die Vorbildfunktion des Managements und dessen Verpflichtung zu Integrität, ethischen Grundsätzen und Kompetenz muss sich in einer glaubwürdigen und widerspruchsfreien internen und externen Kommunikation und entsprechendem Verhalten widerspiegeln.

Diese Werte und die Umsetzung der Compliance-Maßnahmen werden vor allem durch klare inhaltliche Vorgaben in Gestalt von Richtlinien und Schulung der Mitarbeiter vermittelt. Den Mitarbeitern wird so das Verständnis für die wesentlichen gesetzlichen und freiwilligen Pflichten, Ge- und Verbote erleichtert. Ziel der Schulungsmaßnahmen ist zum einen die Aufklärung über mögliche Regelverstöße und die daraus resultierenden zivil- und strafrechtlichen Konsequenzen. Zum anderen sollen Schulungs- und Personalentwicklungsmaßnahmen die individuellen Compliance-Aufgaben eines jeden Mitarbeiters verdeutlichen.

Übliche Maßnahmen aus dem Bereich Kommunikation sind:

  • „Tone from the Top“ – Bekenntnis der Geschäftsleitung zu Compliance und laufende Kommunikation (Mitarbeiteransprachen / -rundschreiben, Intranetauftritt, usw.)
  • Code of Conduct
  • Erstellung eines Intranetauftritts mit Darstellung der Compliance Maßnahmen in verständlicher Darstellung/Sprache nebst FAQs
  • Durchführung von Schulungen
  • Kommunikation mit Geschäftspartnern
Richtlinien, Arbeitsanweisungen und Handbücher

Wichtige Grundlage für die Umsetzung des CMS sind unternehmensinterne Richtlinien, Arbeitsanweisungen und Handbücher, die Vorgaben für das Verhalten der Mitarbeiter in verschiedenen kritischen Situationen regeln. Gegenstand dieser Richtlinien sind nicht nur gesetzliche Ge- und Verbote, sondern auch freiwillige unternehmenseigene Vorgaben.

Wichtig ist, dass die Richtlinien für die Mitarbeiter verständlich, transparent und leicht zugänglich sind und regelmäßig auf Anpassungsbedarf hin überprüft werden. Bei rechtswidrigem Verhalten und Verstößen gegen die Richtlinien muss dies durch arbeitsrechtliche Maßnahmen geahndet werden.

Zu den folgenden Themen sollten Richtlinien vorhanden sein:

  • Vertrieb
  • Einkauf
  • Verhalten bei Durchsuchungen
  • Zuwendungen und unsachgemäße Zahlungen
  • Schutz von Unternehmenswerten
  • Interessenkonflikte
  • Zahlungsverkehr und Bankkonten
  • Geldwäsche
  • Datenschutz
  • Arbeitssicherheit
Organisatorische Maßnahmen

Besonders wichtig für die Umsetzung von Compliance im Unternehmen ist die Einrichtung bestimmter unternehmensinterner Prozesse und Arbeitsabläufe. Korruptionsfördernde personelle Verflechtungen und Intransparenz können durch verschiedene organisatorische Maßnahmen vermieden werden.

Dabei handelt es sich insbesondere um die folgenden Maßnahmen:

  • Klare Definition von Zuständigkeiten & Verantwortlichkeiten
  • Vier-Augen-Prinzip
  • Unterschriftenregelung
  • Funktionstrennung
  • Businesspartner-Screening
Hinweisgeberstelle

Ein wesentliches Instrument für die Aufdeckung und Vermeidung von Complianceverstößen ist die Einrichtung einer Hinweisgeberstelle. Die meisten Complianceverstöße kommen durch Hinweise von Mitarbeitern, Kunden oder Lieferanten ans Tageslicht. Die Hinweisgeberstelle ist eine effektive Möglichkeit, um von Unregelmäßigkeiten rasch Kenntnis erlangen zu können und daher zentraler Bestandteil einer Compliance-Organisation. Dies ermöglicht eine Aufklärung von Verstößen durch unternehmenseigenen Ermittlungen. Auch dient das Hinweisgebersystem der Auswertung und laufenden Verbesserung der Compliance-Organisation.

Mittlerweile finden sich in vielen Gesetzen Vorgaben zur Einrichtung von Meldekanälen, so etwa in den § 8 Abs. 1 LkSG, § 25a Abs. 1 S. 4 KWG, § 33 Abs. 1 S. 1 WpHG, § 23 Abs. 6 VAG, § 55b Abs. 2 S. 2 Nr. 7 WPO und § 28 Abs. 1 S. 2 Nr. 9 KAG

Nach dem neuen Hinweisgeberschutzgesetz ist die Einrichtung einer Hinweisgeberstelle für Unternehmen ab 50 Mitarbeitern verpflichtend.

Für die Compliance-Praxis besonders wichtig ist die Frage, wie nach dem Eingang eines Hinweises weiter zu verfahren ist. So muss dem Hinweisgeber nachdem neuen HinweisgeberschutzG innerhalb von sieben Tagen nach Eingang der Meldung eine Eingangsbestätigung zugehen, und spätestens nach 3 Monaten soll der Hinweisgeber über die eingeleiteten Folgemaßnahmen informiert werden.

Aus Unternehmenssicht besonders wichtig ist die Einleitung von Folgemaßnahmen, also unternehmenseigene interne Ermittlung zur Aufklärung des Vorfalls. Die Definition eines solchen Prozess steht im ureigensten Interesse des Unternehmens. Es ist daher von zentraler Bedeutung, zum Schutz aller Beteiligten klare Prozesse und Eskalationswege für den Umgang mit dem Hinweis bis zur Einleitung und Durchführung unternehmenseigener Ermittlungen zu definieren. Dies dient zum einen der Gewährleistung der Unschuldsvermutung für die verdächtigten Personen. Zum anderen ermöglicht dies dem Compliance-Beauftragten eine unabhängige Durchführung von Ermittlungen und stärkt so seine Position.

Vertragsmanagement

Beim Vertragsmanagement ist darauf zu achten, dass, wenn möglich, einheitliche und standardisierte Verträge / Muster verwendet werden. Der Vertragsschluss sowie spätere Änderungen müssen vollständig dokumentiert werden. Ferner sind eine zentrale Inhaltskontrolle und Genehmigungsprozesse durchzuführen, um unzulässige Leistungen zu verhindern. 

Verträge mit Geschäftspartnern sollten eine Anti-Korruptionsklausel enthalten.

Prüfung und Sanktion

Für eine effektive und nachhaltige Umsetzung der Compliance-Maßnahmen ist die regelmäßige Überprüfung der Maßnahmen selbst sowie deren Einhaltung und Umsetzung erforderlich. Organisatorische Maßnahmen haben nur dann Erfolg, wenn die Einführung und Umsetzung von Kontrollmaßnahmen flankiert werden. Daneben sollen sie die Voraussetzungen schaffen, Fehler zu erkennen und entsprechende Korrekturmaßnahmen einzuleiten.

Einer der wichtigsten Träger der Kontrolle in Unternehmen ist die Interne Revision. Neben der Internen Revision, deren Aufklärungswillen durch hierarchische Unterstellungen begrenzt sein kann, kontrolliert auch der Wirtschaftsprüfer das Rechnungswesen als externer Revisor. Daher sollte die Compliance-Abteilung mit der Revision eng zusammenarbeiten. Bei Verstößen gegen Gesetze und die im Unternehmen geltenden Richtlinien müssen die erforderlichen organisatorischen, disziplinarischen und rechtlichen Maßnahmen konsequent umgesetzt werden.

Zur Überwachungspflicht der Geschäftsführung gehört es daher, präventive Kontrollen dahingehend durchzuführen, dass die von der Geschäftsführung implementierten Maßnahmen von den Mitarbeitern auch tatsächlich durchgeführt werden und zweckmäßig sind. Zur Erfüllung dieser Pflicht reicht es nicht aus, erst bei Bestehen konkreter Verdachtsmomente interne Ermittlungen durchzuführen. Auch reicht es nicht aus, gelegentlich und oberflächlich nach dem Rechten zu sehen. Vielmehr muss die Geschäftsleitung regelmäßig stichprobenartige und überraschende Kontrollen durchführen.

Bestandteil der Kontrollen ist auch die angemessene Dokumentation. Diese erleichtern zum einen die Nachprüfung durch Revisionen, machen aber zum anderen präventiv einen Verstoß schwieriger, da entweder der Verstoß dokumentiert wird oder aber die Dokumentation gefälscht wird. Beides kann als zusätzliche Hemmschwelle wirken, die potenzielle Täter abschreckt.

Sie möchten eine transparente, positive Unternehmenskultur fördern? Dann empfehlen wir unser bewährtes Hinweisgebersystem.

Mehr zum Hinweisgebersystem

Engagement in Sachen Compliance

Der Hanseatische Compliance Tag

Erleben Sie bei dieser regelmäßigen Veranstaltung fachkundige Vorträge von hochkarätigen Experten aus Wirtschaft, Wissenschaft und Politik – zu immer wieder neuen, spezifischen Themenschwerpunkten.

Mehr erfahren

Das Hamburger Compliance Zertifikat

PRO HONORE und die Handelskammer Hamburg haben gemeinsam das Hamburger Compliance Zertifikat entwickelt: Es verbessert Ihre Rechtssicherheit, stärkt Ihr Unternehmensimage und festigt die strategischen Beziehungen zu Ihren Geschäftspartnern.

Mehr erfahren

Als Mitglied bei PRO HONORE setzen Sie ein starkes Zeichen für mehr Ehrbarkeit und investieren nachhaltig in den Erfolg Ihres Unternehmens.

Unsere Mitgliedschaften