Geldwäsche, Kartellabsprachen, Datenmissbrauch: In den vergangenen Jahren ist das Thema Compliance aufgrund zahlreicher öffentlich gewordener Wirtschaftsskandale in den Fokus internationaler und nationaler Unternehmen und der Öffentlichkeit gerückt. In Deutschland beläuft sich der Gesamtschaden für die Wirtschaft durch Wirtschaftskriminalität auf mindestens sechs Milliarden Euro jährlich.

Getrieben durch die steigenden Sicherheitserwartungen von Geschäftspartnern und Kunden sowie neue rechtliche Regelungen -beispielsweise zum Datenschutz im Bundesdatenschutzgesetz (BDSG) oder gegen Bestechung und Korruption durch den im Juli 2011 in Kraft getretenen UK Bribery Act -, müssen immer mehr Firmen Kontroll-Systeme schaffen, die wesentliche Compliance-Risiken reduzieren und mögliche Lücken beim Datenschutz frühzeitig aufdecken sollen. Denn bei Missachtung drohen den betroffenen Unternehmen neben gravierenden Reputationsschäden auch Strafzahlungen oder gar Blacklistings und Gewinnabschöpfungen. Mindestens genauso gravierend sind die Folgen von Pflichtverletzungen für Führungskräfte: Sie haften meist mit ihrem Privatvermögen. Und zwar nicht nur bei eigenen Regelverstößen, sondern auch für die Non-Compliance-Fälle ihrer Mitarbeiter.

Für die Einhaltung der sich stetig verändernden regulatorischen Anforderungen bedarf es unternehmenseigener Kontroll-Systeme zur Steuerung und Sicherstellung von rechtskonformem Verhalten: sogenannter Compliance-Management-System (CMS). Darunter sind alle organisatorischen und prozessualen Maßnahmen zu verstehen, die darauf abzielen, die "Spielregeln" zu befolgen und einzuhalten - also Gesetze, Richtlinien, Verordnungen, aber auch Branchen-Standards. Gleiches gilt für die Anforderungen des Qualitätsmanagements der gesetzlichen Vertreter, der Mitarbeiter des Unternehmens sowie gegebenenfalls Dritter.

Das Drei-Säulen-Modell

Prävention, Detektion und Reaktion - das sind die drei Grundpfeiler eines Compliance-Management-Systems. Die erste Säule der Absicherung gegen Rechtsverletzungen sind konzernweit bindende Compliance-Richtlinien und -Verfahren, die an alle Mitarbeiter kommuniziert werden müssen. Das kann entweder durch Schulungen, Compliance-Trainings, E-Learning oder persönliche Beratungsgespräche erfolgen.

Die zweite Säule zielt darauf ab, spezifische Rechtsrisiken und -verstöße frühzeitig zu identifizieren. Das lässt sich durch Risikoanalysen und Compliance-Audits erreichen. Mit der dritten Säule reagiert das Unternehmen schließlich auf die erkannten Regelwidrigkeiten und überprüft zudem, wie es dazu kommen konnte.

Das wiederum kann dazu führen, dass ein neues, strikteres Regelwerk ausgearbeitet und etabliert wird. In der Praxis werden aber häufiger bereits bestehende Strukturen angepasst, aktualisiert oder optimiert.

Datenschutz-Management

Ob Social Media, "Bring your own Cloud" oder das Internet der Dinge - neue technologische Trends stellen Unternehmen vor große Herausforderungen beim Datenschutz und zwingen sie dazu, ihre bestehenden Datenschutzmaßnahmen zu überdenken. Wollen Firmen mit dem digitalen Wandel Schritt halten und sich vor den damit einhergehenden Risiken besser schützen, müssen sie mehr in das Thema Compliance investieren. Laut des aktuellen Global Information Security Survey von EY zählt der Datenschutz zu den Top-Prioritäten der Unternehmen in diesem Jahr: Ein knappes Drittel der Befragten beurteilt weitergehende Investitionen in den Datenschutz als besonders wichtig.

Mit einem strategischen Datenschutz-Management-System (DSMS) können IT- oder Compliance-Officer ihr Unternehmen besser vor fehlerhaftem Umgang mit sensiblen Daten schützen. Gleichzeitig gewährleisten sie, dass die gesetzlichen und betrieblichen Vorschriften des Datenschutzes aktiv umgesetzt und eingehalten werden. Ein solches System umfasst alle dokumentierten und implementierten Regelungen, Prozesse und Maßnahmen, mit denen der datenschutzkonforme Umgang mit personenbezogenen Daten im Unternehmen systematisch verwaltet wird. Ein DSMS sollte modular aufgebaut sein und auf den Methoden des Risiko-Managements wie Risiko-Nutzen-Analysen basieren, damit es die Compliance-Abteilung bei der Umsetzung des Datenschutzes im Unternehmen effizient unterstützen kann.

Wettbewerbsvorteile

Auch wenn der Fokus eines Compliance-Management-Systems auf der Schadenprävention und -abwehr liegt, erfüllt es auch Zwecke, die über die Funktion eines Risikomanagers und Datenschützers weit hinausgehen. Denn wer ein solches Kontroll-System wirkungsvoll in seine Organisation implementiert, kann sein Performance-Management verbessern und dadurch langfristig Wettbewerbsvorteile generieren. Für Unternehmen besteht zum Beispiel die Möglichkeit, ihr eingerichtetes Compliance-Management-System offiziell zertifizieren zu lassen. Dadurch erhöhen sich die Erfolgschancen bei öffentlichen Ausschreibungen. Zudem verringert sich das Haftungsrisiko bei Non-Compliance-Fällen und Geschäftspartnern, Mitarbeitern sowie Kunden kann ein Nachweis der Gesetzestreue und Vertrauenswürdigkeit vorgelegt werden.

Sieben Erfolgsfaktoren

Um ein Compliance-Management-System erfolgreich in einer Organisation zu implementieren, sollten gewisse Voraussetzungen erfüllt sein. Laut dem im Jahr 2011 durch das Institut der Wirtschaftsprüfer in Deutschland ersten veröffentlichten Prüfungsstandard zur Prüfung von Compliance-Management-Systemen (IDW PS 980), müssen bei der Einrichtung eines CMS folgende sieben Compliance-Grundelemente vorliegen:

1. Compliance-Kultur
   Die Basis für ein effektives CMS ist ein einheitliches Verständnis von Compliance. Das Thema ist keine reine Managementaufgabe, sondern betrifft jeden einzelnen Mitarbeiter. Es gilt daher, die Unternehmenskultur in diese Richtung zu prägen. Um das zu erreichen, müssen sich die Führungskräfte und Eigentümer zu entsprechenden Werten klar bekennen. Diese Werte sollten sie nicht nur nach innen, sondern auch nach außen kommunizieren, um Kunden, Lieferanten und Geschäftspartnern ein entsprechendes Compliance-Verständnis zu vermitteln.

2. Compliance-Ziele
   Bevor ein CMS in die Organisation implementiert wird, muss die Geschäftsführung respektive Compliance-Abteilung definieren, welche Ziele mit einem solchen System erreicht werden sollen. Auch wenn es dafür bereits national und international entwickelte Rahmenkonzepte sowie Leading-Practices gibt, müssen die Zielvorgaben stets auf die eigene Unternehmenskultur und Risikosituation angepasst werden.

3. Compliance-Risiken
   Die Risikosituation eines Unternehmens unterscheidet sich je nach Branche, Unternehmensgröße, Geschäftsmodell etc. Daher sollten Unternehmen vor der Einrichtung eines CMS überprüfen, welche konkreten Risiken in ihrem Geschäftsumfeld bestehen. Das CMS wird dann individuell an die Organisation, ihre Risiken und Kultur angepasst.

4. Compliance-Programm
   Ein Compliance-Programm umfasst Grundsätze und Maßnahmen, die Compliance-Risiken reduzieren sollen. Hierzu gehören auch diejenigen Maßnahmen, die auf Grundlage der identifizierten Risiken eingeführt werden. Zudem gibt ein solches Programm Auskunft über die Umsetzung der im Vorfeld definierten Zielvorgaben. Damit das Compliance-Programm seine Funktion dauerhaft erfüllt, ist es jährlich zu überprüfen und zu aktualisieren.

5. Compliance-Organisation
   Genauso essenziell für ein wirkungsvolles CMS ist, dass die Aufgaben und Verantwortlichkeiten der Compliance-Funktion von denen anderer Risiko-Funktionen im Unternehmen klar abgegrenzt sind. Doppelarbeiten und -systeme sollten hingegen vermieden werden. Zum Verantwortungsbereich eines Compliance Officers können grundsätzlich Themen gehören wie: einen verantwortungsvollen Umgang mit vertraulichen Daten sicherstellen, Korruption verhindern sowie wettbewerbs- und kartellrechtliche Vorschriften einhalten. Welche Kernkompetenzen die Compliance letztendlich übernimmt, hängt aber auch immer von der Unternehmensgröße, der Branche und der Eigentümer- sowie Organisationsstruktur ab.

6. Compliance-Kommunikation
   Die von der Einrichtung eines CMS betroffenen Mitarbeiter und gegebenenfalls Dritte sind über das Compliance-Programm sowie ihre Rollen und Verantwortlichkeiten zu informieren. Zudem sollte ein Berichtsweg für identifizierte Risiken, Regelverstöße sowie eingehende Hinweise festgelegt und kommuniziert werden.

7. Compliance-Überwachung
   Damit ein CMS langfristig effektiv arbeiten kann, ist es wichtig, die Arbeit der Compliance-Funktion zu überwachen und zu kontrollieren. Dies setzt eine adäquate Dokumentation voraus. Regelmäßige Monitorings decken Schwachstellen frühzeitig auf und sind die Basis für Verbesserungen. Hierzu zählen unter anderem Mitarbeiterbefragungen und Evaluationen des Compliance-Programms als auch Benchmarkings mit Wettbewerbern oder vergleichbaren Unternehmen. (sh)