Compliance KMU: Was heisst Compliance für KMU?
Rechtsanwalt, LL.M., EMBA IMD Dr. iur. HSG, Christian Wind
Rechtsanwalt, LL.M., EMBA IMD ist seit fünf Jahren Partner bei Bratschi Wiederkehr & Buob AG in Zürich. Er ist zertifizierter Auditor für Compliance-Management-Systeme nach ISO 19600 und ONR 192050 und Functional Partner für Corporate Secretary/Compliance am International Center for Corporate Governance der Universität St. Gallen.
Passende Arbeitshilfen
Was wird unter Compliance verstanden?
Unter dem Begriff Compliance oder Regelkonformität versteht man die Einhaltung von Gesetzen und Regularien (z.B. Datenschutz, keine Preisabsprachen/Bestechungen) sowie von Statuten, Richtlinien, Verträgen des KMUs selber und von ihm freiwillig unterstellter Normen, wie z.B. ISO.
Daneben wird unter Compliance oder Compliance-Management-System auch die Gesamtheit, der in einer Organisation eingerichteten, regelmässig überprüften und laufend verbesserten Prozesse, Strukturen, Massnahmen und Verhalten sowie der eingesetzten Ressourcen und für die Organisation tätigen Personen verstanden, um Compliance, d.h. Regelkonformität sicherzustellen,.
Welche Funktionen hat ein Compliance-Management-System wahrzunehmen?
Klassischerweise erfüllt es die drei folgenden Funktionen
- Vermeidung von Fehlverhalten und Förderung integren Verhaltens,
- Aufdeckung von Fehlverhalten und
- Angemessene Massnahmen bei Fällen von Nichteinhaltung und kontinuierliche Verbesserung.
Was hat ein KMU konkret zu berücksichtigen?
Es ist anerkannt, dass KMUs einfachere, überschaubare Massnahmen zur Gesetzeseinhaltung treffen können, wogegen Konzerne ein umfassendes Compliance-Programm betreiben müssen. Und obwohl es kein verbindliches Standardkonzept für effektives Compliance-Management gibt, bestehen unabhängig von der Grösse dennoch Grundelemente für ein wirksames Compliance-Management. Doch welches sind diese konkreten Elemente?
Mit dem Modell des Compliance-Würfels und seinen sechs Bereichen Unternehmenskultur, Einbettung, Aktivitäten, Personen, Ressourcen und Fundament soll versucht werden, auf diese Frage eine mögliche Antwort zu geben und ein KMU in die Lage zu bringen, ein solches System effizient und effektiv aufzubauen resp. es laufend zu überprüfen und zu verbessern.
Unternehmenskultur
Zentral ist eine Unternehmesskultur, die integres Verhalten fördert und einverlangt, alle Stufen umfasst, laufend gestärkt und aufrechterhalten wird. Dazu gehören Grundwerte und ein klares Compliance-Bekenntnis als Richtschnur für das tägliche Verhalten. Dabei ist eine regelmässige Kommunikation zu Compliance und Integrität durch die Führung von entscheidender Bedeutung.
Einbettung
Compliance ist möglichst umfassend und mit möglichst geringem Aufwand in die bereits vorhandenen Prozesse und Strukturen eines KMUs einzubinden:
- Compliance und Integritätsrisiken als Teil des RiskManagement-Prozesses/SWOT-Analyse
- Compliance als Standardtraktandum
- Compliance als Element der HRProzesse
- Verantwortlichkeit für und Sicherstellung von Compliance im Arbeitsvertrag
- ComplianceInformationen auf dem Inter-/Intranet.
Aktivitäten
Mindestens einmal jährlich werden die Compliance- und Integritätsrisiken identifiziert, analysiert, beurteilt, Massnahmen getroffen und darüber an die Führungsgremien berichtet.
Spezifische Compliance-Prozess Controls sind vorhanden (z.B. Kollektivunterschrift, Funktionentrennung, Zugriffs- und Zugangsrechte). Es finden stufengerechte Schulungen statt. Bei einem Compliance-Verstoss werden Massnahmen/Sanktionen zeitnah getroffen. Es findet eine Compliance-Berichterstattung statt. Alle für Compliance relevanten Aktivitäten werden dokumentiert und Compliance-Dokumente wie das Management-System mindestens jährlich überprüft und, falls nötig, angepasst. Die Verträge verfügen über Compliance-Klauseln. Die Überprüfung von bestehenden oder neuen Geschäftspartnern findet risikobasiert statt und folgt einem definierten Prozess.
Personen
Letztendlich sind es Personen, die Compliance mit Leben erfüllen und mit ihrem Verhalten umsetzen und sicherstellen. Deshalb werden bei der Anstellung von neuen Mitarbeitenden oder bei der Beförderung Compliance und Integrität angesprochen und im Entscheidungsprozess berücksichtigt. Zudem wird der Verhaltenskodex zusammen mit dem Arbeitsvertrag abgegeben. Auch werden Compliance und Integrität im Rahmen der jährlichen Leistungsbeurteilung und in der Mitarbeiter-/Führungskräfteentwicklung aufgenommen. Die Belegschaft kann jederzeit Vorschläge unterbreiten sowie Rückmeldungen und Hinweise geben.
Ressourcen
Es liegt klar in der Verantwortung der Geschäftsleitung, für Compliance angemessene Ressourcen zur Verfügung zu stellen, z.B. für eine interne oder externe Compliance-Funktion, die sich um alle Compliance-relevanten Aspekte kümmern kann und als Beratungsstelle fungiert.
Fundament
Das KMU hat einen einfachen Verhaltenskodex und/oder Richtlinien erlassen und kommuniziert und die Belegschaft kennt sie. Die Verantwortung für Compliance liegt bei der Geschäftsleitung und den Linienvorgesetzten. Es existieren im KMU klare Vorgaben für Krisenmanagement, Notfälle oder behördliche Hausdurchsuchungen, die bekannt und eintrainiert sind. Das Organisationsreglement umfasst auch eine Zuständigkeits-/Entscheidungsmatrix.
Fazit
Ein KMU kann im Vergleich zu einem Konzern den Vorteil haben, dass eine gewisse Nähe zwischen der Belegschaft und Führungsgremien herrscht und man sich in der Regel auch persönlich kennt. Dies bedeutet jedoch nicht, als KMU Compliance zu ignorieren. Im Gegenteil ist vielmehr ein einfaches und auf das Risikoprofil und die Eigenheiten des KMUs zugeschnittenes Compliance-Management-System aufzubauen und über die Zeit ein Compliance-Element nach dem anderen einzuführen und alles sauber zu dokumentieren.
Wie sieht Ihre Compliance aus?
