DDr. Alexander Petsche, MAES (Brügge) ist Rechtsanwalt und Partner von Baker & McKenzie in Wien und zählt zu den führenden Experten im Bereich Compliance und Internal Investigations.

Compliance

Compliance Management: Zwischen Irrglaube und Wirksamkeit?

Compliance, also die Einhaltung von Verhaltensmaßregeln, Gesetzen und Richtlinien durch Unternehmen, muss gemanagt werden. Doch wie kann ein wirksames Compliance Management System aussehen?

Blog Compliance Alexander Petsche

Viele Unternehmen meinen, bereits ein wirksames Management System implementiert zu haben. Wie schauen diese Systeme aus? Sie beinhalten Richtlinien und sonstige Verhaltensanweisungen für Mitarbeiter. Es ist ein Irrglauben zu denken, dass mit (oft seitenlangen) Richtlinien die Mitarbeiter auch tatsächlich wissen, was zu tun ist. Konsequenz dieses Irrglaubens ist, dass dieses „Compliance Management System“ keinen Schutzschirm gegen zivil- und strafrechtliche Haftungen bietet. Was veranlasst einen zu denken, dass diese Richtlinien von Mitarbeitern tatsächlich gelesen, verstanden und auch beherzigt werden? Das einfach anzunehmen, ist schlicht naiv.

Doch wann sind Compliance-Systeme wirksam implementiert? Die wesentlichen Bestandteile eines wirksamen Compliance Systems lassen sich auf fünf Elemente reduzieren: Leadership, Risk Assessment, Standards and Controls, Training and Communication und Monitoring, Auditing and Response.

Leadership, Tone from the Top

In Unternehmen kommt es entscheidend auf Vorbildwirkung an. Bekennt sich die Geschäftsleitung zu sauberem, rechtskonformem Wirtschaften und damit dazu, rechtswidrige Praktiken zu verhindern und zu ahnden und lebt sie dieses Bekenntnis auch, dann ist eine wichtige Voraussetzung geschaffen, dass ein Compliance Management System funktioniert.

White Paper zum Thema

Risk Assessment

Hier geht es zunächst darum, eine Art Risiko-Landkarte für das Unternehmen zu erstellen. Neben der Analyse von Dokumenten und Daten aus dem Unternehmen und aus anderen Quellen sind Interviews mit Mitarbeitern und Workshops mit den Stakeholdern durchzuführen. Dadurch ergibt sich bald ein klares Bild, wo die Schwachpunkte des jeweiligen Unternehmens liegen. Zu einem zweckmäßigen Risk Assessment sollten interne und externe Experten zusammen arbeiten, um sowohl unternehmensinternes Wissen, aber auch den Blick von außen sicherzustellen und „blinde Flecken“ zu vermeiden. Ohne ein ausreichendes Risk Assessment begeht das Compliance System einen Blindflug. Kein Arzt würde ohne vorhergehendes Röntgen operieren.

Standards and Controls

Unter „Standards and Controls“ versteht man einerseits die Organisation der Compliance im Sinne eines Management Systems. Andererseits gehören auch die Regelwerke wie ein Verhaltenskodex und Handlungsanleitungen dazu. Effektiv sind diese allerdings nur, wenn sie abhängig von den Ergebnissen der Risikoanalyse ausgearbeitet werden und die spezifischen Gefahren, denen das Unternehmen ausgesetzt ist, adressieren. Schließlich sind Abläufe so zu gestalten, dass Compliance-Verstöße schon im Vorfeld möglichst vermieden werden oder, wenn es doch dazu kommt, möglichst früh entdeckt werden, um dem Unternehmen eine Entscheidung zu ermöglichen, wie man darauf reagiert. Jeder Mitarbeiter muss sich darüber hinaus mit Fragen und in heiklen Situationen an die Compliance-Organisation wenden können.

Training and Communication

Nur Mitarbeiter, die um die Compliance-Regeln wissen, werden diese auch befolgen. Zu einem funktionierenden Compliance-System gehören daher unabdingbar ausreichende und regelmäßige Schulungen. Die Teilnahme an Schulungen ebenso wie die Schulungsunterlagen sollten unbedingt dokumentiert werden. Diese Dokumentation zeigt, dass das Compliance-System gelebt wird und nicht nur auf dem Papier besteht. Das kann im Ernstfall eine strafrechtliche Verantwortung des Unternehmens verhindern.

Monitoring, Auditing und Response

Monitoring steht für die Beobachtung des laufenden Betriebs des Compliance-Systems. Eine effiziente Compliance-Organisation analysiert laufend die Risikolage. Sie passt das System an oder erstattet Vorschläge dazu. Auditing umfasst interne und externe Systemchecks. Im Gegensatz zum Monitoring wird dabei weniger das Verhalten im Unternehmen (also die Compliance selbst), sondern das Compliance-System einer Überprüfung unterzogen. Unter Response wird die Reaktion des Unternehmens auf festgestellte Compliance-Verstöße verstanden. Dazu gehören die Untersuchung des Vorfalls, die Festlegung der Konsequenzen des festgestellten Fehlverhaltens sowie die Entscheidung über das weitere Vorgehen.