Spektakuläre Fälle wie Wirecard, Cum Ex, Dieselskandal oder Lastwagenkartell mit oft jahrelanger Aufarbeitung und Berichterstattung erwecken in der breiten Öffentlichkeit den Eindruck, Fehlverhalten in Unternehmen nehme zu. Der Gesetzgeber versucht mit immer mehr Vorschriften gegenzusteuern, jüngst mit dem Finanzmarktintegritätsstärkungsgesetz (FISG) als Reaktion auf den Bilanzskandal bei Wirecard. „Das ist ein Beispiel für die aktuelle Adhoc- Gesetzgebung, die Unternehmen zu schnell zu viele neue Pflichten auferlegt. So stärkt man Compliance in den Unternehmen nicht, weil sie echte Wirkung nur da entfalten kann, wo sie in Prozessen implementiert und von den Mitarbeitern angenommen wird. Beides benötigt Zeit und Vorbereitung“, kritisiert Dr. Eren Basar, Rechtsanwalt und zertifizierter Compliance-Officer bei der Kanzlei Wessing & Partner, die auf Unternehmensstrafrecht spezialisiert ist. „Börsennotierte Konzerne sind nun zu einem internen Kontroll- sowie Risikofrüherkennungssystem verpflichtet, das sie in der Regel bereits haben. Unklar bleibt aber beispielsweise: Wie sollen diese Systeme ineinandergreifen? Und mit welchen Maßnahmen ist eine Enthaftung der Unternehmen möglich?“
„Nahezu alle Menschen wollen sich richtig verhalten. Das fällt bei zu vielen und zu unspezifischen Regelungen immer schwerer.“
Alexander Schröder, ERGO AG
Nicht nur mit dem Gesetzgeber müssen Compliance-Manager Schritt halten. Hinzu kommt die rasante technologische Entwicklung, etwa in der Automobilindustrie: „Wir befinden uns in der größten Transformation unserer Geschichte durch den Wandel zur klimaneutralen Wirtschaft. Das bringt neue Risiken auf unbekanntem Terrain mit sich. Mit Blick auf die Elektromobilität beispielsweise beim Einkauf von Rohstoffen für Batterien, um nicht gegen Menschenrechte, Arbeitsschutz- und Umweltschutzvorgaben zu verstoßen“, berichtet Dr. Jürgen Gleichauf, Chief Compliance Officer der Mercedes-Benz Group AG. Um Prävention auch in diesem dynamischen Umfeld zu ermöglichen, verfolgen er und seine weltweit rund 300 Mitarbeiterinnen und Mitarbeiter einen adaptiven Ansatz: „Wir wollen künftige ethische und gesellschaftliche Entwicklungen berücksichtigen, um auch Risiken zu erfassen, für die rechtliche Vorgaben noch fehlen. Unter anderem ermitteln wir durch Stakeholder-Dialoge, wo künftig rote Linien verlaufen könnten.“
„Wir befinden uns in der größten Transformation unserer Geschichte durch den Wandel zur klimaneutralen Wirtschaft. Das bringt neue Risiken auf unbekanntem Terrain mit sich.“
Dr. Jürgen Gleichauf, Mercedes-Benz
LEGAL- UND REGTECH ZAHLT SICH BEI MERCEDES AUS
Eine große Hilfe ist die Digitalisierung, berichtet Jürgen Gleichauf: „Mittels Legal- und Regtech-Tools lassen sich die weltweiten Entwicklungen im Bereich Regulierung und Rechtsprechung leichter im Blick behalten. Wenn wir eine Business-Partner-Due-Diligence vornehmen, um etwaigen Menschenrechts- oder Umweltverstößen bei einem Lieferanten vorzubeugen, verfügen wir über ein permanentes Monitoring sämtlicher Datenbanken weltweit und müssen nicht jedes Mal neu anfangen. Spürbare Entlastung bringen auch intelligente Chatbots, die häufige Fragen aus den Fachbereichen inzwischen so gut beantworten, dass sie kaum noch von direkter Auskunft zu unterscheiden sind.“
KORRUPTION BLEIBT GROSSES EINFALLSTOR FÜR DIE STAATSANWALTSCHAFT
Während große Unternehmen in der Regel bereits über ein effizientes Compliance-Management-System (CMS) verfügen, besteht vor allem in kleinen und mittleren Unternehmen noch Handlungsbedarf, so die Erfahrung von Anwalt Basar: „Beispielsweise ist Korruption immer noch ein großes Einfallstor der Staatsanwaltschaften. Anders als in Konzernen fehlt es im Mittelstand häufig an Richtlinien für die verschiedenen Szenarien von Sponsoring bis zu Geschenken. Bei öffentlichen Ausschreibungen mangelt es dann nicht selten am Risikobewusstsein, was beispielsweise Rabatte oder kleine Gefälligkeiten angeht. Dabei können schon überschaubare Beträge den Tatbestand der Bestechung nach § 299 Strafgesetzbuch erfüllen.“ Eine Orientierungshilfe für den Mittelstand, um ein angemessenes und verhältnismäßiges CMS individuell passend zusammenzustellen, liefern der neue Standard ISO 37301 und der Standard des Deutschen Instituts für Compliance (DICO), gegebenenfalls ergänzt um die Spezialstandards zu Hinweisgebersystemen, internen Ermittlungen oder anderen Bereichen.
SIEBEN MERKMALE GELEBTER COMPLIANCE
1. Das CMS ist auf den Mitarbeiter als Adressat der Vorgaben und seine Erfordernisse für die Umsetzung ausgerichtet.
2. Verankerung in der Unternehmenskultur:
• Klares Bekenntnis der Geschäftsleitung (tone from the top),
• Konzeption als lernendes System: Fehler werden genutzt als „lessons learned“,
• Offene und angstfreie Kommunikation mit dem Management.
3. Enable and Protect:
• Compliance-Verantwortliche verstehen sich als Business Enabler, die rechtskonforme Lösungen aufzeigen,
• Zielgruppen spezifisch ansprechen und Prinzipien passend abschichten,
• Verhaltensanforderungen digital abbilden etwa durch Wertgrenzen für Freigabeprozesse im Einkauf.
4. Evaluation und ständige Verbesserung:
• Definition von Key Performance Indizes wie Anzahl der Schulungen und Teilnehmerquote oder Anfragen zu Compliance-Themen als Beleg für Sensibilisierung der Mitarbeiter.
5. Nah am Business:
• Kommunikation und enge Vernetzung der Compliance-Verantwortlichen mit sämtlichen Unternehmensbereichen.
6. Konsequentes Durchgreifen bei Verstößen.
7. Interne und externe Hinweisgebersysteme, um Risiken abzufangen, von denen das Top-Management ansonsten nicht erfahren würde.
„Mit Ad-hoc-Gesetzgebung stärkt man Compliance in den Unternehmen nicht, weil sie echte Wirkung nur da entfalten kann, wo sie in Prozessen implementiert und von den Mitarbeitern angenommen wird. Beides benötigt Zeit und Vorbereitung.“
Dr. Eren Basar, Wessing & Partner
AUCH „NEBENPROZESSE“ ENTDECKEN
In großen Konzernen besteht die Krux für die Wirksamkeit eines CMS oft darin, den Gesamtüberblick zu wahren – angesichts internationaler Tochtergesellschaften, einer oft sehr heterogenen IT-Landschaft und weltweit vernetzter Lieferketten. Die Versicherungsgruppe Ergo AG ist beispielsweise in 30 Ländern vertreten und gehört zum Rückversicherer Munich Re. Um Vergleichbarkeit zu schaffen, gibt der Mutterkonzern das grundsätzliche Compliance-Rahmenwerk vor mit einheitlichen Vorgaben etwa für das Reporting. „Eine Herausforderung ist dabei, nicht die etablierten Prozesse genau zu kennen, und standardisiert im System abzubilden, sondern auch neue Prozesse im Auge zu behalten, die sich zu Hauptprozessen entwickeln könnten. Dort setzen wir dann regelmäßig unter anderem mit präventiven oder aufdeckenden Kontrollen an“, berichtet Alexander Schröder, Chief Compliance Officer und Gruppen-Geldwäschebeauftragter der ERGO AG.
Für Compliance-Manager gewinnt immer mehr die Frage an Bedeutung, wie sich die Risiken passend adressieren lassen. Schulungen allein reichen nicht, sondern hier kommen Ethik und Integrität ins Spiel. „Grundlegende Werte müssen in der Unternehmenskultur verankert sein. Mit einer Speakup- Kultur werden Fehler so behandelt, dass sie ans Licht kommen können. Vor allem aber brauchen Compliance- Verantwortliche den engen Schulterschluss mit den Fachbereichen, damit Recht und Compliance von Anfang an mit einfließen“, ist Jürgen Gleichauf überzeugt.
Denn letztendlich geht es darum, den einzelnen Mitarbeiter zu erreichen: „Nahezu alle Menschen wollen sich richtig verhalten. Das fällt bei zu vielen und zu unspezifischen Regelungen immer schwerer. Deshalb achten wir darauf, dass die zunehmenden regulatorischen Anforderungen den Mitarbeitern zugänglich bleiben“, berichtet Ergo-Compliance-Chef Schröder. „Wir formulieren die Regeln so zugespitzt wie möglich und sprechen die Zielgruppen spezifisch an: Sind beispielsweise alle Inlandsgesellschaften vom Thema betroffen? Wo können wir Prinzipien schärfen?“ Ein weiterer Weg sei, Compliance- Prozesse digital so abzubilden, dass sie sich beispielsweise nur bei Einhaltung der Vorgaben technisch abschließen lassen, ergänzt Markus Küpker, verantwortlich für Regulatorik und Vertrieb. Compliance-Verantwortliche müssen sich im Rennen mit immer mehr Regulierung und einer rasanten technologischen Entwicklung behaupten. Die Digitalisierung hilft nicht nur, dabei den Überblick zu behalten und neue Compliance-Risiken zu entdecken. Sie eröffnet auch neue Wege, um Rechtsvorschriften effizient und einfach handhabbar für die Mitarbeiter umzusetzen. Entscheidend für den Erfolg ist der interdisziplinäre Ansatz: Ein enger Schulterschluss und intensive Kommunikation mit den Fachbereichen, die den richtigen Ton trifft und die oft unspezifischen gesetzlichen Regeln für die unterschiedlichen Bedürfnisse der Mitarbeiter übersetzt.
Franziska Jandl
