September 2017

Wie kann man als Unternehmen Compliance-Regelungen erstellen, die gesetzeskonform und dennoch im Unternehmensalltag praktikabel sind? Im zweiten Teil seines Gastbeitrags stellt Wolf-Werner Alebrand einen Standard vor, der die Umsetzung eines effektiven Compliance Management Systems erleichtert: die ISO-Norm „ISO 19600 Compliance“.

Die Bedeutung von Compliance wächst, trotzdem fällt die Umsetzung nicht leicht. Im ersten Teil meines Beitrags habe ich die Herausforderungen für das Compliance-Management vorgestellt. Im heutigen Beitrag möchte ich die Norm „ISO 19600 Compliance“ als eine mögliche Antwort darauf vorstellen.

Bisher haben viele Unternehmen ihr Compliance Management System (CMS) auf individuelle Ziele und Risikovermeidungsstrategien ausgerichtet, häufig fehlt es an einem einheitlichen Standard. Es gibt einige Standards, die den Unternehmen Orientierung bieten bei dem Ziel, regelwidriges Verhalten des Managements und der Mitarbeiter zu vermeiden. Der ISO 19600, Ende 2014 als Standard für Compliance-Management-Systeme (CMS) veröffentlich, ist der erste internationale Standard bei dem sich verschiedene Länder auf einen gemeinsamen Konsens verständigen konnten. Auch kleine und mittelgroße Unternehmen können von der Norm profitieren, da die Empfehlungen skalierbar sind und abhängig von der Unternehmensgröße in unterschiedlich starker Ausprägung angewandt werden können.

6 Vorteile der ISO 19600 Compliance:

1. International anerkannter Standard

Bei ISO 19600 handelt es sich um die erste und bislang einzige internationale Norm zum Thema Compliance Management und Compliance Management Systeme (CMS). Sie verkörpert einen weltweiten „Best-Practice“ Standard und wird jetzt schon als Benchmark für angemessene Compliance-Bemühungen genannt.

2. Hohe Signalwirkung nach Innen und Außen

Mit der Anwendung der ISO19600-Norm können Unternehmen der Erwartungshaltung einer Vielzahl von Stakeholdern gerecht werden (Behörden, Aktionäre, Geldgeber, Mitarbeitende, Kunden und Lieferanten, Öffentlichkeit, NGOs, Medien, Ratingagenturen etc.), denn diese stellen zunehmend höhere Erwartungen an ein CMS. Dessen Anwendung zeigt Partnern weltweit, dass ihre Organisationen ihre Prozesse auf Regelkonformität ausgerichtet haben. Auch nach innen – den Mitarbeitern gegenüber – hat die Norm eine starke Signalwirkung: Sie ist Ausdruck eines starken Bekenntnisses des Unternehmens zu Compliance. Das ist wichtig, damit sich die Bedeutung von Compliance auch im Bewusstsein der Mitarbeiter verankert, denn es können niemals alle im täglichen Geschäftsverlauf anfallenden Situationen vorab geregelt werden.

3. Skalierbar für jede Unternehmensgröße und -risiken

Aufgrund der Tatsache, dass die Empfehlungen in der ISO 19600-Norm allgemein gehalten sind, lassen sich die unternehmensspezifischen Besonderheiten (Größe des Unternehmens, Branche, unternehmensspezifische Compliance-Risikolage) bei der Einsetzung, Verbesserung oder Weiterentwicklung eines CMS berücksichtigen.

4. Flexibel in seiner Anwendung (risikobasiert)

Eine praxisorientierte laufende Risikobewertung ist zentrales Element des CMS nach ISO 19600. Durch die Verbindung der Risikobeurteilung mit den Tätigkeiten, Produkten und Dienstleistungen der Organisation und ihrer Mitarbeiter werden mögliche Verstösse identifiziert, in deren Zusammenhang es zu einer Nichteinhaltung von Compliance-Verpflichtungen, und damit ggf. zu Gefährdungen, Strafen/Verlusten für die Mitarbeiter und das Unternehmen direkt oder indirekt kommen kann. Die möglichen Nichteinhaltungen werden nach Schwere ihrer Folgen sowie der Wahrscheinlich ihres Eintretens analysiert und bewertet. Danach werden dazu passende Compliance-Verpflichtungen ausgewählt oder neu entwickelt, deren Einhaltung durch Maßnahmen des CMS sichergestellt werden sollen. So wie im klassischen Risikomanagement muss die Risiskobeurteilung in ausreichenden Intervallen erneuert werden, um möglichen Veränderungen zeitnah im CMS Rechnung zu tragen.

5. In bereits bestehende Management-Systeme integrierbar

Das CMS nach ISO 19600 basiert auf dem klassischen PDCA-Zyklus (Plan-Decide-Check-Amend). Diese dynamische Managementstruktur ist in der Regel bereits für das bestehende Risikomanagement, z.B. im Rahmen eines IKS (Internes Kontroll System), etabliert. Es gilt also hier, die Compliance Risiken geordnet aufzunehmen und entsprechende präventive Verhaltensrichtlinien vom Eigentümer bzw. Aufsichtsgremium Top-Down über Geschäftsführung bzw. Vorstand bis in die Organisation hinein zu integrieren. Das CMS muss nicht vollständig neu aufgesetzt, sondern kann vielmehr als Erweiterung des bestehenden Management Systems angefügt werden.

6. Kann zertifiziert werden – muss aber nicht

Die ISO 19600 ist eine reine Empfehlungsnorm, sie enthält im Gegensatz zu anderen Systemnormen keine verpflichtenden „Muss- oder Kann-Bedingungen“ sondern verwendet ausschließlich die Formulierung „sollte“. Damit zählt sie nicht zu den klassischen Zertifizierungsnormen, was aber nicht bedeutet, dass man sich nicht nach dieser Norm zertifizieren lassen kann.

Und wie baut man nun ein CMS auf?

Eine Compliance-Architektur sieht für jedes Unternehmen anders aus. So müssen Branchenbesonderheiten, aber auch die Größe und Ausrichtung sowie die Anzahl der Mitarbeiter eines Unternehmens berücksichtigt werden. Sie machen individuelle Lösungen und eine unternehmensspezifische Anpassung des Compliance-Systems erforderlich. Die Norm ISO 19600 bildet eine gute „Leitplanke“, um je nach individuellen Voraussetzungen des Unternehmens, also Geschäftsfeld, Größe oder bereits existierende Compliance-Strukturen, ein praxisorientiertes CMS aufzusetzen.

Die Phasen der Installation eines Compliance-Management-Systems:

• Entscheidungsphase: Das Unternehmen muss den Entschluss fassen, ein solches System installieren zu wollen.
• Analysephase: Zu Beginn ist eine Risikoanalyse durchzuführen, der Ist-Zustand festzustellen und mit dem angestrebten Soll-Zustand zu vergleichen.
• Umsetzungsphase: Auf Basis der Analyse wird ein entsprechendes internes Regelwerk erarbeitet und dokumentiert.
• Implementierung, Training und Anwendung.

Fazit
Compliance in der Unternehmenskultur zu verankern heißt, nicht nur Verbote und Strafen aufzustellen, sondern praktische Handlungsempfehlungen zu geben. Dabei geht es darum, sowohl den Mitarbeitern als auch der Geschäftsführung eine Richtschnur für akzeptables und damit richtiges Verhalten an die Hand zu geben. Jeder im Unternehmen muss in die Lage versetzt werden, einschätzen zu können, ob sein Verhalten den relevanten Normen im konkreten Tätigkeitsumfeld entspricht, und damit „compliant“ ist. Eine Compliance-Architektur, wie es die ISO 19600 vorschlägt, ist dabei ein geeignetes Fundament und bietet zugleich eine international anerkannte Basis für die praktische Ausgestaltung eines effektiven CMS egal ob kleine, mittlere oder große Unternehmen bzw. Organisationen.

Kontakt Alebrand: Mail, XING, LinkedIn

Unternehmen und ihre Managementvertreter sehen sich heute bei Compliance-Verstößen wie noch nie zuvor sowohl einer kritischen Presse und Öffentlichkeit als auch einer intensiven Strafverfolgung ausgesetzt. In seinem Gastbeitrag stellt Wolf–Werner Alebrand die neuen Herausforderungen für das Compliance-Management vor und zeigt anhand zahlreicher Praxisbeispiele die Fallstricke auf. Als selbstständiger Unternehmensberater berät und unterstützt Wolf–Werner Alebrand Unternehmen bei Fragen des betrieblichen Risikomanagements, und ist als Spezialist für Compliance-Kultur und Datenschutzmanagement tätig. XING, LinkedIn

Compliance-Management ist längst keine Modeerscheinung mehr, sondern bereits fest in den Organisationsstrukturen der großen Unternehmen verankert. Das sollte man zumindest meinen. Die mediale Berichterstattung zeigt ein anderes Bild, aktuellstes Beispiel ist sicherlich der VW-Abgasskandal. Allein in den USA muss VW – nach letztem Stand – 4,3 Milliarden US-Dollar Strafe an die dortige Umweltbehörde zahlen. Dabei nicht eingerechnet sind die Ausgleichszahlungen von mehr als 18 Milliarden US-Dollar an die betroffenen US-Kunden selbst. In der EU und anderen Ländern der Welt drohen VW weitere kostspielige Verfahren und eventuell noch mehr Straf- und Ausgleichszahlungen. Der Schmiergeld- und Korruptionsskandal bei Siemens zwischen 2006 und 2010 hat den Konzern damals schon insgesamt rund 2,5 Milliarden Euro gekostet: für Strafen, Nachsteuern, Honoraren für Anwälte und Wirtschaftsprüfer. Das sind nur zwei von unzähligen Beispielen, die aufzeigen, dass Unternehmen bei Compliance-Verstößen immer drastischeren Strafen und zunehmend gravierenderen indirekten Schadensfolgen ausgesetzt sind. Doch in welchen Bereichen droht am meisten Gefahr? Laut der Studie „Compliance-Barometer 2015“ der CMS/Haufe-Gruppe sehen Compliance-Verantwortliche die größten Compliance-Risiken im Datenschutz, gefolgt von Produkthaftung, Korruption, Arbeitsrecht und Kartellrecht. Geldwäsche, Außenwirtschaft und Wirtschaftsspionage hingegen spielen in der Wahrnehmung der Befragten kaum eine Rolle. Letztere sind jedoch vermutlich in den letzten Jahren weiter vorgerückt.

Ich möchte Ihnen im Folgenden ein paar Beispiele zum praktischen Thema „Geschenke und Bewirtung von Geschäftspartnern“ aus dem unternehmerischen Alltag vorstellen:

1. Beispiel: Einladung zum Geschäftsessen
Nach einer Fachmesse lädt ein Aussteller seine Kunden zum Abendessen ein. Als die zweite Runde Getränke nachgeschenkt wird, lehnt ein Gast entschieden ab, da laut Speisekarte bereits das Menü einen Wert von 27 Euro hat, das Glas Wein 4,50 Euro kostet und daher beides zusammen 31,50 Euro ergibt. Ein weiteres Glas Wein würde den Betrag von 35 Euro überschreiten.

Begründung: Dies ist die festgesetzte Wertgrenze für Einladungen in den Compliance- Richtlinien seines Arbeitgebers.

Ab wann ist ein Geschenk oder eine Einladung zum Essen Bestechung? In diesem Fall stimmt die Bewirtungs-Richtlinie des Arbeitgebers mit der 35-Euro-Freigrenze für die steuerliche Abzugsfähigkeit von Geschenken überein. Allerdings ist dies lediglich ein Finanzargument, besitzt aber nur begrenzte Relevanz für die Compliance-Thematik. Entscheidend ist nicht unbedingt die Höhe der Zuwendung, viel wichtiger ist, in welchem Zusammenhang die Zuwendung erfolgt: Verboten ist laut Gesetz eine Zuwendung, wenn eine Gegenleistung erwartet wird und wenn dieser Zusammenhang hergestellt werden kann.

Im Strafgesetzbuch ist der Begriff der „Korruption“ nicht zu finden. Er ist vielmehr als ein Konglomerat diverser anderer Straftaten zu verstehen beziehungsweise gehen verschiedene Begleitdelikte mit Korruption einher. Dazu gehört der § 299 StGB über Bestechung und Bestechlichkeit im geschäftlichen Verkehr: Strafbar macht sich, „wer als Angestellter oder Beauftragter eines geschäftlichen Betriebes im geschäftlichen Verkehr einen Vorteil für sich oder einen Dritten als Gegenleistung dafür fordert, sich versprechen lässt oder annimmt, dass er einen anderen bei dem Bezug von Waren oder gewerblichen Leistungen im Wettbewerb in unlauterer Weise bevorzuge“.

2. Beispiel: Geschenke und Bewirtung von öffentlich Bediensteten
Bei einer steuerlichen Betriebsprüfung setzen sich Mitarbeiter der eigenen Finanzabteilung mit dem Betriebsprüfer des zuständigen Finanzamtes zu einer Besprechung zusammen. Was darf angeboten werden? Kaffee, Kekse? Mit dem Firmenlogo versehener Kugelschreiber? Einladung in ein Restaurant oder in die Kantine?

In der Regel sind kleine Verköstigungen wie Kaffee und Kekse an öffentliche Bedienstete (noch) kein Problem. Heutzutage würde der öffentliche Prüfer selbst wahrscheinlich schon den Kugelschreiber ablehnen, obwohl dieser weit weniger als 10 Euro wert ist. Einladungen zum Essen mit Getränken in ein Restaurant könnten schon als Einflussnahme aufgefasst werden.

Begründung: Einladungen an öffentliche Bedienstete sogenannte „Mandatsträger“ beziehungsweise „Amtsträger“ werden sehr viel sensibler behandelt als die von Dritten §§331-334 StGB. Wer dazu zählt, ist nicht immer leicht erkennbar. Im Zweifel sind es alle im Auftrag einer staatlichen Einrichtung tätigen Vertreter, dies können neben den Behördenmitarbeitern selbst auch Mitarbeiter einer privaten Organisation/Firma sein, wenn sie im Auftrag einer staatlichen Behörde handeln bzw. dazu beauftragt wurden.

3. Beispiel: Einladung zum Sport-Event

Im Rahmen einer Ausschreibung wird der Einkäufer meiner Firma privat von einer der Bewerberfirmen kostenfrei zu einem offiziellen Golfturnier eingeladen. Und wie sieht die Situation aus, wenn sich beide in einer langjährigen Geschäftsbeziehung befinden, aber keine aktuelle Ausschreibung stattfände?

In beiden Fällen könnte gerade der private Bezug der Zuwendung als Bestechlichkeit gewertet werden, dies gilt auch für Familienmitglieder. Es muss aber auch nicht so gewertet werden. Es kommt eben darauf an …

Begründung: Die Annahme und Gewährung von Geschenken und vergleichbarer Zuwendungen im Zusammenhang mit einer geschäftlichen Gegenleistung könnte als Bestechung gewertet werden. Beispielsweise wenn der Einladende einen Vorteil bei einer aktuell offenen Ausschreibung beziehungsweise als „Vorschuss“ auf eine gefällige Gegenleistung in der Zukunft dafür erwarten kann. Das kann auch schon bei Ticketgeschenken für ein Fußballspiel so gesehen werden. Ein nachträgliches Dankeschön oder die reine geschäftliche Klimapflege bei nicht-öffentlichen Teilnehmern hingegen fällt nicht darunter. Für behördliche Einkäufer ist allerdings jede Form von Zuwendung – auch zur sog. „Klimapflege“ – bereits verboten. Hier gelten weit rigidere Vorschriften.

Umsetzung Compliance im Unternehmen

Wie verankere ich also das richtige Verhalten nachhaltig in meinem Unternehmen? Grundsätzlich gilt, dass Transparenz das oberste Gebot ist. Das Thema Compliance und damit einhergehende Verhaltensgrundsätze sollten ausführlich auf allen Hierarchieebenen besprochen und dann in entsprechenden Organisationsrichtlinien festgelegt werden. Dies kann zum Beispiel schon im IKS (Internes Kontroll System) oder in einem erweiterten Compliance Management System (CMS) transparent festgelegt, trainiert und umgesetzt werden. Dies gilt natürlich nicht nur für die Korruptionsproblematik bei den hier angeführten Beispielen zu Geschenken und Bewirtungen von Geschäftspartnern, sondern für alle wesentlichen risikobehafteten Unternehmensabläufe, die durch falsches Verhalten zu Schäden für die Marktteilnehmer und damit auch für das Unternehmen selbst führen können (Alle wesentlichen Gesetze im Unternehmensumfeld, Grundrechte, insbesondere Dokumentations- und Umweltvorschriften, Informations- und Urheberrechtsschutz, etc.).

Herausforderung einheitliche Wertgrenzen
Einheitliche Wertgrenzen dürften auch auf unterschiedlichen Hierarchieebenen und bei Unternehmen mit Tochterunternehmen in verschiedenen Ländern mit unterschiedlicher Kaufkraft wenig praktikabel sein. Sie führen häufig dazu, Ungleiches gleich zu behandeln. So sind die oben genannten 35 Euro für Bewirtung und Geschenke in Deutschland ein angemessener und akzeptabler Betrag, können aber in einem Land mit deutlich geringerem Durchschnittseinkommen bereits einen beträchtlichen Wert darstellen und so als Delikt gelten und umgekehrt. Auch ein kleines Geschenk unter 35 Euro, kurz vor einer anstehenden Vertragsunterzeichnung, kann bereits als versuchte Bestechung interpretiert werden.

Wann wird also im Berufsalltag u.A. die Grenze zwischen einer üblichen Geste der Höflichkeit zur Wirtschaftskriminalität überschritten? Und wie kann man als Unternehmen Regelungen erstellen und Wertgrenzen einführen, die gesetzeskonform und dennoch im Unternehmensalltag praktikabel sind? Hierzu möchte ich Ihnen im zweiten Teil meines Gastbeitrags die ISO-Norm „ISO 19600 Compliance„ vorstellen. Sie ist ein internationaler Leitfaden, der Richtlinien für den Einsatz von CMS enthält. Die Norm kann sowohl in privatwirtschaftlichen Unternehmen als auch in allen anderen Organisationen angewendet werden. Auch kleine und mittelgroße Unternehmen können von der Norm profitieren, da die Empfehlungen skalierbar sind und abhängig von der Unternehmensgröße in unterschiedlich starker Ausprägung angewandt werden können.