"Privatflüge mit dem Firmenjet. MAN-Chef Tostmann zahlte wegen Compliance Verstößen sechstelliges Bußgeld an Volkswagen". Solche Berichte wie dieser aus dem Business Insider Deutschland vom 19. August 2021 tauchen immer wieder in den Medien auf – und Firmen fürchten sie wie der Teufel das Weihwasser, denn in einer schnelllebigen medialen Welt verbreiten sich positive wie negative Neuigkeiten mit rasender Geschwindigkeit und nichts lässt sich mehr verbergen. Der Imageschaden solcher Berichterstattungen ist enorm und die monetären Schäden eventueller Strafen bei Regelverstößen kommen hinzu. Was also ist zu tun?

Verbergungsstrategien wenig sinnvoll

Zwar ist das Verbergen von Regelverstößen sicherlich nicht die unternehmerische Zielsetzung, aber es gehört mit zur unternehmerischen Realität, dass Irren menschlich ist und Menschen Fehler machen. Und Compliance ist nicht nur eine Frage von Korruption, Betrug und Vorteilsnahme, sondern betrifft die Einhaltung sämtlicher Gesetze, Regeln und Vorschriften (aber auch sozialer, ethischer Normen), die für ein Unternehmen aufgrund seiner Tätigkeit relevant sind. Das in diesem Jahr verabschiedete Lieferkettengesetz ist ein aktuelles Beispiel für stetig wachsende Anforderungen an Unternehmen und die Notwendigkeit der Nachweisführung.

Der Dschungel an einzuhaltenden Regeln ist für Unternehmen unübersichtlich, wird immer größer und Verstöße unmittelbar transparent. Dies betrifft nicht nur Großkonzerne, sondern alle Unternehmensgrößen bis hinab zum Einzelunternehmer. Entscheidend ist nicht die Unternehmensgröße, sondern eine Risikoanalyse. Je größer die Risiken, desto dringender notwendig ist strukturiertes Management, um Schaden vom Unternehmen abzuwenden.

Überblick über Risiken und der Umgang damit

Hilfestellung gibt hier der Industriestandard ISO 37301 für Compliance Management Systeme (CMS). Selbst wenn man keine Zertifizierung anstrebt, ist dieser Standard eine gute Richtschnur für das Risikomanagement hinsichtlich Compliance eines Unternehmens. Erwähnenswert ist dabei, dass der Standard explizit eine flexible Auslegung und Anpassung des CMS an die Unternehmensbelange fordert und eine Kultur der kontinuierlichen Verbesserung fördert. Auch ein selbstgestricktes CMS kann also im ersten Schritt wertvolle Dienste leisten – die Vorteile liegen auf der Hand:

• Sicherheit und Kontinuität im unternehmerischen Handeln,
• Nachweis eines CMS und Stärkung des Vertrauens gegenüber Geschäftspartnern,
• Beweismittel in einem Gerichtsverfahren: Implementierung und Zertifizierung als Nachweis der Einhaltung der unternehmerischen Sorgfaltspflicht,
• Verringertes Haftungsrisiko,
• Verlässlichkeit durch das Einhalten von gesetzlichen oder vertraglichen Regeln.

Die Systematik des Compliance Managements ist zugleich Unterstützungsprozess für die Einhaltung und Überwachung aller anderen Anforderungen an Unternehmen wie Datenschutz, Umweltschutz, Arbeitsschutz etc.

Pragmatismus in der operativen Umsetzung

Insbesondere für kleinere Unternehmen stellt sich die Frage nach einer sinnvollen Umsetzung eines angemessenen Compliance Managements – angemessen im Hinblick auf die möglicherweise überschaubaren Risiken des Unternehmens, die keinen Compliance Management Officer oder eine eigene Rechtsabteilung rechtfertigen.

Compliance Management soll unterstützen und keinem Selbstzweck dienen. Die Arbeitsabläufe im Unternehmen sollen nicht auf den Kopf gestellt werden, wenn nicht unbedingt notwendig.

Hilfreich kann es sein, den Einsatz einer Compliance Management Software als Startpunkt zu wählen und hiervon ausgehend Compliance Management in die Organisation und Firmenkultur zu tragen. Im ersten Schritt hilft der Software-Einsatz bei der Erfassung des Ist-Zustands sowie der Terminüberwachung von Anforderungen (z.B. Dokumentation von jährlichen Arbeitsschutzunterweisungen des Personals) und er schafft eine Ausgangsbasis. Über den Einsatz einer solchen Software arbeitet man schnell nach Industriestandards und erreicht folgendes:

• Fokus auf operative Effizienz, Minimierung des Aufwands
• Erprobte Strukturen / Stand der Technik
• Große Transparenz, einfaches Reporting
• Automatisierte Prozesssteuerung (bspw. Einhaltung von Terminfristen)
• Lückenlose und themenbezogene Klassifizierung
• Revisionssicherheit und Historisierung
• Zuordnung Verantwortlichkeiten
• Zuordnung von Referenzen

Der Mensch bleibt das schwache Glied in der Kette

Kein Weg führt daran vorbei, die Mitarbeiterinnen und Mitarbeiter auf dieser Reise einzubinden und mitzunehmen. Es muss ein Bewusstsein für die Notwendigkeit und der Wille zum Leben einer Compliance Kultur geschaffen werden – die beste Software und die beste Systematik hilft nicht, wenn sie nicht genutzt wird. Und dies kann gelingen mit modernen Unternehmenswerten wie einer guten Fehlerkultur, Partizipation und Verantwortung. Hier sollte nicht am Trainingsbudget (auch für wiederkehrende Schulungen) gespart werden.

Die Partner des VBU können auf unterschiedlichen Kompetenzfeldern helfen - von Rechtsberatung über Organisationsentwicklung bis hin zur Software-Einführung.