2 Grundlagen - Compliance

2.1 Corporate Compliance

2.1.1 Begrifflichkeiten und Zweck der Compliance

Ende des 20. und Anfang des 21. Jahrhunderts gab es in der Weltwirtschaft einige spektakuläre Unternehmenspleiten, die auf einen Betrug von Bilanzsummen oder Verschleierung von Verlusten zurückzuführen sind. Als prominentes Beispiel können an dieser Stelle zwei Unternehmen aufgeführt werden, die nach der Aufdeckung der Betrugsfälle Insolvenz anmelden mussten. Das Unternehmen Enron gehörte Ende der 90er Jahre zu den größten Energieunternehmen der USA und erlitt aufgrund starker Expansionsbestrebungen und des Absinkens der Energiepreise starke Verluste. Diese Verluste wurden intern durch diverse Maßnahmen verschleiert, um die Bilanzsumme künstlich zu verbessern. Diese Maßnahmen waren nur möglich, da interne Kontrollsysteme unzureichend entwickelt waren und die Entscheidungsträger so einen großen Spielraum bei der Ausgestaltung hatten. Nach Anmeldung der Insolvenz 2001 wurden diese Machenschaften aufgedeckt und die Verantwortlichen zur Rechenschaft gezogen. Ein anderes prominentes Beispiel ist der Untergang einer der größten Telefongesellschaft der Welt im Jahr 2002: Worldcom. Auch hier wurde die negative Bilanzsumme, die sich aus den schwierigen Konjunkturzeiten und Fehlinvestitionen ergab, durch Falschausweise verschleiert. Die Durchführung dieses Betrugs ist ebenfalls auf fehlende Kontrollsysteme und die große Macht von Unternehmenseignern und Managern zurückzuführen. Diese und noch andere Pleiten waren der Auslöser für die Forderung nach mehr Transparenz durch die Gesetzgeber und Aufsichtsbehörden. Es entwickelte sich der Trend, Unternehmen über regulatorische Vorgaben und Anforderungen zu einer transparenten Unternehmensführung zu bewegen und so wieder mehr Vertrauen in die Märkte zu bringen[4]. Die Erfüllung solcher Anforderungen und Vorgaben wird als Compliance bezeichnet. Sie ist ein Ziel unternehmerischen Handelns, da die Nichteinhaltung zu Risiken für das Unternehmen und dessen Management führen kann.

Als Reaktion auf die kriminellen Praktiken in der Betriebsführung wurden national und international neue Gesetze und Regulierungen geschaffen, denen vom Manager bis zum normalen Mitarbeiter alle unterliegen. Nicht selten wurden darüber hinaus aus Eigeninteresse unternehmensspezifische Regeln aufgestellt, die ebenfalls unter den Aspekt der Compliance fallen und von den Unternehmen befolgt werden. Schneider definiert in einem Zeitschriftenbeitrag die Compliance folgendermaßen:

„Compliance umfasst die Gesamtheit aller Maßnahmen, um das rechtmäßige Verhalten aller Unternehmen, ihrer Organmitglieder, ihrer nahen Angehörigen und der Mitarbeiter im Blick auf alle gesetzlichen Gebote und Verbote zu gewährleisten.“[5]

Die folgende Tabelle gibt einen Überblick über bestehende Gesetze und externe Regelwerke:

Tab. 1 Für Compliance relevante Gesetze und Regelwerke[6]

Darüber hinaus existieren noch weitere Regelwerke und Gesetze, wie etwa das Bundesdatenschutzgesetz (BDSG), der ISO-Standard 17799, aber auch das für das Software-Asset-Management wichtige Urheberrechtsgesetz (UrhG). Alle genannten Gesetze zielen im Groben darauf ab, die Unternehmen zu einem Einsatz von Risikomanagementsystemen und internen Kontrollsystemen (IKS) zu bewegen. Dadurch soll die Sicherheit und Transparenz im Unternehmen gestärkt und gefördert werden und damit der Fortbestand und die Entwicklung des Unternehmens sichergestellt werden.

2.1.2 Risikopotential

Verstärkt wurde der Fokus auf das Compliance-Thema durch weitere aufkommende Skandale, wie die Schmiergeldaffäre bei Siemens, die Korruptionsaffäre bei Volkswagen oder die Mitarbeiterüberwachung bei Lidl. Es wurde deutlich, dass die Nichtbeachtung der Compliance-Regeln nicht nur wirtschaftlich-rechtliche Schäden mit sich führt, sondern vor allem auch das Ansehen des Unternehmens gefährdet. Ein Verstoß gegen die Compliance-Richtlinien, ob intern oder extern, kann für das Unternehmen dramatische Folgen haben und bis zu strafrechtlichen Maßnahmen gegen Management und Mitarbeiter führen.[7] Untenstehend werden einige wichtige Konsequenzen für die Nichteinhaltung aufgeführt.[8]

 Gefährdung des Unternehmens durch negative Berichte in den Medien über Missstände im Unternehmen

 Werteverfall für die Shareholder

 Eingreifen des Aufsichtsrates und Aufsichtsbehörden

 Vergabesperre und „Blacklisting“ für künftige Aufträge

 Betriebsstillegung

 Unternehmenskrise, Gefährdung der Arbeitsplätze

 Bußgelder bis zu 10% des Konzernumsatzes

 Verfall des mit inkriminierten Geschäften erzielten Gewinns an die Staatskasse

 Untersuchungshaft und Freiheitsstrafen für Manager

 Geldstrafen für Management und Unternehmen

 Einstweilige Verfügungen gegen die Durchführung einzelner Geschäftsaktivitäten

 Pfändung von Bankkonten

 Schadensersatzforderungen durch Kunden, Wettbewerber und Verbraucher

 Aufwändige Beschäftigung des Managements mit Verteidigungsaktivitäten zu Lasten der Konzentration auf das Geschäft

 Bedrohung der beruflichen Existenz der Organmitglieder

2.1.3 Elemente der Compliance in einem Unternehmen

Die oben genannten Konsequenzen gilt es der Sicht des Unternehmens zu vermeiden, da diese Punkte einen potentiellen Schaden bedeuten. Dieser Schaden kann gemeinsam mit einer vorhandenen Bedrohung (Fahrlässigkeit, Vorsatz oder organisatorische Mängel) und einer gewissen Eintrittswahrscheinlichkeit als Risiko für das Unternehmen definiert werden. Das große Ziel der Compliance ist es dieses Risiko zu minimieren und die genannten potentiellen Schäden abzuwenden. Hierzu müssen Sicherheitsmaßnahmen ergriffen werden, die der Unternehmensleitung helfen, die Risiken zu überwachen und zu managen.

Abb. 2 Elemente der Compliance[9]

Zur Konkretisierung und Einordnung der Sicherheitsmaßnahmen können die fünf Elemente aus dem obigen Schaubild herangezogen werden. Dies sind die organisatorischen Kernbereiche der Compliance, mit denen die Unternehmensleitung die Compliance durch Definition und Überwachung von Maßnahmen steuern kann. Compliance ist in erster Linie die Aufgabe der Geschäftsführung. Die Geschäftsführung hat dafür Sorge zu tragen, dass Compliance als Prozess im gesamten Unternehmen gelebt wird und von allen Mitarbeitern befolgt wird, um rechtliche und wirtschaftliche Risiken zu minimieren. Die Risikominimierung erfordert eine etablierte Risikoanalyse, die sich mit der Identifikation und der Einschätzung des Risikos beschäftigt. Erst wenn die Risiken, die potentielle Schäden hervorrufen können, identifiziert sind, können präventive Maßnahmen ergriffen werden. Im zweiten Schritt ist eine klare Positionierung der Unternehmensleitung notwendig. Compliance-Bestrebungen dürfen nicht nur auf dem Papier bestehen, sondern müssen von der Geschäftsführung vorgelebt werden.[10] Nur so können die Mitarbeiter und die externen Interessensvertreter von der Einhaltung aller Regelwerke überzeugt werden. Im nächsten Schritt muss genau diese Haltung publik gemacht werden und sowohl intern, als auch extern kommuniziert werden. Üblicherweise machen es Unternehmen durch die Verabschiedung eines „Mission Statement“ seitens der Geschäftsführung oder durch das Verfassen und Publizieren eines eigenen internen Regelwerks, wie z. B. eines Code of Conduct. Weitere Maßnahmen könnten regelmäßige Schulungen der Mitarbeiter sein, wie sie bei Siemens nach der Schmiergeldaffäre eingeführt worden sind. Zur Nachverfolgung und der ständigen Überprüfung der Compliance ist es ratsam eine speziell dafür vorgesehene Organisation im Unternehmen aufzubauen. Dieses könnte die Einsetzung eines Compliance-Beauftragten oder die Einrichtung einer ganzen Compliance-Abteilung bedeuten.[11] Aufgaben dieser Organisation bestehen in der Nachverfolgung aller Compliance-Aktivitäten und der konstanten Weiterentwicklung der Compliance im gesamten Unternehmen. Das wichtigste Ziel der Compliance, die Reduzierung der Risiken durch Schaffung von Transparenz, wird mit...