Bei großen Konzernen ist Compliance schon länger Thema, wenn auch nicht immer mit durchschlagendem Erfolg. Wie wird mit dieser Herausforderung in mittelständischen Unternehmen umgegangen? Wie weit ist dort das Bewusstsein dafür vorhanden?
Über Umsetzung und besondere Probleme der Compliance-Verantwortung im Mittelstand sprach die Haufe Online Redaktion mit Wolfram Bartuschka.
Herr Bartuschka, bei großen Konzernen ist Compliance schon länger Thema. Wie wird mit dem Thema bislang in mittelständischen Unternehmen umgegangen? Ist das Bewusstsein dafür vorhanden?
Das Thema Compliance ist im Mittelstand durchaus schon angekommen. Es zeigt sich aber ein differenziertes Bild. Teilweise haben mittelständische Unternehmen schon vor einigen Jahren die ersten Codes of Conduct verabschiedet oder Compliance-Maßnahmen umgesetzt. Dies gilt aber vor allem für Branchen, die Exportkontrollen unterliegen oder Unternehmen, die eine hohe Verflechtung mit internationalen Konzernen aufweisen. In der ganzen Breite der Unternehmen ist das Thema sicher noch nicht angekommen.
Weshalb sind viele mittelständische Unternehmen bislang eher zurückhaltend beim Thema Compliance?
Das stärkste Argument gegen die Einführung von einzelnen Elementen oder der Einführung eines kompletten Compliance Management ist häufig die Kostenseite.
Während die Kosten für die Einführung als sehr hoch empfunden werden, werden die Risiken aus den Folgen von Compliance-Verstößen oft eher als gering eingeschätzt.
Da fehlt manchmal der Blick für die möglichen Schäden, welche die Unternehmen langfristig sicher wesentlich intensiver belasten, wie zum Beispiel Kartellstrafen, Ordnungsgelder oder auch der Ausschluss von der Teilnahme an öffentlichen Ausschreibungen.
Wo liegt die grundlegende Bedeutung der Compliance gerade auch für mittelständische Unternehmen? Wo verbergen sich hier die häufigsten Risiken für Verstöße?
Die Komplexität der gesetzlichen und anderen Regelungen sowie die Tendenz, immer weitere Bereiche zu regulieren führen dazu, dass es -ohne einen systematischen Umgang mit diesen Regelungen- immer schwieriger wird, hiergegen nicht bewusst oder unbewusst zu verstoßen.
So kann schon eine unbedachte E-Mail das Risiko eines Verstoßes gegen den Datenschutz bedeuten. Eine vermeintlich übliche regelmäßige Runde verschiedener Unternehmen einer Branche, in der man sich über den Markt austauscht, kann zu einem kartellrechtlichen Verstoß werden.
Beispiel: Durch eine Niederlassung in den USA kann ein mittelständisches Unternehmen auf einmal dem Foreign Corrupt Practices Act unterliegen, mit der Folge, dass vermeintlich übliche Zahlungen zum Beispiel an Architekten, dazu führen, dass in den USA Ermittlungen wegen Korruption eingeleitet werden. Hierzu reicht es beispielsweise, wenn der Unternehmer wissen kann, dass der Architekt oder ein anderer Dienstleister seinerseits eine Zahlung an einen „Foreign Official“ im Sinne des Foreign Corrupt Practices Act leistet, mit dem Ziel eine wohlwollende Prüfung eines Antrags zu erreichen.
Mit welchen Folgen müssen Unternehmen bei Compliance Verstößen rechnen? Welche Haftungsrisiken gibt es?
Die direkten Folgen können sehr vielfältig sein, da sie sich aus den konkreten rechtlichen Regelungen ableiten. Das kann von Geldstrafen oder der Abschöpfung von Gewinnen, über den Ausschluss von öffentlichen Ausschreibungen bis hin zu Haftstrafen für die Unternehmensführung reichen. Über die rechtlichen Folgen hinaus können auf ein Unternehmen bei Compliance-Verstößen aber auch noch weitaus größere materielle und immaterielle Schäden, etwa aufgrund des damit einhergehenden drastischen Reputationsverlusts, zukommen.
Großunternehmen haben in der Regel eigene Abteilungen mit eigenem Compliance-Officer. Wie kann effektive Compliance in mittelständischen Unternehmen aussehen? Welche Strukturen und Instrumente sind erfolgsversprechend?
Es kann sicher nicht zielführend sein, die Strukturen eines Großkonzerns 1:1 zu übertragen. Sinnvoller ist es, basierend auf einer Risikoanalyse in einem ersten Schritt zu prüfen, welche Risiken bereits durch entsprechende Kontrollen in den Unternehmen „abgefangen“ werden.
Zum Beispiel durch eine entsprechende Überwachung von Zahlungen ausländischer Vertriebsbüros mit dem Ziel, Korruption zu unterbinden oder die Vermeidung von Verstößen gegen den Datenschutz durch entsprechende Anweisungen zum Umgang mit Kundendaten. Dann kann man daraus ableiten, welche weiteren Maßnahmen mit welcher Priorität erforderlich sind. Hierbei kann modular - etwa abteilungsweise - vorgegangen werden.
Alternativ kann man übergreifend mit dem Verfassen eines Codes of Conduct im Unternehmen beginnen, der durch alle Mitarbeiter und Führungskräfte zu unterzeichnen ist. Eine weitere Möglichkeit ist es, ein Ombudsman- oder Hinweisgebersystem einzuführen, welches auch an einen externen Dienstleister vergeben werden kann.
Das allerwichtigste bleibt aber immer, dass der Unternehmer und seine oberste Führungsebene Compliance „vorleben“. Verhalten sich diese unethisch, sind alle Instrumente und Strukturen auf Dauer wenig erfolgversprechend.
Woran scheitert die Umsetzung von Compliance oft? Wie sollen Unternehmen im Ernstfall reagieren?
Compliance in Unternehmen scheitert oft daran, dass das Hauptaugenmerk auf den Instrumenten liegt, vielleicht sogar auf IT-Systemen statt auf Schulung, Kommunikation und Unternehmenskultur. Letztendlich muss eine Veränderung der Einstellung erreicht werden. Aber auch für den Ernstfall können und müssen die Unternehmen Vorsorge treffen. Wenn Staatsanwälte oder Betriebsprüfer vor der Tür stehen, sind vor allem zwei Dinge wichtig: Zum einen im Rahmen eines Krisenmanagements die Aufrechterhaltung des Betriebs sicherzustellen und zum anderen konstruktiv und im erforderlichen Rahmen an der Aufklärung der Sachverhalte mitzuwirken.
Ein kurzes Fazit: Wie sollten mittelständische Unternehmen Compliance richtig angehen?
Sicht des Beraters wäre es wünschenswert, dass Unternehmen sich ernsthaft mit dem Thema Compliance auseinandersetzen und analysieren, welche Risiken bestehen. Eine voreilige Implementierung von IT-Systemen oder eine halbherzige Einführung von Strukturen und Instrumenten ohne eine Änderung der Einstellung sind wenig sinnvoll.
So kann es im Mittelstand sinnvoll sein, durch eine entsprechende Schulung der Mitarbeiter im Vertrieb oder Einkauf im Rahmen der Einführung eines Code of Conduct bereits die Aufmerksamkeit für das Thema Compliance wecken, ohne gleich einen Compliance Officer einzustellen. Rechtsanwälte, Steuerberater, Wirtschaftsprüfer und Unternehmensberater können unterstützen, die Risiken im Unternehmen aufzuspüren und passende Vorkehrungen zu treffen, um die Risiken zu minimieren und zu kontrollieren.
Herr Bartuschka, vielen Dank für das Gespräch.
Das Interview führte Meike Jenrich, Freie Journalistin.
Compliance im Dialog mit Wolfram Bartuschka
Wolfram Bartuschka ist Wirtschaftsprüfer, Steuerberater und Partner bei Ebner Stolz München.