Verfassung von Regeln, Richtlinien und Werten

Neben der Formulierung und Verabschiedung von Compliance-Regeln und Leitwerten, wie zum Beispiel in Verhaltenskodizes, Compliance Manuals und Richtlinien, sind weitere Schritte notwendig, um diese dauerhaft bei den Unternehmensangehörigen zu verankern. Die Vermittlung von Compliance und Integrität stellt eine Personalführungsaufgabe dar.

Ein zielgenaues und fortlaufend aktualisiertes Schulungs- und Fortbildungsprogramm ist essenziell.

Es ist wichtig, die Unternehmensangehörigen für die Compliance-Risiken des Geschäftsmodells zu sensibilisieren. Denn obwohl Regelverstöße oft auf krimineller Energie einzelner Personen basieren, entstehen andere Fälle der „Non-Compliance“, weil die Relevanz bestimmter Regelungen nicht bekannt oder nicht verstanden ist.

Die Compliance-Regeln müssen daher in verständlicher Sprache erläutert und, besonders bei juristischer Fachterminologie, in gut nachvollziehbare Formulierungen übersetzt werden. Es ist notwendig, spezielle Aus- und Fortbildungsmaßnahmen zu entwickeln, die genau auf das Geschäftsmodell des Unternehmens und sein spezifisches Compliance-Risiko-Profil zugeschnitten sind. Für den Erfolg der Schulungs- und Fortbildungsmaßnahmen ist es zudem wichtig, dass die Formate und Inhalte genau auf den jeweiligen Bedarf der adressierten Zielgruppen zugeschnitten sind.

Wegen des komplexen und dynamischen regulatorischen Umfelds ist es notwendig, die Schulungs- und Fortbildungsinhalte regelmäßig zu aktualisieren und ständig an neue Rechtsentwicklungen anzupassen. So haben die Unternehmensangehörigen die Chance, sich kontinuierlich auf ein verändertes rechtliches Umfeld einzustellen und Compliance-Risiken zu erkennen und zu vermeiden.

Die Einrichtung einer Beratungsstelle, bekannt als „Compliance-Helpline“, unterstützt bei der Erläuterung aktueller Compliance-Themen und der Klärung von Zweifelsfragen. An diese Stelle können sich alle Unternehmensangehörigen mit Compliance-Fragen wenden.

Um einen direkten Unternehmensbezug der Compliance-Schulungen und Fortbildungsformate sicherzustellen, ist die (selektive) Einbeziehung von Unternehmensangehörigen bei der Entwicklung und Durchführung von Schulungsmaßnahmen sinnvoll. Diese aktive Beteiligung, beispielsweise durch Repräsentanten unterschiedlicher Unternehmenseinheiten, steigert die Attraktivität und Akzeptanz der Fortbildungsformate, da sie weniger als von „oben verordnet“ und mehr als „Eigenentwicklung“ gesehen werden. Die gezielte Einbindung ausgewählter Mitarbeiter und Führungskräfte bei der Entwicklung und Durchführung von Compliance-Schulungen leistet zugleich einen wichtigen Beitrag zur Förderung der Compliance-Kultur.

Im Rahmen der Compliance-Strategie sollte man positive Anreize für regeltreues und integres Verhalten schaffen. Hierfür gibt es viele Möglichkeiten, wie die Integration von Compliance-Themen in Leistungs- und Zielvereinbarungen, die Ernennung ausgewählter Unternehmensangehöriger als „Compliance-Botschafter“ oder die Durchführung spezieller Workshops zu Compliance-Themen.

Es ist wichtig, dass Mitarbeiter durch regelkonformes und integres Verhalten in ihrer Karriere vorankommen und dass keine falschen Anreize gesetzt werden, die Non-Compliance fördern könnten, wie beispielsweise unüberlegte finanzielle Zielvorgaben.

Compliance-gerechtes und integres Verhalten, sowie deren Wertschätzung durch die Unternehmensleitung, müssen zudem ein integraler Bestandteil der Aus- und Fortbildung von Unternehmensangehörigen sein.

Ein weiterer Erfolgsfaktor für funktionierendes Compliance Management ist die Einbindung von Compliance-Themen und Maßnahmen in die Geschäftsprozesse.

In kleineren und mittelständischen Unternehmen ist diese Verankerung von zentraler Bedeutung, da spezialisierte Funktionen zur Wahrnehmung von Compliance-Aufgaben wie Rechtsabteilung, Risikomanagement oder Revision oft nicht vorhanden sind.

Die aktive Beteiligung der operativen Einheiten, bekannt als „first line of defense“, ist entscheidend, da die dortigen Mitarbeiter als „Process Owner“ über umfassendes Wissen zu den spezifischen Compliance-Risiken verfügen.

Zur Steuerung der Compliance-Risiken im operativen Betrieb kann es sinnvoll sein, durch gezielte Risikoanalysen und Kontrollen bestimmte Prozesse mit hohen Compliance-Risiken, wie im Einkauf und Vertrieb, systematisch zu prüfen, ob gegen bestehende Regeln verstoßen werden könnte, etwa bei der Vergabe von Aufträgen im Einkaufsprozess.

Abhängig vom Untersuchungsergebnis können dann konkrete Maßnahmen zur Verhinderung von Fehlverhalten implementiert werden, wie zum Beispiel spezielle Kontroll-, Dokumentations- oder Freigabeprozesse. Bei der Kooperation mit Lieferanten kann es sinnvoll sein, diese durch einen Auswahlprozess, der Compliance- und Integritätsaspekte berücksichtigt, auszuwählen und sie durch einen separaten Verhaltenskodex zu rechtskonformem Verhalten und bestimmten ethischen Grundsätzen zu verpflichten.

Für die Wahrnehmung von Compliance-Aufgaben gibt es kein standardisiertes Modell. Abhängig von der Unternehmenssituation existieren viele verschiedene Ansätze, bei denen oft andere Unternehmensfunktionen wie die Rechtsabteilung, das Risikomanagement und die interne Revision oder Unternehmensbeauftragte wie Datenschutzbeauftragte, Arbeitssicherheitsbeauftragte und Exportkontrollbeauftragte bestimmte Compliance-Aufgaben mittragen oder übernehmen.

Für die Effektivität des Compliance Managements ist eine effiziente Koordination der verschiedenen Zuständigkeiten und Aktivitäten entscheidend, bekannt als „Schnittstellenmanagement“. Es ist wichtig, sicherzustellen, dass im Unternehmen vorhandene Erfahrungen und Fachkenntnisse zu Compliance-Themen über Abteilungsgrenzen hinweg erfasst und zusammengeführt werden.

Um zu gewährleisten, dass die relevanten Compliance-Regeln und Prinzipien in allen Unternehmensbereichen und von allen Unternehmensangehörigen eingehalten werden, muss eine systematische Überwachung und Kontrolle durchgeführt werden. Das Compliance-System ist nur so gut wie seine beste Kontrolle.

Zunächst ist zu betonen, dass die primäre Kontroll- und Überwachungspflicht in der Regel bei der Geschäftsleitung liegt, auch wenn einzelne Kontroll- und Überwachungsaufgaben delegiert werden können.

Umfang und Gestaltung der notwendigen Aufgaben und Maßnahmen hängen von den individuellen Eigenschaften des Unternehmens und seiner Compliance-Risiko-Struktur ab.

Es ist immer sicherzustellen, dass die entsprechenden Kontrollmaßnahmen den Regeln entsprechen. Bei Kontrollen sind oft personenbezogene Daten betroffen, weshalb zum Beispiel die Bestimmungen des Datenschutzrechts einzuhalten sind.

Die Aufdeckung und Aufklärung von Compliance-Verstößen ist ein zentrales Element des Compliance Managements. In jedem Unternehmen treten Fälle vorsätzlicher Regelverletzungen auf, und trotz bester Schulung können fahrlässige Regelverstöße auftreten.

Zur Aufdeckung von Regelverletzungen verwenden viele Unternehmen Hinweisgebersysteme, etwa durch den Einsatz von Ombudspersonen oder sogenannten „Whistle-blowing-Systemen“.

Diese Systeme ermöglichen es den Unternehmensangehörigen, anonym auf Regelverstöße hinzuweisen. Die genaue Ausgestaltung dieser Systeme hängt von den spezifischen Gegebenheiten des jeweiligen Unternehmens ab. Es ist immer sicherzustellen, dass die relevanten arbeitsrechtlichen und datenschutzrechtlichen Bestimmungen beachtet werden. In der Unternehmenspraxis existieren unterschiedliche Modelle von Hinweisgebersystemen. In mittelständischen und kleineren Unternehmen sind häufig Compliance Officer oder Ombudsleute für diese Aufgabe zuständig.

Durch die Einführung der am 23.10.2019 verabschiedeten EU-Hinweisgeberrichtlinie in deutsches Recht ändern sich die Anforderungen in diesem Bereich.

Der Erfolg des Compliance Managements hängt stark von der konsequenten Sanktionierung festgestellter Regelverletzungen ab. Der Umgang mit aufgedeckter „Non-Compliance“ wird von den Unternehmensangehörigen genau beobachtet und beeinflusst die Integritäts- und Compliance-Kultur erheblich.

Wenn die Geschäftsleitung Regelverstöße toleriert oder sie nicht energisch verfolgt, entsteht bei vielen Unternehmensangehörigen der Eindruck, dass Compliance nur ein „Lippenbekenntnis“ ist. Dieser Eindruck kann alle Bemühungen im Bereich Compliance zunichte machen, da sich einige fragen könnten, ob regelkonformes Verhalten überhaupt von Bedeutung ist.

Im Compliance Management zeigt sich, dass die Wirksamkeit von Normen auch von der wahrgenommenen Durchsetzung abhängt.

Die rechtlichen Rahmenbedingungen unternehmerischen Handelns ändern sich ständig durch die Aktivitäten der Gesetzgeber und Normsetzer auf nationaler und internationaler Ebene sowie durch Vorgaben der Gerichte. Daher muss das Compliance Management regelmäßig überprüft und angepasst werden.

Dies erfordert eine ständige Beobachtung und Analyse aktueller Rechtsentwicklungen, bekannt als „Legal Monitoring“.

Im Rahmen von „Compliance Audits“ wird regelmäßig geprüft, ob ein Unternehmen angemessene Compliance-Maßnahmen, die den spezifischen Compliance-Risiken des Unternehmens entsprechen, implementiert und umgesetzt hat.

Wenn ein Compliance Management bereits etabliert ist und sich als ungeeignet zur Einhaltung rechtlicher Vorgaben durch das Unternehmen und dessen Mitarbeiter erweist, kann dies eine Neuausrichtung erfordern. Ein aufgeklärter Regelverstoß führt oft zur Anpassung des Compliance Managements oder zur Entwicklung neuer Compliance-Maßnahmen.

Die sorgfältige Dokumentation der implementierten Compliance-Strukturen, Prozesse und Maßnahmen ist für den Nachweis eines funktionierenden Compliance Managements essenziell.

Die Dokumentation des Compliance Managements hilft der Unternehmensleitung in Fällen von „Non-Compliance“, ihre Erfüllung der Organisationspflichten nachzuweisen.