Prof. Dr. Wolfgang Becker, Tim Botzkowski
Aufgrund weitreichender und öffentlich bekannter Unternehmensskandale und den damit einhergehenden Konsequenzen für die betroffenen Unternehmen, ist das Thema der Compliance in den Fokus der wissenschaftlichen Forschung und der unternehmerischen Praxis gerückt. Compliance ist heute weitgehend unumstritten Bestandteil der Corporate Governance. Gleichwohl bleibt oftmals die detaillierte Terminologie strittig. Auch besteht nicht selten Unklarheit darüber, welche Ziele und welche Funktionen Compliance in der Praxis beizumessen sind.
1.1 Compliance
Geltende Gesetze und Regelungen einhalten
Der Compliance-Begriff hat seinen Ursprung in der medizinischen Wissenschaft. Diesbezüglich bedeutet Compliance, dass der Patient sich therapiegerecht verhält, sprich die Weisungen und Regelungen eines Arztes einhält. Analog dazu bedeutet Compliance in der Pharmakologie die Einhaltung der Dosierungsanweisungen von Arzneimitteln.
Im betriebswirtschaftlichen Kontext existiert gegenwärtig kein wirklich einheitliches Compliance-Verständnis. Allgemein beschreibt Compliance die Pflicht für Unternehmen, geltende Gesetze und Regelungen einzuhalten; gleichwohl der Umfang der Regelungen stets branchenbezogen, teilweise länderspezifisch und stark vom jeweiligen Rechtsraum abhängig ist. Der Begriff der Regel kann sowohl als gesetzlich vorgeschriebene Vorschriften verstanden werden, aber auch als nicht explizite, gesellschaftliche Verhaltenserwartung wie moralisch-ethische Werte und Normen.
Deutscher Corporate Governance Kodex als Orientierungshilfe
Die Neufassung des Deutschen Corporate Governance Kodex (in der Fassung vom 24.6.2014) stellt eine Umschreibung des Begriffs der Compliance zur Verfügung, die sich zwar primär an börsennotierte Aktiengesellschaften richtet, jedoch durchaus auch als allgemeingültige Definition der Corporate Compliance gelten könnte. Ziffer 4.1.3 des Deutschen Corporate Governance Kodex formuliert wie folgt: "Der Vorstand hat für die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien zu sorgen und wirkt auf deren Beachtung durch die Konzernunternehmen hin (Compliance)." Die Kodex-Kommission hat dabei bewusst eine sehr weite Definition gewählt und die Pflicht zur Compliance nicht nur auf gesetzliche Bestimmungen beschränkt, wodurch auch unternehmensinterne Regelwerke berücksichtigt werden. So kann Compliance nicht nur der Risikovorbeugung, Schadensabwehr und Haftungsvermeidung im Sinne eines ganzheitlichen Risikomanagements im Unternehmen dienen, sondern umschließt auch einen unternehmensindividuell gestaltbaren Code of Conduct. Abzugrenzen ist der Compliance-Begriff vom Corporate-Governance-Begriff. Corporate Governance ist ein Bezugsrahmen für verantwortliche, auf langfristige Wertschöpfung ausgerichtete, also zur Existenzsicherung beitragende und insofern nachhaltige Unternehmensführung. Compliance ist somit Bestandteil der Corporate Governance.
In den vergangenen Jahren hat zunehmend die Erkenntnis Einzug gehalten, dass Compliance nicht nur für kapitalmarktorientierte Großunternehmen relevant ist, sondern auch für Familienunternehmen und andere mittelständische Betriebe. Zudem besteht vielfach Einigkeit, dass eine Einbettung der Compliance in ein größeres, betriebswirtschaftlich ausgerichtetes Gesamtbild erfolgen sollte. Insofern ist zu erkennen, dass Compliance letztlich nicht nur auf die Erfüllung gesetzlicher Regelungen abzielt, sondern vielmehr im Kontext einer gesamthaft wert- und werteorientierten Unternehmensführung zu betrachten ist. In diesem Zusammenhang erfordert Compliance nicht nur aus rechtlicher, sondern insbesondere auch aus organisationstheoretischer Sicht ein pro-aktives Vorgehen der Geschäftsleitung, welches das ganze Unternehmen umfassen sollte.
Vermeidung von Risiken und Wahrung der Reputation des Unternehmens
Ziele und Funktionen der Compliance lassen sich grundsätzlich aus einem solchen Begriffsverständnis ableiten. Primäre Ziele der Compliance sind die Vermeidung finanzieller Risiken sowie die Aufrechterhaltung der Reputation des eigenen Unternehmens durch die Einhaltung geltender Gesetze und Regelungen. Finanzielle Risiken ergeben sich durch Non-Compliance (nicht regelkonformes Verhalten) und stellen für Unternehmen direkte Kosten in Folge von wirtschaftskriminellem Verhalten und damit einhergehenden Geldbußen, Freiheitsstrafen, Ersatzansprüchen, Auftragssperren und sonstige behördliche Auflagen dar. Speziell auf internationaler Ebene können Geldbußen existenzbedrohlich werden. Indirekte Kosten entstehen durch Reputation- und Vertrauensverluste des eigenen Unternehmens. Eine veränderte Wahrnehmung der Stakeholder könnte zu Schäden führen, die den direkten Schaden um ein Vielfaches übersteigen.
Direkte und indirekte Kosten entstehen durch Non-Compliance
Um die erwähnten existenzgefährdenden Risiken zu vermeiden bzw. zu minimieren und zur Aufrechterhaltung der Unternehmensreputation, ist es Aufgabe der Compliance, Regelverstöße präventiv zu bekä...