Als Vorreiter in Sachen Compliance sind die Unternehmen im Banken- und Finanzwesen gut aufgestellt, wenn es um die Erfüllung von Gesetzen, Richtlinien und ethischen Grundsätzen geht. Nicht zuletzt weil branchenspezifische Regeln wie beispielsweise das Kreditwesen-, Wertpapierhandels- und Aktienrecht bestimmte Strukturen und entsprechendes Personal voraussetzen. So haben alle Dax-30 gelisteten Unternehmen einen Compliance-Officer oder ein entsprechendes Committee für diese Aufgaben bestellt. Weil dieses Aufgabengebiet jedoch weit mehr umfasst als das Verhindern von Finanzbetrug, Insiderhandel, Korruption und Geldwäsche, lohnt sich ein Blick über den Tellerrand. Gerade bei der Umsetzung umfassender Compliance-Management-Strukturen können Banken auch von der Herangehensweise in anderen Branchen lernen.
Warum Compliance?
Zusätzlich zur traditionell hohen Regulierungsdichte im Bankensektor haben auch die Finanzkrise und vergangene Korruptionsskandale für ein gestiegenes Compliance-Bewusstsein gesorgt. So überwachen die Behörden das Geschäftsgebaren strenger und greifen bei Pflichtverletzungen härter durch (Null-Toleranz-Politik). Doch auch Kunden und Geschäftspartner sind vorsichtiger geworden und nehmen beispielsweise eine Bank vor einer Zusammenarbeit hinsichtlich risikobehafteter Geschäftsbereiche und ihrer allgemeinen Reputation kritischer unter die Lupe, als das etwa vor zehn Jahren noch der Fall war.
Vor diesem Hintergrund kann Compliance ein Unternehmen und seine Mitarbeiter nicht nur vor wirtschaftlichen Verlusten wie Schadensersatzforderungen, hohen Geldbußen oder Verwaltungssanktionen bewahren. Regelkonformität und Integrität in allen Bereichen schützt auch vor einem möglichen Imageverlust, der im schlimmsten Fall und auf lange Sicht zu einem erheblich größeren finanziellen Schaden führen kann als etwa eine Geldstrafe. Im Krisenfall können präventive Maßnahmen, die im Rahmen eines bereits bestehenden Compliance-Programms ergriffen wurden, strafmildernd anerkannt werden. Neben der gesetzlichen Pflichterfüllung und dem wirtschaftlichen Mehrwert wird damit aber auch ein wichtiges Beratungs- und Informationssystem innerhalb des Unternehmens geschaffen. Denn die Mitarbeiter können bestimmte Regeln und Kodizes auch nur dann einhalten, wenn sie in ausreichendem Maß darüber informiert sind und konkrete Handlungsanweisungen, etwa für das Vorgehen bei Verdachtsfällen, an die Hand bekommen.
Umgekehrt trägt Compliance natürlich auch dazu bei, mögliche Regelverstöße von Mitarbeitern, Kunden oder Dienstleistern zu erkennen und diesen vorzubeugen. Im Idealfall kann auch der Marktwert eines Unternehmens steigen. Denn wer nicht nur bei Krisenfällen in die Schlagzeilen gerät, sondern seine präventiven Anstrengungen aktiv in die Marketingbotschaften einbaut, kann das Ansehen bei Mitarbeitern, Kunden und Geschäftspartnern steigern. Wenn sich ein Unternehmen allerdings "Compliance" auf die Fahnen geschrieben hat, ist es eminent wichtig, tatsächlich wirksame Maßnahmen umzusetzen, die sich durch alle Unternehmens- und Geschäftsbereiche ziehen. Anderenfalls kann sich das öffentliche Verlautbaren eines internen Compliance-Programms kontraproduktiv auswirken. Mit diesem zusätzlichen Reputationsrisiko sind heute noch eine ganze Reihe von Unternehmen konfrontiert.
Compliance-Management als systematischer Ansatz
Die regulatorischen Vorgaben der Finanzwirtschaft einzuhalten und branchenübliche Risikofelder genau zu überwachen, ist eine Sache - alle unternehmerischen Sorgfaltspflichten zu erfüllen, eine andere. Manch einem Verantwortlichen ist nicht bewusst, dass auch die Feinstaubbelastung im Büro oder die Missachtung kultureller Bedürfnisse erhebliche Compliance-Probleme nach sich ziehen können. Ernsthafte Anstrengungen erfolgen daher nicht isoliert, sondern betreffen alle administrativen und operativen Abläufe sowie alle Abteilungen im Unternehmen. Der systematische Ansatz eines integrierten Compliance-Management-Systems (CMS) wird im Compliance-Standard TR CMS 101:2011 des TÜV Rheinland beschrieben. Dieser Standard kann von Unternehmen unabhängig von ihrer Größe beim Aufbau eines Compliance-Management-Systems genutzt werden (Download: http://www.tuv.com/media/germany/60_systeme/compliance/compliance_standard_tr.pdf).
Die Orientierung an diesem Standard kann vor allem dann vorteilhaft sein, wenn die implementierende Organisation eine Systemzertifizierung anstrebt oder aber entsprechende präventive Maßnahmen nachgewiesen werden müssen, etwa bei einem Haftungsfall. Beim Aufbau eines integrierten Compliance-Managements nach dem Compliance-Standard TR CMS 101:2011 kann einerseits auf vorhandene Management-Strukturen im Unternehmen zurückgegriffen werden. Andererseits verlangt ein prozessorientierter Ansatz im CMS, das Compliance-Risiko im Unternehmen systematisch und gruppenweit zu analysieren und Prozesse dort neu zu organisieren, wo dies für die Erfüllung der Compliance-Ziele notwendig ist. Ein prozessorientierter Ansatz erfordert weit mehr als die Referenz auf bereits Bestehendes oder punktuelle Maßnahmen.
Compliance ist Verantwortung
Nach dem Aktiengesetz ist es die Pflicht des Vorstandes, Compliance-Bestimmungen einzuhalten und dafür zu sorgen, dass dies auch bei den Mitarbeitern der Fall ist. Bei Zuwiderhandlungen, egal ob durch ihn selbst oder die Beschäftigten, haftet die Geschäftsführung persönlich. Was natürlich nicht heißt, dass der Vorstand die Tätigkeiten, die für die Pflichterfüllung (vorbeugend) notwendig sind, nicht delegieren darf. So können entsprechende Aufgaben entweder innerhalb der Geschäftsführung, an nachgeordnete Mitarbeiter oder an außenstehende Dritte delegiert werden. Häufig sind Compliance-Verantwortliche im Vorstand und in den Rechtsabteilungen anzutreffen. Es empfiehlt sich, Mitarbeitern aus Fachbereichen wie Einkauf, Vertrieb, Marketing oder Interne Revision keine entsprechende Verantwortung zu übertragen, weil es bei Ausübung beider Funktionen zu Interessenskonflikten kommen kann. Idealerweise ist die Compliance-Organisation in einer eigenständigen Abteilung angesiedelt.
Der Compliance-Officer hat die Aufgabe, im Auftrag des Vorstands beziehungsweise der Geschäftsführung für die Einhaltung der Rechtsvorschriften zu sorgen und Pflichtverstöße aufzudecken. Compliance-Verantwortliche sind dabei einem funktionsbedingten potenziellen Haftungsrisiko ausgesetzt, über das sie genau informiert sein sollten. Leitet sich für den Compliance-Officer aus seinem Bestellungsvertrag eine Rechtspflicht zum Handeln zum Zwecke der Risikoerkennung und aktiven Risikoeindämmung ab, kann dies eine Garantenstellung gegenüber dem Unternehmen und seiner Leitung begründen. Was wiederum bedeutet, dass er bei fahrlässiger Verletzung von Sorgfaltspflichten und/oder für ihm bekannt gewordene und nicht verhinderte Rechtsverstöße zur Verantwortung gezogen werden kann.
Arbeitsrechtlich zwingende Konsequenzen aus diesen Bedingungen sind klar definierte Stellen- und Tätigkeitsbeschreibungen, eindeutige Berichtswege und -Fristen sowie die Aufnahme des Compliance-Officers in die D& O-Versicherung. Weil er als Beauftragter des Unternehmens direkt an den Vorstand beziehungsweise an die Geschäftsführung berichtet und deren Entscheidungen wesentlich beeinflussen kann, sollte ein gutes Vertrauensverhältnis zwischen beiden Seiten herrschen. Nicht selten fungiert ein Compliance-Beauftragter als internes und externes "Stimmungsbarometer" für den Erfolg der Maßnahmen.
Was macht einen guten Compliance-Officer aus?
Aufgrund seines Tätigkeitsspektrums und der möglichen Haftungsrisiken muss der Compliance-Beauftragte besonders sorgfältig ausgewählt werden. Dies betrifft nicht nur seine persönliche Eignung und Integrität, sondern vor allem auch seine fachliche Kompetenz. Unternehmensweit für die Einhaltung von Gesetzen und internen Richtlinien zu sorgen, ist nämlich nicht nur eine Frage des Willens, sondern auch des Könnens. Während schon hierzulande die Fülle an Gesetzen, Richtlinien und Novellen viel Überblick und Flexibilität verlangt, wird diese Aufgabe im Umfeld der Globalisierung und eines dynamischen technologischen Fortschritts ungleich anspruchsvoller. Eine offizielle Ernennung zum Compliance-Officer macht aus einem Mitarbeiter noch nicht automatisch einen Experten auf diesem Gebiet.
Typischerweise ist die Überprüfung von Sachverhalten auf ihre Gesetzes- und Regelkonformität eine juristische Tätigkeit. Die Bekanntmachung von Regeln und die Sensibilisierung der Mitarbeiter erfordern jedoch auch betriebswirtschaftliches und technisches Know-how und darüber hinaus soziale Kompetenzen. Idealerweise bringt der Compliance-Officer mehrjährige Berufserfahrung aus verschiedenen Verantwortungsbereichen mit. Zusätzlich benötigt er tiefergehende Fachkenntnisse in Sachen Compliance, die nur anhand eines konsistenten und strukturierten Schulungsprogramms vermittelt werden können.
Personalqualifikation entscheidend
Weil hierzulande zahlreiche, oft unterschiedlich ausgerichtete Schulungsangebote für Compliance existieren, ist es bei der Wahl des Bildungsanbieters wichtig, sich umfassend zu informieren. Neben der Expertise des Anbieters sollte vor allem darauf geachtet werden, dass der Kurs alle Handlungsfelder abdeckt, die dem Unternehmen wichtig sind. Die TÜV Rheinland Akademie bietet bundesweit an mehreren Standorten eine fünftägige Qualifizierung zum zertifizierten Compliance-Officer an. Der Kurs vermittelt nicht nur die rechtlichen Grundlagen des Berufsfelds, sondern zeigt auch die zentralen Aufgaben und Haftungsrisiken der Compliance-Verantwortlichen auf. Anhand von Praxisbeispielen werden ganzheitliche Konzepte für die Etablierung einer Compliance-Organisation vorgestellt.
Die Implementierung wirksamer Hinweisgebersysteme, interner Strukturen und Kontrollen gehört ebenso zu den Kursinhalten wie die Formulierung und die Kommunikation von Verhaltens-Kodizes und Richt -linien. Sämtliche Aufgabenbereiche für den Aufbau eines systematischen Compliance-Managements werden abgedeckt. Im Rahmen der Weiterbildung geben international tätige Rechtsanwälte und Wirtschaftsprüfer sowie Compliance-Beauftragte aus Dax-30-Unternehmen ihre praktische Erfahrung bei der Implementierung und Kontrolle von Compliance-Management-Systemen weiter. Daneben profitieren die Teilnehmer insbesondere von der Sichtweise der "anderen Seite", des neutralen Prüfdienstleisters TÜV Rheinland Cert GmbH, der entsprechende Systeme auditiert und zertifiziert.
Ein dreitägiges Aufbaumodul zum Compliance-Auditor (TÜV) befähigt die Teilnehmer bei Bedarf auch zur Planung und Durchführung von internen Compliance-Audits und Sonderuntersuchungen (Investigations & Forensic). Finanz- und Kreditinstitute nutzen darüber hinaus auch die viertägigen Praxisseminare der TÜV Rheinland Akademie zum "Geldwäschebeauftragten (TÜV)", um ihren gesetzlichen Sorgfaltspflichten nach GwG und KWG nachzukommen und Mitarbeiter speziell für ihre Aufgaben bei der Geldwäschebekämpfung weiterzubilden.
Vom Assessment bis zur Zertifizierung - Best Practice
Je nach eigener Expertise und qualitativem Anspruch können die Unternehmen für ihre Mitarbeiter entweder externe Weiterbildungsangebote oder individuelle Inhouse-Schulungen in Anspruch nehmen. Ein Best-Practice-Beispiel soll im Anschluss zeigen, dass es sich lohnt, im Rahmen einer Selbstverpflichtung mehr als nur die rechtlich vorgeschriebenen Maßnahmen umzusetzen und dass ein qualifizierter Compliance-Officer zum Erfolg des Systems beitragen kann.
Ein mittelständischer Anbieter von Ambulanz- und Sonderfahrzeugen hat sich im Jahr 2011 für die Implementierung eines Compliance-Management-Systems entschieden. Auslöser waren die gestiegenen Anforderungen an internationale Geschäftsbeziehungen (wie zum Beispiel der UK Bribery Act) und das Ziel, potenzielle Haftungsrisiken bei der Zusammenarbeit mit Zulieferern und Partnern präventiv einzudämmen. Ausgangspunkt der insgesamt sechsmonatigen Anstrengungen war eine Vor-Ort-Bestandsaufnahme (Assessment), auf deren Basis mit einem externen Berater ein individuelles Compliance-System entworfen wurde.
Da sich das Unternehmen für den ganzheitlichen Ansatz entschieden hatte, wurden sämtliche Bereiche mit einbezogen, von der Produktentwicklung über die Fertigung bis hin zu Service und Vertrieb. Zudem wurde ein Mitarbeiter gezielt an der TÜV Rheinland Akademie zum Compliance-Officer weitergebildet, um die Maßnahmen effizient umzusetzen und zu kontrollieren. Umfangreiche neue Richtlinien zur internen Regelsetzung in verschiedenen Risikobereichen wurden eingeführt. Zur Prüfung von Geschäftspartnern entwickelten die Verantwortlichen neben anderen Prozessen einen Fragebogen für Zulieferer und Geschäftspartner, um auch in diesem Bereich die potenziellen Risiken zu verringern. Zur Meldung möglicher Regelverstöße kommt nicht nur ein internes, sondern auch ein externes Hinweisgebersystem zum Einsatz. So können Mitarbeiter, die um ihre Anonymität fürchten, sich mit ihrem Anliegen auch an ein Rechtsanwaltsbüro wenden.
Um alle Neuerungen im Unternehmen zu verankern, wurden die Mitarbeiter verpflich tet, an Compliance-Schulungen teilzunehmen, die auf ihren jeweiligen Tätigkeitsbereich zugeschnitten waren. Abschließend ließ das Unternehmen sein Compliance-Management-System durch die TÜV Rheinland Cert GmbH zertifizieren, um die Funktionalität der neuen Strukturen und Abläufe auch nachweisen zu können. Das international gültige Dokument des neutralen Prüfdienstleisters kann sich entlastend auf das Haftungsrisiko auswirken und stößt bei Geschäftspartnern, Kunden und Mitarbeitern auf positive Resonanz.
Compliance ist kein Feigenblatt
Was externe Dienstleister nicht leisten können, was aber für den Erfolg und die Schlagkraft einer Compliance-Organisation entscheidend ist, sind ein klares Bekenntnis des Vorstands beziehungsweise der Geschäftsführung für den eingeschlagenen Weg sowie die vorbehaltlose Rückendeckung der Compliance-Verantwortlichen und der internen Compliance-Politik. Dazu gehört sowohl die organisatorische und juristische als auch die fachliche und inhaltliche Unterstützung. Nur wenn Compliance kein Lippenbekenntnis bleibt und über die rechtlichen Verpflichtungen hinaus auch umfassende freiwillige Maßnahmen beinhaltet, wird langfristiges Vertrauen bei Mitarbeitern, Kunden und Geschäftspartnern geschaffen. Gerade im Banken- und Finanzsektor haben Unternehmen, die ihr Augenmerk auch auf vermeintliche Randbereiche richten, eine sichere und starke Marktposition.