Corporate Compliance im Mittelstand: Vertrauen ist gut, Kontrolle ist besser

Unter den größten Compliance-Skandalen der vergangenen Jahre stellen der Bestechungsskandal bei Volkswagen, die Schmiergeldzahlungen bei Siemens oder die Wettbewerbsabsprachen bei Henkel nur die Spitze des Eisberges dar. Nicht nur die großen Konzerne, auch der Mittelstand muss Regelverstößen vorbeugen.

„Verschärfte gesetzliche Regelungen, aber ebenso die wachsenden Anforderungen von Kunden und Lieferanten zwingen auch den Mittelstand dazu, sich intensiv mit Compliance zu befassen“, erläutert Karin Pfäffle. Die Juristin war 2005 an der Einführung der Compliance-Organisation beim Hamburger Stromnetzbetreiber beteiligt. Der Begriff Compliance, wörtlich mit „Einhaltung von Regelungen“ zu übersetzen, umfasst alle Maßnahmen, die das regelkonforme Verhalten eines Unternehmens und seiner Mitarbeiter im Hinblick auf alle gesetzlichen, aber auch unternehmenseigenen Gebote und Verbote sicherstellen sollen. „Die Einhaltung der gesetzlichen Vorschriften ist nicht nur der Sache nach, sondern auch zum Erhalt der Reputation immer wichtiger“, beobachtet Pfäffle.

Risikoprävention und Steigerung der Rechtssicherheit

Dass Unternehmen die gesetzlichen Vorschriften befolgen müssen, ist eigentlich klar. Den Mechanismen, wie ihre Einhaltung überwacht und sichergestellt wird, kommt jedoch zunehmend höhere Bedeutung zu. Auch wenn ausdrückliche Vorgaben hierzu lediglich in dem für börsennotierte Unternehmen geltenden „Corporate Governance Kodex“ aufgestellt sind, beschränkt sich die Problematik nicht auf international agierende, börsennotierte Unternehmen. „Compliance ist auch ein Instrument der Risikovorsorge und sollte deshalb im Mittelstand Beachtung finden“, sagt Pfäffle. So kommt beispielsweise der Geschäftsführung bei einer GmbH aufgrund von § 43 Abs. I GmbHG eine allgemeine Sorgfaltspflicht zu. Diese Sorgfaltspflicht besagt, dass das geführte Unternehmen so zu organisieren ist, dass dieses sowie seine Mitarbeiter nicht gegen geltendes Recht verstoßen. Kann die Geschäftsführung dies nicht einhalten, verletzen deren Mitglieder nach geltendem Recht eine Sorgfaltspflicht und sie sind im Schadensfall nach § 43 II GmbHG persönlich zum Schadensersatz verpflichtet. Für international tätige Unternehmen sind darüber hinaus die Kodifikationen wie zum Beispiel der „UK Bribery Act“ oder der „Foreign Corrupt Practices Act“ (USA) zu beachten.

Compliance-Verstöße lauern überall

„Compliance ist mittlerweile für jede Führungskraft und jeden Mitarbeiter ein wichtiges Thema“, sagt Karin Pfäffle. Finanzmanager müssen darauf achten, dass ihr Unternehmen keine Steuern hinterzieht. Leiter des Kundenmanagements haben die Pflicht, zu verhindern, dass Kundendaten in die falschen Hände geraten und Unternehmen so gegen das Datenschutzrecht verstoßen. Auch Einladungen an Kunden oder Vertriebspartner können heikel sein, daher sollten sich die Einladenden und Eingeladenen an die Compliance-Gebote ihrer Unternehmen halten. Schlimmstenfalls sind Ausschluss von öffentlichen Ausschreibungen, Image- und Reputationsverlust oder hoher personeller und finanzieller Aufwand zur Aufklärung von Verdachtsmomenten die Folge von Compliance-Verstößen.

Compliance als Teil des Qualitätsmanagements

„Das Compliance Management sollte aber nicht nur als eine repressive Maßnahme betrachtet werden, um Regelverstöße im Unternehmen zu entdecken. Es kann auch einen präventiven und qualitätssteigernden Aspekt haben“, erläutert Compliance-Expertin Pfäffle. Das bestätigt auch Sören Meyer: „Begreift das Unternehmen Compliance als Teil eines Qualitätsmanagement-Systems, so können die daraus resultierenden Effizienzsteigerungen mittelfristig auch zu Ertragssteigerungen führen.“ Der Interim-Manager und Gesellschafter der compliance-net GmbH beschäftigt sich vorwiegend mit compliance-relevanten Themen an der Schnittstelle zwischen IT und Rechnungslegung. „Für den Aufbau eines Compliance-Managementsystems muss man seine eigenen Prozesse beleuchten und stellt dabei häufig auch Fehler fest. Oft genug bietet das die Chance, Strukturen in Abläufe zu bringen, die zuvor wenig strukturiert waren und Überflüssiges abzubauen“, so die Beobachtung von Sören Meyer.

Verzahnung von Governance, Risk und Compliance

Dort, wo Großkonzerne ganze Compliance-Abteilungen einrichten, steht der typische Mittelständler häufig vor einem personellen, finanziellen und zeitlichen Problem. Meyer will den Unternehmen die Sorge vor dem Aufwand nehmen: „Nicht selten bestehen bereits effektive Strukturen, die nur noch anzupassen oder zu aktualisieren sind.“ Oft liegen auch verschiedene Informationen aus den einzelnen Kontroll- und Managementsystemen vor, von denen jede für sich bereits viele wichtige Erkenntnisse liefert. Das Compliance-Managementsystem schaut, ob alle Regeln eingehalten werden und wo Gefahr droht. Die Gefahreneinschätzung ist wiederum das Thema der Risikomanager, die danach fragen, mit welchen Maßnahmen man vorbeugen und wie man gegensteuern kann. Die richtige Steuerung ist die Kernkompetenz der Governance. Und die interne Revision ist die Instanz, die kontrolliert. Um doppelte Prüfungen zu vermeiden und das Beste aus allen Bereichen zu nutzen, rät Meyer dazu, die Systeme miteinander zu verzahnen, auch in der IT. „Das hilft, organisatorische, prozessuale, methodische und technologische Überschneidungen zu vermeiden“, so der Manager.

Weit mehr als Regeln

Beide Experten ermuntern ausdrücklich dazu, sich intensiv mit Compliance zu befassen. „Es ist Aufgabe der Unternehmensführung, den Mitarbeitern aufzuzeigen, wie wertvoll Compliance ist. Diese ist in erster Linie dafür da, Schäden mit erheblichem Ausmaß von dem Unternehmen und indirekt auch von den Mitarbeitern abzuwenden“, so Pfäffle. Compliance sei weit mehr als das reine „Sich-an-die-Regeln halten“. „Professionell umgesetzt und aktiv kommuniziert, kann das Vertrauen in die Unternehmensführung bei den Kunden, Investoren, Banken oder Behörden durch Compliance Management erhöht werden“, sagt Sören Meyer.