Compliance

Das “Compliance Management System” – Pflicht und Kür

Compliance – die große Unbekannte! Mit der Umsetzung der EU-Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden (kurz „Whistleblowing-Richtlinie“) werden plötzlich Unternehmen mit mehr als 50 Mitarbeitern verpflichtet, Compliance-Maßnahmen in die eigene Organisation zu integrieren. Viele der betroffenen Unternehmen haben keine Ahnung, worum es sich bei „Compliance“ überhaupt handelt und reagieren primär mit Ablehnung. Wie geht man mit dem Thema um, wenn man bislang auch ohne entsprechende Verpflichtung sein Auslangen gefunden hat?

Eigene Erfahrung: Ich selbst war in der Situation, in einem Unternehmen Compliance-Strukturen aufbauen und ein effektives, funktionierendes Compliance-Management-System implementieren zu dürfen. Den Impuls hierzu lieferte jedoch nicht die Whistleblowing-Richtlinie, sondern der Umstand, dass die Geschäftsführung die Vorteile gezielter Maßnahmen (insbesondere zur Risikominimierung) erkannte. Die konkrete (auf das Unternehmen angepasste) Ausgestaltung der erforderlichen Strukturen erfordert jedoch gewisse Spielregeln. Man muss sich mit dem Thema beschäftigen und wissen, woran man sich orientieren kann und muss.

Da dies in der Praxis nicht immer einfach ist, habe ich die wesentlichen Punkte – als Orientierungshilfe – zusammengefasst (somit kein Anspruch auf Vollständigkeit).

Was ist „Compliance“?

Das Wort „Compliance“ ist aus dem aktuellen Wirtschaftssprachgebrauch nicht mehr wegzudenken. Konkret leitet sich „Compliance“ vom englischen „to comply with“ ab und bedeutet die Einhaltung rechtlicher und regulativer Vorgaben. Dem „Wortsinn“ entsprechend, versteht man darunter somit „rechtskonformes Handeln“.

Compliance als Pflicht?

Eine gesetzliche Verpflichtung zur Implementierung eines Compliance Management Systems vermissen wir bislang in Österreich. Bislang argumentiert man eine Verpflichtung zB auf Basis der generellen Sorgfaltsverpflichtung gemäß § 25 GmbHG sowie damit einhergehender Rechtsprechungen des OGH.

Eine konkrete Verpflichtung wird nun erstmals durch die nationalgesetzliche Umsetzung der Richtlinie zum Schutz von Personen die Verstöße gegen das Unionsrecht melden („Whistleblowing-Richtlinie“) in den nächsten 2 Jahren erwartet. Dabei gibt der Text der Richtlinie konkret vor, welche Maßnahmen die betroffenen Unternehmen setzen müssen.

Tatsächlich besteht kein Zweifel daran, dass „Compliance“ nun erstmals auch in Österreich zu einem verpflichtenden Bestandteil des Unternehmertums wird.

Die „Whistleblowing-Richtlinie“ ist ein wichtiges Thema (mehr Info erhalten Sie in meinem Blog, auf anderen Info-Seiten und bei – auf „Compliance“ und Whistleblowing“ spezialisierten – Unternehmen).

Das Compliance Management System

Das Compliance Management System (CMS) schafft und umfasst die organisatorischen Maßnahmen, die einem Unternehmen die Einhaltung rechtlich verbindlicher Vorgaben ermöglichen. Die Whistleblowing-Richtlinie erfordert kein umfangreiches CMS – das alleine sollte den Unternehmern bereits die Angst vor dem Thema „Compliance“ nehmen.

Beim Aufbau, der Verbesserung und der Aufrechterhaltung von Compliance-Strukturen empfehle ich, sich an gängigen Normen und Standards und insbesondere am Text der Whistleblowing-Richtlinie zu orientieren. Die Anforderungen an Unternehmen unterscheiden sich inhaltlich kaum voneinander. Unter anderem kennt man

  • die ISO 19600:2014 12 15 (Compliance Management System)
  • die ISO 37001:2016 10 15 (Anti-Bribery Management System)
  • die ON-Regel 192050:2013 02 01 (Compliance Management Systeme (CMS) – Anforderungen und Anleitung zur Anwendung)
  • den FCPA Guide (Foreign Corruption Practices Act)
  • den OECD Leitfaden
  • den UK Bribery Act 2010-Guidance, etc.

Zusammengefasst besteht ein effektives Compliance Management System aus folgenden Säulen:

Kultur: Compliance muss zur Chefsache erhoben werden („Tone from the Top“). Die Geschäftsführung muss stets mit gutem Beispiel vorangehen und entsprechend agieren.

Strategie und Ziele: Dem Aufbau und dem Betrieb einer Compliance-Organisation müssen stets eine Strategie und entsprechende Ziele vorausgehen. Wie soll man den Weg gestalten, wenn man das Ziel nicht kennt? Hierbei ist es wichtig, realistische Ziele zu setzen. Unrealistische Ziele werden von der Belegschaft kaum ernst genommen und scheitert das Thema „Compliance“ bereits zu Beginn.

Risk-Assessment: Die festgelegten Ziele bilden die Grundlage für die Identifikation und Bewertung von Compliance-Risiken. Es ist wichtig, die Risiken im und für das Unternehmen gemeinsam – im Rahmen von Workshops – zu erarbeiten. Die Kenntnis der Risiken ermöglicht zielgerichtete Maßnahmen.

Prävention und Erkennen: In diesem Punkt geht es um das Erarbeiten zielgerichteter Maßnahmen zur Vorbeugung und Vermeidung von Fehlverhalten. Insbesondere bedarf es entsprechender Handlungsanweisungen (zB Richtlinien), Prozesse (zB 4-Augen-Prinzip) und Schulungsmaßnahmen (Kommunikations- und Schulungsstrategie).

Ferner sind Maßnahmen wichtig, die das Erkennen von Fehlverhalten ermöglichen (zB Audits). Die Einführung von Hinweisgeber-Kanälen („Whistleblowing-Kanäle“) ist eine wichtige und effektive Möglichkeit zur Identifikation von Missständen.

Reaktion: Auf festgestellte Verstöße muss natürlich reagiert werden. Wichtig ist, dass den Mitarbeitern die drohenden Sanktionen und Konsequenzen bekannt sind.

Organisation: Die Verantwortung für das Thema „Compliance“ liegt unzweifelhaft bei der Geschäftsleitung. Diese kann Compliance-Agenden an Compliance-Officer delegieren, welche den Aufbau, den Betrieb und die Verbesserung der Organisation übernehmen. Hierfür benötigt der Compliance Officer ausreichend Ressourcen (Zeit, Personal, Budget, etc.).

Ohne Zustimmung und Unterstützung der Geschäftsführung wird die erfolgreiche Implementierung von Compliance im Unternehmen nicht gelingen. Tatsächlich scheitert man hier bereits am ersten Punkt: Kultur. Compliance ist nämlich ohne Zweifel ein „Kultur“-geprägtes und „Kultur“-prägendes Thema.

Das Richtlinien-CMS

Die Whistleblowing-Richtlinie gibt uns vor, welche Maßnahmen und Strukturen im Unternehmen umgesetzt bzw. implementiert werden müssen. Tatsächlich ist es mit der Einführung eines Hinweisgebersystems nicht getan. Gemeldete Hinweise müssen fristgerecht bearbeitet werden.

Dieser Umstand erfordert daher konkrete Prozesse (Bestätigung des Erhalts der Meldung, Information über Folgemaßnahmen, Investigation, etc.) und – mit dem Thema beauftragte – Personen. Was ist zu tun?

  1. Auswahl des passenden Hinweisgebersystems (zB Verwendung eines digitalen Hinweisgebersystems/Whistleblowing-Kanals)
  2. Nominierung der verantwortlichen Person
  3. Prozesse festlegen (insbesondere Melde-/Reporting-Maßnahmen zum Hinweisgeber und zur Geschäftsführung)

Tatsächlich gibt es Turnkey-Lösungen, mit denen die Implementierung eines Richtlinien-CMS einfach und sicher gewährleistet wird.

Wie weiter? Die nächsten Schritte…

Unternehmen sind gut beraten, sich frühestmöglich mit dem Thema „Compliance“ zu beschäftigen. Wichtig ist, dass Compliance als Chance und nicht als Bürde zu verstehen ist. Auf „Compliance“ spezialisierte Unternehmen und Berater bieten oftmals einfache Lösungen und helfen bei der Unterstützung zur Einführung passender Strukturen. Compliance.Kann.Jeder.