Compliance im Mittelstand – pragmatisch die Zielsetzungen erreichen

Nürnberg, 13.09.2023 (PresseBox) - Eine häufige Erfahrung in Kundenprojekten ist, dass mittelständische Unternehmen auf das Thema Compliance mit der kritischen Frage: „Und wer soll das machen?“ reagieren. Natürlich verfügt ein Mittelständler nicht über die gleichen Ressourcen wie ein Konzern, bei dem sich eine mehrköpfige Compliance-Abteilung mit dem Thema beschäftigt. Nichtsdestotrotz gelten für den Mittelstand und Konzerngesellschaften die gleichen gesetzlichen Rahmenbedingungen.

Mannigfache Krisen, internationale Verflechtungen, herausfordernde politische Entwicklungen: Tendenziell nehmen die Risiken für Unternehmen zu. Die Geschäftswelt ist zunehmend schwerer einschätzbar, dynamischer und komplexer. Compliance ist für Mittelständler eine wichtige Grundlage geworden, um das Unternehmen abzusichern, vor potenziellen Risiken zu schützen und damit eine Grundlage für den langfristigen Unternehmenserfolg zu schaffen. Gute Compliance kann das Unternehmen bestmöglich absichern und frühzeitig sich anbahnende Krisen und Probleme anzeigen. Für eine effektive Umsetzung des Compliance-Managements ist es besonders im Mittelstand wichtig, die Ressourcen klug einzusetzen und alle im Unternehmen für das Thema zu sensibilisieren. Noch allzu oft wird Compliance als Nebenaufgabe wahrgenommen und die tatsächlich bestehenden Risiken massiv unterschätzt.

Die Einhaltung von Gesetzen, internen Richtlinien und ethischen Standards sichert, dass sich Mitarbeitende im Unternehmen regelkonform verhalten und die Unternehmenswerte gelebt werden. So lassen sich durch Compliance Haftungsrisiken für die Geschäftsführung, das Management und den möglicherweise vorhandenen Aufsichtsrat reduzieren, das eigene Vermögen schützen, der Zugang zu den Absatzmärkten sichern und Reputationsschäden vermeiden.

Doch Compliance ist nicht nur eine gesetzliche Verpflichtung, sondern auch eine grundlegende Voraussetzung für das Vertrauen von Kunden, Investoren und der Gesellschaft insgesamt. Ein wesentlicher und langfristiger Nutzen einer erfolgreichen Compliance ist eine Reputationssteigerung und eine starke Kundenbindung.

„Wir kennen unsere Pappenheimer!“. Wirklich? Risiken rechtzeitig erkennen und vermeiden

Ein Fehler aus Unwissenheit oder Unachtsamkeit bis hin zur bewussten Schädigung des Unternehmens: Die Breite der Gründe für Compliance-Verstöße ist immens, und viele Unternehmen kennen derartige Situationen, wenn auch nur selten darüber gesprochen wird. In Unternehmen, in denen es zu einem Compliance-Verstoß kommt, bleibt das oft kein Einzelfall. Verstöße entstehen dort, wo Compliance nicht gelebt wird und demzufolge eine stabile Compliance-Kultur und eine strukturelle Integrität fehlen. Das kann für ein Unternehmen schwerwiegende Folgen haben.

Jedes Unternehmen hat eine individuelle Anzahl potenzieller Gefahren und somit relevanter Herausforderungen. Doch, wie lassen sich die Risiken greifen? Diese Risiken sind vielfältig und treten je nach Geschäftsmodell in ganz unterschiedlichen Bereichen auf. Beispielhaft können genannt werden:

• Gefahren von Wirtschaftskriminalität wie Geldwäsche oder Korruption und Vorteilsnahme
• Arbeitsrechtliche Risiken, beispielsweise im Bereich Arbeitsschutz, Arbeitszeiterfassung oder bei Gleichbehandlungsfragen, Diskriminierung und Belästigung am Arbeitsplatz
• Anforderungen durch das Hinweisgeberschutzgesetz, wie die Verpflichtung zur Vertraulichkeit oder unabhängige Untersuchungen
• Umwelt- und Nachhaltigkeitsauflagen, wie Abfallmanagement, Naturschutz oder Nachhaltigkeitsberichterstattung
• Unternehmerische Sorgfaltspflichten zur Vermeidung von Menschenrechtsverletzungen in Lieferketten und die Einhaltung von Standards oder Lieferketten-Transparenz
• Unzutreffendes Rechnungswesen mit Folge in der Bilanzierung und in den Steuererklärungen

Natürlich sind hier die Schwerpunkte von Unternehmen zu Unternehmen verschieden: Für ein Maschinenbauunternehmen sind andere Compliance-Themen relevant als für ein Dienstleistungsunternehmen. Ein Unternehmen kann seine Compliance-Risiken minimieren, indem es seine potenziellen Gefahren analysiert und Präventionsmaßnahmen festlegt. Compliance-Risiken, -Regeln und -Maßnahmen werden durch ein Compliance-Management in die Systematik überführt. Das Compliance-Management zielt darauf ab, dass alle für das Unternehmen relevanten Gesetze, Vorschriften und ethischen Standards eingehalten werden. Für die Entwicklung eines passenden Compliance-Management-Systems wird im ersten Schritt eine Strukturanalyse durchgeführt. Hier wird gemeinsam mit der Geschäftsleitung geschaut: Wo im Unternehmen haben wir Risiken, gegen Bestimmung zu verstoßen? Wie sind wir organisiert, um das Vermögen der Gesellschaft zu schützen? Wie müssen wir diese Risiken in Bezug auf Eintrittswahrscheinlichkeit und Schadenspotenzial bewerten? Sind spezifische Compliance-Risiken mit Blick auf die jeweiligen Unternehmensbereiche identifiziert und bewertet, lassen sich passende Maßnahmen finden. Die Compliance-Risiken bilden die Grundlage für eine wirksame Ausrichtung der Compliance-Maßnahmen im Unternehmen und der Implementierung eines Risikomanagements. Dafür wird eine solide Compliance-Basis nach Zertifizierungsstandards entwickelt.

Angemessen und transparent: Das CMS im Mittelstand

Ein Compliance-Management-System wird im Unternehmen verankert, um Unternehmen, Geschäftsleitung und handelnde Personen vor strafrechtlicher oder zivilrechtlicher Haftung zu schützen, die Risiken von finanziellen Verlusten oder Imageschäden zu reduzieren oder idealerweise zu vermeiden. Es gibt keine explizite Rechtsprechung in Deutschland, wie ein Compliance-Management-System aussehen müsste. Das entscheidet die Geschäftsführung. Diese Entscheidung ist eine Ermessensentscheidung (Business-Judgement-Rule), bei der individuelle Risiken und die Ziele des Unternehmens berücksichtigt werden müssen. Somit empfehlen sich verschiedene nationale und internationale Standards für Compliance-Management-Systeme. Nach dem IDW-Prüfungsstandard 980 sollte ein CMS über die wichtigen Grundelemente verfügen: Compliance-Kultur, -Ziele, -Risiken, -Programm, -Organisation, -Kommunikation, -Überwachung und Verbesserung.

Mit der ISO 37301 wurde ein aktiver Management-Standard entwickelt. Die ISO 37301 beinhaltet die Anforderungen, die sicherstellen, dass ein Unternehmen ein wirksames CMS einführen, umsetzen und aufrechterhalten kann. Zu den Hauptpunkten gehören:

• Planen: Compliance-Risiken werden systematisch identifiziert, bewertet und bewältigt, Rollen und Verantwortlichkeiten werden festgelegt.
• Durchführen: Die Führungsebene stellt mit ausreichend Ressourcen und Unterstützung sicher, dass das CMS im Unternehmen umgesetzt wird. Sie schafft mit entsprechender Kommunikation und Schulungen ein Bewusstsein für das Thema und steuert Compliance-Maßnahmen.
• Prüfen: Implementierung interner Kontrollen und kontinuierliche Verbesserung, um die Wirksamkeit des CMS zu gewährleisten.
• Handeln: Das Compliance-Management wird kontinuierlich verbessert und Compliance-Fälle bearbeitet.

Die Entwicklung des Compliance-Management-Systems wird systematisch umgesetzt:

1. Zielbild definieren: Im ersten Schritt wird die Ist-Situation im Unternehmen skizziert und mit Vorstand und ggf. dem überwachenden Aufsichtsrat das Zielbild des CMS abgestimmt. Die Anforderungen dafür ergeben sich aus dem Geschäftsmodell und der Wertschöpfungskette des Unternehmens.
2. Roadmap erstellen: Die Analyse des bestehenden Compliance-Managements, die Strukturanalyse und die Identifikation rechtlicher Anforderungen und sonstiger Regelungen bilden die Basis.
3. Konzeption entwickeln: In diesem Zuge werden verschiedene Methoden zur Verankerung und zur Überwachung der Prozesse sowie zum Monitoring und zur Steuerung von Risiken ausgewählt.
4. Implementierung: In diesem Schritt erfolgt die Umsetzung durch Anpassung der Organisation der Compliance-Strukturen. Es werden Prozesse angepasst, Schulungen und Trainings durchgeführt und das Monitoring der Wirksamkeit aufgebaut.

Allein die Existenz von Compliance-Regeln und -Maßnahmen reicht nicht aus, um eine wirksame Compliance im Unternehmen zu implementieren. Compliance muss gelebt werden. Dafür braucht es eine lebendige Compliance-Kultur.

Welcher Wind weht im Unternehmen? Die Compliance-Kultur

Eine Compliance-Kultur sieht in jedem Unternehmen anders aus. Hier spielen wie beim Compliance-Management insgesamt viele individuelle Faktoren eine Rolle, wie die Größe, Branche, Unternehmensstrategie, kulturelle und wirtschaftliche Kontexte oder der Standort. Für den Aufbau einer lebendigen, langfristigen und belastbaren Compliance-Kultur gibt es viele mögliche Stellschrauben.

Welches Wertesystem gibt es im Unternehmen? Welcher „Spirit“ herrscht hier? Welche Überzeugungen bestehen, werden gelebt und vorgelebt? Die Vorbildfunktion der Unternehmensführung hat einen großen Einfluss auf die Compliance-Kultur. Wie ernst werden Regeln genommen? Werden zugunsten einer starken Wettbewerbssituation auch mal beide Augen bei unlauteren Geschäftspraktiken zugedrückt? Oder wird selbst ein lukrativer Auftrag konsequent abgelehnt, wenn der potenzielle Auftraggeber nicht die ethischen Standards erfüllt? Der „Tone from the Top“ beeinflusst die Compliance-Kultur enorm. Das Management sollte auf allen Ebenen ein integres und verantwortungsvolles Verhalten an den Tag legen und aktiv und sichtbar vorleben, was sie von der Belegschaft in puncto Verhaltensstandards erwarten. Konsequenterweise soll deutlich werden, dass compliancewidriges Verhalten nicht toleriert und regelkonformes Verhalten honoriert wird, etwa wenn es um Beförderungen geht.

Bei der Vermittlung der Unternehmenswerte, Compliance-relevanten Regeln und Verhaltensgrundsätze spielt eine transparente und klare Kommunikation eine große Rolle. Themen wie Ethik und Integrität entfalten ihre gewünschte Wirkung, wenn sie nicht nur im rechtlichen Kontext abgehandelt, sondern als glaubhafte Unternehmenswerte vermittelt werden. Inhalte, die mit Beispielen aus der Praxis vermittelt werden, prägen sich ein. Mitarbeitenden sollte es mit einem Hinweisgebersystem einfach und anonymisiert möglich sein, beobachtete und festgestellte Probleme, Compliance-Risiken, Fehlverhalten oder Missstände im Unternehmen zu kommunizieren. Eine authentische Compliance-Kultur ist heute kein „nice to have“ mehr, sondern die Voraussetzung dafür, dass ein Compliance-Management-System funktioniert.

Bei der Enwticklung und Umsetzung eines effektiven Compliance-Management ist es wichtig, mit dem richtigen Augenmaß Schwerpunkte und Maßnahmen zu definieren, die für das mittelständische Unternehmen relevant sind. Es geht besonders im Mittelstand bei Compliance darum, eine ausgewogene Balance zwischen Pflichterfüllung und positiver Unternehmenskultur herzustellen. Bei der erfolgreichen Entwicklung und Implementierung eines Compliance-Management-Systems in mittelständischen Unternehmen werden passend und pragmatisch alle unternehmensspezifischen Anforderungen erfüllt.