Eine Modeerscheinung oder Notwendigkeit?

Das allgemeine Verständnis von Compliance vermittelt möglicherweise zunächst den Eindruck, es handle sich bloss um eine neumodische Beschreibung altbekannter Selbstverständlichkeiten. Dass dies nicht zutrifft und unter Compliance weit mehr zu verstehen ist, hat sich inzwischen jedoch herumgesprochen. Bemerkenswert ist auch die kontroverse Dis­kussion um das Thema Compliance. Wie kaum ein anderes rechtliches Thema polarisiert Compliance. Während sie die einen für unverzichtbar ansehen wird, wird sie von den anderen für das grösste Hindernis unternehmerischen Handelns gehalten. Nachfolgend sollen das aktuelle Verständnis und die derzeitige Bedeutung von Compliance beschrieben werden.

Der Begriff Compliance

Der Begriff «Compliance» wird in sehr unterschiedlicher Weise benützt. Er stammt aus der angloamerikanischen Rechtssprache und bedeutet übersetzt so viel wie «Handeln in Übereinstimmung mit bestehenden Regeln». Im allgemeinen Sprachgebrauch steht Compliance somit für die Einhaltung von gesetzlichen Bestimmungen, regulatorischen Standards, aber auch von selbstverpflichtenden Normen (wie zum Beispiel Code of Conduct, internen Weisungen und so weiter). Compliance wird darüber hinaus verschiedentlich aber auch als Haftungs­vermeidung durch das Befolgen der für das Unternehmen massgeblichen Rechts­regeln aller Art oder als Organisations­modell mit Prozessen und Systemen verstanden, welches die Einhaltung von gesetzlichen Bestimmungen und internen Standards sicherstellt. Diese beiden weiteren Bedeutungen stellen jedoch lediglich Teilaspekte des eingangs geschilderten, umfassenden Verständnisses von Compliance dar. Eine mögliche Haftungsvermeidung durch das Einhalten von Regeln beschreibt beispielsweise eine denkbare Wirkung von Compliance und das Organisationsmodell einen Schritt auf dem Weg zur Umsetzung einer umfassenden Compliance dar.

Die Grundsätze

Für eine konkrete Ausgestaltung eines Compliance-Programmes bestehen keine gesetzlichen Vorgaben. Zwar legen einzelne gesetzliche Bestimmungen durchaus den Schluss nahe, dass zumindest in einem gewissen Umfang Compliance rechtlich gefordert wird, doch findet sich keine eigenständige und umfassende Verpflichtung zu Compliance. Grundsätzlich herrscht aber darüber Einigkeit, dass die Firma eine Pflicht trifft, erfor­derliche, zumutbare und angemessene Massnahmen zu ergreifen, um drohende Schäden frühzeitig zu erkennen und sie abzuwenden. Eine Verpflichtung zu Compliance ergibt sich demnach bereits faktisch für jedes Unternehmen, welches die Einhaltung von Rechtsvorschriften anstrebt und darum bemüht ist, Schäden abzuwenden.

Trotz Fehlens eines einheitlichen Konzepts für ein effektives Compliance-Management können doch folgende Grund­elemente als zentral betrachtet werden:

Compliance ist Führungsaufgabe

Die Unternehmensführung muss sich zur Integrität als Kern der Unternehmenskultur bekennen und einen entsprechenden Verhaltenskodex (sogenannt «tone from and at the top») erlassen, wobei die Unternehmensführung dieses Bekenntnis zwingend vorleben und als gutes Beispiel vorangehen muss.

Grundsatz der Risikoadäquanz

Die Compliance-Bemühungen müssen in einem angemessenen Verhältnis zu den Risiken des Unternehmens stehen. Es müssen in einer Risikoanalyse diejenigen Risikobereiche identifiziert werden, in denen das Unternehmen wesentlichen Gefahren rechtsuntreuen Verhaltens ausgesetzt ist. Wer beispielsweise einschlägige Güter oder Dienstleistungen in die entsprechende Länder liefert, muss sich über das nationale und internationale Sanktionenregime Gedanken machen. Sodann wird jemand, der in erheblichem Umfang Geschäfte mit regierungsnahen Stellen in korruptionsgefährdeten Ländern betreibt, um eine Anti-Korruptions-Compliance nicht herumkommen.

Compliance-Organisation

Es müssen diejenigen organisatorischen Massnahmen ergriffen werden, die in den identifizierten Risikobereichen Rechtsverstösse zu vermeiden helfen. Es reicht dabei nicht, die jeweiligen Ressortzuständigen zu korrektem Verhalten anzuhalten, vielmehr ist eine spezifische Organisation mit ausreichenden sachlichen und personellen Ressourcen erforderlich. Dies bedeutet konkret, dass auch ausreichende finanzielle Mittel für die Wahrnehmung der Compliance-Aufgaben bereitzustellen sind. Die genaue Ausgestaltung der Organisation hängt dabei von verschiedenen Faktoren wie zum Beispiel Grösse, Geschäftstätigkeit und so weiter ab. Kleinere Unternehmen können schliesslich einfachere Massnahmen zur Einhaltung von Gesetzen treffen, wogegen grössere Unternehmen eine umfassendere Compliance-Organisation unterhalten müssen.

Compliance-Vorgaben

Gewünschte beziehungsweise ausdrücklich untersagte Verhaltensweisen sowie konkrete Handlungsanweisungen müssen definiert und für die Mitarbeiter festgehalten werden. Die Compliance-relevanten Informationen in einem Unternehmen müssen in schriftlicher Form niedergelegt sein.

Schulung

Die aus der Risikoanalyse abgeleiteten, untersagten beziehungsweise gewünschten Verhaltensweisen müssen den betroffenen Mitarbeitern des Unternehmens systematisch und regelmässig vermittelt werden. Auch hier ist abhängig von der Grösse des Unternehmens und der Anzahl von einer Regelung betroffener Mitarbeiter von der persönlichen Schulung mit überschaubarem Aufwand bis hin zu elektronisch unterstützten Schulungs- und Testsystemen alles denkbar.

Überwachung und Kontrolle

Sämtliche Compliance-Massnahmen führen nicht zum gewünschten Ergebnis, solange deren Durchsetzung nicht überwacht wird. Zudem ist sicherzustellen, dass die unternehmenseigenen Compliance-Massnahmen selbst periodisch auf ihre Wirksamkeit hin überprüft werden. Es nützt nichts, ein Compliance-Programm zu implementieren, dessen Einhaltung dann aber nicht zu überwachen. Gleiches gilt für ein Compliance-Programm, welches die sich wandelnden Risiken mit der Zeit falsch abbildet oder die falschen Massnahmen zur Eindämmung der Risiken vorsieht.

Unabhängige Meldestelle

Es sollte eine Stelle geschaffen werden, an welche Mitarbeiter anonym Fehlverhalten und andere Missstände melden können (Whistleblowing Hotline). Damit wird unternehmensintern sichergestellt, dass gravierende und für das Unternehmen bedeutende Missstände nicht aufgrund persönlicher Abhängigkeiten und Ängste von Mitarbeitern verschwiegen bleiben.

Die konkrete Umsetzung

Fakt ist, dass sich auch kleinere Unternehmen immer öfter aus faktischen Gründen und durchaus auch gegen ihren Willen nationalen Gesetzen und Regelwerken internationaler Organisationen verpflichtet sehen. Diverse Gesetze oder Regelwerke sind für sie meist direkt anwendbar und indirekt werden sie häufig als Zulieferer, Bieter in öffentlichen Beschaffungsverfahren, Kreditnehmer sowie in vielen anderen Konstellationen auf diverse Regelwerke verpflichtet beziehungsweise danach beurteilt. Immer häufiger sind derartige Klauseln Gegenstand entsprechender Verträge.

Die Kunst besteht nun darin, den goldenen Mittelweg zwischen der Schaffung eines kostspieligen Compliance-Apparates und einer ungenügenden Umsetzung der allgemeinen Compliance-Anforderungen zu finden. Die Versuchung ist dabei gross, mangels selbst gemachter negativer Erfahrungen mit den Konsequenzen eines Compliance-Verstosses und mangels klarer Richtlinien zur Bestimmung einer ausreichenden Compliance-Organisation ungenügende Compliance-Anstrengungen zu unternehmen. Mit einer «Feigenblatt-Politik» werden aber nur Kosten für etwas verursacht, was hinterher den angestrebten Schutz nicht bietet.

Als Faustregel kann gelten, dass eine Compliance-Regelung so knapp wie möglich und verständlich ausfallen sollte, bietet eine derart gestaltete Regelung doch am ehesten Gewähr dafür, dass ihr auch nachgelebt wird. Compliance kann sich ebenso wenig darin erschöpfen, umfassende Regelwerke zu verfassen und diese zu verteilen, wie es damit getan ist, schlicht Checklisten abzuhaken.

Bleibt zu erwähnen, dass sich diverse Ausgestaltungsformen für die Wahrnehmung der Compliance-Verantwortung im Unternehmen bieten. So besteht insbesondere die Möglichkeit, gewisse Compliance-Aufgaben durch externe Dienstleister wahrnehmen zu lassen (Outsourcing). Dabei können sowohl kontinuierliche Tätigkeitsbereiche, wie zum Beispiel Compliance-Beratung im täglichen Geschäft oder die Wahrnehmung der Funktion als unabhängige Meldestelle, als auch projektbezogene Auf­gaben, wie zum Beispiel Erstellung von Compliance-Richtlinien, Durchführung von Schulungen, Auditierung und Kontrolle von Compliance-Massnahmen, durch externe Spezialisten wahrgenommen werden.

Die Wirkung

Die präventive Wirkung im Hinblick auf die Vermeidung von zivilrechtlichen und strafrechtlichen Risiken ist nur dann gegeben, wenn sämtliche der vorstehend genannten Punkte lückenlos umgesetzt sind. Aufgrund des Dargelegten ist Compliance keine Wahlmöglichkeit, sondern muss gezielt umgesetzt werden.

Compliance sollte somit nicht nur als notwendiges Übel, sondern auch als Chance verstanden werden. Sie bedeutet in erster Linie Schadensprävention, können doch damit durch Rechtsverstösse verursachte Kosten vermieden werden.

Compliance hilft aber auch dabei, die Prozesse im Unternehmen zu verbessern sowie die Beständigkeit des Geschäftsmodells zu gewährleisten, und Compliance kann damit auch zu einem Wettbewerbsvorteil führen. Entscheidend für einen nachhaltigen Erfolg mit Compliance im eigenen Unternehmen ist schliesslich – wie so oft – das richtige Mass.