Die Fortführung des ersten Teils dieser dreiteiligen Serie behandelt die nächsten zwei Dimensionen des Compliance-Würfelmodells: die Aktivitäten und die Personen.
Dimension 3: Aktivitäten
Zur Sicherstellung und Verbesserung eines «State of the Art»-Compliance-Management-Systems (Compliance-MS) sind nebst der Kultur und Einbettung zusätzlich verschiedene Compliance-Aktivitäten notwendig.
Compliance-Risk-Assessment:
Ein gutes Compliance-Risk-Assessment erkennt tätigkeitsbezogene Risikofelder des KMU und bewertet mindestens einmal jährlich die Wahrscheinlichkeit und die Schadenshöhe von identifizierten Compliance-Risiken (so zum Beispiel Kartell-/Vergaberecht, Beamten-/Privatbestechung, Datenschutz, Umweltrecht, Exportkontrolle, Steuerrecht, Fraud) in Form einer Risk Map.
Anschliessend wird das Ganze dokumentiert, eine Berichterstattung an den Verwaltungsrat durch die Geschäftsleitung erstellt, Massnahmen werden getroffen und alles wird überwacht.
Schulungen:
Schulungen spielen eine wichtige Rolle, aber sie müssen zielorientiert, stufengerecht und auf das Compliance-Risikoprofil des KMU ausgerichtet sein. Ihre genaue Ausgestaltung richtet sich nach den verfügbaren Ressourcen und den Bedürfnissen des jeweiligen KMU. Entscheidend ist, dass regelmässig und stufengerecht über alle Hierarchieebenen hinweg angemessene Schulungen stattfinden. Das kann durch Präsenzunterricht oder webbasiert geschehen. Compliance-Schulungen sollten auch darauf ausgerichtet sein, die Individuen für Compliance und Integrität und deren Nutzen und Notwendigkeit zu sensibilisieren und zu integrem und selbstverantwortlichem Handeln im Geschäftsalltag zu befähigen. Schulungen und Teilnehmerlisten sind zu dokumentieren. Gemäss einer von Bratschi AG im Jahr 2015 bei schweizerischen KMU durchgeführten, nicht repräsentativen Umfrage schulten 68 Prozent der KMU ihre Mitarbeitenden.
Sanktionierung bei Fehlverhalten:
Fehlverhalten sollte über alle Stufen hinweg unter keinen Umständen toleriert werden. Für schwere Compliance-Verstösse gilt die «Zero Tolerance»-Maxime. Der konsequenten Sanktionierung kommt für die Glaubwürdigkeit und Präventionswirkung des Compliance-Management-Systems eine wichtige Rolle zu. Es erstaunt deshalb nicht, dass, gemäss der Compliance-Essentials-Studie 2017 des KICG, der konsequente Umgang mit Compliance-Verstössen als eines der sechs Compliance-Essentials bezeichnet wurde. Bei einem Compliance-Verstoss ist es von entscheidender Bedeutung, angemessene Massnahmen / Sanktionen (zum Beispiel Verwarnung, Kündigung, Verfahren) zeitnah zu treffen und mindestens intern zu kommunizieren.
Compliance-Berichterstattung:
Eine klare, regelmässige und inhaltlich je nach den Bedürfnissen des KMU festgelegte Compliance-Berichterstattung ist eine Voraussetzung für eine funktionierende Compliance. Mindestens einmal jährlich soll eine angemessene Standard- oder im Bedarfsfall auch kurzfristige Ad-hoc-Compliance-Berichterstattung an die Geschäftsleitung und den Verwaltungsrat stattfinden und diese ist entsprechend zu protokollieren. Gemäss einer von Bratschi AG im Jahr 2015 bei schweizerischen KMU durchgeführten, nicht repräsentativen Umfrage fand bei 59 Prozent der KMU eine Compliance-Berichterstattung an den Verwaltungsrat statt.