9. August 2013

Compli­ance – jetzt gelten neue Regeln

Auch Mittel­ständler sind zuneh­mend gefor­dert, gegen­über großen Kunden oder Behörden ihr geset­zes­kon­formes Verhalten zu doku­men­tieren. Ohne Compli­ance-Manage­ment-System könnten sie deshalb künftig lukra­tive Aufträge verlieren.

Autor: Ange­lika Knop

Kleine Geschenke erhalten die Freund­schaft. Nach diesem Motto bedachte der Chef einer Lausitzer Firma für Abfall­ent­sor­gung seine Kunden, darunter kommu­nale Amts­träger. Hier eine Flasche Wein, da VIP-Karten für ein Motor­sport-Event – keine Aufmerk­sam­keit war über 80 Euro wert. Bereits darin sah das Land­ge­richt Cottbus aber eine straf­bare Vorteils­ge­wäh­rung und verur­teilte den Mann im Dezember 2012 zu 14.400 Euro Geld­strafe. Teurer noch kamen wohl der mona­te­lange Prozess und der Image­schaden. Anders als die Skan­dale von Siemens, Thyssen oder MAN stand der Fall zwar nur in der Lokal­zei­tung. Aber ein nega­tiver Artikel gefährdet kleine Betriebe oft stärker als die Millio­nen­strafe einen Welt­kon­zern. Kunden oder Kredite bleiben aus, Wett­be­werber fordern Scha­dens­er­satz.

Ein CMS ist kein Feigen­blatt. „Gerade wenn man eine dünne Kapi­tal­decke oder nur wenige Geschäfts­partner hat, kann einem bei Rechts­ver­stößen schnell der ganze Laden um die Ohren fliegen“, weiß Malte Passarge, Vorstands­vor­sit­zender des Insti­tuts für Compli­ance im Mittel­stand in Hamburg. Compli­ance nennt man das Befolgen von Regeln und Gesetzen. Das wird für Firmen heute immer schwie­riger, weil die Vorschriften zunehmen, die Gesetze strenger werden und die Kontrollen effek­tiver – insbe­son­dere im Wett­be­werbs­recht oder beim Umwelt- und Daten­schutz. Und wenn Geschäfts­führer oder Inhaber nicht ordent­lich infor­mieren, schulen oder kontrol­lieren, haften sie sowohl für ihre eigenen Fehler als auch für die ihrer Mitar­beiter. Gibt es beispiels­weise keine klare Rege­lung zur Privat­nut­zung von Geschäfts­com­pu­tern, wird der ille­gale Musik­down­load des Azubis ganz schnell zum Problem für den Chef.

Als Lösung empfiehlt sich ein soge­nanntes Compli­ance-Manage­ment-System (CMS): Das sind Vorschriften und Prozesse, an die sich alle Mitar­beiter halten müssen. „Aber ein CMS ist kein Feigen­blatt. Es reicht nicht, ein paar Regeln aus dem Internet abzu­wan­deln, auszu­dru­cken und ans Schwarze Brett zu hängen“, warnt Malte Passarge. Erstens müssen es die für den eigenen Betrieb rich­tigen Regeln sein. Am Anfang steht also die genaue Risi­ko­ana­lyse, wo welcher Rechts­ver­stoß auftreten kann. In Einkauf und Vertrieb, insbe­son­dere im Ausland, dürften Schmier­gelder oder Abspra­chen das Problem sein, in der Produk­tion eher Arbeits- und Umwelt­schutz. Zwei­tens muss man die Regeln bekannt machen. Drit­tens muss man darauf drängen, dass sie beachtet werden. Vier­tens muss das jemand kontrol­lieren, doku­men­tieren sowie Verstöße ahnden. Das kostet Zeit und Geld.

Kunden wollen Taten sehen. Viel­leicht leis­tet sich deshalb nur jedes zweite mittel­ständische Unter­nehmen ein Compli­ance-
Manage­ment, wie das Deloitte Mittel­stands­in­stitut 2011 ermit­telte. Das Budget dafür liegt meis­tens weit unter 50.000 Euro, oft sogar unter 10.000 Euro im Jahr. Vor allem kleine, inha­ber­ge­führte Firmen haben seltener ein CMS und geben dafür weniger aus. Immer öfter aber müssen sie hier einfach inves­tieren – weil es Geschäfts­partner oder Kunden fordern, die Compli­ance in der ganzen Liefer­kette sicher­stellen wollen.

Bei der Zeon Europe GmbH in Düssel­dorf kam der Anstoß vom japa­ni­schen Mutter­haus. Der welt­weite Hersteller von Poly- und Elas­to­meren wünschte ein CMS bei der Toch­ter­ge­sell­schaft – ange­lehnt an die Verhal­tens­grund­sätze des Konzerns, aber mit freier Hand gestaltet, nach der deut­schen sowie der euro­päi­schen Rechts- und Geschäfts­praxis. Birgit Koll, Senior Mana­gerin Admi­nis­tra­tion & Logi­stics, über­nahm die Aufgabe. Seit 2010 ist sie auch Compli­ance-Mana­gerin der GmbH, zuständig für 36 Mitar­beiter in der Handels- und Vertriebs­zen­trale sowie in den Nieder­las­sungen Italien, Spanien und Frank­reich. Das Wich­tigste für sie dabei ist: „klare und verständ­liche Struk­turen schaffen – und nichts verspre­chen, was Sie nicht halten können. Wenn das Manage­ment Compli­ance vorlebt, dann folgen auch die Mitar­beiter.“

Ohne Trai­ning geht es nicht. Daher berief sie alle vier Direk­toren in ein soge­nanntes Compli­ance-Komitee und ließ sie erst einmal eine Selbst­ver­pflich­tung unter­schreiben. Dann wurden die Risiken der einzelnen Bereiche analy­siert. Am Ende stand ein neuer Verhal­tens­kodex, der beispiels­weise Geschenke an Mitar­beiter des öffent­li­chen Diensts verbietet oder auch vorschreibt, die Arbeits­zeit im eigenen Betrieb zu kontrol­lieren.

Wenn Mitar­beiter jetzt wissen wollen, wie sie sich in bestimmten Situa­tionen verhalten sollen, können sie sich darüber in einer Prozess­da­ten­bank online infor­mieren. Außerdem haben alle unter­schrieben, diese Vorgaben zu beachten. Regel­mä­ßige Trai­nings und Gespräche schaffen Sicher­heit. „Durch das Compli­ance-Programm fühlen sich unsere Mitar­beiter nicht kontrol­liert, sondern unter­stützt“, so Birgit Koll. „Sie wissen, dass sie lieber einmal zu viel fragen sollen als zu wenig.“ Auf Messen darf man am Nach­bar­stand natür­lich weiterhin den Kugel­schreiber annehmen oder Small Talk mit dem Wett­be­werber machen. „Aber die Mitar­beiter sollen zumin­dest verstehen, dass so etwas auch einen falschen Eindruck erwe­cken könnte“, sagt Koll. Und wenn ihnen etwas auffällig vorkommt, sollen sie das auf einem Form­blatt melden – auch anonym.

Prio­ri­täten sind wichtig. Birgit Koll über­prüft nicht nur alle Hinweise, sie berät sich auch einmal im Vier­tel­jahr mit dem Compli­ance-Komitee und lässt das Compli­ance-Manage­ment-System durch Audits kontrol­lieren. Entwi­ckelt hat sie das CMS mit der Compli­ance-Expertin Carmen Felsing in Kaarst. „Hat das Manage­ment verstanden, wo die Minen liegen, und setzt dann die rich­tigen Prio­ri­täten, kann ein kleines oder mitt­leres Unter­nehmen ein Compli­ance-Programm in drei bis sechs Monaten einführen“, ist Felsings Erfah­rung. Aber häufig bleiben Firmen auf halber Strecke stehen, ernennen keinen Compli­ance-Officer oder machen keine regel­mä­ßigen Berichte.

Über­prü­fung ist ein Muss. Frie­de­rike Heitz von der Tetra GmbH in Melle bei Osna­brück plant beim Thema Compli­ance lang­fristig. Die Justi­ziarin des Herstel­lers von Produkten rund um Aqua­rien und Garten­teiche gibt dem Aufbau des CMS in ihrem Unter­nehmen mindes­tens drei Jahre Zeit. „Ein Compli­ance-Programm können Sie nicht aufpfropfen, es muss leben und gelebt werden.“ Aus diesem Grund hat sie in allen Abtei­lungen erst einmal intensiv erfragt, welche Regeln notwendig sind, welche es bereits gibt und wie sie befolgt werden. In vielen Betrieben sieht das unter dem tägli­chen Zeit- und Kosten­druck nämlich anders aus als auf dem Papier. Da gerät schnell in Verges­sen­heit, dass es nicht ausreicht, das güns­tigste Angebot nur tele­fo­nisch einzu­holen, wenn nicht zugleich das zweite und dritte schrift­lich fest­ge­halten ist. „Compli­ance ist eben auch Doku­men­ta­tion und Über­prü­fung“, meint Frie­de­rike Heitz. „Davon muss man die Mitar­beiter mit viel Finger­spit­zen­ge­fühl über­zeugen.“

Da sie für diese Aufgabe mit viel Zeit­auf­wand rechnet, geht Frie­de­rike Heitz Schritt für Schritt vor. Begonnen hat sie erst einmal mit einer Richt­linie zum Thema Korrup­tion. Das ist zwar sehr viel Arbeit, bedeutet für das Unter­nehmen aber nicht nur Rechts­si­cher­heit, sondern auch posi­tives Marke­ting, betont die Unter­neh­mens­ju­ristin: „Wir zeigen damit, dass wir uns eines Risikos bewusst sind und gute Struk­turen schaffen wollen.“

Die wich­tigsten Bausteine für mehr Sicher­heit

Daran sollten Sie beim Aufbau eines Compli­ance-Manage­ment-Systems denken


Compli­ance-Manage­ment-System (CMS): Wie genau ein CMS auszu­sehen hat, ist gesetz­lich nicht gere­gelt. Orien­tie­rung bieten Stan­dards wie IDW PS980 vom Institut der Deut­schen Wirt­schafts­prüfer oder TR CMS 101:2011 vom TÜV Rhein­land. Der Arbeits­kreis Corpo­rate Compli­ance hat einen „Kodex zur Abgren­zung von legaler Kunden­pflege und Korrup­tion“ entwi­ckelt. Außerdem kann man sich an Groß­un­ter­nehmen orien­tieren, die ihre Richt­li­nien im Internet veröf­fent­licht haben. Gibt es im eigenen Betrieb keine Fach­leute, sollte man sich externen Rat holen, etwa von Wirt­schafts­prü­fern, Steu­er­be­ra­tern oder Juristen.
Compli­ance-Mana­ger/Of­ficer: Er sorgt für die Einhal­tung der Regeln. Häufig über­nimmt der Geschäfts­führer diese Aufgabe, weil er ohnehin haftet. Andere Personen sollten sich durch Vertrag und Versi­che­rung für diese Verant­wor­tung absi­chern. In der Einfüh­rungs­phase ist der Aufwand oft hoch, auch später sollte wöchent­lich doku­men­tiert und kontrol­liert werden.
Whist­le­b­lo­wing: Damit Hinweise auf mögli­ches Fehl­ver­halten vertrau­lich bleiben, empfiehlt sich eine externe Anlauf­stelle, persön­lich oder als tele­fo­ni­sche Hotline. Erreichbar sein sollte dort ein Anwalt oder ein Ombuds­mann, etwa ein ange­se­hener Mitar­beiter im Ruhe­stand.
Zahlen­kon­trolle: Zu einem funk­tio­nie­renden CMS trägt auch der Steuer­berater bei. Er sorgt dafür, dass der Firmen­chef seine steu­er­li­chen Pflichten erfüllt und die orga­ni­sa­to­ri­schen Bedin­gungen schafft, um steu­er­liche Haftungs­ri­siken und steu­er­straf­recht­li­ches Fehl­ver­halten auszu­schließen. Und er kann Unge­reimt­heiten bemerken, die im Betrieb über­sehen wurden.

Quelle: TRIALOG, Das Unter­neh­mer­ma­gazin Ihrer Berater und der DATEV, Heraus­geber: DATEV eG, Nürn­berg, Ausgabe 03/2013