Fachartikel & News

Compliance – jetzt gelten neue Regeln

Auch Mittel­ständler sind zunehmend gefordert, gegenüber großen Kunden oder Behörden ihr geset­zes­kon­formes Verhalten zu dokumen­tieren. Ohne Compliance-Management-System könnten sie deshalb künftig lukrative Aufträge verlieren.

Autor: Angelika Knop


Kleine Geschenke erhalten die Freund­schaft. Nach diesem Motto bedachte der Chef einer Lausitzer Firma für Abfall­ent­sorgung seine Kunden, darunter kommunale Amtsträger. Hier eine Flasche Wein, da VIP-Karten für ein Motor­sport-Event – keine Aufmerk­samkeit war über 80 Euro wert. Bereits darin sah das Landge­richt Cottbus aber eine strafbare Vorteils­ge­währung und verur­teilte den Mann im Dezember 2012 zu 14.400 Euro Geldstrafe. Teurer noch kamen wohl der monate­lange Prozess und der Image­schaden. Anders als die Skandale von Siemens, Thyssen oder MAN stand der Fall zwar nur in der Lokal­zeitung. Aber ein negativer Artikel gefährdet kleine Betriebe oft stärker als die Millio­nen­strafe einen Weltkonzern. Kunden oder Kredite bleiben aus, Wettbe­werber fordern Schadens­ersatz.

Ein CMS ist kein Feigen­blatt. „Gerade wenn man eine dünne Kapital­decke oder nur wenige Geschäfts­partner hat, kann einem bei Rechts­ver­stößen schnell der ganze Laden um die Ohren fliegen“, weiß Malte Passarge, Vorstands­vor­sit­zender des Instituts für Compliance im Mittel­stand in Hamburg. Compliance nennt man das Befolgen von Regeln und Gesetzen. Das wird für Firmen heute immer schwie­riger, weil die Vorschriften zunehmen, die Gesetze strenger werden und die Kontrollen effek­tiver – insbe­sondere im Wettbe­werbs­recht oder beim Umwelt- und Daten­schutz. Und wenn Geschäfts­führer oder Inhaber nicht ordentlich infor­mieren, schulen oder kontrol­lieren, haften sie sowohl für ihre eigenen Fehler als auch für die ihrer Mitar­beiter. Gibt es beispiels­weise keine klare Regelung zur Privat­nutzung von Geschäfts­com­putern, wird der illegale Musik­download des Azubis ganz schnell zum Problem für den Chef.

Als Lösung empfiehlt sich ein sogenanntes Compliance-Management-System (CMS): Das sind Vorschriften und Prozesse, an die sich alle Mitar­beiter halten müssen. „Aber ein CMS ist kein Feigen­blatt. Es reicht nicht, ein paar Regeln aus dem Internet abzuwandeln, auszu­drucken und ans Schwarze Brett zu hängen“, warnt Malte Passarge. Erstens müssen es die für den eigenen Betrieb richtigen Regeln sein. Am Anfang steht also die genaue Risiko­analyse, wo welcher Rechts­verstoß auftreten kann. In Einkauf und Vertrieb, insbe­sondere im Ausland, dürften Schmier­gelder oder Absprachen das Problem sein, in der Produktion eher Arbeits- und Umwelt­schutz. Zweitens muss man die Regeln bekannt machen. Drittens muss man darauf drängen, dass sie beachtet werden. Viertens muss das jemand kontrol­lieren, dokumen­tieren sowie Verstöße ahnden. Das kostet Zeit und Geld.

Kunden wollen Taten sehen. Vielleicht leis­tet sich deshalb nur jedes zweite mittel­ständische Unter­nehmen ein Compliance-
Management, wie das Deloitte Mittel­stands­in­stitut 2011 ermit­telte. Das Budget dafür liegt meistens weit unter 50.000 Euro, oft sogar unter 10.000 Euro im Jahr. Vor allem kleine, inhaber­ge­führte Firmen haben seltener ein CMS und geben dafür weniger aus. Immer öfter aber müssen sie hier einfach inves­tieren – weil es Geschäfts­partner oder Kunden fordern, die Compliance in der ganzen Liefer­kette sicher­stellen wollen.

Bei der Zeon Europe GmbH in Düsseldorf kam der Anstoß vom japani­schen Mutterhaus. Der weltweite Hersteller von Poly- und Elasto­meren wünschte ein CMS bei der Tochter­ge­sell­schaft – angelehnt an die Verhal­tens­grund­sätze des Konzerns, aber mit freier Hand gestaltet, nach der deutschen sowie der europäi­schen Rechts- und Geschäfts­praxis. Birgit Koll, Senior Managerin Adminis­tration & Logistics, übernahm die Aufgabe. Seit 2010 ist sie auch Compliance-Managerin der GmbH, zuständig für 36 Mitar­beiter in der Handels- und Vertriebs­zen­trale sowie in den Nieder­las­sungen Italien, Spanien und Frank­reich. Das Wichtigste für sie dabei ist: „klare und verständ­liche Struk­turen schaffen – und nichts versprechen, was Sie nicht halten können. Wenn das Management Compliance vorlebt, dann folgen auch die Mitar­beiter.“

Ohne Training geht es nicht. Daher berief sie alle vier Direk­toren in ein sogenanntes Compliance-Komitee und ließ sie erst einmal eine Selbst­ver­pflichtung unter­schreiben. Dann wurden die Risiken der einzelnen Bereiche analy­siert. Am Ende stand ein neuer Verhal­tens­kodex, der beispiels­weise Geschenke an Mitar­beiter des öffent­lichen Diensts verbietet oder auch vorschreibt, die Arbeitszeit im eigenen Betrieb zu kontrol­lieren.

Wenn Mitar­beiter jetzt wissen wollen, wie sie sich in bestimmten Situa­tionen verhalten sollen, können sie sich darüber in einer Prozess­da­tenbank online infor­mieren. Außerdem haben alle unter­schrieben, diese Vorgaben zu beachten. Regel­mäßige Trainings und Gespräche schaffen Sicherheit. „Durch das Compliance-Programm fühlen sich unsere Mitar­beiter nicht kontrol­liert, sondern unter­stützt“, so Birgit Koll. „Sie wissen, dass sie lieber einmal zu viel fragen sollen als zu wenig.“ Auf Messen darf man am Nachbar­stand natürlich weiterhin den Kugel­schreiber annehmen oder Small Talk mit dem Wettbe­werber machen. „Aber die Mitar­beiter sollen zumindest verstehen, dass so etwas auch einen falschen Eindruck erwecken könnte“, sagt Koll. Und wenn ihnen etwas auffällig vorkommt, sollen sie das auf einem Formblatt melden – auch anonym.

Priori­täten sind wichtig. Birgit Koll überprüft nicht nur alle Hinweise, sie berät sich auch einmal im Vierteljahr mit dem Compliance-Komitee und lässt das Compliance-Management-System durch Audits kontrol­lieren. Entwi­ckelt hat sie das CMS mit der Compliance-Expertin Carmen Felsing in Kaarst. „Hat das Management verstanden, wo die Minen liegen, und setzt dann die richtigen Priori­täten, kann ein kleines oder mittleres Unter­nehmen ein Compliance-Programm in drei bis sechs Monaten einführen“, ist Felsings Erfahrung. Aber häufig bleiben Firmen auf halber Strecke stehen, ernennen keinen Compliance-Officer oder machen keine regel­mä­ßigen Berichte.

Überprüfung ist ein Muss. Friederike Heitz von der Tetra GmbH in Melle bei Osnabrück plant beim Thema Compliance langfristig. Die Justi­ziarin des Herstellers von Produkten rund um Aquarien und Garten­teiche gibt dem Aufbau des CMS in ihrem Unter­nehmen mindestens drei Jahre Zeit. „Ein Compliance-Programm können Sie nicht aufpfropfen, es muss leben und gelebt werden.“ Aus diesem Grund hat sie in allen Abtei­lungen erst einmal intensiv erfragt, welche Regeln notwendig sind, welche es bereits gibt und wie sie befolgt werden. In vielen Betrieben sieht das unter dem täglichen Zeit- und Kosten­druck nämlich anders aus als auf dem Papier. Da gerät schnell in Verges­senheit, dass es nicht ausreicht, das günstigste Angebot nur telefo­nisch einzu­holen, wenn nicht zugleich das zweite und dritte schriftlich festge­halten ist. „Compliance ist eben auch Dokumen­tation und Überprüfung“, meint Friederike Heitz. „Davon muss man die Mitar­beiter mit viel Finger­spit­zen­gefühl überzeugen.“

Da sie für diese Aufgabe mit viel Zeitaufwand rechnet, geht Friederike Heitz Schritt für Schritt vor. Begonnen hat sie erst einmal mit einer Richt­linie zum Thema Korruption. Das ist zwar sehr viel Arbeit, bedeutet für das Unter­nehmen aber nicht nur Rechts­si­cherheit, sondern auch positives Marketing, betont die Unter­neh­mens­ju­ristin: „Wir zeigen damit, dass wir uns eines Risikos bewusst sind und gute Struk­turen schaffen wollen.“


Die wichtigsten Bausteine für mehr Sicherheit

Daran sollten Sie beim Aufbau eines Compliance-Management-Systems denken


Compliance-Management-System (CMS): Wie genau ein CMS auszu­sehen hat, ist gesetzlich nicht geregelt. Orien­tierung bieten Standards wie IDW PS980 vom Institut der Deutschen Wirtschafts­prüfer oder TR CMS 101:2011 vom TÜV Rheinland. Der Arbeits­kreis Corporate Compliance hat einen „Kodex zur Abgrenzung von legaler Kunden­pflege und Korruption“ entwi­ckelt. Außerdem kann man sich an Großun­ter­nehmen orien­tieren, die ihre Richt­linien im Internet veröf­fent­licht haben. Gibt es im eigenen Betrieb keine Fachleute, sollte man sich externen Rat holen, etwa von Wirtschafts­prüfern, Steuer­be­ratern oder Juristen.
Compliance-Manager/Of­ficer: Er sorgt für die Einhaltung der Regeln. Häufig übernimmt der Geschäfts­führer diese Aufgabe, weil er ohnehin haftet. Andere Personen sollten sich durch Vertrag und Versi­cherung für diese Verant­wortung absichern. In der Einfüh­rungs­phase ist der Aufwand oft hoch, auch später sollte wöchentlich dokumen­tiert und kontrol­liert werden.
Whist­leb­lowing: Damit Hinweise auf mögliches Fehlver­halten vertraulich bleiben, empfiehlt sich eine externe Anlauf­stelle, persönlich oder als telefo­nische Hotline. Erreichbar sein sollte dort ein Anwalt oder ein Ombudsmann, etwa ein angese­hener Mitar­beiter im Ruhestand.
Zahlen­kon­trolle: Zu einem funktio­nie­renden CMS trägt auch der Steuer­be­rater bei. Er sorgt dafür, dass der Firmenchef seine steuer­lichen Pflichten erfüllt und die organi­sa­to­ri­schen Bedin­gungen schafft, um steuer­liche Haftungs­ri­siken und steuer­straf­recht­liches Fehlver­halten auszu­schließen. Und er kann Ungereimt­heiten bemerken, die im Betrieb übersehen wurden.


Quelle: TRIALOG, Das Unter­neh­mer­ma­gazin Ihrer Berater und der DATEV, Heraus­geber: DATEV eG, Nürnberg, Ausgabe 03/2013

This is a unique website which will require a more modern browser to work! Please upgrade today!