Compliance scheint in deutschen Unternehmen angekommen zu sein. In den Jahren seit den Compliance-Fällen bei Siemens und MAN ist viel passiert – Compliance Officer, Compliance Committees, Helplines und Zuwendungsrichtlinien sind in den meisten Unternehmen keine Fremdwörter mehr. Diese Bausteine sollen letztlich dafür sorgen, dass alle Mitarbeiter wissen, was sie tun dürfen und was nicht. Dies ist aber auch nötig: Denn der Staat hat seine Compliance-Bemühungen verschärft. Strengere Gesetze wurden erlassen und Staatsanwaltschaften, Kartellämter sowie andere Behörden haben ihre Ermittlungstätigkeit in den letzten Jahren deutlich erhöht. Kurz: die Maßstäbe sind strenger geworden. Kommt es zu Compliance-Verstößen, interessieren sich die Behörden auch immer dafür, was ein Unternehmen getan hat, um solche Verstöße zu verhindern. Doch damit nicht genug: Auch Geschäftspartner stellen mittlerweile hohe Anforderungen an die Compliance ihrer Geschäftspartner. Die Haftungsrisiken sind daher heute höher denn je.
Aber wie steht es wirklich um die Compliance in deutschen Großunternehmen? Die Rechtsanwaltskanzlei CMS Hasche Sigle wollte dieser Frage auf den Grund gehen und hat eine repräsentative Studie des Meinungsforschungsinstituts IPSOS in Auftrag gegeben. Befragt wurden Compliance-Verantwortliche in deutschen Unternehmen mit mehr als 500 Mitarbeitern vom gehobenen Mittelstand bis zum Großkonzern. Ob aus ethischer Überzeugung oder als lästige Pflichtübung, eine Compliance-Organisation gehört inzwischen in den meisten Firmen zum Standard. Dieser Trend wird sich auch in kleineren Unternehmen weiter durchsetzen. Die Umfrage zeigt aber auch: Es bleibt nach wie vor viel zu tun.
Verbesserungspotential in der Compliance-Organisation
Fast die Hälfte der Unternehmen hat in den vergangenen Jahren die personellen und finanziellen Compliance-Ressourcen erhöht. Der Großteil der Befragten fühlt sich dabei gut aufgestellt. Dennoch: Viele der befragten Compliance Officer sehen noch deutliches Verbesserungspotenzial. Die Einführung einer echten Compliance-Kultur gilt als größte Herausforderung. Denn interne Vorgaben müssen wirklich "gelebt" werden. Sonst ist Compliance nicht nur wirkungslos, sondern stellt auch ein Risiko dar. Wenn es trotz Compliance-Vorkehrungen zu Gesetzesverstößen im Unternehmen kommt, entsteht bei Staatsanwaltschaften und Gerichten schnell der Eindruck, das Compliance-System bestehe nur "auf dem Papier". In solchen Fällen kann dies sogar zu einer strengeren Haftung des Unternehmens und der Geschäftsleitung führen.
Eigene Compliance-Abteilung eher der Ausnahmefall
In den meisten Unternehmen ist in erster Linie die Rechtsabteilung oder das Controlling für Compliance zuständig. Auch Risikomanagement und Revision übernehmen häufig Compliance-Aufgaben. Nur drei von zehn Unternehmen haben eine eigene Compliance-Abteilung Wirklich überraschend ist dies nicht: Es besteht keine Pflicht zur Einrichtung einer zentralen Compliance-Abteilung. Die organisatorische Ausgestaltung liegt im Ermessen der Geschäftsleitung. Viele Unternehmen entscheiden sich auch aus Kosten- oder Praktikabilitätsgründen für eine dezentrale Compliance-Organisation.
Erstaunlicherweise üben aber in 30 Prozent der Unternehmen Compliance-Verantwortliche gleichzeitig auch Tätigkeiten im Einkauf und Vertrieb aus. Ob im Rahmen einer solchen Doppelfunktion auch Compliance-Kontrollaufgaben immer optimal wahrgenommen werden können, erscheint zumindest fraglich. So könnte zum Beispiel ein Vertriebsleiter, dessen variable Vergütung allein vom Umsatz abhängt, im Zweifel eher dazu neigen, ein kritisches Geschäft durchzuwinken als zu blockieren.
Auffällig ist, dass Unternehmen häufig externe fachliche Unterstützung einkaufen – je nach Compliance-Thema liegt die Beratungsquote bei bis zu 80 Prozent. Während manche Unternehmen sich bei kritischen Compliance-Fragen durch externe Expertise absichern wollen, haben insbesondere viele mittelständische Unternehmen schlicht nicht die Kapazitäten, alle aufkommenden Compliance-Fragen selbst zu beantworten.
Richtige Schwerpunktsetzung im Mittelstand?
Bei der Risikobewertung überraschen vor allem mittelständische Unternehmen (500-999 Mitarbeiter). Nach Einschätzung der dort tätigen Befragten spielen die zentralen Compliance-Themen der Kartell- und Korruptionsbekämpfung eine eher untergeordnete Rolle. Der Datenschutz wird hingegen als wichtigstes Compliance-Thema gesehen. Auch wenn dem Datenschutz heutzutage eine wesentliche Rolle zukommt, legt dieses Ergebnis doch nahe, dass gerade der Mittelstand Kartellrechts- und Korruptionsrisiken weiterhin unterschätzt. Dies spiegelt die in der Compliance-Beratung häufig anzutreffende Einschätzung mittelständischer Unternehmen wider, Kartell- und Korruptionsrisiken gäbe es nur in Großkonzernen. Diese Sichtweise kann fatale Auswirkungen haben: Wettbewerbswidriges und korruptes Verhalten birgt gerade auch für den Mittelstand die größten – teilweise sogar existenzbedrohenden – Haftungsrisiken. Die vergangenen Jahre haben gezeigt, dass die Kartellbehörden und Staatsanwaltschaften Vergehen in diesen Bereichen besonders konsequent verfolgen und mit erheblichen Sanktionen ahnden. Bei Großkonzernen werden diese Bereiche hingegen realistischer eingeschätzt: Kartellrecht und Anti-Korruption stehen hier ganz oben auf der Agenda. Datenschutz und Produkthaftung schaffen es nur auf die Plätze drei und vier.
Compliance-Pflichten gegenüber Geschäftspartnern
Unternehmen sind bekanntermaßen nicht glücklich über die "Überregulierung" durch den Staat. Auch die drohende Bürokratisierung von Unternehmensprozessen wird kritisch gesehen. Interessant ist jedoch, dass für mehr als die Hälfte der Studien-Teilnehmer Compliance nicht lediglich eine Reaktion auf staatliches Handeln ist. So hält es die Hälfte der Unternehmensverantwortlichen für wichtig, gegenüber Geschäftspartnern im Inland ein eigenes Compliance-System nachweisen zu können. Dies deckt sich mit der anwaltlichen Erfahrung: Viele Großkonzerne verlangen heutzutage von ihren Geschäftspartnern die Errichtung von Compliance-Systemen. Dies kann vor allem kleinere Unternehmen hart treffen – können sie die an sie gestellten Anforderungen nicht erfüllen, erhalten sie von dem potentiellen Kunden möglicherweise keinen Auftrag.
Schnittmengen zu selten optimal genutzt
In acht von zehn Unternehmen existiert ein Internes Kontrollsystem (IKS). 43 Prozent der Unternehmen konnten keine genaue Angabe dazu machen, in welchem Verhältnis IKS und Compliance-System zueinander stehen. Viele Unternehmen versäumen es hierdurch, Organisationsbereiche effizient zu verknüpfen und die bereits vorhandenen Ressourcen optimal auszunutzen.
Entstehung eines Compliance-Standards
Die meisten Unternehmen verfügen mittlerweile über ein Standardrepertoire an Compliance-Instrumenten bestehend aus Verhaltensrichtlinien und Kontrollprozessen. Acht von zehn Unternehmen haben einen allgemeinen Verhaltenskodex (Code of Conduct) oder bereichsspezifische Verhaltensrichtlinien, wie etwa eine Antikorruptionsrichtlinie. Jedoch vermitteln nur knapp die Hälfte der Unternehmen die Inhalte der Compliance-Kultur über ein internes Schulungsprogramm. Hier besteht Nachholbedarf. Regelmäßige Schulungen spielen eine essentielle Rolle bei der Prävention von Straftaten. Denn nur die wenigsten Mitarbeiter beschäftigen sich regelmäßig mit den ihnen ausgehändigten Richtlinien. Zudem zeigt die Erfahrung, dass das Verteilen von Richtlinien und eine einmalige Schulung allein nicht zum gewünschten Ergebnis führen. Compliance-Management ist keine Eintagsfliege, sondern ein kontinuierlicher Prozess.
Compliance-Verantwortliche sehen gerade das Compliance-Bewusstsein von Mitarbeitern als verbesserungsfähig. Weniger kritisch gehen sie mit ihrem Management ins Gericht. 88 Prozent schätzen das Bewusstsein hier sehr hoch ein. Gefragt nach der Bereitschaft des Managements, Compliance-Themen zu unterstützen und auch tatsächlich voranzutreiben, fällt die Meinung der Befragten etwas weniger positiv aus. Dies bestätigt auch die Praxis: Gerade an der konsequenten Umsetzung scheitert es häufig.
Interne Ermittlungen werden häufig durchgeführt
Steht der Verdacht rechtswidrigen Verhaltens im Raum, ist die Unternehmensleitung grundsätzlich dazu verpflichtet, den Sachverhalt aufzuklären. Bei der überwiegenden Mehrheit der Befragten wurden deshalb klare Zuständigkeiten für interne Untersuchungen etabliert. Gut die Hälfte hat bereits eine solche Untersuchung durchgeführt, wobei in weniger als der Hälfte der Verdachtsfälle allein mit betriebsinternen Kapazitäten gearbeitet wurde. In den meisten Fällen kommen externe Berater zum Einsatz. Allerdings gaben nur rund 6 Prozent der Befragten an, umfassend auf Krisenfälle vorbereitet zu sein. Auch hier gibt es somit noch Nachholbedarf, kann doch gerade eine professionelle Vorbereitung drohende Schäden deutlich abmildern.
Fazit: Die Umfrage bestätigt die Beobachtungen in der Praxis. Compliance ist zwar mittlerweile in deutschen Großunternehmen angekommen, allerdings bleibt noch viel zu tun. Dies gilt vor allem bei der Professionalisierung des Compliance-Managements, der nachhaltigen Sensibilisierung der Mitarbeiter und der Vorbereitung auf Krisenfälle.
Autoren:
Florian Block und Dr. Tobias Teicke. Die Autoren sind Rechtsanwälte und Counsel bei der Rechtsanwaltskanzlei CMS Hasche Sigle.
Florian Block, Rechtsanwaltskanzlei CMS Hasche Sigle
Dr. Tobias Teicke, Rechtsanwaltskanzlei CMS Hasche Sigle