"If you think compliance is expensive...try non compliance!" - Dieser provokative Gedanke wurde von Paul McNulty, U.S. Deputy Attorney General, im Zusammenhang mit Compliance Verstößen verwendet. Er wird auch gerne als Argument von jedem Compliance Officer bei der Durchsetzung gewisser Maßnahmen zur Umsetzung von Compliance-Anforderungen vor dem Vorstand oder der Geschäftsführung eines Unternehmens genutzt.

Was ist eigentlich Compliance?

Unter Compliance versteht man vor allem die Einhaltung von Gesetzen und Richtlinien, die zur Vermeidung von Regelverstößen in einem Unternehmen führen. Ihre Ziele sind Risikominimierung, Effizienzsteigerung und Effektivitätssteigerung. Alles ist auch nicht umsonst - die Nichteinhaltung der Anforderungen von Gesetzen wie WpHG oder DSGVO bringen schwere finanzielle Geldbußen mit sich, zumal die gerne ignorierten kartellrechtlichen Compliance-Verstöße im Bankenbereich auch Geldeinbußen in Milliardenhöhe nach sich ziehen können, was auch existenzgefährdend sein kann. Die Compliance Verstöße führen auch oft zu Image- und Reputationsverlusten, deren monetärer Wert zunächst noch nicht abschätzbar ist. Vor diesem Hintergrund erweist sich eine gut funktionierende Compliance-Organisation im Unternehmen als immanent, aber schwierig umzusetzen, da an sich der Compliance-Officer sowohl auf Geschäftsführungs- als auch auf Mitarbeiterebene als Persona-non-grata gilt. Denn er weist auf Probleme hin, die gerne übersehen werden, bis die prüfende Behörde sie feststellt. Ab diesem Zeitpunkt ist es aber oft zu spät...

Aus diesem Grund möchten wir Sie auf ein paar wichtige Schritte für den Aufbau eines funktionierenden Compliance-Systems hinweisen:

Adäquate Risikoanalyse

Nur derjenige, der die Unternehmenskultur, -struktur und insbesondere das Unternehmensgeschäft sowie die internen Vorgänge kennt, kann Compliance-Risiken identifizieren. Allein auf dieser Grundlage kann ein effektives Compliance Programm in Form eines Code of Conduct oder als Unternehmensrichtlinien entstehen.

Compliance auch "leben"

Von der Theorie bis in die Praxis ist es häufig ein langer Weg. Auch der beste Code of Conduct und die ausgefeilteste Richtlinienpolicy, die in einem Rahmen an der Wand im Büro glänzen, sind nutzlos, wenn das Unternehmen sie tatsächlich nicht im Tagesgeschäft umsetzt. Gerade die Einhaltung und die Umsetzung erweisen sich als schwierige Schritte. Die Einstellung zu den Richtlinien und Code of Conducts reichen von Ignoranz und Passivität bis zur genauen Kenntnis - allerdings haben Unternehmensmitarbeiter in der Praxis mitunter auch Angst, Compliance Verstöße zu melden.

Geschäftsführer und Mitarbeiter im Fokus

Die Mitarbeiter sind für den wirtschaftlichen Erfolg des Unternehmens in gleichem Maße essenziell wie auch für den Compliance-Erfolg. Die Effektivität der Compliance Maßnahmen kann nur durch Sensibilisierung der Mitarbeiter für die wesentliche Bedeutung der Compliance erreicht werden. Compliance muss "von oben nach unten" gelebt werden. Nur wenn zunächst die Geschäftsleitung von der Wichtigkeit der Compliance überzeugt ist, kann diese entsprechende Ressourcen zur Umsetzung des Compliance Systems schaffen. Die darauffolgende Sensibilisierung auf Mitarbeiterebene kann z. B. geschehen durch interne sowie externe Schulungen: Die Pflichtschulung, insbesondere die Online-Schulung, ist die bequemste Art einen Mitarbeiter auf bestehende Informationen hinzuweisen. Die Pflicht zu unterzeichnen, dass man von den Unterlagen Kenntnis genommen hat sowie oft verwendeten Tests über die Inhalte sind zwar gute Ansätze, diese können aber nicht wirklich sicherstellen, dass Compliance auch im Alltag gelebt wird. Aus diesem Grund ist eine Interaktion zwischen Mitarbeitern und zuständigem Compliance Officer von essentieller Bedeutung. Dies kann erreicht werden durch: 

• offene Kommunikation: In regelmäßigen auf die Risiken der unterschiedlichen Abteilungen maßgeschneiderten Veranstaltungen, z.B. Compliance Days, kann man nicht nur den Austausch unter den Kollegen fördern, sondern auch durch die Teilnahme an fiktiven Spielen typische Situationen von Compliance-Verstößen darstellen und der Umgang mit solchen näher beibringen. Der Beistand des anwesenden Compliance Officer ist in diesem Fall essentiell, da die Mitarbeiter von seiner Kenntnis lernen und ein gewisses Vertrauen zu ihm entwickeln.
• Stärkung der Rolle des Compliance Officers: Der Compliance Officer ist keine Spaßbremse, sondern hat die Rolle des Sicherheitsgurts im Auto. Auch wenn die Compliance Officer diejenigen sind, die eher als Gegner gewisser Vorhaben handeln, sollen diese als Beschützer des Unternehmens gesehen werden.
• "Einer für alle und alle für einen": Genau wie das Tor beim Fußball nicht immer dem Erfolg eines einzigen Spielers zu verdanken ist, sondern vielmehr aus der Zusammenarbeit aller Mitspieler resultiert, ist ein gut funktionierendes Compliance-System das Ergebnis der Mitwirkung aller Mitarbeiter sowie der Wechselwirkung zwischen den unterschiedlichen Abteilungen im Unternehmen. Aus diesem Grund müssen auch die Abteilungsleiter immer auf diesen Punkt hingewiesen werden und sich ständig austauschen.
• Angst ausräumen: Mitarbeiter dürfen keine Angst haben, Verstöße zu melden. Dies ist auch das Ziel der geplanten Richtlinie der Kommission zum Schutz von Whistleblowern. Sie wird u.a. regeln, dass Whistleblower insbesondere vor negativen disziplinären Maßnahmen wie Versetzung, Zurückstellung sowie nachfolgende Vergeltungsmaßnahmen geschützt werden.

In Summe erweist sich Compliance also als eine schwierige, aber zu bewältigende Herausforderung. Dabei wollen die Behörden die Unternehmen auch nicht im Stich lassen, indem sie gesetzeskonkretisierende Schreiben veröffentlichen. Vor diesem Hintergrund hat kürzlich beispielsweise die BaFin das Rundschreiben zur MaComp aktualisiert.