Compliance Management im Mittelstand

Haufe Online Redaktion

Compliance im Mittelstand — Bild: Corbis Ob groß, ob klein: Compliance geht alle Unternehmen an.

Auch für Kleinunternehmen und Mittelständler wird die Implementierung eines wirksamen Compliance Management Systems zu einem zunehmend wichtigen Thema. Die insbesondere bei kleinen Unternehmen immer noch verbreitete Zurückhaltung birgt nicht zu unterschätzende Haftungsrisiken und kann sogar Geschäftsabschlüsse verhindern.

Compliance wird immer mehr zu einem Hauptthema im Management der Unternehmen. Doch erst nach und nach entwickelt sich auch in kleineren und mittleren Unternehmen das Bewusstsein, dass ein fehlendes Compliance Management System (CMS) erhebliche negative Auswirkungen für den Betrieb haben kann.

Compliance Management im Mittelstand - ohne geht es fast nicht mehr

Nicht nur das Image und die Reputation eines Unternehmens können bei einem fehlenden Compliance Management System Schaden erleiden, ganz reale finanzielle Einbußen infolge von Regelverstößen in Form von empfindlichen Bußgeldern, die auch bei kleinen Unternehmen schnell die 100.000 Euro-Marke erreichen können sind keine Seltenheit mehr.

Hinzu kommt, dass immer mehr große Unternehmen aus Angst vor möglichen eigenen Reputationsverlusten Geschäftsverbindungen nur noch mit Unternehmen eingehen, die über eine nachhaltige Compliance-Struktur verfügen. Fehlende Compliance kann so auch empfindliche geschäftliche Nachteile verursachen.

Die Implementierung einer sinnvollen Compliance-Struktur ist nicht so kompliziert wie häufig befürchtet, ohne einen gewissen Arbeitsaufwand geht es aber nicht. Ist die Scheu erst einmal überwunden, ist eine systematische Vorgehensweise wichtig.

Compliance Management in KMU - Vorgehensweise

Schritt 1 Definition und Beschreibung der Geschäftsfelder und Tätigkeitsbereiche

Bei der Einführung eines Compliance Management Systems (CMS) in KMU sollte als erstes eine Definition und Beschreibung der Geschäftsfelder und Tätigkeitsbereiche des Unternehmens erfolgen, in denen ein CMS wichtig sein könnte sowie die Extrahierung besonderer Risikofelder für Regelverstöße. Das können sein:

strafrechtliche Bereiche wie Korruption, Wettbewerbsverstöße, Untreue, Bestechung und Bestechlichkeit;
im Steuerrecht die fristgerechte Abgabe von Steuererklärungen sowie Maßnahmen gegen mögliche Steuerhinterziehung;
im Recht der öffentlichen Genehmigungen Abklärung der relevanten Genehmigungsverfahren (z.B. Bau- und Gewerberecht);
im Sozialversicherungsrecht die Beachtung der Meldepflichten für Renten-, Arbeitslosen- und Krankenversicherung.
im Arbeitsrecht klare Regeln zur Arbeitssicherheit, zum Gesundheitsschutz, zur Beachtung der Tarifverträge, zum Diskriminierungsverbot und Gleichbehandlungsgrundsatz;
ganz wichtig in Zukunft: die Beachtung des Datenschutzes im Hinblick auf die DSGVO;
im Vertragsrecht die Regeln zum Abschluss von Verträgen, zur Entgegennahme und Vergabe von Aufträgen;
sowie effektive Regeln zur Verhinderung von Bestechung und Bestechlichkeit;
Maßnahmen zur Verhinderung von Schwarzarbeit.

Schritt 2: Bestandsaufnahme der Ist-Situation

Nach Klärung der relevanten Tätigkeitsfelder ist es wichtig im Rahmen einer Bestandsaufnahme zu dokumentieren, nach welchen Regeln und Strukturen die extrahierten Tätigkeitsfelder bisher abgewickelt wurden. Die Ergebnisse dieser Bestandsaufnahme sind abzugleichen mit den rechtlichen Regeln, denen diese Geschäftsfelder unterliegen. Hierdurch können Defizite offen gelegt und die notwendigen Schlussfolgerungen auf die zukünftigen Erfordernisse gezogen werden.

Schritt 3: Schriftliche Fixierung eines Regelwerks

In einem dritten Schritt hat dann die Ausarbeitung von an die betrieblichen Erfordernisse angepassten Regeln zu erfolgen, nach denen in Übereinstimmung mit der Gesetzeslage zukünftig die betreffenden Geschäftsfelder bedient werden sollten. Dabei sind folgende Optionen in Erwägung zu ziehen:

Die Ernennung eines Compliance-Beauftragten, der insbesondere auch Mitarbeitern und außenstehenden Geschäftspartnern gegebenenfalls bei Anfragen zur Verfügung steht;
die Schaffung einer Whistleblower-Kultur, d.h. angemessener Möglichkeiten für Mitarbeiter und Außenstehende, entdeckte Compliance-Verstöße gegebenenfalls anonym zu melden; derzeit soll mit dem geplanten Hinweisgeberschutzgesetz die Whistleblower-RL umgesetzt werden. Damit besteht dann für bestimmte Unternehmen die gesetzliche Pflicht ein entsprechendes System einzurichten.
die Implementierung angemessener Mechanismen zur Kontrolle der Regelkonformität, zum Beispiel durch Einführung obligatorischer regelmäßiger Berichterstattungen an die Geschäftsleitung;
die Dokumentation bekannt gewordener Verstöße;
die Schaffung eines effektiven Sanktionssystems für nachgewiesene Verstöße;
die Niederlegung der Regeln in einem schriftlichen Regelwerk, das sämtlichen verantwortlichen Mitarbeitern des Betriebes zugänglich gemacht wird.

Compliance im Mittelstand wird meist in Teilzeit erledigt

Bei kleinen Betrieben kümmert sich fast immer der Geschäftsführer um das Thema Compliance. In größeren mittelständischen Unternehmen gibt es zunehmend Compliance-Beauftragte. Allerdings erledigen diese die Tätigkeit meist nur in Teilzeit. Oft ist ihr Kerngeschäft die Leitung der Rechts- oder Finanzabteilung.

Immer mehr kleine und größere Betriebe sind sich bewusst, dass Compliance ein wichtiges und notwendiges Thema ist, wie Studien belegen. Doch in vielen Unternehmen betreuen Compliance-Verantwortliche das Thema nur nebenher, weil keine Ressourcen dafür vorhanden sind. So passiert es immer wieder, dass nicht genügend Zeit bleibt, Compliance im Unternehmen umzusetzen.

Compliance im Mittelstand - die Kosten eines guten CMS machen sich fast immer bezahlt

Für die meisten Betriebe dürfte es sinnvoll sein, bei der Erstellung eines CMS Consulting von außerhalb des Unternehmens hinzuzuziehen. Hat das Unternehmen hinreichende Vorarbeiten geleistet und beispielsweise die Geschäftsabläufe einigermaßen nachvollziehbar dokumentiert, so ist die Überprüfung z. B. für einen auf dem Gebiet der Unternehmens-Compliance erfahrenen Juristen nicht so kompliziert, dass eine entsprechende Beratung Unsummen verschlingen würde. Etwas Geld sollte ein Unternehmen für eine gute Compliance allerdings in die Hand nehmen.

Eine Angst vor möglichen Kosten ist an dieser Stelle auch fehl am Platz, denn die Errichtung einer nachhaltigen CMS kann für das Unternehmen bares Geld wert sein, sei es in Form der Minimierung der Risiken möglicher Bußgelder bei Regelverstößen, sei es in Form der Ermöglichung von lukrativen Geschäftsabschlüssen mit Unternehmen, für die eine effektive Compliance Voraussetzung jeder Geschäftsbeziehung ist - und davon gibt es immer mehr.

Compliance-Risikoanalyse im Mittelstand - wie geht man am besten vor?

Um sich in seinem mittelständischen Unternehmen dem Thema Compliance zu nähern, sollte man zunächst eine systematische Erhebung der Compliance Risiken durchführen. Wie man hierbei vorgeht, zeigt der Haufe-Fachbeitrag Praxisbeispiel einer Compliance Risikoanalyse im Mittelstand.

Weitere News zum Thema:

Compliance, die unsichtbare „Superkraft“ in Ihrem Unternehmen

Meistgelesene beiträge

Neueste beiträge

Krisenpräventionsumfrage 2023 zeigt die Herausforderungen des Krisenmanagements

17.04.2024
Compliance als Grundstein der Unternehmenskultur

10.04.2024
DIHK-Umfrage sieht Datenschutzgrundverordnung als Bürokratietreiber

03.04.2024
Europaweite Datenschutzaktion zum Auskunftsrecht der Datenschutzgrundverordnung

27.03.2024
Datenschutzbehörden führen automatisierte Prüfungen von Cookie-Bannern durch

26.03.2024
Mitarbeiterkontrollen durch den Arbeitgeber – Was ist unter welchen Voraussetzungen erlaubt?

12.03.2024
Wann muss eine öffentliche Ausschreibung erfolgen?

05.03.2024
Wie Unternehmen mit dem richtigen Tool ihr Potenzial maximieren

21.02.2024
Compliance Officer als „Botschafter“ für und „Verkäufer“ von Compliance

07.02.2024
18. Europäischer Datenschutztag 2024

30.01.2024