Compliance – jetzt gelten neue Regeln
Auch Mittelständler sind zunehmend gefordert, gegenüber großen Kunden oder Behörden ihr gesetzeskonformes Verhalten zu dokumentieren. Ohne Compliance-Management-System könnten sie deshalb künftig lukrative Aufträge verlieren.
Autor: Angelika Knop
Kleine Geschenke erhalten die Freundschaft. Nach diesem Motto bedachte der Chef einer Lausitzer Firma für Abfallentsorgung seine Kunden, darunter kommunale Amtsträger. Hier eine Flasche Wein, da VIP-Karten für ein Motorsport-Event – keine Aufmerksamkeit war über 80 Euro wert. Bereits darin sah das Landgericht Cottbus aber eine strafbare Vorteilsgewährung und verurteilte den Mann im Dezember 2012 zu 14.400 Euro Geldstrafe. Teurer noch kamen wohl der monatelange Prozess und der Imageschaden. Anders als die Skandale von Siemens, Thyssen oder MAN stand der Fall zwar nur in der Lokalzeitung. Aber ein negativer Artikel gefährdet kleine Betriebe oft stärker als die Millionenstrafe einen Weltkonzern. Kunden oder Kredite bleiben aus, Wettbewerber fordern Schadensersatz.
Ein CMS ist kein Feigenblatt. „Gerade wenn man eine dünne Kapitaldecke oder nur wenige Geschäftspartner hat, kann einem bei Rechtsverstößen schnell der ganze Laden um die Ohren fliegen“, weiß Malte Passarge, Vorstandsvorsitzender des Instituts für Compliance im Mittelstand in Hamburg. Compliance nennt man das Befolgen von Regeln und Gesetzen. Das wird für Firmen heute immer schwieriger, weil die Vorschriften zunehmen, die Gesetze strenger werden und die Kontrollen effektiver – insbesondere im Wettbewerbsrecht oder beim Umwelt- und Datenschutz. Und wenn Geschäftsführer oder Inhaber nicht ordentlich informieren, schulen oder kontrollieren, haften sie sowohl für ihre eigenen Fehler als auch für die ihrer Mitarbeiter. Gibt es beispielsweise keine klare Regelung zur Privatnutzung von Geschäftscomputern, wird der illegale Musikdownload des Azubis ganz schnell zum Problem für den Chef.
Als Lösung empfiehlt sich ein sogenanntes Compliance-Management-System (CMS): Das sind Vorschriften und Prozesse, an die sich alle Mitarbeiter halten müssen. „Aber ein CMS ist kein Feigenblatt. Es reicht nicht, ein paar Regeln aus dem Internet abzuwandeln, auszudrucken und ans Schwarze Brett zu hängen“, warnt Malte Passarge. Erstens müssen es die für den eigenen Betrieb richtigen Regeln sein. Am Anfang steht also die genaue Risikoanalyse, wo welcher Rechtsverstoß auftreten kann. In Einkauf und Vertrieb, insbesondere im Ausland, dürften Schmiergelder oder Absprachen das Problem sein, in der Produktion eher Arbeits- und Umweltschutz. Zweitens muss man die Regeln bekannt machen. Drittens muss man darauf drängen, dass sie beachtet werden. Viertens muss das jemand kontrollieren, dokumentieren sowie Verstöße ahnden. Das kostet Zeit und Geld.
Kunden wollen Taten sehen. Vielleicht leistet sich deshalb nur jedes zweite mittelständische Unternehmen ein Compliance-
Management, wie das Deloitte Mittelstandsinstitut 2011 ermittelte. Das Budget dafür liegt meistens weit unter 50.000 Euro, oft sogar unter 10.000 Euro im Jahr. Vor allem kleine, inhabergeführte Firmen haben seltener ein CMS und geben dafür weniger aus. Immer öfter aber müssen sie hier einfach investieren – weil es Geschäftspartner oder Kunden fordern, die Compliance in der ganzen Lieferkette sicherstellen wollen.
Bei der Zeon Europe GmbH in Düsseldorf kam der Anstoß vom japanischen Mutterhaus. Der weltweite Hersteller von Poly- und Elastomeren wünschte ein CMS bei der Tochtergesellschaft – angelehnt an die Verhaltensgrundsätze des Konzerns, aber mit freier Hand gestaltet, nach der deutschen sowie der europäischen Rechts- und Geschäftspraxis. Birgit Koll, Senior Managerin Administration & Logistics, übernahm die Aufgabe. Seit 2010 ist sie auch Compliance-Managerin der GmbH, zuständig für 36 Mitarbeiter in der Handels- und Vertriebszentrale sowie in den Niederlassungen Italien, Spanien und Frankreich. Das Wichtigste für sie dabei ist: „klare und verständliche Strukturen schaffen – und nichts versprechen, was Sie nicht halten können. Wenn das Management Compliance vorlebt, dann folgen auch die Mitarbeiter.“
Ohne Training geht es nicht. Daher berief sie alle vier Direktoren in ein sogenanntes Compliance-Komitee und ließ sie erst einmal eine Selbstverpflichtung unterschreiben. Dann wurden die Risiken der einzelnen Bereiche analysiert. Am Ende stand ein neuer Verhaltenskodex, der beispielsweise Geschenke an Mitarbeiter des öffentlichen Diensts verbietet oder auch vorschreibt, die Arbeitszeit im eigenen Betrieb zu kontrollieren.
Wenn Mitarbeiter jetzt wissen wollen, wie sie sich in bestimmten Situationen verhalten sollen, können sie sich darüber in einer Prozessdatenbank online informieren. Außerdem haben alle unterschrieben, diese Vorgaben zu beachten. Regelmäßige Trainings und Gespräche schaffen Sicherheit. „Durch das Compliance-Programm fühlen sich unsere Mitarbeiter nicht kontrolliert, sondern unterstützt“, so Birgit Koll. „Sie wissen, dass sie lieber einmal zu viel fragen sollen als zu wenig.“ Auf Messen darf man am Nachbarstand natürlich weiterhin den Kugelschreiber annehmen oder Small Talk mit dem Wettbewerber machen. „Aber die Mitarbeiter sollen zumindest verstehen, dass so etwas auch einen falschen Eindruck erwecken könnte“, sagt Koll. Und wenn ihnen etwas auffällig vorkommt, sollen sie das auf einem Formblatt melden – auch anonym.
Prioritäten sind wichtig. Birgit Koll überprüft nicht nur alle Hinweise, sie berät sich auch einmal im Vierteljahr mit dem Compliance-Komitee und lässt das Compliance-Management-System durch Audits kontrollieren. Entwickelt hat sie das CMS mit der Compliance-Expertin Carmen Felsing in Kaarst. „Hat das Management verstanden, wo die Minen liegen, und setzt dann die richtigen Prioritäten, kann ein kleines oder mittleres Unternehmen ein Compliance-Programm in drei bis sechs Monaten einführen“, ist Felsings Erfahrung. Aber häufig bleiben Firmen auf halber Strecke stehen, ernennen keinen Compliance-Officer oder machen keine regelmäßigen Berichte.
Überprüfung ist ein Muss. Friederike Heitz von der Tetra GmbH in Melle bei Osnabrück plant beim Thema Compliance langfristig. Die Justiziarin des Herstellers von Produkten rund um Aquarien und Gartenteiche gibt dem Aufbau des CMS in ihrem Unternehmen mindestens drei Jahre Zeit. „Ein Compliance-Programm können Sie nicht aufpfropfen, es muss leben und gelebt werden.“ Aus diesem Grund hat sie in allen Abteilungen erst einmal intensiv erfragt, welche Regeln notwendig sind, welche es bereits gibt und wie sie befolgt werden. In vielen Betrieben sieht das unter dem täglichen Zeit- und Kostendruck nämlich anders aus als auf dem Papier. Da gerät schnell in Vergessenheit, dass es nicht ausreicht, das günstigste Angebot nur telefonisch einzuholen, wenn nicht zugleich das zweite und dritte schriftlich festgehalten ist. „Compliance ist eben auch Dokumentation und Überprüfung“, meint Friederike Heitz. „Davon muss man die Mitarbeiter mit viel Fingerspitzengefühl überzeugen.“
Da sie für diese Aufgabe mit viel Zeitaufwand rechnet, geht Friederike Heitz Schritt für Schritt vor. Begonnen hat sie erst einmal mit einer Richtlinie zum Thema Korruption. Das ist zwar sehr viel Arbeit, bedeutet für das Unternehmen aber nicht nur Rechtssicherheit, sondern auch positives Marketing, betont die Unternehmensjuristin: „Wir zeigen damit, dass wir uns eines Risikos bewusst sind und gute Strukturen schaffen wollen.“
Die wichtigsten Bausteine für mehr Sicherheit
Daran sollten Sie beim Aufbau eines Compliance-Management-Systems denken
Compliance-Management-System (CMS): Wie genau ein CMS auszusehen hat, ist gesetzlich nicht geregelt. Orientierung bieten Standards wie IDW PS980 vom Institut der Deutschen Wirtschaftsprüfer oder TR CMS 101:2011 vom TÜV Rheinland. Der Arbeitskreis Corporate Compliance hat einen „Kodex zur Abgrenzung von legaler Kundenpflege und Korruption“ entwickelt. Außerdem kann man sich an Großunternehmen orientieren, die ihre Richtlinien im Internet veröffentlicht haben. Gibt es im eigenen Betrieb keine Fachleute, sollte man sich externen Rat holen, etwa von Wirtschaftsprüfern, Steuerberatern oder Juristen.
Compliance-Manager/Officer: Er sorgt für die Einhaltung der Regeln. Häufig übernimmt der Geschäftsführer diese Aufgabe, weil er ohnehin haftet. Andere Personen sollten sich durch Vertrag und Versicherung für diese Verantwortung absichern. In der Einführungsphase ist der Aufwand oft hoch, auch später sollte wöchentlich dokumentiert und kontrolliert werden.
Whistleblowing: Damit Hinweise auf mögliches Fehlverhalten vertraulich bleiben, empfiehlt sich eine externe Anlaufstelle, persönlich oder als telefonische Hotline. Erreichbar sein sollte dort ein Anwalt oder ein Ombudsmann, etwa ein angesehener Mitarbeiter im Ruhestand.
Zahlenkontrolle: Zu einem funktionierenden CMS trägt auch der Steuerberater bei. Er sorgt dafür, dass der Firmenchef seine steuerlichen Pflichten erfüllt und die organisatorischen Bedingungen schafft, um steuerliche Haftungsrisiken und steuerstrafrechtliches Fehlverhalten auszuschließen. Und er kann Ungereimtheiten bemerken, die im Betrieb übersehen wurden.
Quelle: TRIALOG, Das Unternehmermagazin Ihrer Berater und der DATEV, Herausgeber: DATEV eG, Nürnberg, Ausgabe 03/2013