Vom Nutzen eines wirksamen Compliance-Managements

Eine Vogel-Strauss-Politik, das heisst Compliance einfach zu ignorieren, das Prinzip Hoffnung, das heisst, anzunehmen, es werde schon nichts passieren, oder das Abstützen auf die Vergangenheit und Projektion derselben in die Zukunft, das heisst zu denken: «Bis heute ist nie etwas passiert, also wird auch künftig nichts geschehen», sind keine Optionen. Compliance betrifft heute alle Organisationen, angefangen beim Konzern über KMU bis hin zu Verbänden, Stiftungen, Universitäten oder Behörden. Dabei berührt Compliance als Querschnittsthema sämtliche Bereiche und Funktionen einer Organisation. 

Zwar nimmt das Bewusstsein für Compliance-Themen zu, doch wird sie noch viel zu häufig als kostspielige Pflicht und notwendiges Übel und nicht als strategische Chance gesehen. Es ist unbestritten, dass Compliance – und darunter wird nicht nur die eigentliche Regelkonformität, sondern auch Integrität (korrektes Verhalten, selbst wenn niemand zusieht) verstanden – zu einer modernen und umfassenden Unternehmensführung gehört und von den Anspruchsgruppen je länger, je mehr gerade auch von KMU erwartet wird.

Die Verantwortlichen

Oft bemerken KMU, sie seien zu klein, um Compliance überhaupt umzusetzen. In dieser Aussage zeigt sich, dass Com­pliance und wer tatsächlich dafür ver­antwortlich ist, nicht richtig verstanden wurden. Es lassen sich vier Stufen mit
folgenden Verantwortlichkeiten unterscheiden:

1. Der Verwaltungsrat trägt die oberste Organisations- und Überwachungsverantwortung (Art. 716a Abs. 1 Ziff. 2 und 5 OR), bestimmt die Kernwerte und legt die Grundzüge der Compliance fest.

2. Die oberste Verantwortung für die Compliance-Umsetzung und -Einhaltung trägt die Geschäftsleitung. Sie muss ausreichende und angemessene Ressourcen zur Verfügung stellen und durch Vorbild führen.

3. Darüber hinaus haben auch die einzelnen Linienvorgesetzten in ihrem eigenen Zuständigkeits- und Verantwortungsbereich auf eine Compliance- und Speak-up-Kultur hinzuwirken, diese vorzuleben, einzuverlangen und Compliance sicherzustellen.

4. Und zuletzt hat jeder Mitarbeitende zur Einhaltung der Compliance beizutragen, bei Unklarheiten oder Unsicherheiten den Vorgesetzten zu fragen und (potenzielle) Non-Compliance Fälle zu melden.

Insgesamt sind folglich alle Personen in einem KMU angehalten, entsprechende Verantwortung zu übernehmen und im eigenen Zuständigkeitsbereich für eine nachhaltige Compliance zu sorgen. Denn auch KMU müssen alle für sie relevanten gesetzlichen Vorschriften und internen Vorgaben einhalten.

Und abschliessend stipuliert Art. 102 StGB, dass das Unternehmen selbst als juristische Person bei gewissen Straftaten, wie zum Beispiel Geldwäscherei, Beamten- oder Privatbestechung, unabhängig von der Strafbarkeit natürlicher Personen mit einer Busse bis zu fünf Millionen Franken bestraft wird, wenn dem Unternehmen vorzuwerfen ist, dass es nicht alle erforderlichen und zumutbaren organisato­rischen Vorkehren getroffen hat, um eine solche Straftat zu verhindern. Also besteht hier ein klarer Anreiz, gewisse organisatorische Vorkehren zu treffen.

Der Nutzen von Compliance 

Aus der kontinuierlichen und wirksamen Umsetzung und Aufrechterhaltung einer «State of the art»-Compliance und über deren regelmässige interne und externe Kommunikation ergeben sich für ein KMU diverse konkrete Chancen und
Vorteile, wie zum Beispiel:

• Ermöglichung oder Erleichterung der Teilnahme an Ausschreibungen und Arbeitsgemeinschaften; insbesondere grös­sere Unternehmen verlangen immer häufiger von ihren KMU-Zulieferern oder -Vertragspartnern sogenannte Compliance-Erklärungen, worin diese bestätigen müssen, dass sie über ein leistungsfähiges Compliance-System verfügen, damit sie überhaupt Vertragspartner werden oder bleiben dürfen.
• Zugang zu günstigeren Finanzierungen (Eigen- oder Fremdkapital).
• Bessere Positionierung im Markt und nachhaltigere Beziehungen durch erhöhte Vertrauensbasis (zum Beispiel stärkere Kundenbindung, langfristige Geschäftsbeziehungen).
• Klare Vorgaben im Sinne von Hilfestellungen und Handlungsrahmen für die Mitarbeitenden.
• Verbesserte Bindung und Gewinnung von Verwaltungsräten, Führungskräften und Mitarbeitenden.
• Stärkung der Reputation und besserer Schutz vor Reputationsschäden.
• Vermeidung oder zumindest erhebliche Verminderung des Sanktionierungsrisikos des KMU selbst und/oder seiner Organe.
• Raschere Entdeckung möglicher Non-Compliance-Fälle und gezieltere Mängelbehebung.
• Verbesserung der Arbeitszufriedenheit der Mitarbeitenden und Erschaffung eines konstruktiven Zugehörigkeits- oder Gemeinschaftsgefühls – oder sogar Stolzes – im KMU.

So halten Swiss Holdings/Economiesuisse in ihrem Standard «Grundzüge eines wirksamen Compliance-Managements» auch fest, dass kleinere Unternehmen nicht von Compliance ausgeschlossen sind, sondern einfachere, überschaubare Massnahmen treffen können, wogegen international tätige Konzerne ein umfassendes Compliance-Programm betreiben müssen. Und obwohl es kein verbindliches einheitliches Konzept für effektives Compliance-Management gibt, gibt es doch gewisse Grundelemente.

Das Compliance-MS 

Als Compliance-Management-System (Compliance-MS) wird die Gesamtheit der in einer Organisation eingerichteten, verlangten, regelmässig überprüften und verbesserten Prozesse, Strukturen, Massnahmen und Verhaltensweisen sowie der eingesetzten Ressourcen und für die Organisation als Organ oder Angestellte tätigen Personen verstanden, um Com­pliance sicherzustellen.

Klassischerweise erfüllt ein Compliance-MS drei Hauptfunktionen: i) Vermeidung von Fehlverhalten und Förderung integren Verhaltens (Präventionsfunktion), ii) Aufdeckung von Fehlverhalten (Aufdeckungsfunktion) und iii) Sanktion auf­gedeckter Fälle von Nichteinhaltung und kontinuierliche Verbesserung (Reaktionsfunktion).

Dimensionen der Compliance

Ausgehend von diversen Compliance-Management-Standards, wie zum Beispiel ISO 19600 Compliance Management System Guidance oder dem oben erwähnten schweizerischen Standard, wurde das pragmatische und ganzheitliche Modell des Compliance-Würfels mit den sechs Dimensionen Organisationskultur, Einbettung, Aktivitäten, Personen, Ressourcen und Fundament entwickelt. 

Mithilfe dieses Modells und den daraus abgeleiteten, vereinfachten, nachfolgenden Checkboxen pro Dimension und deren Elementen lassen sich der Status sowie die Stärken und Schwächen des eigenen Compliance-MS einfach und anschaulich feststellen und gezielt verbessern.

Es versteht sich, dass auch das beste und umfassendste Compliance-MS nie in der Lage sein wird, sämtliche Verstösse innerhalb eines KMU zu verhindern, was auch den Behörden bewusst ist. Ziel eines Compliance-Management-Systems kann es deshalb nur – aber immerhin – sein, die für ein KMU besonders schwerwiegenden Compliance-Risiken erheblich zu mildern. Zudem muss es Ziel sein, die Voraussetzungen zu schaffen, dass sys­temisches, bewusstes oder gar kriminelles Fehlverhalten sowie unbeabsichtigte Verstösse aus Nichtwissen gegen Com­pliance-Anforderungen bestmöglich vermieden beziehungsweise wesentlich erschwert werden und eingetretene Verstösse rasch erkannt werden und dann entsprechend reagiert werden kann.

Entscheidend ist dabei, im KMU darauf hinzuwirken, dass ein Compliance-Management-System als Opportunität und Chance, das heisst als etwas Positives, wahrgenommen wird, indem es Orientierung, Klarheit und einen Rahmen schafft, die Erwartungshaltung des KMU darlegt, gegenüber den internen und externen Anspruchsgruppen das KMU klar positioniert und ein Versprechen abliefert, auf welche Art und Weise das KMU tätig sein möchte.

Dimension 1: Unternehmenskultur

Ein effektives Compliance-MS erfordert eine Unternehmensskultur, bei der integres Verhalten selbstverständlich ist und einverlangt wird. Es ist empirisch erwiesen, dass klare Grundwerte und Prinzipien generell das ethische Verhalten und damit die Compliance verbessern. Diese Grundwerte, wie zum Beispiel Integrität, Teamgeist und Engagement, sind vom KMU zu definieren, vorzuleben, zu kommunizieren, umzusetzen und einzu­verlangen. Der Verwaltungsrat, die Geschäftsleitung und die Linienvorgesetzten bekennen sich intern und extern aktiv zu Compliance und Integrität als zentralem Teil ihrer Organisation und übergeordnetem Prinzip ihrer Tätigkeit, leben das vor und kommunizieren es entsprechend klar, regelmässig und überzeugend, um unter der Belegschaft das nötige Bewusstsein zu schaffen und diese zur Mitwirkung zu motivieren.

Unter einer Compliance-Kultur versteht man die Akzeptanz der Werte und Überzeugungen, die in einem KMU bestehen und mit dessen Strukturen und Kontrollsystemen so interagieren, dass solche Verhaltensnormen geschaffen und gelebt werden, welche zu Compliance führen oder zumindest förderlich sind. Die zusätzliche Schaffung einer «Open dialogue»- oder «Speak-up»-Kultur, bei der das Melden von (möglichen) Compliance-Verstössen, das Fragen bei Unklarheiten respektive Unsicherheiten betreffend Compliance oder das Einbringen von Vorschlägen und Ideen zur Verbesserung des Compliance-MS ermuntert wird, trägt ebenfalls erheblich zur Stärkung und Akzeptanz der Compliance im KMU bei.

Dabei ist der «tone at and from the top/middle» (regelmässige Kommunikation zu Compliance und Integrität durch Verwaltungsrat, Geschäftsleitung und Linienvorgesetzte) von entscheidender Bedeutung und wird aufgrund der Überschaubarkeit und Nähe in einem KMU entsprechend eher wahrgenommen. Die Linienvorgesetzten sind Dreh- und Angelpunkt und folglich die primären Ansprechpartner, Vorbilder, Förderer und Berater ihrer Mitarbeitenden auch betreffend Compliance. Es empfiehlt sich, dass die Linienvorgesetzten durch ihre Worte und Taten ihre Mitarbeitenden laufend zu einem korrekten Verhalten ermuntern, Compliance aktiv thematisieren und konsequent einfordern sowie inkorrektes Verhalten klar verurteilen und sanktionieren. Gemäss der Compliance-Essentials-Studie 2017 des Konstanz Instituts für Corporate Governance (KICG) wurde der «Tone at the Top» als eines von sechs Compliance Essentials bezeichnet.

Dimension 2: Einbettung

Bei der Einbettung geht es primär um die Sicherstellung, Compliance möglichst umfassend und mit möglichst geringem Aufwand in bereits bestehende Prozesse, Abläufe, Checklisten und Strukturen des Unternehmens einzubinden. Im Mittelpunkt eines Compliance-Management-Systems stehen die Vermeidung und Reduzierung von Compliance- und Integritätsrisiken. Folglich sind alle relevanten Compliance- und Integritätsrisiken im ordentlichen Risk-Management-Prozess oder mindestens in einer einfachen SWOT-Analyse integriert.

Eine gewisse Anzahl von internen Compliance-Kontrollen muss etabliert sein, um Compliance sicherzustellen. Idealerweise sind diese in bereits bestehende interne Kontrollen eingebettet, wie zum Beispiel Funktionstrennungen zur Vermeidung von Interessenkonflikten oder ein System von Berechtigungen für Freigaben und Genehmigungen (zum Beispiel Kollektivunterschrift, Visumspflicht, Zugriffs- und Zugangsrechte).

Auf Stufe Verwaltungsrat und Geschäftsleitung sollten Compliance und Integrität ein Standardtraktandum ihrer Sitzungen sein und regelmässig, mindestens jedoch einmal jährlich, behandelt und protokolliert werden. Doch auch die Li­nienvorgesetzten kommunizieren ihren Mitarbeitenden z.B. im Rahmen bestehender Teammeetings oder anderer Anlässe den Stellenwert von Compliance und Integrität.

Zur Klärung der Erwartungshaltung sowie zur klaren Festlegung der konkreten Verantwortlichkeiten des Individuums, aber auch zu Dokumentations- und Beweiszwecken sollten Compliance-Verantwortlichkeiten und -Aufgaben angemessen zum Beispiel in den jeweiligen Pflichtenheften oder Stellenbeschrieben auf Stufe Geschäftsleitung, Linienvorgesetzter und Mitarbeitende enthalten sein. Die Inhalte und Änderungen des Compliance-Management-Systems sind der Belegschaft regelmässig im Rahmen der üblichen Informationen sowie Informationskanäle und -anlässe zur Kenntnis zu bringen und zugänglich zu machen, zum Beispiel intern im Intranet oder im Internet für externe Anspruchsgruppen.