Compliance-Management-System: Funktion und Notwendigkeit
Notwendigkeit
Die Notwendigkeit eines Compliance-Management-Systems für Unternehmen gewinnt stetig an Wichtigkeit aufgrund steigender gesetzlicher und gesellschaftlicher (Moral-)Anforderungen in einem komplexen wirtschaftlichen Umfeld.
Zudem sollte auch jede Aussenwirkung eines Handelns in einem Unternehmen genauestens betrachtet werden, da ethische Verhaltensweisen vor allem in unserer digitalen und medienpräsenten Gesellschaft immer weiter an Importanz gewinnen - gerade um Reputationsschäden zu verhindern. Einzig die Erfüllung des Kerngeschäftes reicht nicht mehr aus, um Investoren von einer zeitgemässen Unternehmensführung zu überzeugen. Vielmehr fliessen weiter Faktoren, wie beispielsweise Nachhaltigkeit und soziale Aspekte in diese mit ein.
Gesetzlich kann aus OR Art. 716a Abs. 5 welcher die Einhaltung von Gesetzen, Statuten, Reglement und Weisungen vorgibt sowie aus der Sorgfaltspflicht nach OR Art. 717 die Notwendigkeit eines Compliance-Management-Systems abgeleitet werden. Eine explizite, normierte gesetzliche Verpflichtung zur Einführung eines Compliance-Management-Systems in Unternehmen besteht in der Schweiz allerdings (zumindest bisher) noch nicht. Ebenso wenig sind die Vorgaben normiert, wie exakt ein Compliance-Management-System ausgestaltet sein muss.
In Bezug auf Letzteres hat die Fachgruppe «Compliance» von SwissHoldings, einen Leitfaden mit dem Titel «Grundzüge eines wirksamen Compliance-Managements» erarbeitet und zusammen mit economiesuisse publiziert. Dieser gibt einen guten Gesamtüberblick wie ein Compliance-Management-System strukturiert werden kann und sollte. Rechtlich bindend ist der Leitfaden allerdings nicht.
Zielsetzung
Mit einem Compliance-Management-System kann ein Unternehmen folgende Hauptziele anvisieren:
- Effizienz und Effektivität der Organisation steigern;
- Motivation der Mitarbeitenden fördern;
- Risikominimierung betreiben- darunter fällt auch die Vermeidung von Strafverfahren und Ordnungswidrigkeiten;
- Ehrhöhung von Zusprüchen von Ausschreibungen - d.h. Zuschläge öffentlicher und privater (internationaler) Aufträge, welche oft ein CMS in Unternehmen voraussetzen;
- Verbesserung des Unternehmensratings, insbesondere der Kreditwürdigkeit, Kreditvergabe und Kreditkonditionen;
- Korruption präventiv entgegenwirken – insbesondere gegenüber Kunden, Lieferanten und Amtsträgern; sowie
- Transparenz schaffen – unternehmensintern und in der öffentlichen und medialen Wahrnehmung
Funktion
Einem Compliance-Management-System kommen drei wesentliche Kernfunktionen zu:
- Prävention,
- Aufdeckung,
- Reaktion und Verbesserung.
Zunächst soll mittels eines Compliance-Management-Systems unternehmensschädigendes, gesetzeswidriges Verhalten vermieden und im Gegenzug die Unternehmensintegrität gefördert werden. Die anerkennungswürdigen Geschäftsgrundsätze eines Unternehmens werden in der Regel in einem Verhaltenskodex, dem sogenannten «Code of Conduct» festgehalten. Darin wird konkretisiert welches Verhalten von den eigenen Mitarbeitenden gewünscht und gefordert wird und welches gerade vermieden werden soll. Die im Verhaltenskodex festgehaltenen Prinzipien müssen verständlich erläutert und klar und adressatengerecht kommuniziert werden. Sie sollen eine Handlungsorientierung vermitteln – gerade in kritischen Entscheidungssituationen. Verwaltungsrat und Unternehmensführung haben mit geeigneten Massnahmen dafür zu sorgen, dass der Verhaltenskodex auf allen Hierarchiestufen des Unternehmens durchgesetzt wird. Wichtige Massnahmen zur Umsetzung sind die Einführung geeigneter Schulungskonzepte und Trainings sowie weitere Sensibilisierungsmassnahmen.
Des Weiteren kommt einem Compliance-Management-System eine Offenlegungsfunktion zu. In jedem Unternehmen kommt es zu Fehlern und Übertretungen. Die Aufdeckung ebendieser bedeutet nicht, dass ein Compliance-Management-System nicht funktional ist oder versagt hat. Ganz im Gegenteil: Es zeigt die Effizienz des Systems, diese Fehler aufzudecken. Mittels geeigneter Kontroll- und Überwachungsmassnahmen können Verfehlungen erkannt werden.
Schliesslich muss nach einem aufgedeckten Fehlverhalten durch das Compliance-Management-System eine entsprechende Reaktion erfolgen. Dabei gilt es zunächst eine umfassende, vollständige Sachverhaltsanalyse durchzuführen und festzustellen, wie es zur konkreten Übertretung kommen konnte und was deren Auslöser war. Im Anschluss gilt es angemessene Sanktionsmassnahmen zu ergreifen, wobei diese unterschiedlich ausgestaltet sein können und sich nach der Schwere des Verstosses richten sollten. In Betracht kommt in etwa ein kritisches Gespräch mit dem Vorgesetzten, Disziplinarmassnahmen, Intensivschulungen- und Trainings, einer Abmahnung oder als ultima ratio gar die Kündigung.
Final sollten als Folge eines Verstosses geeignete Abhilfemassnahmen geschaffen werden, um zukünftige Rechtsverstösse zu vermeiden und eine stetige Verbesserung des Compliance-Management-Systems zu gewährleisten.
Passende Produkt-Empfehlungen
Organisatorische Eingliederung
Die organisatorische Eingliederung von Compliance ist von zentraler Bedeutung und hat Auswirkung auf die Wirksamkeit einer Compliance-Organisation. Dabei sollte sie nicht nur eine Kontrollstelle wahrnehmen, sondern sich als ein fester Bestandteil der Unternehmenskultur etablieren.
Von zentraler Bedeutung ist das klare und sichtbare Bekenntnis der Unternehmensführung zu Integrität und Gesetzestreue im Sinne eines «tone(s) from the top». Es gibt grundsätzlich mehrere mögliche Varianten der Organisationsform von Compliance. Jedes Unternehmen muss für sich anhand der Gegenüberstellung von Unternehmensrisiko und vorhandenen Ressourcen überprüfen, welche Eingliederung am besten geeignet ist.
Mögliche Optionen sind beispielsweise die Direktunterstellung unter die Geschäftsleitung bzw. Geschäftsführung, die divisionale Ausrichtung oder die Zuordnung zu anderen internen Funktionen wie insbesondere Legal- oder Risk-Management. Der zuständigen Compliance-Person kommen regelmässige Berichterstattungspflichten zu.
Unberücksichtigt ihrer organisatorischen Eingliederung muss der ungehinderte Zugang der Complianceabteilung zur Geschäftsführung hin und von dieser wieder zurück sichergestellt werden. Eine weitere Bedingung für die Erfüllung des Auftrags von Compliance sind uneingeschränktes Auskunfts-, Zugangs- und Einsichtsrecht.
Damit eine Compliancestelle ihrer Funktion und Tätigkeit auch gerecht werden kann, muss sie organisatorisch unabhängig sein. Darunter fällt sowohl die personelle, innere sowie finanzielle Unabhängigkeit.
Personell gilt es zunächst eine Funktionstrennung, also die Trennung verschiedener Organisationseinheiten einzuhalten um mögliche Interessenkollisionen zu vermeiden. Der Compliance Officer ist dabei in der Regel der Geschäftsleitung gegenüber unmittelbar verantwortlich, muss aber im übrigen Rahmen frei von Weisungen sein. Die innere Unabhängigkeit beinhaltet, dass ein Compliance Officer nicht unter dem Druck der Organisation leidet. Personell darf es nicht zu Finanzielle Unabhängigkeit ist gegeben, wenn beispielsweise die Höhe der Vergütung für die Leistung unabhängig vom unternehmerischen Erfolg ist oder dass die Funktion mit ausreichenden Ressourcen ausgestattet wird.
Zertifizierung eines Compliance-Management-Systems
Die ISO (die «International Standards Organization») hat die Möglichkeit eröffnet ein Compliance-Management-System auch international zertifizieren zu lassen. Die Zertifizierung findet nach den Standards von ISO 37301 (aufbauend auf dem Vorgängerstandard ISO 19600) statt. Dies ist eine Richtlinie für die Entwicklung, Implementierung, Evaluierung und Verbesserung eines effektiven Compliance-Management-Systems. ISO 37301 unterscheidet sich von ISO 19600 vor allem darin, dass sie eine Zertifizierungsnorm und ist somit von jedem akkreditierten Auditor zertifizierbar, wo hingegen ISO 19600 nur eine Empfehlungsnorm war. Die Kernelemente bleiben weiterhin bestehen, somit müssen sich Compliance-Management-Systeme von Unternehmen, welche auf ISO 19600 aufgebaut sind, kaum umstellen. Wesentliche Elemente eines Compliance-Management-Systems nach ISO 37301 sind die nachfolgenden:
- Umfeld der Organisation (Bewertung der Compliance-Risiken)
- Leadership (Führung, im Wesentlichen «tone at the top»)
- Planung (Systemische Steuerungs- und Kontrollmassnahmen (Verhaltenskodex, Prozessbeschreibungen, Weisungen etc.)
- Support (Training und Kommunikation)
- Operations
- Wirksamkeit (Monitoring, interne Audits und Reaktion)
- Kontinuierliche Verbesserung
Mit der Zertifizierung eines Compliance-Management-Systems nach ISO 37301 bestätigt eine unabhängige Stelle, dass das Compliance-Management-System geprüft wurde und dass die Anforderungen der entsprechenden Normen erfüllt werden. Ausserdem findet auch eine Überwachung der Wirksamkeit des Systems statt. Aus diesem Grund hat das Zertifikat nur eine begrenzte Gültigkeitsdauer. Um die Gültigkeit aufrecht zu erhalten, müssen weitere Bedingungen erfüllt werden. Diese beinhalten jährliche Überwachungsaudits.
Die Zertifizierung erzielt Vorteile im Sinne eines Nachweises des Compliance-Management-Systems gegenüber Geschäftspartnern. Vor allem bei internationalen Geschäftsbeziehungen findet meist eine Due-Diligence statt in welcher die Compliance ein wichtiger Bestandteil ist. Des Weiteren muss bei Internationalen Ausschreibungen ebenfalls häufig ein Nachweis der Implementierung eines Compliance-Management-Systems erbracht werden. Zusätzlich kann sie als Beweismittel in einem Gerichtsverfahren dienen, da davon ausgegangen werden kann, dass bei erfolgter Zertifizierung die Sorgfaltspflichten im Compliance-Management-System erfüllt sind.
Fazit
Ein Compliance-Management-System ist ein wichtiger Bestandteil eines Unternehmens und ist in der heutigen Zeit häufig kaum mehr wegzudenken. Dies insbesondere, da ein Compliance-Management-System weit über eine Kontrollinstanz hinausgeht. Aufgrund der Abwesenheit von gesetzlichen Bestimmungen wie ein Compliance-Management-System konkret strukturiert und inhaltlich ausgestaltet werden sollte, empfehlt es sich die Vielzahl von Richtlinien darunter auch den Leitfaden von Swissholdings und economiesuisse mit dem Titel «Grundzüge eines wirksamen Compliance-Managements» zu konsultieren. Befindet sich ein Unternehmen in einem internationalen Geschäftsbereich ist eine internationale Zertifizierung empfehlenswert.
