Praxishandbuch Corporate Compliance

Buch Praxishandbuch Corporate Compliance

Grundlagen – Checklisten – Implementierung

Wiley-VCH,

Rezension

Es ist offenbar gar nicht so einfach, sich in der Wirtschaft an die Vorschriften zu halten: Vorstände und Aufsichtsräte von Unternehmen müssen eine immer größere Fülle von Normen und Gesetzen beachten. Sie haben eine allgemeine Sorgfalt­spflicht dem Unternehmen gegenüber und können haftbar gemacht werden, wenn sie diese vernachlässigen. Am besten sichert man sich gegen diese Haf­tungsrisiken ab, indem man eine pro­fes­sionelle Com­pli­ance-Or­gan­i­sa­tion aufbaut. Dieses Handbuch liefert die Grundlagen und Anleitungen dazu. Nach Art eines Lehrbuchs zeigen die Autoren, warum man um Corporate Compliance heute nicht mehr herumkommt, welche Vorteile damit verbunden sind und auf welchen Rechts­grund­la­gen das Ganze basiert. BooksInShort meint: Trotz dem verk­lausulierten Ju­ris­ten­deutsch ein Buch mit dem Zeug zum Stan­dard­w­erk, das allen Entschei­dungsträgern zu empfehlen ist, die rechtlich auf der sicheren Seite sein wollen.

Take-aways

  • Corporate Compliance schützt nicht nur vor Strafen, sondern stärkt auch die Wet­tbe­werbsfähigkeit und damit den Un­ternehmenswert.
  • Compliant ist ein Unternehmen dann, wenn es sich vorschriftsmäßig verhält.
  • Das aktive Management der Corporate Compliance ist Chefsache.
  • Bauen Sie eine Com­pli­ance-Or­gan­i­sa­tion auf, die rechtliche Spielräume gezielt nutzt.
  • Sie sollte modular sein, damit bei neuen rechtlichen An­forderun­gen neue Elemente hinzugefügt werden können.
  • Der Com­pli­ance-Of­fi­cer sollte über rechtliche und be­trieb­swirtschaftliche Kenntnisse verfügen.
  • Der Com­pli­ance-Quick-Check besteht aus einer rechtlichen und or­gan­isatorischen Un­ternehmen­sanalyse und endet mit dem Man­age­mentlet­ter.
  • Ein Man­age­mentin­for­ma­tion­ssys­tem stellt den In­for­ma­tions­fluss über alle Konz­ernebe­nen sicher.
  • Mitarbeiter im Einkauf sind besonders anfällig auf Korruption.
  • Compliance allein ist nicht genug: Sie müssen auch Werte managen und vorleben.
 

Zusammenfassung

Corporate Compliance: eine unnötige Bürde?

Corporate Compliance heißt im Grunde nichts anderes, als dass sich ein Unternehmen vorschriftsmäßig verhalten soll. Das ist aber nichts Neues, denken Sie vielleicht. Schließlich stehen die Pflichten von Managern und Auf­sicht­sor­ga­nen schon im Aktien- oder im GmbH-Gesetz. Spektakuläre Un­ternehmen­szusam­menbrüche wie jene von Enron und Worldcom haben aber gezeigt, dass die Einhaltung von Gesetzen und ethischen Min­dest­stan­dards anscheinend doch nicht so selbstverständlich ist. Die Gesetzgeber reagieren auf Un­ternehmensskan­dale und die Wirtschaft­skrise mit einer noch stärkeren Regulierung. So kommt zur allgemeinen Sorgfalt­spflicht der Un­ternehmensleitun­gen eine Fülle von geset­zlichen Neuregelun­gen hinzu. Die Folge sind Haf­tungsver­schärfungen für das Management und die Mitglieder des Auf­sicht­srats. Die Bürokratie wächst und wird teurer. Ist es in dieser Situation wirklich nötig, dass auch noch Un­ternehmens­ber­ater auf den Plan treten, die gutes Verhalten als das neue Produkt „Corporate Compliance“ verkaufen möchten? Ist das nicht nur eine Masche, um aus den Ängsten der Führungskräfte Kapital zu schlagen? Die Befürchtung liegt nahe, aber Corporate Compliance hat dennoch ihre Berech­ti­gung: Es handelt sich dabei um ein System, das nicht nur dazu dient, Risiken zu minimieren und Haftungen zu vermeiden; richtig im­ple­men­tiert und ständig weit­er­en­twick­elt, hilft es auch, die Wet­tbe­werbsfähigkeit und den Ruf eines Un­ternehmens zu stärken, das Rating zu verbessern und damit den Firmenwert zu steigern.

Warum es keine Alternative gibt

Für Kap­i­talge­sellschaften nach deutschem Recht gilt: Wer Geschäftsführer oder Vorstand ist, muss alles tun, um Risiken ent­ge­gen­zuwirken und die Gesellschaft vor Schaden zu bewahren. Das versteht man unter der „allgemeinen Sorgfalt­spflicht“. Dazu kommen weitere Regeln, z. B. wenn das Unternehmen einen Kredit aufnehmen will. In diesem Fall müssen Sie sich wahrschein­lich mit Basel II au­seinan­der­set­zen. Manche Banken sehen sich vor dem Kred­i­tentscheid mit­tler­weile auch die Com­pli­ance-Or­gan­i­sa­tion des Un­ternehmens an. Sie brauchen kein Fremd­kap­i­tal, sondern setzen auf Eigenkap­i­tal? Auch dann kommen Sie nicht darum herum, Ihre Firma gegen rechtliche Risiken abzusichern.

„Compliance bedeutet das Einhalten von Vorschriften in Form von externen und internen Regeln und damit im Grunde nichts Neues.“

Bei alledem müssen Sie sich auch noch um das Tagesgeschäft kümmern. Allein dort sehen Sie sich einer Flut von Regeln und Normen gegenüber. Einerseits hemmt diese Reg­ulierungswut der Gesetzgeber das Wachstum und den Fortschritt des Un­ternehmens. An­der­er­seits kann das aktive Management von Recht auch zum Un­ternehmenser­folg beitragen: dann nämlich, wenn das Top­man­age­ment damit betraut ist und es als strate­gis­che Aufgabe ansieht. Als Manager müssen Sie eine Com­pli­ance-Or­gan­i­sa­tion entwerfen, die zwingendes Recht zeitgemäß mit einbezieht und die es schafft, rechtliche Spielräume zu nutzen. Erst eine funk­tion­ierende Com­pli­ance-Or­gan­i­sa­tion macht möglich, dass das Management von Recht nicht Überhand nimmt und Sie sich auf das Kerngeschäft konzen­tri­eren können. Das funk­tion­iert bei General Electric bestens: Dort beschäftigt man sich seit 1954 mit Compliance, und die Manager glauben, dass 20–40 % der Ak­tienkursen­twick­lung darauf zurückzuführen sind.

Drei Ansätze für den Einstieg

Für den Aufbau einer Com­pli­ance-Or­gan­i­sa­tion stehen Ihnen drei Ansätze zur Verfügung:

  1. Der normative Ansatz geht davon aus, dass alle poten­ziellen Normen zu berücksichtigen sind, vom Vertrags- über das Kartell- bis zum Strafrecht, um nur einige zu nennen. Diese Rechts­ge­bi­ete werden jeweils einer be­trieblichen Funktion (z. B. Einkauf, Vertrieb, In­vestor-Re­la­tions, Strategie usw.) zugeordnet. Schließen Sie jeweils einen Teilbereich ab, bevor Sie den nächsten bearbeiten. Ziel ist es, die Aufgaben und das Haf­tungsrisiko für jeden Teilbereich zu iden­ti­fizieren.
  2. Der funk­tions­be­zo­gene Ansatz geht von den be­trieb­swirtschaftlichen Funktionen aus: Fi­nanzierung, Un­ternehmensführung, Or­gan­i­sa­tion und Kom­mu­nika­tion. Versuchen Sie her­auszufinden, inwieweit sich die Haf­tungsrisiken auf die Funktionen auswirken.
  3. Der sit­u­a­tions­be­zo­gene Ansatz stellt die En­twick­lungsphase des Un­ternehmens in den Vordergrund. Ist das Unternehmen im Aufbau, im Wachstum oder steckt es in der Krise? Je nach En­twick­lungssta­dium werden bestimmte Normen wichtiger sein als andere.
„Der Unternehmer sollte Corporate Compliance als offensives Mittel betrachten, die Po­si­tion­ierung des Un­ternehmens bei Banken, Kunden und Lieferanten zu verbessern und nachhaltig zur Steigerung des Un­ternehmenswertes beizutragen.“

Am besten orientieren Sie sich bei der Einführung der Com­pli­ance-Or­gan­i­sa­tion an den Bedürfnissen des Un­ternehmens. Dabei können Sie durchaus die drei Ansätze vermischen. Wichtig ist nur, dass die Or­gan­i­sa­tion am Ende modular aufgebaut ist, sodass bei neuen An­forderun­gen neue Elemente integriert werden können.

Quick Check und Man­age­mentlet­ter

Beginnen Sie den Aufbau Ihrer Com­pli­ance-Or­gan­i­sa­tion mit einem Com­pli­ance-Quick-Check, bei dem Sie die Bereiche Recht, Or­gan­i­sa­tion und Personal durch­leuchten. Rechtliche Risiken decken Sie im Rahmen der rechtlichen Un­ternehmen­sanalyse auf. Bei der or­gan­isatorischen Un­ternehmen­sanalyse überprüfen Sie, ob die Or­gan­i­sa­tion und ihre Prozesse überhaupt dazu geeignet sind, Haf­tungsrisiken aufzudecken, zu kom­mu­nizieren und zu vermeiden. Zum Abschluss des Quick Checks sollten Sie alle rechtlichen Vorgaben sowie die daraus abgeleit­eten allgemeinen, branchen­spez­i­fis­chen und funk­tions­be­zo­ge­nen (z. B. den Einkauf oder das Rech­nungswe­sen be­tr­e­f­fenden) Haf­tungsrisiken iden­ti­fiziert haben. Stellen Sie etwa folgende Fragen:

  • Gibt es ein pro­fes­sionelles Vertrags- und Doku­men­ta­tion­s­man­age­ment sowie stan­dar­d­isierte Verträge, die von der Rechtsabteilung freigegeben wurden?
  • Werden diese Verträge von den Mi­tar­beit­ern auch verwendet?
  • Bestehen die Mitarbeiter bei mündlich geschlosse­nen Verträgen immer auch auf einer schriftlichen Bestätigung?
„Für die geschäftsführenden Organe deutscher Kap­i­talge­sellschaften lässt sich aus deren allgemeiner Sorgfalt­spflicht ableiten, dass diese alles zu unternehmen haben, um rechtliche und faktische Risiken vom Unternehmen abzuwenden.“

Besondere Aufmerk­samkeit sollten Sie dem Einkauf widmen. Diese Abteilung ist besonders anfällig auf Korruption und sollte von der internen Revision regelmäßig geprüft werden. Als Vor­beu­gungsmaßnahme gegen Korruption könnten Sie vorschreiben, dass Mitarbeiter im Einkauf alle zwei bis drei Jahre rotieren müssen und keine zu enge Bindung mit einem Lieferanten eingehen. Testen Sie die Mitarbeiter im Einkauf auf ihre Ko­r­rup­tion­sanfälligkeit mithilfe von Lockvögeln. Achten Sie zudem darauf, dass in den Ar­beitsverträgen Ko­r­rup­tion­sklauseln nicht fehlen. Jeder neue Mitarbeiter muss bei der Einstellung un­ter­schreiben, dass er über die internen Beschaf­fungsrichtlin­ien in Kenntnis gesetzt wurde. Außerdem sollte die Einkauf­s­abteilung nur mit überprüften Lieferanten Geschäfte machen. Nach Abschluss des Quick Checks verfassen Sie einen Man­age­mentlet­ter und sprechen ihn in der Un­ternehmensleitung und im Auf­sicht­srat durch. Dieses Dokument hält die Ergebnisse des Quick Checks und die vorgeschla­ge­nen Maßnahmen fest.

Der Com­pli­ance-Of­fi­cer

Sie haben Verbesserungspoten­zial entdeckt und die entsprechen­den Maßnahmen vorgeschla­gen. Wo anfangen? Am besten beginnen Sie mit kleinen Schritten und arbeiten sich vor, was bei dem modularen Aufbau der Com­pli­ance-Or­gan­i­sa­tion kein Problem ist. Decken Sie aber auf jeden Fall diejenigen Bereiche mit besonderen Haf­tungsrisiken ab, bei denen hohe Strafen drohen. Sie sollten für Schulungen sorgen, Ar­beit­shandbücher und Or­gan­i­sa­tion­san­weisun­gen verfassen und – besonders wichtig – als Manager das richtige Verhalten vorleben.

„Die Gesetzgeber haben weltweit mit einem Aktionismus reagiert, der inzwischen in vielen Bereichen zu für die Unternehmen spürbarer Überreg­ulierung und Bürokratisierung geführt hat.“

Eine wichtige Stütze der Com­pli­ance-Or­gan­i­sa­tion ist der Cor­po­rate-Com­pli­ance-Of­fi­cer (CCO), der zumindest eine Zeit lang nicht absetzbar sein sollte, damit seine Unabhängigkeit gewährleistet ist. Der Com­pli­ance-Of­fi­cer sollte nicht nur im rechtlichen, sondern auch im be­trieb­swirtschaftlichen Bereich firm sein. Ide­al­er­weise war er bereits erfolgreich in einer Stab­s­funk­tion tätig und ist es gewohnt, mit externen Beratern zusam­men­zuar­beiten. Die Com­pli­ance-Auf­gaben einfach von der Rechtsabteilung mitmachen zu lassen, ist passé. Der CCO sollte direkt dem Vorstand oder dem Auf­sicht­srat Bericht erstatten, und er muss ein umfassendes Einsichts- und Auskun­ft­srecht haben. Und auch wenn ein CCO berufen wird: Die Ve­r­ant­wor­tung für Compliance bleibt letztlich bei der Un­ternehmensleitung.

„Als bewusst wahrgenommene Aufgabe der Com­pli­ance-Or­gan­i­sa­tion unterstützt Whistle­blow­ing zugleich den Aufbau und Bestand einer effektiven Corporate Governance.“

Der Com­pli­ance-Of­fi­cer steht übrigens auch denjenigen als Ansprech­part­ner zur Verfügung, die andere verpfeifen wollen – auch Whistle­blow­ing genannt. Erfährt ein Mitarbeiter von einem Verstoß im Unternehmen, gibt er diesen im schlecht­esten Fall an die Öffentlichkeit weiter. Besser ist es, vorbeugend einen Lösungsweg innerhalb des Un­ternehmens anzubieten.

Die Com­pli­ance-Or­gan­i­sa­tion

Ob Ihre Com­pli­ance-Or­gan­i­sa­tion ihren Zweck erfüllt, wissen Sie, wenn Sie die folgende Frage mit Ja beantworten können: Gelangen wichtige In­for­ma­tio­nen, die ich als Grundlage für wichtige Entschei­dun­gen benötige, zu mir? Denn: Manager, die ihre Entschei­dun­gen auf vollständiger In­for­ma­tion­s­grund­lage zum Wohl der Gesellschaft treffen, sind davor gefeit, den Tatbestand einer Pflichtver­let­zung zu erfüllen. Eine effiziente Com­pli­ance-Or­gan­i­sa­tion braucht ein Man­age­mentin­for­ma­tion­ssys­tem, das den In­for­ma­tions­fluss über alle Ebenen gewährleistet.

„Unbe­strit­ten ist die Notwendigkeit eines effizienten Man­age­mentin­for­ma­tion­ssys­tems mit einem alle Ebenen des Un­ternehmens bzw. Konzerns umfassenden In­for­ma­tions­fluss.“

Damit die Mitarbeiter die Corporate Compliance auch umsetzen können, brauchen sie Di­en­stan­weisun­gen: interne Regeln, die sich aus den externen Normen und Gesetzen ableiten. Legen Sie Zuständigkeiten fest und bilden Sie die Be­trieb­sprozesse und Hierarchien in einem Organigramm ab. Kom­mu­nizieren Sie die Regeln nicht an alle im Unternehmen, sondern nur an jene, die von ihnen wirklich betroffen sind. Das ist wichtig, da die Umsetzung der Com­pli­ance-Or­gan­i­sa­tion ohnehin bereits als bürokratisch empfunden wird und personelle Kapazitäten im Unternehmen bindet. Zu guter Letzt: Halten Sie sich über die rechtlichen Rah­menbe­din­gun­gen auf dem Laufenden.

Compliance ist nicht genug

Leider reicht es nicht, sich nur an das Gesetz zu halten. Eine effiziente Com­pli­ance-Or­gan­i­sa­tion wird zwar helfen, die rechtlichen Risiken für das Management abzuwehren. Sie schützt aber nicht automatisch gegen Wirtschaft­skrim­i­nalität im Unternehmen. Haben Sie einen hohen Anteil an männlichen, gebildeten Mi­tar­beit­ern um die 40, die bereits seit mehreren Jahren für Sie tätig sind? Dann ist Ihr Unternehmen besonders gefährdet. Sie müssen die Werte – d. h. die Ein­stel­lun­gen und Überzeu­gun­gen – Ihrer Mitarbeiter steuern, damit diese moralisch und rechtlich einwandfrei handeln.

„Die sich aus den externen Regeln abzulei­t­en­den Ver­hal­tensan­forderun­gen werden in interne Regeln ,übersetzt‘, die sich für den einzelnen Mitarbeiter in überge­ord­neten Or­gan­i­sa­tionsverfügungen wider­spiegeln können.“

Bestimmen Sie die Werte, die in Ihrem Unternehmen wichtig sind. Dies können Leis­tungswerte wie Kompetenz, Flexibilität oder Qualität sein. Oder Kom­mu­nika­tion­swerte wie Zugehörigkeit, Transparenz und Risikobere­itschaft. Ko­op­er­a­tionswerte sind z. B. Loyalität, Teamgeist und Konfliktfähigkeit, und zu den moralischen Werten gehören Fairness, Ehrlichkeit und Ver­tragstreue. Basierend auf diesen vier Werteklassen erarbeiten Sie Ver­hal­tens­stan­dards, kom­mu­nizieren diese, integrieren sie in die Prozesse – und leben sie vor! Denn Schein­heiligkeit ist wesentlich schlimmer, als überhaupt kein Werte­m­an­age­ment, keine Hochglanzbroschüren und keinen Ethikkodex zu haben.

Über die Autoren

Prof. Dr. Axel Jäger lehrt Deutsches, Europäisches und In­ter­na­tionales Un­ternehmens- und Kap­i­tal­mark­trecht an der Fach­hochschule Frankfurt am Main und ist Vorstand des Instituts für Management und Recht sowie Direktor des Instituts für En­tre­pre­neur­ship. Dr. Christian Rödl ist Recht­san­walt und Steuer­ber­ater und lehrt an der Universität Erlangen-Nürnberg sowie an der Universität Hamburg. José A. Campos Nave arbeitet als Recht­san­walt und Fachanwalt für Steuerrecht, Handels- und Gesellschaft­srecht.