Auch für Kleinunternehmen und Mittelständler wird die Implementierung eines wirksamen Compliance Management Systems zu einem zunehmend wichtigen Thema. Die insbesondere bei kleinen Unternehmen immer noch verbreitete Zurückhaltung birgt nicht zu unterschätzende Haftungsrisiken und kann sogar Geschäftsabschlüsse verhindern.

Compliance wird immer mehr zu einem Hauptthema im Management der Unternehmen. Doch erst nach und nach entwickelt sich auch in kleineren und mittleren Unternehmen das Bewusstsein, dass ein fehlendes Compliance Management System (CMS) erhebliche negative Auswirkungen für den Betrieb haben kann.

Compliance im Mittelstand - die wichtigsten Themen

Nach einer Studie von Ebner Stolz, dem F.A.Z.-Institut und Forsa haben folgende Themen für den Mittelstand bei der Einführung eines Compliance Management Systems die höchste Bedeutung:

  • Datenschutz 98 %
  • IT-Sicherheit 92 %,
  • Arbeitsrecht 86
  • Steuerrecht 82 %

Für die Experten von Ebner Stolz ist das keine Überraschung, denn die Finanzverwaltung hat für ihre Betriebsprüfungen stark aufgerüstet und wertet mit Hilfe einer Prüfsoftware systematisch die Daten der betrieblichen Buchhaltungssysteme aus. Ein besonderes Augenmerk richten Betriebsprüfer dabei auf sog. Volumensteuern, wie Umsatzsteuer, Lohnsteuer und Verrechnungspreise.

Compliance Management im Mittelstand - ohne geht es fast nicht mehr

Nicht nur das Image und die Reputation eines Unternehmens können bei einem fehlenden Compliance Management System Schaden erleiden, ganz reale finanzielle Einbußen infolge von Regelverstößen in Form von empfindlichen Bußgeldern, die auch bei kleinen Unternehmen schnell die 100.000 Euro-Marke erreichen können sind keine Seltenheit mehr.

Hinzu kommt, dass immer mehr große Unternehmen aus Angst vor möglichen eigenen Reputationsverlusten Geschäftsverbindungen nur noch mit Unternehmen eingehen, die über eine nachhaltige Compliance-Struktur verfügen. Fehlende Compliance kann so auch empfindliche geschäftliche Nachteile verursachen.

Die Implementierung einer sinnvollen Compliance-Struktur ist nicht so kompliziert wie häufig befürchtet, ohne einen gewissen Arbeitsaufwand geht es aber nicht. Ist die Scheu erst einmal überwunden, ist eine systematische Vorgehensweise wichtig.

Compliance Management in KMU - Vorgehensweise

Schritt 1 Definition und Beschreibung der Geschäftsfelder und Tätigkeitsbereiche

Bei der Einführung eines Compliance Management Systems (CMS) in KMU sollte als erstes eine Definition und Beschreibung der Geschäftsfelder und Tätigkeitsbereiche des Unternehmens erfolgen, in denen ein CMS wichtig sein könnte sowie die Extrahierung besonderer Risikofelder für Regelverstöße. Das können sein:

  • strafrechtliche Bereiche wie Korruption, Wettbewerbsverstöße, Untreue, Bestechung und Bestechlichkeit;
  • im Steuerrecht die fristgerechte Abgabe von Steuererklärungen sowie Maßnahmen gegen mögliche Steuerhinterziehung;
  • im Recht der öffentlichen Genehmigungen Abklärung der relevanten Genehmigungsverfahren (z.B. Bau- und Gewerberecht);
  • im Sozialversicherungsrecht die Beachtung der Meldepflichten für Renten-,  Arbeitslosen- und Krankenversicherung.
  • im Arbeitsrecht klare Regeln zur Arbeitssicherheit, zum Gesundheitsschutz, zur Beachtung der Tarifverträge, zum Diskriminierungsverbot und Gleichbehandlungsgrundsatz;
  • ganz wichtig in Zukunft: die Beachtung des Datenschutzes im Hinblick auf die DSGVO;
  • im Vertragsrecht die Regeln zum Abschluss von Verträgen, zur Entgegennahme und Vergabe von Aufträgen;
  • sowie effektive Regeln zur Verhinderung von Bestechung und Bestechlichkeit;
  • Maßnahmen zur Verhinderung von Schwarzarbeit

Schritt 2: Bestandsaufnahme der Ist-Situation

Nach Klärung der relevanten Tätigkeitsfelder ist es wichtig im Rahmen einer Bestandsaufnahme zu dokumentieren, nach welchen Regeln und Strukturen die extrahierten Tätigkeitsfelder bisher abgewickelt wurden. Die Ergebnisse dieser Bestandsaufnahme sind abzugleichen mit den rechtlichen Regeln, denen diese Geschäftsfelder unterliegen. Hierdurch können Defizite offen gelegt und die notwendigen Schlussfolgerungen auf die zukünftigen Erfordernisse gezogen werden.

Schritt 3: Schriftliche Fixierung eines Regelwerks

In einem dritten Schritt hat dann die Ausarbeitung von an die betrieblichen Erfordernisse angepassten Regeln zu erfolgen, nach denen in Übereinstimmung mit der Gesetzeslage zukünftig die betreffenden Geschäftsfelder bedient werden sollten. Dabei sind folgende Optionen in Erwägung zu ziehen:

  • Die Ernennung eines Compliance-Beauftragten, der insbesondere auch Mitarbeitern und außenstehenden Geschäftspartnern gegebenenfalls bei Anfragen zur Verfügung steht;
  • die Schaffung einer Whistleblower-Kultur, d.h. angemessener Möglichkeiten für Mitarbeiter und Außenstehende, entdeckte Compliance-Verstöße gegebenenfalls anonym zu melden;
  • die Implementierung  angemessener Mechanismen zur Kontrolle der Regelkonformität, zum Beispiel durch Einführung obligatorischer regelmäßiger Berichterstattungen an die Geschäftsleitung;
  • die Dokumentation bekannt gewordener Verstöße;
  • die Schaffung eines effektiven Sanktionssystems für nachgewiesene Verstöße;
  • die Niederlegung der Regeln in einem schriftlichen Regelwerk,
  • das sämtlichen verantwortlichen Mitarbeitern des Betriebes zugänglich gemacht wird.

Compliance im Mittelstand wird meist in Teilzeit erledigt

Bei kleinen Betrieben kümmert sich fast immer der Geschäftsführer um das Thema Compliance. In größeren mittelständischen Unternehmen gibt es zunehmend Compliance-Beauftragte. Allerdings erledigen diese die Tätigkeit meist nur in Teilzeit. Oft ist ihr Kerngeschäft die Leitung der Rechts- oder Finanzabteilung.

Immer mehr kleine und größere Betriebe sind sich bewusst, dass Compliance ein wichtiges und notwendiges Thema ist, wie Studien belegen. Doch in vielen Unternehmen betreuen Compliance-Verantwortliche das Thema nur nebenher, weil keine Ressourcen dafür vorhanden sind. So passiert es immer wieder, dass nicht genügend Zeit bleibt, Compliance im Unternehmen umzusetzen.

Compliance im Mittelstand - die Kosten einer guten CMS machen sich fast immer bezahlt

Für die meisten Betriebe dürfte es sinnvoll sein, bei der Erstellung eines CMS Consulting von außerhalb des Unternehmens hinzuzuziehen. Hat das Unternehmen hinreichende Vorarbeiten geleistet und beispielsweise die Geschäftsabläufe einigermaßen nachvollziehbar dokumentiert, so ist die Überprüfung z. B. für einen auf dem Gebiet der Unternehmens-Compliance erfahrenen Juristen nicht so kompliziert, dass eine entsprechende Beratung Unsummen verschlingen würde. Etwas Geld sollte ein Unternehmen für eine gute Compliance allerdings in die Hand nehmen.

Eine Angst vor möglichen Kosten ist an dieser Stelle auch fehl am Platz, denn die Errichtung einer nachhaltigen CMS kann für das Unternehmen bares Geld wert sein, sei es in Form der Minimierung der Risiken möglicher Bußgelder bei Regelverstößen, sei es in Form der Ermöglichung von lukrativen Geschäftsabschlüssen mit Unternehmen, für die eine effektive Compliance Voraussetzung jeder Geschäftsbeziehung ist - und davon gibt es immer mehr.

Compliance-Risikoanalyse im Mittelstand - wie geht man am besten vor?

Um sich in seinem mittelständischen Unternehmen dem Thema Compliance zu nähern, sollte man zunächst eine systematische Erhebung der Compliance Risiken durchführen. Wie man hierbei vorgeht, zeigt der Haufe-Beitrag Praxisbeispiel einer Compliance Risikoanalyse im Mittelstand.

Weitere News zum Thema:

Akzeptanz und Besonderheiten von Compliance-Themen im Mittelstand

Compliance im Mittelstand - Umsetzung durch strategische Compliance Maßnahmen

Herausforderung für Führung und Compliance im Mittelstand und Konzernen

Schlagworte zum Thema:  Compliance