Compliance Risiken erkennen – Lösungen finden

0

In den letzten Jahren sind viele deutsche Großkonzerne aufgrund von Verstößen gegen Compliance-Richtlinien in die Schlagzeilen geraten. Doch wer davon ausgeht, dass nur große Firmen möglichen Compliance-Risiken ausgesetzt sind, liegt falsch. Jedes KMU in Deutschland kann Gefahr laufen, aufgrund mangelnder Rechtstreue oder fehlender ethischer Standards Schaden zu nehmen. Umso wichtiger ist es deshalb, sich die zentralen Compliance-Risiken bewusst zu machen, um adäquate Lösungen zu finden.

Definition: Compliance und Compliance Manager:innen

Compliance schafft Mechanismen und Prozesse, die es Beschäftigten eines Unternehmens ermöglichen, sich leichter an Recht und Gesetz zu halten. Plastisch dargestellt kann Compliance daher mit Leitplanken auf einer Autobahn verglichen werden. Während diese Autofahrer:innen vor physischem Schaden schützen, bewahrt Compliance als Methodik das Unternehmen, Führungskräfte und andere Beschäftigte vor finanziellen Schäden. Dabei ist es nebensächlich, ob diese Beschäftigten „auf der linken, mittleren oder rechten Spur der Autobahn fahren“. Wichtig ist allein, dass sie sich in dem vom Recht vorgegebenen Rahmen, also „zwischen den Leitplanken“, bewegen. Drohen Beschäftigte jedoch „gegen die Leitplanken zu fahren“, greift Compliance ein und korrigiert. Anders ausgedrückt kommt Compliance Manager:innen die Funktion als Schiedsrichter:in zu. Etablierte soziale Standards, das Regelwerk und deren Auftreten als eine souverän „das Spiel“ leitende Instanz wirken insoweit präventiv. Bei Bedarf greifen Compliance Manager:innen aber auch repressiv ein, um die involvierten Personen wieder zu einem angemessenen Miteinander zu bewegen.

Neben der Schadensvermeidung dient gute Compliance jedoch zugleich noch einem anderen Vorteil: Wenn Beschäftigte im Unternehmen darauf vertrauen können, dass Arbeitsprozesse und Interne Richtlinien rechtskonform sind, können sie sich noch stärker auf ihre eigene Kernkompetenz und ihre Kernaufgabe fokussieren. Compliance-Manager:innen halten als Dienstleister daher den Beschäftigten den „Rücken frei“ und steigern auch dadurch den Mehrgewinn des Unternehmens.

Was sind jedoch Compliance-Risiken?

Allgemein gesprochen sind Compliance-Risiken Risiken, die sich aus dem individuellen oder kollektiven Fehlverhalten von Mitarbeitenden, Führungskräften oder dem Management ergeben können. In der Praxis werden diese Risiken auch als „Corporate Misconduct” bezeichnet.

Compliance-Risiken machen sich auf verschiedenen Ebenen bemerkbar. So können Risiken bezüglich der Unternehmensreputation, der Haftung, des Rechts sowie der Wirtschaftlichkeit auftreten. Diese können wiederum ernsthafte finanzielle Schäden zur Folge haben. Denn bei der Missachtung von Compliance-Richtlinien drohen Bußgelder, Umsatzeinbußen aufgrund von Reputationsverlust oder Schadensersatzforderungen. Mahnende Beispiele sind der Dieselskandal von VW oder die manipulierte Preisvergabe des ADAC. Führungskräfte und Verantwortliche für Verstöße gegen die Compliance müssen darüber hinaus auf persönlicher Ebene mit rechtlichen Konsequenzen rechnen, die bis hin zu Haftstrafen reichen. Ein sehr prominentes Beispiel sind die Top-Manager des Audi-Konzerns, die im Zuge des Dieselskandals verhaftet wurden.

Wie die Beispiele zeigen, lassen sich Compliance-Risiken ganz allgemein als Risiken verstehen, die aus Regelverstößen hervorgehen. In der Unternehmenspraxis sind meist die Bereiche Korruption, Untreue, Betrug, Diebstahl, Kartelle oder Preisabsprachen betroffen. In größeren Unternehmen werden deshalb eigene Compliance-Abteilungen für diese Bereiche geschaffen.

Compliance-Risiken als Teil des Compliance-Systems

Unabhängig von der Unternehmensgröße sollte die Analyse der Compliance-Risiken immer Teil eines komplexen, ineinandergreifenden Compliance-Management-Systems (CMS) sein. So ist es primär die Aufgabe der Unternehmensführung, eine eigene Compliance-Kultur zu etablieren, aus welcher sich feste Compliance-Ziele ableiten lassen. Daraus ergeben sich, neben der Compliance-Risikoanalyse, wiederum mögliche Compliance-Risiken.

Im Rahmen des CMS können über die Organisation der Compliance, das Umsetzen von Maßnahmen als Teil des Compliance-Programms, die Compliance-Kommunikation sowie -Information und schließlich die Überwachung von entsprechenden Richtlinien sowie der Compliance selbst notwendige Verbesserungen erzielt werden. Letztlich lassen sich dadurch bestehende Risiken minimieren und Schäden verhindern.

Unsere Seminarempfehlung

Interne Ermittlungen bei Compliance-Verstößen

Interne Ermittlungen bei Verdachtsfällen stellen komplexe Herausforderungen für Compliance-Manager dar. Das Training beleuchtet zunächst praxisnah, welche rechtlichen Rahmenbedingungen es zu beachten gilt. Darüber hinaus lernen Sie, mit Unterstützung eines erfahrenen Praktikers der Kriminalpolizei, wie Sie interne Ermittlungen bei Compliance-Ereignissen und -Verstößen planen und welche vernehmungspsychologischen Gesichtspunkte Sie beachten sollten.


Training: Interne Ermittlungen bei Compliance-Verstößen

Risikobereiche für Compliance-Vergehen

Vergehen gegen Compliance können sich auf ganz verschiedenen Ebenen abspielen. Folgende Bereiche sind insbesondere betroffen:

  • Korruption/ Betrug
  • Datenschutz
  • IT-Sicherheit
  • Kartellrecht
  • Marktmanipulation
  • Geldwäsche
  • Exportkontrolle
  • Arbeitsrecht

Im Rahmen des Compliance-Management-Systems sollten Unternehmen deshalb aktives Risikomanagement betreiben, um mögliche Regelverstöße zu verhindern.

Einstufung und Eingrenzung von Compliance-Risiken

Das Risikomanagement in Unternehmen kann durch Eingrenzen und Einstufen mögliche Compliance-Verstöße aufdecken oder präventiv agieren. Compliance-Risiken lassen sich zum Beispiel auf unterschiedlichen Ebenen analysieren:

  •  Risiken auf Produktebene: Was produzieren wir? Welche Besonderheiten haben unsere Produkte?
  • Länderrisiken: Mit welchen Ländern machen wir Geschäfte? Welche Regeln gelten dort? Wie ist es um die Rechtsstaatlichkeit bestellt? Gibt es bestehende Embargos?
  • Branchenrisiken: In welcher Branche bewegen wir uns? Wie ist der Wettbewerb?
  • Risiken auf Kundenebene: Wer sind unsere Kunden? Wer kauft unsere Produkte?
  • Risiken bei Geschäftspartnern: Mit wem machen wir Geschäfte? Von welchen Partnern sind unsere Geschäfte abhängig?
  • Rechtliche Risiken: Welche Gesetze oder Urteile müssen beachtet werden?

Durch die gezielte Prüfung bestehender Regularien und der Umstände lassen sich bereits viele Compliance-Risiken eindeutig eingrenzen.

Ein Beispiel für einen Lösungsansatz bei personenbezogenen Risiken

Um Compliance-Risiken auf personenbezogener Ebene zu begegnen, können Unternehmen folgende Maßnahmen treffen:
Abgleich von öffentlichen Registern bei Geschäftspartnern

  • Einstufung der Risiken in Abhängigkeit der gewünschten Geschäftsbeziehung
  • Kontrolle der Vertriebspartner:innen
  • Überprüfung der kompletten Supply-Chain inklusive Zulieferer:innen, Zwischenhändler:innen, Transaktionspartner:innen
  • Kontrolle der Kreditwürdigkeit von Vertragspartner:innen
  • Anforderung von Unternehmensdaten von Geschäftspartner:innen
  • Abgleich mit eigenen Datenbanken sowie externen Risikodatenbanken (Compliance Due Diligence)

3 Schritte im Umgang mit Compliance-Risiken

  1. Risikovermeidung: Aufstellen von Regeln und Vorschriften; Implementierung einer Compliance-Kultur; regelmäßige Weiterbildungen und Compliance-Schulungen; Kontrolle und Dokumentation des Kenntnisstandes; Einrichtung eines Compliance-Management-Systems
  2. Risikofrüherkennung: Erstellen von kontinuierlichen Risikoanalysen; Einrichten einer Compliance-Due-Diligence Stelle für Whistleblower:innen; Identifizieren konkreter Verstöße gegen die Compliance
  3. Reaktionen: Erheben von Sanktionen bei Verstößen gegen Compliance; Überprüfung des bestehenden CMS; Optimierung der Unternehmenskommunikation

Fazit: Es gibt nicht einen pauschalen Lösungsansatz für Compliance-Risiken

Compliance-Risiken lassen sich nicht mit pauschalen Maßnahmen reduzieren. Sowohl das Risiko selbst als auch die Lösungsansätze sind immer spezifisch für jedes einzelne Unternehmen zu ermitteln. Dabei müssen alle beteiligten Parteien berücksichtigt werden, wie Kunden, Märkte, Produkte, gesetzliche Regelungen oder Mitarbeiter. Schon bei dieser kurzen Aufzählung wird sichtbar, dass es DEN Lösungsansatz für Compliance-Risiken nicht gibt.

Wichtig ist vielmehr, dass Unternehmen dazu übergehen, eine eigene Compliance-Kultur einzurichten. Dabei können unternehmensweite Standards eingerichtet werden. Entscheidend ist dabei, dass Führungskräfte und das Management diese Standards nicht nur vorgeben, sondern selbst beispielhaft damit umgehen. Somit werden sie zu Vorbildern und Multiplikatoren des Compliance-Management-Systems.

Kleinere Unternehmen haben die Möglichkeit, Compliance-Richtlinien auch schrittweise in den jeweiligen Abteilungen einzuführen. Auf diese Weise kann das Unternehmen sich mit allen Beteiligten sukzessive weiterentwickeln. Compliance-Risiken werden letztlich dadurch entschärft, dass Führungskräfte, das Management sowie alle Mitarbeiterinnen und Mitarbeiter in ein CMS eingebunden werden und die damit verbundenen Leitlinien annehmen und verinnerlichen. Der wichtigste Lösungsansatz lautet somit: Compliance-Risiken werden durch Prävention, Aufklärung und Weiterbildung verringert.

Teilen Sie den Beitrag auf:

Über den:die Autor:in

Rainer M. Grethel

Produktmanager Vertrieb & Compliance der Haufe Akademie.

Zur Themenübersicht Compliance