Home Kontakt Sitemap Suche

Compliance bei mittelständischen Unternehmen

1. Warum Compliance?

Compliance drückt mehr aus, als dass dem Gesetz gefolgt werden muss. Compliance ist einerseits die Gesetzestreue, andererseits aber auch die im Unternehmen strategisch gewollte und durchgeführte Gesetzesbefolgung mit einem Sicherungssystem, das vor Gesetzesverstößen und ihren Folgen schützen soll. Im Unternehmen wird nicht nur auf etwas passiv Akzeptiertes, sondern auf aktiv und strategisch Abgesichertes abgestellt.

Dabei geht es nicht nur um Informationen über einen Rechtszustand, sondern um die Folgen von Gesetzesverstößen, d. h. um Schadenersatz- und Haftungsansprüche sowie um strafrechtliche Sanktionen. Bezweckt wird, den Haftungsgrund oder Schadenersatzgrund zu vermeiden.

Corporate Compliance schränkt den Begriff auf Unternehmen ein. Somit bedeutet Compliance in Unternehmen die Gesamtheit der Maßnahmen, die Unternehmen ergreifen, um sicherzustellen, dass die extern vorgegebenen Regeln (z. B. Gesetze, Verordnungen), aber auch die internen Regeln, deren Maßstab ein ethisches oder verantwortliches Handeln (im Sinne einer guten Unternehmensführung) ist, eingehalten werden.

Die Anreize, ein Compliance-System einzuführen, können wie folgt systematisiert werden:

Ziel eines jeden Compliance-Systems ist es zunächst, Unregelmäßigkeiten zu verhindern. Jedoch darf Compliance nicht dazu führen, dass das operative Geschäft, also das „Geschäfte machen“, behindert wird. Zum anderen sollen auch ökologische und soziale Aspekte eines Unternehmens als Teil der Gesellschaft i.S.d. Corporate Social Responsibility (CSR) beachtet werden.

Heute wird Compliance in den Kontext der CSR gestellt, in dem eine erweiterte Verantwortung und Profilierung des Unternehmens in der Gesellschaft eingefordert wird, dass wirtschaftliche Wertschöpfung, soziale Gerechtigkeit und Erhalt der ökologischen Lebensbedingungen in Einklang gebracht werden (sog. wertebasierter Compliance-Ansatz).

Dem Wesen der Compliance ist immanent, dass kein abgeschlossener Katalog von Funktionen aufgestellt werden kann, weil viele Unternehmen unterschiedlichen Compliance-Risiken ausgesetzt sind.

So wird versucht, dass Compliance sowohl präventive als auch repressive Funktionen erfüllen soll.

Als präventive Funktionen werden verstanden:

}  Mitarbeiter-Schulungen

}  Interne Richtlinien

}  Hinweisgebersysteme

}  Zero tolerance policy.

Als repressive Funktion wird u. a. angesehen:

„Alarmsystem“ bei Unregelmäßigkeiten.

2. Bedeutung von Compliance für den Mit-
    telstand

Bei der Einrichtung eines jeden Compliance-Systems sollten die nachfolgend dargestellten wesentlichen Grundsätze, die in einem komplementären Verhältnis stehen, beachtet werden:

1. Flexibilität

2. Komplexität

3. Effizienz und Effektivität

4. Transparenz

5. Wirtschaftlichkeit

6. Schranken

7. Verhältnismäßigkeit

Ein Kerngrundsatz eines jeden Compliance-Systems stellt seine Flexibilität dar.

So ist bei der ersten Compliance-Risikoanalyse zu entscheiden, welche der gängigen Compliance-Elemente für das konkrete Risikoprofil eines Unternehmens implementiert werden sollten. Eine solche frühe Analyse kann im Ergebnis dazu führen, dass die Besonderheit des Unternehmens es erfordert, dass einige der gängigen Compliance-Elemente in der Aufbau- und Ablauforganisation des CMS nicht zur Anwendung kommen und andere Lösungen erarbeitet werden müssen.

Dies kann bei kleinen und mittleren Unternehmen (KMU) regelmäßig zutreffen, weil die erforderlichen Ressourcen nicht bereitgestellt werden können. Auch bei etablierten Compliance-Systemen spielt die Flexibilität eine erhebliche Rolle, weil ständig deren Effektivität zu prüfen ist. Bei KMU kann dies durchaus zu der Feststellung führen, dass aus Gründen der Flexibilität und Wirtschaftlichkeit überhaupt kein umfangreiches Compliance-System, sondern nur bestimmte Compliance-Elemente eingeführt werden.

Die Notwendigkeit einer Compliance in KMU steigt mit der Zunahme an qualitativen und quantitativen Risiken.

Beispiel für eine konkrete, bedürfnisorientierte Ausrichtung der Compliance:

Das Unternehmen U stellt 30 Mitarbeiter ein und macht einen Jahresumsatz von Mio. EUR 2. Bisher ist es bei U zu keinem Verstoß gekommen. Die wirtschaftliche Tätigkeit des U ist nicht sonderlich komplex. Seit vielen Jahren werden bestimmte Produkte von X importiert und nach ihrer Verarbeitung an Z exportiert. Die Produkte sind nicht gefährlich. U entscheidet sich für die Einführung eines Compliance-Systems. Ein umfangreiches Risikomanagementsystem wird nicht implementiert. Der Schwerpunkt liegt vielmehr auf dem Außenwirtschaftsrecht.

Eine Herausforderung für den Flexibilitätsgrundsatz stellen Standardisierungsversuche im Compliance-Bereich dar. Verschiedene Organisationen haben diverse Compliance-Standards erarbeitet, nach denen Unternehmen geprüft und zertifiziert werden können. Für Deutschland sind z. B. die Prüfungsstandards des IDW (IDW PS 980) entwickelt worden. Schließlich werden globale ISO-Standards präferiert.

Letztlich ist für jedes (einzelne) KMU zu prüfen, inwieweit die Aufgabe des Flexibilisierungsgrundsatzes zugunsten einer standardisierten Zertifizierung die erhofften Vorteile für das Unternehmen erbringt.

Ein zweiter wesentlicher Compliance-Grundsatz ist für KMU der Wirtschaftlichkeitsgrundsatz. Für KMU sollten die konkreten betriebswirtschaftlichen Risiken, jedoch nicht alle, abgesichert werden. Der Wirtschaftlichkeitsgrundsatz soll erreichen, dass bei der Einrichtung und Pflege von Compliance-Systemen nur solche „Einführungsinvestitionen“ getätigt werden, die zwingend notwendig sind. Bei bereits existierenden Betriebsstrukturen (wie interne Revision, interne Kontrolle, Risikomanagementsystem) kann es ausreichend sein, diese Strukturen/Elemente in ein Compliance-System zu integrieren.

Ein dritter wesentlicher Compliance-Grundsatz sollte der Schrankengrundsatz sein. Dieser Grundsatz besagt, dass bei jeder Compliance-Maßnahme die Grenzen des Zulässigen zu beachten sind. Ist eine Compliance-Maßnahme zwar rechtlich zulässig, hält sich aber nicht im Rahmen des für bestimmte Personen Zumutbaren, so wird sie keine positive Wirkung entfalten.

Das Ziel einer internen Untersuchung wird verfehlt und kann sogar den worst case herbeiführen, wenn die Grenzen zulässiger Nachforschungen überschritten werden. Insbesondere im Bereich des Datenschutzrechts sind jegliche Verstöße mit gewichtigen Sanktionen und weiteren Folgen gegen das Unternehmen verbunden.

Weitere Grenzen ergeben sich im Bereich des Arbeitsrechts, aber auch des Verfassungsrechts im Zusammenhang mit dem allgemeinen Persönlichkeitsrecht (z. B. bei der Videoüberwachung des Arbeitsplatzes, dem Abhören privater Gespräche oder der Kontrolle des E‑Mail-Verkehrs).

Als vierter wesentlicher Compliance-Grundsatz ist der Verhältnismäßigkeitsgrundsatz (z. B. bei Bagatelltaten) zu beachten. Dieser Grundsatz stellt eine der wichtigsten Ausprägungen des Rechtsstaates dar und durchdringt die gesamte Rechtsordnung. Eine Voraussetzung für die Funktionsfähigkeit eines jeden Compliance-Systems ist seine Akzeptanz.

3. Compliance durch Organisation, Prozesse
    und Optimierung

Generell lassen sich die folgenden Schritte unterscheiden:

3.1   Compliance Organisation

Zunächst sollte ein unabhängiger Compliance-Beauftragter oder -Verantwortli-cher benannt werden, wobei die letztendliche Verantwortung stets bei den Unternehmensorganen verbleibt. Der Unternehmer ist aufgrund seines Führungsprofils nicht unbedingt dazu prädestiniert, die Arbeit eines Compliance-Beauftragten wahrzunehmen.

Bei einem Compliance-Beauftragten wird die notwendige Kontrolle und stärkere Formalisierung auf einen Dritten delegiert. Möglich ist es bei KMU, den Bereich Compliance im Controlling als Zusatzaufgabe zu etablieren, wobei dann das Controlling in die Nähe einer Kontrollfunktion gerückt wird, während die Steuerungsfunktion des Unternehmens im Mittelpunkt stehen sollte.

Letztlich ist die Compliance-Organisation an der Unternehmensstruktur und den Compliance-Risiken auszurichten.

3.2   Compliance-Felder bzw. -Risiken

Ein aufschlussreicher Zugang zu den betrieblichen Compliance-Risiken aufgrund der Risikoanalyse bietet sich über die Beziehungen des Unternehmens zu seinen Stakeholder-Gruppierungen an.

Bei den Stakeholdern bestehen in den Interaktionsprozessen Risiken bzw. regelabweichende Verhaltensweisen. Untersuchungen von Corporate Compliance in mittelständischen Unternehmen weisen insbesondere als Risikofelder den Vertriebs- und Einkaufsbereich aus.

Schwierig ist - je nach Unternehmensgröße - die Grenzziehung zwischen noch compliant einerseits und schon non-compliant andererseits. Handelt es sich bei der Einladung des Einkaufsleiters im Kundenunternehmen zum Abendessen im „Sterne“-Restaurant um eine akzeptable Kundenbewirtung oder liegt bereits eine unlautere Gewährung persönlicher Vorteile vor?

Schwierig ist in diesem Zusammenhang auch die Beurteilung der Einladung von Kundenbevollmächtigten in die VIP-Lounge. Jedenfalls ist das Management (Geschäftsführung, Vorstand) gefordert, klare Entscheidungen über betriebliche Standards zu treffen, die kompatibel mit den rechtlichen Vorschriften sind.

Zum Zwecke der Bewältigung von Koordinationsanforderungen in Compliance-Systemen erscheint die Implementierung eines formalisierten Verhaltenskodex förderlich. In der Praxis haben sich die Begriffe

}  Code of Conduct

}  Compliance Code

}  Verhaltensrichtlinien

herausgebildet. Dieser Kodex stellt eine für alle Mitarbeiter gut kommunizierbare Orientierung hinsichtlich der von der Unternehmensleitung autorisierten Verhaltenserwartungen dar, die individuell nicht zur Disposition stehen und von den einzelnen Aufgabenträgern strikt zu beachten sind.

3.3   Compliance-Optimierung

Das installierte Compliance-System muss einer stetigen Kontrolle unterzogen werden, damit es effektiv und effizient bleibt. Diese Evaluation führt zu einer kontinuierlichen Anpassung (Erweiterung, Aufhebung, Änderung) der anzuwendenden Compliance-Richtlinien und trägt damit dem Flexibilitätsgrundsatz Rechnung.

3.4   Maßnahmen zur Aufarbeitung von Compliance-Verstößen

Jedes Compliance-System hat in seiner repressiven Funktion bestimmte Maßnahmen bei konkreten Compliance-Verstößen vorzusehen und umzusetzen.

3.5   Zusammenwirken der einzelnen Compliance-Elemente

Die einzelnen Compliance-Elemente/Maß-nahmen sollen in ihrer Gesamtheit zusammenwirken und die gewünschte Effektivität erzeugen.

Liebe Leserinnen und Leser, der Fachaufsatz wird in der kommenden Ausgabe April 2017 mit einer eingehenderen Behandlung der Compliance-Risiken fortgesetzt.

Themenübersicht

AllgemeinesHGBSteuernArchiv

UHY Wahlen & Partner

Ihr Ansprechpartner für erfolgreiches und neues Unternehmertum

Industriestraße 161
50999 Köln
Telefon +49 2236 33005 - 0
Telefax +49 2236 33005 - 99
Koeln@UHY-Wahlen.de

Walther-von-Cronberg-Platz 13
60594 Frankfurt a.M.
Telefon +49 69 660 593 79 - 0
Telefax +49 69 660 593 79 - 99
Frankfurt@UHY-Wahlen.de

Mitglied von Urbach Hacker Young International Limited – Ein internationaler Verbund unabhängiger Wirtschaftsprüfungs- und Beratungsgesellschaften

© UHY Wahlen & Partner 2024
Datenschutz  Impressum