Recht

Compliance und Recht (Teil 3 von 3)

Compliance-Management als Daueraufgabe

Die dreiteilige Serie zeigt auf, wer wieso und was mit Bezug auf Compliance sinnvoller­weise in einem KMU machen kann und sollte. Dieser dritte Beitrag behandelt die letzten beiden der insgesamt sechs Dimensionen des Compliance-Würfelmodells. Ein gesamthaftes Fazit bildet den Abschluss dieser Reihe.
PDF Kaufen

Dieser Beitrag geht auf die letzten beiden Dimensionen des Compliance-Würfel­modells ein: die Ressourcen und das Fundament. Danach ziehen wir das Fa­zit aus allen drei Teilen dieser Reihe.

Dimension 5: Ressourcen

Damit ein robustes Compliance-Mana­gement-System (Compliance-MS) entwickelt, implementiert und laufend ver­bessert werden kann, müssen durch die Geschäftsleitung gewisse personelle und finanzielle Ressourcen zur Verfügung gestellt werden. Gemäss einer von Bratschi AG im Jahr 2015 bei schweizerischen KMU durchgeführten, nicht repräsentativen Umfrage wurde bei neun Prozent der KMU ein spezifisches Compliance-Budget zur Verfügung gestellt. Dazu gehört auch eine interne oder externe Compliance-Funktion, die sich um alle Compliance-relevanten Aspekte kümmern kann, Trends und Entwicklungen verfolgt, Verbesserungsvorschläge unterbreitet, bei internen Untersuchungen mithilft und die Geschäftsleitung und die Linienvorgesetzten unterstützt. Die Aufgaben können von einer oder von mehreren Personen auch im Nebenamt wahr­genommen werden. Gemäss einer von Bratschi AG im Jahr 2015 bei schweize­rischen KMU durchgeführten, nicht re­präsentativen Umfrage verfügten zwölf Prozent der KMU über eine solche Compliance-Funktion.

Bei einem KMU empfiehlt es sich, eine allfällige Compliance-Funktion gleich­zeitig als Compliance-Beratungsstelle amten zu lassen, an die sich die Belegschaft bei Fragen respektive Unklarheiten betreffend Compliance oder für Meldungen von möglichen Compliance-Verstös­sen wenden kann. Erste Anlaufstelle sollte jedoch immer der unmittelbare Linienvorgesetzte sein.

Dimension 6: Fundament

Zum Fundament gehört auch bei einem KMU ein einfacher, schriftlicher Verhaltenskodex, der der Belegschaft bekannt ist, insbesondere was er konkret für ihre tägliche Arbeit bedeutet. Der Verhaltenskodex bestimmt die Pflichten der Mitarbeitenden im Hinblick auf die risikobehafteten Bereiche im KMU und sollte gewünschtes und nicht gewünschtes Verhalten und Handeln im KMU benennen. Er setzt sich in der Regel aus folgenden Elementen zusammen:

  • Vorwort des Verwaltungsrates und der Geschäftsleitung, in dem die Bedeutung und Wichtigkeit des Kodex dargelegt wird.
  • Bekenntnis des KMU zu Compliance.
  • Festlegung des konkreten Geltungs- und Anwendungsbereiches des Ver­haltenskodexes.
  • Definition der Grundwerte und der erwarteten Mindestverhaltensanfor­derungen an die Beschäftigten in den massgebenden Bereichen, z. B. Wett­bewerb, Datenschutz, Bestechung, Interessenkonflikte etc.
  • Hinweis auf Meldemöglichkeiten bei Feststellung von (möglichen) Compliance-Verstössen.
  • Hinweis auf die strikte Verbindlichkeit des Verhaltenskodexes sowie auf die möglichen Sanktionen bei Missachtung der Verhaltensregeln.
  • Beschreibung der Compliance-Orga­nisation und Benennung der An­sprech­partner zu Compliance-relevanten The­­men und Fragen.
  • Klare Regelung der Verantwortlich­keiten auf Stufe Verwaltungsrat, Geschäftsleitung, Linienvorgesetzte und Mitarbeitende.

Gemäss einer von Bratschi AG im Jahr 2015 bei schweizerischen KMU durchgeführten, nicht repräsentativen Umfrage verfügten 57 Prozent der KMU über einen Verhaltenskodex. Als Grundsatz gilt, dass jedes Mitglied eines Organs, jeder Linienvorgesetzte und jeder Mitarbeitende in seinem Verantwortungs- und Einfluss­bereich für Compliance verantwortlich ist. Die primäre Organisationsverantwortung für Compliance liegt klarerweise bei der Geschäftsleitung und den Linienvorgesetzten. Die Geschäftsleitung bestimmt die Grundzüge der personellen und strukturellen Organisation der Compliance-Funktion, welche Ressourcen ihr gewährt werden, sorgt für die ständige Verbesserung des Compliance-MS und muss zusammen mit den Linienvorgesetzten die Umsetzung und Sicherstellung von Compliance und Integrität im KMU sicherstellen. Die oberste Verantwortung für die Überwachung der Einhaltung von Compliance liegt jedoch gemäss Art. 716a Abs. 1 Ziffer 5 OR beim Verwaltungsrat. Die Organisation hat angemessene Richtlinien / Direktiven / Checklisten erlassen (Verhalten im Wettbewerb, Anti-Korruption, Datenschutz). Alle Vorgaben sollten auf die spezifischen Bedürfnisse des KMU ausgerichtet, massgeschneidert und für die Adressaten leicht zugänglich (wie Beispiel Intranet) und verständlich sein.

Für den Fall eines Compliance-Verstosses, bei dessen Eintritt man in aller Regel nicht viel Zeit hat, sich gross Gedanken zu machen, empfiehlt es sich, im Sinne einer Eventualplanung bereits einige Überlegungen (was wäre wenn?) zu machen und klare Vorgaben für Krisenmanagement, Notfälle oder behördliche Hausdurchsuchungen vorbereitet zu haben, die bekannt und mit den intern und extern zuständigen Per­sonen besprochen sowie eintrainiert sind.

Abschliessend empfiehlt es sich, zusätzlich zum Organisationsreglement eine Zuständigkeits- oder Entscheidungsmatrix zu erlassen, worin die geltenden Freigabegrenzen, Genehmigungserfordernisse und die Zuständigkeiten geregelt werden, und diese in geeigneter Form intern zu kommunizieren, zum Beispiel auf dem Intranet.

Fazit

Ein KMU kann im Vergleich zu einem internationalen Konzern den Vorteil haben, dass eine gewisse Nähe zwischen der Belegschaft und der Geschäftsleitung und dem Verwaltungsrat besteht und man sich in der Regel auch persönlich kennt. Dies entbindet jedoch die Geschäftsleitung und den Verwaltungsrat eines KMU nicht, sich der Compliance anzunehmen. Im Gegenteil ist vielmehr ein einfaches, auf das Risikoprofil und die besonderen Eigenheiten des KMU zugeschnittenes Compliance-MS aufzubauen, über die Zeit ein Compliance-Element nach dem anderen einzuführen und alles sauber zu dokumentieren.

Hierfür empfiehlt es sich, aufgrund der oben aufgeführten 6 Dimensionen des Compliance-Würfelmodells eine kurze Analyse des momentanen Zustandes des eigenen Compliance-MS zu machen, indem man die 6 Checkboxen mit den 29 Elementen in einem Dokument zusammenfasst. Der Fragebogen für die Erhebung wird an die Verwaltungsräte, die Geschäftsleitung und eine ausgewählte Anzahl von Linienvorgesetzten und an­deren Mitarbeitenden verteilt. Nach der gesetzten Frist zur Komplettierung des Fragebogens wertet man die erhobenen Daten aus. Das ergibt den Ist-Zustand. 

Sobald der Verwaltungsrat und die Geschäftsleitung im Anschluss definiert haben, wie der Soll-Zustand des KMU mit Bezug auf das Compliance-MS aussehen soll, geht es um die konkrete Umsetzung. Dabei sollte unter Abschätzung der erforderlichen und vor allem verfügbaren Ressourcen festgelegt werden, welche Massnahmen nach Vorgabe einer Priorisierung durch wen und bis wann umzusetzen sind. 

Die einzelnen Massnahmen führt man vorteilhafterweise in einer Art Compliance-Roadmap auf, verteilt sie möglichst ressourcenverträglich zum Beispiel über einen Zeitraum von circa drei Jahren, setzt sie laufend um und lässt die Umsetzung durch die Geschäftsleitung und den VR überwachen und kontrollieren. Dies hat nicht nur den Vorteil, dass nicht übermässig Ressourcen benötigt werden, sondern auch denjenigen, dass das KMU nicht mit zu vielen Compliance-Themen überlastet wird und die einzelnen Schritte gut umsetzen sowie verdauen kann.

Die Wirksamkeit eines Compliance-Management-Systems ist immer dann ge­geben, wenn die Grundsätze und Massnahmen von den hiervon Betroffenen nach Massgabe ihrer Verantwortung zur Kenntnis genommen (Wissen) und bei der täglichen Arbeit beachtet werden (Willen). Etwa alle drei bis fünf Jahre sollte durch ein Assessment der Zustand des Compliance-MS durch eine unabhängige und erfahrene externe Stelle überprüft werden. Der Aufbau und das Betreiben eines Compliance-MS ist eine Daueraufgabe, die es systematisch um­zusetzen und gemäss dem Wandel des Tätigkeitsbereiches des KMU und seines Umfeldes immer weiter zu überprüfen und kontinuierlich zu verbessern gilt.
Es ist jedoch nie zu früh, mit Compliance zu beginnen.

Porträt