Compliance deutet das Erfüllen gesetzlicher, interner und ethischer Richtlinien im Unternehmen.
Durch Compliance werden Unternehmen verpflichtet, alle gesetzlichen und formellen Regeln einer ordentlichen wirtschaftlichen Tätigkeit einzuhalten und Geschäftsprozesse zu definieren, um somit Transparenz zu schaffen. (vgl. Kreuzer, 2013) Compliance-Ziele sollen mit den Geschäftszielen abgeglichen werden; optimal wäre, wenn die Compliance-Ziele mit den strategischen Unternehmenszielen vereinbart werden können. Compliance-Kultur sind die vom Unternehmen geschaffenen Rahmenbedingungen in den Bereichen Verhaltensweise, Identität und Kommunikation. Compliance ist auch Teil der Risikoanalyse und dient demnach auch der Schadensvermeidung mit Hilfe von:
- Instrumenten wie Schulungen und Seminare, Handbücher, Weisungen und Anleitungen
- Maßnahmen, die zur Einhaltung sämtlicher gesetzlicher Bestimmungen und aller unternehmensinternen Richtlinien und Vorgaben dienen
- Etablierung einer effektiven Organisation mit entsprechender Transparenz (vgl. Barbis/Ahammer, 2009)
Compliance Agenden bei Risiken
Allgemein gültige Richtlinien für ein Compliance-System bei wirtschaftskriminellen Handlungen sind nicht definiert. Das System kann daher als Instrument gesehen werden, von dem eine eigene Wirksamkeit für das Unternehmen abgeleitet werden kann. Die interne Compliance-Kultur zum Thema Wirtschaftskriminalität sollte von der Geschäftsführung oder dem Vorstand definiert und stetig an die Mitarbeiter*innen kommuniziert werden. (vgl. Barbist/Ahammer, 2009)
Ausgehend von der vorherigen Risikoanalyse als Fundament berücksichtigt Compliance zwei Arten von Risiken im Unternehmen:
- Primäre Compliance-Risiken, die sich aus den direkten Geschäftstätigkeiten des Unternehmens ergeben. Diese haben eine realistische Eintrittswahrscheinlichkeit und werden von der Gesetzgebung berücksichtigt.
- Sekundäre Compliance-Risiken sind solche, die sich weniger spezifisch aus der direkten Geschäftstätigkeit ableiten und im jedem Unternehmen auftreten können. (vgl. Heißner, 2014)
Compliance Regelkreis
Die Aufgaben der Compliance werden in drei Bereiche gegliedert:
- Vorbeugen: Entwicklung eines Verhaltenskodex für das gesamte Unternehmen sowie Trainings zu allen Compliance-Themen.
- Erkennen: Etablieren eines Kontrollsystems und einer Ombudsstelle
- Reagieren: Klare Bestrafung von Regelverstößen (interne und externe Maßnahmen) (vgl. Kreuzer, 2013)
Diese drei Punkte hat Dr. Stefan Heißner in seinem Compliance-Regelkreis um einen Punkt erweitert bzw. verändert.
Compliance-Regelkreis in Anlehnung an Heißner
Prevent: Ausgangspunkt für den Prevent ist eine vorangegangene Risikoanalyse. Erst danach können Konzepte zur Prävention und zu den Abläufen und Maßnahmen erstellt werden. Die Erkenntnisse der Risikoanalyse werden in Handlungsanweisungen wie etwa Arbeitsrichtlinien umgewandelt. Prevent besteht aus einem theoretischen Kern. Dieser formuliert eine Reihe von Maßnahmen, Regeln und Richtlinien, um langfristige Ziele zu erreichen. Diese sind so designt, dass sie alle wesentlichen Entscheidungen und Maßnahmen beeinflussen und bestimmen. Alle Aktivitäten finden in dem von Prevent bestimmten Rahmen statt.Daneben gibt es auch die Praxis, in der Awareness ein wichtiges Thema ist. Durch Schulungen der Mitarbeiter*innen und Trainings wird das Element der Prävention ein wichtiger Teil der Unternehmenskultur. Awareness zielt darauf ab, ein Umdenken der Mitarbeiter*innen zu erreichen, sodass sie sich bewusst werden, welche Schädigungen es geben kann und wie diese entstehen. (vgl. Heißner, 2014)
Detect: Die Aufgaben von Detect dienen der Früherkennung von Fehlverhalten. Früherkennung besteht aus zwei Punkten: die Situationsanalyse um das Risiko und die kriminalistische Hypothesenbildung. Dabei werden schrittweise Szenarien für Schadensfälle entwickelt. In jedem der Szenarien werden dann kritische Bahnen sichtbar, die überprüft werden können. Der Bereich Detect wird immer detailreicher und komplexer, da sich dolose Handlungen und Malversationen den Standards anpassen, sich weiter entwickeln und komplizierter und verschachtelter werden können. Die Instrumente für die Feststellung von Fehlverhalten sind denen der Wirtschaftsforensik ähnlich: Daten- und Vertragsanalysen, Business Intelligence, physische Bestandsaufnahmen und Hinweisgebung. (vgl. Heißner, 2014)
Investigate: Dabei geht es um den Übergang von Kontrolle auf ein tatsächliches Eingreifen im Fall von Schädigungen. Die Investigation bedient sich auch hier wieder der Techniken der Wirtschaftsforensik, vor allem ihrer Methode. Fakten werden zusammengetragen und bewertet, auf Basis derer Entscheidungen getroffen werden und der Regelbetrieb wieder gestartet wird. Im Bereich Compliance müssen Regelwerke entstehen, die es ermöglichen, besser mit den Untersuchungsergebnissen umzugehen, sowie die Fälle nach dem Unternehmenskodex und dem Gesetz zum Abschluss zu bringen. Folgende Schritte werden im Bereich Investigate gesetzt.
- Falldatenbank
- Folgemaßnahmen wie Schadensbemessungen
- Disziplinarmaßnahmen (vgl. Heißner, 2014)
Remediate: Das Wort Remediate bedeutet so viel wie Sanierung. Allerdings geht es hierbei um die Nachbearbeitung von Schäden, die mit Hilfe einer Investigation aufgedeckt wurden. Bei der Umsetzung hilft ein Compliance-Komitee, das aus Mitarbeiter*innen besteht, die direkt oder indirekt involviert sind. Remediate soll vor allem Fragen zu den Themen Risikobereiche, Zeitpunkt bis zur Entdeckung, Gründe für die Aufdeckung und Motivation beantworten. Wenn diese Fragen ausgearbeitet und Erkenntnisse daraus gewonnen wurden, sollen diese in das Unternehmen einfließen. Diese greifen dann entsprechend dem Regelkreis bei Prevent und sind so in Bewegung. (vgl. Heißner, 2014)
Also wirkt Compliance?
Bei Compliance geht es darum, dass ein Lernvorgang und eine daraus resultierende Weiterentwicklung stattfinden. Es steht für Aktivität anstatt Passivität.
Eine gänzliche Vermeidung der gesamten Wirtschaftskriminalität wird es wohl kaum geben. Allerdings kann durch den richtigen Einsatz von Kontrollmaßnahmen wie IKS oder Interne Revision in Kombination mit Compliance-Regeln die Unternehmenskultur und die Awareness positiv beeinflusst werden. Durch eine gute Ausbildung der Mitarbeiter*innen und Schulungen können Präventionsmaßnahmen besser greifen.
Quellen und Literaturempfehlungen
- Kreuzer (2013): BWL kompakt
- Barbist/Ahammer (2009): Compliance in der Unternehmenspraxis
- LESETIPP: Dr. Stefan Heißner (2014): Erfolgsfaktor Integrität: Wirtschaftskriminalität und Korruption erkennen, aufklären und verhindern