Die Dimensionen eines wirksamen Compliance-Managements

Die Fortführung des ersten Teils dieser dreiteiligen Serie behandelt die nächsten zwei Dimensionen des Compliance-Würfel­modells: die Aktivitäten und die Personen.

Dimension 3: Aktivitäten

Zur Sicherstellung und Verbesserung eines «State of the Art»-Compliance-­Management-Systems (Compliance-MS) sind nebst der Kultur und Einbettung zusätzlich verschiedene Compliance-­Aktivitäten notwendig. 

Compliance-Risk-Assessment:

Ein gutes Compliance-Risk-Assessment erkennt tätigkeitsbezogene Risikofelder des KMU und bewertet mindestens einmal jährlich die Wahrscheinlichkeit und die Schadenshöhe von identifizierten Compliance-Risiken (so zum Beispiel Kartell-/Vergaberecht, Beamten-/Privat­bestechung, Datenschutz, Umweltrecht, Exportkontrolle, Steuerrecht, Fraud) in Form einer Risk Map.

Anschliessend wird das Ganze dokumentiert, eine Bericht­erstattung an den Verwaltungsrat durch die Geschäftsleitung erstellt, Massnahmen werden getroffen und alles wird überwacht.

Schulungen:

Schulungen spielen eine wichtige Rolle, aber sie müssen zielorientiert, stufengerecht und auf das Compliance-Risikoprofil des KMU ausgerichtet sein. Ihre genaue Ausgestaltung richtet sich nach den verfügbaren Ressourcen und den Bedürfnissen des jeweiligen KMU. Entscheidend ist, dass regelmässig und stufengerecht über alle Hierarchieebenen hinweg angemessene Schulungen stattfinden. Das kann durch Präsenzunterricht oder webbasiert geschehen. Compliance-Schulungen sollten auch darauf ausgerichtet sein, die Individuen für Compliance und Integrität und deren Nutzen und Notwendigkeit zu sensibilisieren und zu integrem und selbstverantwortlichem Handeln im Geschäftsalltag zu befähigen. Schulungen und Teilnehmerlisten sind zu dokumentieren. Gemäss einer von Bratschi AG im Jahr 2015 bei schweizerischen KMU durchgeführten, nicht repräsentativen Umfrage schulten 68 Prozent der KMU ihre Mitarbeitenden.

Sanktionierung bei Fehlverhalten:

Fehlverhalten sollte über alle Stufen hinweg unter keinen Umständen toleriert werden. Für schwere Compliance-Verstös­se gilt die «Zero Tolerance»-Maxime. Der konsequenten Sanktionierung kommt für die Glaubwürdigkeit und Präventionswirkung des Compliance-Management-Systems eine wichtige Rolle zu. Es erstaunt deshalb nicht, dass, gemäss der Compliance-Essentials-Studie 2017 des KICG, der konsequente Umgang mit Compliance-Verstössen als eines der sechs Compliance-Essentials bezeichnet wurde. Bei einem Compliance-Verstoss ist es von entscheidender Bedeutung, angemessene Massnahmen / Sanktionen (zum Beispiel Verwarnung, Kündigung, Verfahren) zeitnah zu treffen und mindestens intern zu kommunizieren.

Compliance-Berichterstattung:

Eine klare, regelmässige und inhaltlich je nach den Bedürfnissen des KMU festgelegte Compliance-Berichterstattung ist eine Voraussetzung für eine funktionierende Compliance. Mindestens einmal jährlich soll eine angemessene Standard- oder im Bedarfsfall auch kurzfristige Ad-hoc-Compliance-Berichterstattung an die Geschäftsleitung und den Verwaltungsrat stattfinden und diese ist entsprechend zu protokollieren. Gemäss einer von Bratschi AG im Jahr 2015 bei schwei­zerischen KMU durchgeführten, nicht repräsen­tativen Umfrage fand bei 59 Prozent der KMU eine Compliance-Berichterstattung an den Verwaltungsrat statt.

Dokumentation:

Nicht nur das Compliance-MS selber, sondern auch andere Compliance-relevante Elemente wie Compliance-Verpflichtungen (zum Beispiel Verhaltenskodex), Prozesse, Aktivitäten, Massnahmen, Berichte, Risikoanalysen und -bewertungen, Durchführung von Schulungen, Verstösse, Audits etc. sind zu dokumentieren. Das bedeutet, dass diese Compliance-Dokumente mindestens jährlich zu überprüfen und falls nötig anzupassen sind.

Vertragsgestaltung:

Verträge mit Dritten sollten aus Gründen der Trans­parenz und Dokumentation schriftlich abgeschlossen werden und es empfiehlt sich, Compliance-bezogene Klauseln standardmässig einzubauen, um das KMU angemessen zu schützen. Das kann zum Beispiel wie folgt geschehen. Verpflichtung des Vertragspartners zur Abgabe einer schriftlichen Compliance-Erklärung, Compliance-Klausel (Einhaltung gesetzlicher und vertraglicher Normen vom Vertragspartner), Auditklausel, Informations- und Auskunftsrechte und für den Fall eines Verstosses Schaden­ersatzzahlungen, Konventionalstrafen oder (fristlose) Sonderkündigungsrechte.

Geschäftspartnerprüfung:

Jedes KMU sollte mögliche Geschäftspartner sorgfältig auswählen, um Compliance-Risiken zu vermeiden oder zumindest zu minimieren. Deshalb wird empfohlen, ein angemessenes und risikobasiertes Verfahren für die Geschäftspartnerprüfung festzulegen. Die Überprüfung von bestehenden oder neuen Geschäftspartnern folgt einem einfachen, aber klar definierten Prozess und ist zu dokumentieren. Je nach Aktivitätsbereich besteht unabhängig von der Grösse des KMU sowieso die Pflicht, aufgrund der geltenden internationalen und nationalen Exportkontrollen oder Anti-Terror-Gesetze und Verord­nungen vor einer Geschäftsbeziehung zu überprüfen, dass keine Warenlieferungen oder Zahlungen an mutmassliche terroristische Personen, Gruppierungen und Organisationen getätigt werden. 

Das Seco bietet auf seiner Homepage kostenlos ein Such-Tool und eine Wegleitung für Sanktionsadressaten an (www.seco.admin.ch/seco/de/home/Aus­sen­wirtschaftspolitik_Wirtschaftliche_Zusammenarbeit/Wirtschaftsbeziehungen/exportkontrollen-und-sanktionen/sank­tionen-embargos/sanktionsmassnahmen/suche_sanktionsadressaten.html). 

Gemäss einer von Bratschi AG im Jahr 2015 bei schweizerischen KMU durchgeführten, nicht repräsentativen Umfrage fand bei 23 Prozent der KMU eine Geschäftspartnerprüfung statt.

Verpflichtungen identifizieren:

Es empfiehlt sich, vor der Durchführung des Compliance-Risk-Assessments sämtliche relevanten Compliance-Verpflichtungen und deren Auswirkungen auf die Aktivitäten, Produkte und Dienstleistungen des KMU zu identifizieren und angemessen zu dokumentieren. Diese festgestellten gesetzlichen, regulatorischen oder anderen freiwillig auferlegten Verpflichtungen (wie zum Beispiel ISO-Standards) sollen laufend durch bestimmte interne Verantwortliche überwacht werden, um bei Veränderungen reagieren zu können.

Kontinuierliche Verbesserung:

Für die kontinuierliche Verbesserung stellen der Verwaltungsrat und die Geschäftsleitung nicht zuletzt aufgrund ihrer Sorgfalts- und Aufsichtspflicht sicher, dass das Compliance-MS hinsichtlich Änderungen im Markt- und Geschäftsumfeld mindestens einmal jährlich systematisch überprüft, falls nötig angepasst und alles entsprechend dokumentiert wird.

Dimension 4: Personen

Letztendlich sind es immer – ganz gleich in welcher Organisation – Personen, die die Compliance mit ihrem konkreten Verhalten umsetzen oder eben nicht umsetzen. Deshalb muss bei den Personen vermehrt und gezielt darauf hingearbeitet werden, dass das nötige Bewusstsein und Wissen vorhanden sind, wie wichtig Compliance zum Schutz der Reputation des KMU ist, und diese Personen müssen auch den Willen haben, ihren Beitrag zur Compliance zu leisten und verantwortungs­bewusst zu handeln. Dabei kann nebst den Führungskräften gerade die Personal­abteilung einen ganz entscheidenden Beitrag leisten.

Rekrutierungsprozesse:

Der Rekrutierungsprozess ist die erste Gelegenheit, auf die Wichtigkeit und Bedeutung von Compliance und Integrität im KMU hinzuweisen. Dabei sollte das KMU Gewissheit darüber erhalten, ob die Person die Grundwerte und die Kultur des KMU versteht, ob sie diese akzeptiert und willens ist, sich entsprechend zu verhalten. Als Multiplikatoren und Botschafter der Unternehmens- und Compliance-Kultur sind Linienvorgesetzte im direkten Kontakt mit den Mitarbeitenden. Ihr vorbildliches Verhalten und ihre Einstellung zu Compliance beeinflussen die Mitarbeitenden. Aus diesem Grund ist die Auswahl geeigneter Linienvorgesetzter zentral und bei der Anstellung von neuen Mitarbeitenden respektive bei der Beförderung von Linienvorgesetzten Compliance und Integrität ausdrücklich anzusprechen und im Entscheidungs- sowie Einführungsprozess angemessen zu berücksichtigen.

Verhaltenskodex:

Der Verhaltens­kodex soll zusammen mit dem Arbeitsvertrag abgegeben werden, und zwar im Sinne einer Weisung und als unmiss­verständliche Erwartungshaltung des KMU. Denn gemäss Art. 321d OR darf der Arbeitgeber über die Ausführung der Arbeit und das Verhalten der Mit­arbeitenden im Betrieb allgemeine Anordnungen erlassen und ihnen besondere Weisungen erteilen.

Personalentwicklung und Leistungsbeurteilung:

Compliance und Integrität sind im Rahmen der jährlichen Leistungsbeurteilung und in der Per­sonalentwicklung zu berücksichtigen. So gilt es etwa, angemessene, messbare und do­kumentierte Compliance-Ziele standardmässig Teil der Zielvereinbarungsgespräche, des Leistungsbeurteilungsprozesses und ganz allgemein des Personalgesprächs werden zu lassen. 

Bei der Leistungsbeurteilung von Führungskräften kommt der Integration von Compliance und Integrität eine noch bedeutendere Rolle zu, weil sie im KMU diejenigen Personen sind, deren Verhalten Vorbild für die Mitarbeitenden ist. Zur Minimierung gewisser Compliance-Verhaltensrisiken wird empfohlen, Compliance und Integrität auf geeignete Art (zum Beispiel mit Fallstudien oder Dilemma-Si­tuationen) in die Personalentwicklungsprozesse des KMU zu integrieren.

Mitwirkung der Belegschaft:

Aktive Mitwirkung der Belegschaft und regelmässiges Einholen von Rückmeldungen sollten generell als Hauptquelle für eine kontinuierliche Verbesserung des Compliance-Management-Systems dienen. Deshalb ist die Belegschaft aufzufordern, Vorschläge zu un­terbreiten sowie Rückmeldungen und Hinweise zu geben, welche das Compliance-Management-Systems des KMU laufend verbessern.