Die Reputation als Ansehen des Unternehmens und als Vertrauen in das Unternehmen sind für alle Unternehmen, insbesondere aber für solche der Finanzdienstleistungsbranche - sei es eine Bank, eine Versicherung oder ein anderer Finanzdienstleister - für deren geschäftliche Entwicklung von besonders großer Bedeutung. Im Rahmen der allgemeinen Sorgfaltspflicht hat die Unternehmensleitung Maßnahmen zur Sicherstellung der Einhaltung gesetzlicher Bestimmungen und unternehmensinterner Regeln zu etablieren.
Trotz dieser Vorgaben kommt es wiederholt vor, dass Unternehmen beziehungsweise deren Mitarbeiter rechtliche Verpflichtungen verletzen und Unternehmen durch die öffentliche Berichterstattung ihr "öffentliches Ansehen", und ihren "guten Ruf", beschädigen, wodurch hohe Strafen anfallen und die Geschäfte negativ beeinflusst werden können.
Grundsätzlich nichts Neues
Um der notwendigen Compliance (to comply - erfüllen, befolgen, einhalten) zu entsprechen, ist die Entwicklung und Implementierung eines effektiven Compliance Management Systems (CMS) notwendig. Compliance zu erreichen ist zu einer elementaren Aufgabe für den Vorstand beziehungsweise die Geschäftsführung als Gesamtorgan und für deren einzelne Mitglieder geworden.
Das Achten auf die Einhaltung der Compliance-Richtlinien ist für die meisten Unternehmen genauso nichts Neues wie die Tatsache, dass es bei einzelnen Unternehmen immer wieder zur Nichteinhaltung rechtlicher Verpflichtungen kommt. Verstöße geschahen bereits zu einer Zeit, als Compliance ein kaum verwendetes Wort der englischen Sprache war und im deutschen Sprachraum (noch) nicht zur Bezeichnung für die Einhaltung rechtlicher Verpflichtungen herangezogen wurde. Angesichts der zunehmenden Regulierung durch Gesetz- und Verordnungsgeber, die den Unternehmen und ihren Organen neue Pflichten auferlegten (und auch in Zukunft auferlegen werden), und aufgrund erfolgter Rechtsverstöße mit entsprechenden Strafen und anderen Folgen (wie hohe Rechtskosten, Imageschäden oder schlechte Bewertungen) hat sich das Bewusstsein und der Blick auf die Einhaltung rechtlicher Verpflichtungen geändert. Finanzdienstleister sind im Gegensatz zu den meisten anderen Branchen mehr denn je von einer enormen Regelungsdichte geprägt, die vor allem auch neue organisatorischen Anforderungen nach sich zieht.
Die Einhaltung von rechtlichen Verpflichtungen kann durch ein nachhaltiges Compliance-Management-System (CMS) erreicht werden, das in der Governance im Hinblick auf die Steuerung von Compliance-Risiken entsprechend zu berücksichtigen ist. Für die Leitung soll/muss aufgrund der großen Bedeutung des Compliance Managements ein dafür vom Vorstand beziehungsweise der Geschäftsführung designierter Compliance Officer eingesetzt werden.
Compliance-Kultur etablieren
Neben den erforderlichen Kompetenzen bedingt eine erfolgreiche Erfüllung der Compliance-Funktion die uneingeschränkte Unterstützung des Topmanagements. Der Compliance Officer selbst muss persönlich zuverlässig sein, fachlich ein breites Spektrum an Wissen und Erfahrung und Kenntnisse über die relevanten Rechtsvorschriften sowie die Prozesse und Produkte des eigenen Unternehmens haben, um seine Aufgaben effektiv erfüllen zu können. Vorstand beziehungsweise Geschäftsführung haben darüber hinaus für eine Compliance-Kultur zu sorgen, die von allen Mitarbeitern akzeptiert und voll getragen wird.
Um die Compliance managen zu können, das heißt rechtskonformes Verhalten der Organe der Gesellschaft und aller Mitarbeiter inklusive der Führungskräfte sicherzustellen, müssen im Rahmen des Compliance Managements geeignete Instrumente und Maßnahmen entwickelt werden. Dabei müssen die Compliance-Risiken eruiert und kontrolliert, alle Compliance-Verstöße rasch erkannt und die notwendigen Gegenmaßnahmen umgehend gesetzt werden.
Compliance Management wirkt präventiv
Die Erfüllung der Compliance-Funktion beinhaltet auch die Berichtspflicht über Stand und Entwicklung der Compliance durch den Compliance Officer sowie die Einbindung des Compliance Officers in die Unternehmensprozesse, zum Beispiel bei strategischen Entscheidungen, neuen Geschäftsmodellen, Produkten oder Werbestrategien. Gutes Compliance Management wirkt präventiv, beziehungsweise verhindert Non-Compliance und leistet im Falle einer dennoch vorkommenden Non- Compliance Schadensbegrenzung.
Der erste Schritt beim Aufbau eines Compliance Management Systems ist die Definition aller für das jeweilige Unternehmen relevanten rechtlichen Vorschriften und die Analyse der größten Compliance-Risiken. Compliance-Risiken können zum Beispiel bei Regelungen zum Arbeitnehmer-, Brand- oder Datenschutz, zur Wirtschaftskriminalität wie Geldwäsche oder Korruption oder zum Wettbewerb auftreten. Entsprechend diesen allgemeinen und unternehmensspezifischen Risiken ist ein rechtskonformes, das heißt strukturiertes und genau definiertes Compliance-System zu schaffen, das eine effektive Kontrolle ermöglicht, damit alle rechtlichen Vorschriften eingehalten werden. In vielen Fällen wird dafür auch externe juristische Unterstützung erforderlich sein.
Die Einhaltung der sich aus den festgelegten Compliance-Richtlinien ergebenden Verpflichtungen muss durch den Compliance Officer, aber auch den Vorstand oder die Geschäftsführung sichergestellt werden. Mittels eines geeigneten Berichtswesens sind alle kritischen Compliance-Verstöße zu dokumentieren und vom Compliance Officer entsprechend seinen Reporting-Vorgaben weiterzuleiten. Die kleineren Fälle sollten in ein Standard-Compliance-Reporting einfließen. Basierend auf den identifizierten Compliance Problemen, vor allen kritischen und zu spät entdeckten Compliance-Problemen, kann das Compliance Management laufend weiterentwickelt und verbessert werden.
Erfolg heißt, dass nichts passiert
Wesentliche Aufgaben des Compliance Managements sind auch
a) die Bewertung von Änderungen der für die Geschäftstätigkeit des Unternehmens geltenden rechtlichen Vorschriften und
b) die Bewertung von Änderungen bei Unternehmensprozessen und -produkten hinsichtlich der Compliance.
Der Erfolg der Compliance kann analog zum Erfolg im operativen Geschäft betrachtet werden. Ein Compliance-Erfolg liegt dann vor, wenn keine Verletzung einer Rechtsvorschrift "passiert", weshalb dieses Ziel ständig im Fokus sein und die Zielerreichung durch regelmäßige Kontrollen sichergestellt werden muss. Wenn Verstöße gegen die Compliance auftreten, ist es notwendig, einerseits eine rasche Wiederherstellung sicherzustellen und andererseits die Risiken beziehungsweise Folgen, die sich aus der Non-Compliance ergeben, bestmöglich zu bewältigen und für die Zukunft zu minimieren.
Branchen- und Standesregeln mit einbeziehen
Das Compliance Management geht mittlerweile über die bloße Einhaltung allgemeiner rechtlicher Verpflichtungen hinaus, da auch ergänzende branchenbezogene Standesregeln und unternehmensspezifische Verhaltenscodizes beachtet werden müssen. Dabei gibt es Richtlinien, die für alle Unternehmen von Relevanz sind, und solche, die abhängig von der Branche, von seiner Größe, von seiner Komplexität, vom Ausmaß seiner Internationalisierung oder von der Börsennotierung nur für bestimmte Unternehmen von Bedeutung sind. Bei international tätigen Unternehmen fließen auch ethische Aspekte in die Compliance ein.
Ziel eines Compliance-Management- Systems sollte sein, die genannten Risiken und Folgen von Non-Compliance, die in einigen Fällen sogar die Existenz der betroffenen Unternehmen gefährden können, präventiv zu reduzieren oder ganz zu verhindern. Durch das Compliance Management soll eine Compliance-Kultur erreicht werden, die von allen Mitarbeitern getragen wird und der Öffentlichkeit einen glaubwürdigen Eindruck der Integrität des Unternehmens vermittelt.
Dr. Ewald Judt ist Honorarprofessor der Wirtschaftsuniversität Wien, ewald.judt[at]wu.ac[dot]at. Dr. Claudia Klausegger ist Assistenzprofessorin am Institut für Marketing-Management der Wirtschaftsuniversität Wien, claudia.klausegger[at]wu.ac[dot]at.
