Karl Würz, Dr. Reinhard Preusche
Wenn wir Sie überzeugt haben, nachstehend einige Überlegungen, die Sie beachten sollten, damit Sie das Richtige tun (bzw. lassen) anstatt das Falsche zu optimieren.
Sie haben bereits mehr, als Sie glauben. Es geht nicht darum, neue Funktionen zu erfinden.
- Welche Fachverantwortlichen und -prozesse sorgen schon jetzt für die Einhaltung gesetzlicher Anforderungen?
- Wer kümmert sich bereits um Fairness und Redlichkeit im Unternehmen?
- Führen diese Verfahren zu den erforderlichen Ergebnissen oder haben sie Schwachstellen, die Risiken bergen?
Wenn es gelingt, die Aktivitäten Ihres Unternehmens, die Rechtskonformität und Redlichkeit unterstützen, im Rahmen des Compliance-Management-Systems zu bündeln und vorzeigbar zu machen, haben Sie schon fast gewonnen. Ein CMS wird dann auch für mittelständische Unternehmen möglich.
Das ist allerdings kein triviales Thema! In Ihrem Unternehmen dürfte es einige Platzhirsche geben, die den Compliance-Manager im Stolz auf die eigene Leistung zunächst als jemanden betrachten, der die eigenen Kreise und das eingespielte Rollenverständnis stören könnte.
2.2.1 Einbeziehung von existierenden Spezialnormen
Hinzu kommt, dass zusätzlich zu den klassischen Compliance-Themen, wie Verhaltenskodex, Diskriminierungsverbot, Vermeidung von Korruption und Kartellverstöße, eine ganze Reihe von Spezialnormen nebst zugehörigen Prozessen in das CMS einbezogen werden müssen, für die im Unternehmen gesonderte Themenverantwortliche oder Beauftragte bestellt sind (z. B. Arbeitssicherheit, Brandschutz, Datenschutz, IT-Sicherheit, Umweltschutz, Abwasserschutz und Abfallbeseitigung, Luftfracht, Verzollung, Export-und Importkontrolle, Qualitätsmanagement).
Es wäre falsch, wenn man unter der Compliance-Flagge in solche Spezialprozesse und -verantwortlichkeiten eingreifen wollte. Hierzu wird es bei den für Compliance Verantwortlichen in der Regel schon an der erforderlichen Sachkenntnis fehlen. Aufgabe des Compliance-Managements ist es vielmehr, die vorhandenen Fachkompetenzen und Prozesse im Unternehmen im CMS zu bündeln und dort, wo notwendig, zu unterstützen. Hierzu ist einerseits eine vernünftige Koordination des Compliance-Managers mit den Fachverantwortlichen erforderlich. Andererseits muss ein ergebnisorientiertes Qualitätsmanagement der Unterstützungs- und Fachprozesse des Unternehmens dafür sorgen, dass Schwachstellen und Ergänzungsbedarf rechtzeitig erkannt werden.
Wer eine überbordende Compliance-Bürokratie verhindern will, sollte ferner darauf achten, dass möglichst wenige Doppelungen zwischen neuen Compliance-Regeln und bereits bestehenden Mitarbeitervorgaben eintreten. Daher sollten grundsätzlich normale Compliance-Risiken durch die im Unternehmen bereits eingerichteten Standardprozesse und Weisungen abgedeckt werden. Zusätzliche Compliance-eigene Prozesse sollten Aufgaben dienen, die von den Normalprozessen nicht erfasst werden. Ergänzend können sie für Risikosituationen vorgesehen werden, die in den Standardprozessen wegen ihrer Neuartigkeit noch nicht ausreichend berücksichtigt werden konnten oder diese überfordern.
2.2.2 Originäre Compliance-Prozesse
Nachstehend einige Beispiele für Compliance-eigene Prozesse: Verfahren für anonyme Hinweise oder Anfragen, Bearbeitung und Dokumentation von Compliance-Vorgängen (Case-Reporting- und Case-Management-Systeme) oder Compliance-veranlasste Dienstleistungen, wie die Bearbeitung von Embargo- und Terrorismuskontrollen.
Dagegen sollte etwa das Verfahren zur Lieferantenauswahl grundsätzlich beim Einkauf liegen und durch Compliance-bezogene Fragestellungen ergänzt werden. Für Dienstleister und Geschäftspartner mit besonderem Korruptionsrisiko (Intermediäre in korruptionsgefährdenden Ländern, hoher Staatsanteil der Kundschaft) können dann besondere Compliance-Prüfungen in eigener Verantwortung der Compliance-Funktion eingerichtet werden.
Finden Sie den richtigen Rhythmus und Zeitrahmen für Ihre Compliance-Maßnahmen. Zunächst geht es darum, den angemessenen aufbau- und ablauforganisatorischen Rahmen für ein vorzeigbares Compliance-Management-System zu schaffen und offenkundigen Missständen abzuhelfen. Auf dieser Basis können Sie dann auf weitere Risiken und Störfallmeldungen reagieren.
Versuchen Sie nicht, den Compliance-Musterschüler zu spielen oder mit Ihren Compliance-Anstrengungen zu werben. Wenn Sie in eine Compliance-Krise hineingeschlittert sind und Besserung nachweisen müssen, kann das notwendig werden. Für den Normalfall empfehlen wir Zurückhaltung. Sie kennen das noch aus der Schulzeit: Die Rolle des Klassenprimus wird nur selten belohnt und kann bei Störfällen zu besonders harschen Reaktionen führen.
Denken Sie bitte daran: Einmal getroffene Compliance-Maßnahmen sind nur schwer rückgängig zu machen, selbst wenn sie sich im Lichte genauerer Erfahrung als nicht erforderlich erweisen sollten. Entscheidend ist Ihr glaubhaftes, zielgerichtetes Bemühen.
Lassen Sie sich und Ihren Mitarbeitern daher von vornherein Raum für Verbesserungen im Detail. Wir nennen das auf Neu-Deutsch ein dynamisches, Feedback-orientiertes CMS-System.