Der Begriff Compliance 1) steht für die Einhaltung von Gesetzen und Richtlinien sowie von freiwilligen Kodizes in Unternehmen. Dies bedeutet Einhaltung von gesetzlichen Bestimmungen, regulatorischen Standards und Erfüllung weiterer wesentlicher und in der Regel vom Unternehmen selbst gesetzter ethischer Standards und Anforderungen." 2)
Bei Kreditinstituten erstreckt sich der Begriff "Compliance" weiter auf die speziellen Vorschriften insbesondere des Wertpapierhandelsgesetzes, des Kreditwesengesetzes und des Kapitalanlagegesetzbuches, die für die Kreditwirtschaft die Compliance-Anforderungen auf diese Industriesäule branchenspezifisch vorgeben.
Da die rechtlichen Anforderungen an das Compliance Management stetig steigen, nimmt auch der Konkretisierungsbedarf der Aufgaben der Compliance-Funktion sowie die Erforderlichkeit eines präzisen Anforderungs- und Kompetenzprofils für Compliance Officer zu. 3)
CSR ist ein Begriff der Unternehmensethik, der die gesellschaftliche Verantwortung von Unternehmen bezeichnet. Neben dem primären Ziel eines Unternehmens, Gewinne zu erzielen, leisten Unternehmen einen Beitrag zur Erreichung sozialer und ökologischer Ziele, indem sie die soziale Verantwortung in ihre grundsätzliche Unternehmensstrategie, ihre Managementinstrumente und ihre Unternehmensaktivitäten einbeziehen. Es handelt sich somit um eine Leitidee, die unternehmensspezifisch zu konkretisieren ist.
CSR-Verantwortlichkeiten noch ohne ausreichende rechtliche Grundlage
Die Grundpfeiler von CSR sind: zukunftsorientiert wirtschaften, fair mit Beschäftigten umgehen, Verantwortung für Gesellschaft und Umwelt übernehmen und Unternehmen nachhaltig führen. 4)
Seit Anfang 2000 hat sich das Thema CSR ständig fortentwickelt, indem die CSR-Aktivitäten eines Unternehmens zukünftig immer stärker Gegenstand des jeweiligen unternehmerischen Handelns sein werden. Allerdings ist dieser Verantwortungsbereich noch längst nicht so in den Unternehmen verankert wie die bereits seit langem etablierte Compliance-Funktion.
Für die Reputation der jeweiligen Unternehmen ist es von essenzieller Bedeutung, auf welche Art und Weise Gewinne erwirtschaftet werden. Die Frage, wie die erzielten Gewinne verwendet werden, tritt dahinter zurück. Ein positives Beispiel hierfür ist eine Bank, die ihren ökonomischen Gewinn nicht als das primäre Unternehmensziel ansieht, sondern als eine logische Folge aus der Konzentration auf die beiden Kernfaktoren "Der Mensch im Mittelpunkt" und "Schonung der natürlichen Ressourcen" (beispielsweise Vermeidung von papierhaften Dokumentationen). Ziel der CSR-Aktivitäten soll es aber sein, die soziale und ökologische Verantwortung gegenüber Mitarbeitern, Umwelt und Gesellschaft wahrzunehmen.
Im Gegensatz zu den rechtlichen und regulatorischen Vorgaben für die Einhaltung von Compliance-Pflichten eines Unternehmens besteht für CSR-Verantwortlichkeiten bislang keine ausreichende rechtliche Grundlage. Wenn sich das Senior Management jedoch bereits heute der vorgenannten Grundpfeiler und damit ihrer CSR-Verantwortung bewusst ist, wird gerade in diesen Unternehmen jenen Werten eine entsprechende Bedeutung beigemessen und als Selbstverständlichkeit regelmäßig auch gelebt. Dadurch unterscheiden sich diese Unternehmen von anderen.
Dies führt zu einer Bewertung des Unternehmens durch den Kunden selbst, da dieser entscheidet, ob er sich aufgrund des gelebten Wertekanons in den Aktivitäten des Unternehmens wiederfindet und eine Kundenbeziehung zu solchen Unternehmen eingehen möchte. Auch (potenzielle) Mitarbeiter entscheiden sich heute ganz bewusst für ihre Arbeitgeber und beziehen CSR5) -Aktivitäten des (potenziellen) Arbeitsgebers in ihre Auswahl aktiv mit ein.
Berichtspflicht für große Unternehmen
Die Europäische Union (EU) hat die soziale Verantwortung der Unternehmen zu ihrem Anliegen gemacht. Ende des Jahres 2011 legte die Europäische Kommission eine neue Definition vor, wonach CSR die Verantwortung von Unternehmen für ihre Auswirkungen auf die Gesellschaft ist. Ziel ist die Verbesserung des Verantwortungsbewusstseins von Unternehmen bezüglich Umwelt- und Sozialbelangen, indem eine nachhaltige Entwicklung im Vordergrund steht, die beispielsweise durch die Etablierung von Umweltmanagementsystemen in Unternehmen erzielt beziehungsweise gefördert werden kann. 6)
Zur Verwirklichung dieses Ziels soll CSR die Union zum wettbewerbsfähigsten und dynamischsten, wissensbasierten Wirtschaftsraum der Welt machen - einem Wirtschaftsraum, der fähig ist, ein dauerhaftes Wirtschaftswachstum mit mehr und besseren Arbeitsplätzen und einem größeren sozialen Zusammenhalt zu erzielen. Eine zunehmende Zahl europäischer Unternehmen bekennt sich bereits immer deutlicher zu ihrer sozialen Verantwortung, legt gemeinsame Werte fest und betrachtet diese als Teil ihrer Identität. 7)
Am 24. September 2014 hat die EU eine nicht finanzielle Berichtspflicht für große Unternehmen mit mehr als 500 Mitarbeitern beschlossen. Besonders Banken und Versicherungen sollen in Zukunft verbindlich über ihre ökologischen und sozialen Verantwortungsbereiche und ihre nachhaltige Unternehmensführung berichten. Die EU-Vorgaben sehen vor, dass die Richtlinie bis 2017 in nationales Recht überführt sein muss. 8)
Compliance-Funktion
Was ist die Aufgabe einer Compliance-Funktion? Compliance dient der proaktiv präventiven Beratung der operativen Einheiten zur Einhaltung regulatorischer und sonstiger Vorgaben. Zur Sicherstellung der Einhaltung der Vorgaben nimmt die Compliance-Funktion auch eine Überwachungsaufgabe in dieser Hinsicht wahr. Compliance-Risiken werden somit evaluiert und gesteuert. 9) Die Compliance-Funktion ist in der Finanzindustrie bereits fest etabliert, in der Nicht-Banken-Industrie fehlt zumeist der prozessuale Ansatz sowie die zur Einhaltung der Vorgaben notwendige Überwachungsfunktion von Compliance.
Ein wesentliches Instrument der Compliance-Funktion ist die Durchführung einer Risikoanalyse 10) , die in regelmäßigen Abständen erfolgt und aktualisiert werden muss. Dabei wird die aktuelle Risikosituation festgestellt und überprüft, Beratungs- und Überwachungshandlungen werden risikoadjustiert angepasst und durchgeführt. Zusätzlich wird die Compliance-Funktion ihrer Beratungspflicht gerecht, indem sie Mitarbeiterschulungen durchführt und somit die Compliance-Kultur im Unternehmen positiv beeinflusst und weiter in den Köpfen der Mitarbeiter verankert. Die tägliche Betreuung und Beratung der Mitarbeiter des Unternehmens trägt ebenfalls wesentlich zur Implementierung und Verbesserung der Compliance-Kultur bei. Compliance überwacht und bewertet die im
Unternehmen aufgestellten Grundsätze und eingerichteten Verfahren sowie die zur Behebung von Defiziten (Compliance-Risiken) getroffenen Maßnahmen. Die Überwachung erfolgt dabei innerhalb des Internen Kontrollsystems auf der zweiten Verteidigungslinie durch die Compliance-Funktion. Ferner überwacht und managt die Compliance-Funktion potenzielle Interessenkonflikte, damit diese sich nicht nachteilig zulasten der Kunden des Unternehmens auswirken können.
Nach dem Legalitätsprinzip 11) ist es Aufgabe der Geschäftsleitung, eine angemessene, dauerhafte und wirksame Compliance-Funktion einzurichten. Compliance ist also "Chefsache" beziehungsweise originäre Pflicht der Unternehmensleitung als Gesamtorgan. Dies statuiert auch das Siemens-Urteil aus dem Jahr 2013 12) , aus dem hervorgeht, dass der Vorstand als Gesamtorgan eines jeden Unternehmens die Gesamtverantwortung für das Unternehmen, das Verhalten eines jeden einzelnen Mitarbeiters trägt und damit für die Einhaltung der Compliance-Regeln zu sorgen hat sowie gegebenenfalls für eine Missachtung haften muss.
Rechtsabteilungen 13) sind nach dem Legalitätsprinzip insbesondere für die Vertragsgestaltung und Haftungsrisiken verantwortlich. Die Compliance-Funktion agiert nach dem Legitimitätsprinzip, das heißt, dass die Compliance-Funktion immer auch im Sinne des Kunden zu entscheiden hat, während die Rechtsabteilungen ausschließlich im Sinne des Unternehmens agieren. Ein Legal Counsel kann sich durch Warnhinweise exkulpieren, während ein Compliance-Officer bei Verfehlungen sofort eingreifen, handeln und das Fehlverhalten unterbinden muss.
Interne Revision als "dritte Verteidigungslinie"
Die Interne Revision führt, wie die Compliance-Funktion auch, Kontrollhandlungen durch. Damit sich beide Funktionen ergänzen, ist es erforderlich, dass die Kommunikation optimal funktioniert und Informationen ausgetauscht werden. Die Interne Revision agiert als dritte Verteidigungslinie im Rahmen des Internen Kontrollsystems und überprüft, ob die erste und zweite Verteidigungslinie ordnungsgemäß arbeiten. Auf der zweiten Ebene ist die Compliance-Funktion tätig, die die (Kontroll-)Handlungen der ersten Verteidigungslinie (Fach- und Marktbereiche) überwacht.
Eine wichtige Schnittstelle der Compliance-Funktion bildet das (operationelle) Risikomanagement. 14) Bei diesem steht die Bewertung und Steuerung von quantifizierbaren Risiken im Vordergrund, während die Compliance-Funktion für Steuerung der qualitativen Risiken zuständig ist.
Compliance-Kultur
Als Compliance-Kultur 15) werden die Grundeinstellungen und Verhaltensweisen, die von der Unternehmensleitung vermittelt werden, bezeichnet (Prinzip des "tone at the top"). Die Compliance-Kultur soll allen Unternehmensbeteiligten sowie auch Kunden des Unternehmens die Bedeutung vermitteln, die das Unternehmen der Beachtung von Regeln beimisst, und damit bei allen Beteiligten die Bereitschaft zu regelkonformem Verhalten fördern. Vielfach wird die Compliance-Kultur in besonderen Richtlinien oder Verhaltenskodizes (zum Beispiel: "Mission Statement" oder "Code of Conduct") festgehalten und auch im Intranet- oder Internet-Auftritt des Unternehmens veröffentlicht. Die Mitarbeiter müssen diese Compliance-Richtlinien kennen und sie befolgen, damit sie ein aktiver Bestandteil der gelebten Compliance-Kultur sind. 16)
Eine wirksame Compliance-Kultur erfordert neben solcher "offiziellen" Kommunikation vor allen Dingen eine Spiegelung der Grundsätze im tatsächlichen Handeln und Auftreten aller Unternehmensverantwortlichen auf allen Managementebenen. Werte können folglich nur glaubhaft vermittelt werden, wenn diese auch erkennbar von den Vermittelnden selbst gelebt werden. Es ist unerlässlich, dass hierzu regelmäßig und anlassbezogen wirksame Compliance-Trainings von der Compliance-Funktion durchgeführt werden. 17)Nur durch solche Präsenzschulungen kann direkt und persönlich auf die konkreten Wissens-, Informations-, und Klärungsbedürfnisse der Zielgruppen eingegangen werden. Dabei sind emotionale und psychologische Begleitprozesse möglich, die eine feste und nachhaltige Grundlage für die Compliance-Kultur und damit das gesamte Compliance Management des Unternehmens gewährleisten. Zudem lassen sich so wertvolle Informationen über Compliance-bezogene Risiken und/oder Schwächen im aktuellen Compliance Management sowie über den Stand der Compliance-Kultur gewinnen, welche andernfalls nicht oder nur erheblich später zutage treten würden. 18)
Schulungen erfolgen schließlich risikoorientiert, um so für die Risikogruppen und risikobehafteten Bereiche eine Minderung des Compliance-Risikos herbeiführen zu können. Dadurch wird auch eine Häufung von Schulungsmaßnahmen derselben Zielgruppe innerhalb kurzer Zeiträume vermieden. Kommunikations- und Schulungsmaßnahmen haben für den Erfolg von Compliance-Programmen eine Schlüsselfunktion, denn ohne hinreichende Kommunikation bleibt Compliance mangels Etablierung einer guten Compliance-Kultur wirkungslos.
CSR-Zuständigkeiten
Die Aufgaben einer Compliance-Funktion sind insbesondere in der Kredit- und zukünftig über Solvency II auch in der Versicherungswirtschaft detailliert geregelt und vorgegeben. Die Verantwortungsbereiche bei CSR-Aktivitäten entwickeln sich gerade und sind derzeit noch nicht näher spezifiziert und beschrieben. Dies wird auch dadurch deutlich, dass Begrifflichkeiten nicht trennscharf und Aufgabendefinitionen nicht einheitlich verwendet werden. So gibt es beispielsweise nebeneinander die Begriffe CSR, Corporate Citizenship, Nachhaltigkeit, Unternehmensethik und Sustainability Services. Ferner führt die mangelnde Definition der Verantwortlichkeiten auch dazu, dass die zuständigen Personen und deren Aufgabenprofile nicht einheitlich verwendet werden, so zum Beispiel von CSR-Manager, CSR-Beauftragte, CSR-Officer, Nachhaltigkeitsmanager, Nachhaltigkeitsbeauftragte, CSR-Chefs, Division Manager Corporate Responsibility, Leiter Umwelt und Nachhaltigkeit.
Für den Erfolg eines CSR-Programms kommt es daher darauf an, welchen Stellenwert das Thema CSR innerhalb eines Unternehmens hat. Die Funktionen werden dann je nach Unternehmenskultur unterschiedlich ausgefüllt. Dies führt dann wiederum dazu, dass die Aufgabenzuweisung, die durch das Senior Management erfolgt, darüber entscheidet, welchen Inhalt und welche Verantwortlichkeiten die unternehmensinternen CSR-Programme haben sollen. Auch hier gilt, wie bei Compliance-Programmen auch, welcher "tone at the top" herrscht.
Unternehmenskultur umfasst CSR und Compliance
Bei der Unternehmenskultur treffen dann Compliance und CSR-Ansätze aufeinander. Jeder Mitarbeiter sollte sich seiner Verantwortung im und für das Unternehmen bewusst sein. Diese Verantwortung ist zum einen durch die Compliance-Vorgaben geregelt, zum anderen aber auch durch die Anlehnung an die CSR-Aktivitäten. Auch dabei kommt es maßgeblich auf den "tone at the top" an.
Den Stellenwert von CSR innerhalb eines Unternehmens kann man in drei Kategorien einteilen:
- CSR in der Minimalumsetzung: Die CSR-Aktivitäten sind auf ein Minimum reduziert und werden nur in Form von Kennzahlen für den Jahresbericht relevant, zum Beispiel Anteil von Frauen in Führungspositionen oder auch Einhaltung von gesetzlich vorgeschriebenen Umweltstandards. Oftmals sind die in der Regelberichterstattung eines Unternehmens veröffentlichten Angaben nur eine Alibiaussage, CSR wird nicht wirklich gelebt.
- CSR nur in der Verantwortung einzelner Personen: Unternehmen, die die CSR-Aktivitäten nur auf einzelne Personen übertragen, sind sich über die Notwendigkeit von CSR-Maßnahmen bewusst und es gibt CSR-Beauftragte. Sie haben innerhalb ihres Verantwortungsbereiches einen gewissen Einfluss, wobei sie Zielkonflikten mit anderen Organisationseinheiten unterliegen können. In Abhängigkeit von der Zuordnung dieser Personen zu einzelnen Organisationseinheiten haben sie aber unterschiedliche Aufgabenschwerpunkte und Einflussmöglichkeiten, etwa Personalabteilung/HR (Diversity), Einkauf (Lieferantenbeziehungen), Produktion (Recycling).
- CSR als integrierter Bestandteil der Unternehmensführung: In Unternehmen, die CSR-Aktivitäten als integralen Bestandteil einer guten Corporate Governance verstehen, ist CSR "Chef"-Sache und mit Einflussmöglichkeiten und Vetorechten versehen. Überlegungen zur Nachhaltigkeit und zum verantwortungsvollen Handeln sind in solchen Unternehmen für jeden Mitarbeiter selbstverständlich, da die gute CSR-Kultur von den Führungskräften vorgelebt wird. Bei Zielkonflikten werden hier proaktiv Maßnahmen eingeleitet, die zu einer Entscheidung unter Nachhaltigkeitsaspekten führen sollen (zum Beispiel bei der Entscheidung für einen etwas teureren Lieferanten, der aber nachhaltig produziert). Auf dieser Stufe führen CSR-Manager ihre Ziele mit den finanziellen Zielen anderer Unternehmensbereiche zusammen, und das entlang der gesamten Produkt- und Lieferkette.
Hier treten Compliance und CSR als gleichberechtigte Partner auf, die aus einem gemeinsamen Grundverständnis heraus, der gelebten Unternehmenskultur, handeln. Es ist das Ziel, die Vorgehensweisen beider Ansätze zusammenzuführen. Die Bündelung, Einhaltung regulatorischer Vorgaben auf der einen Seite (Compliance) und nachhaltiges unternehmerisches Handeln (CSR) schaffen dabei transparente und nachvollziehbare Entscheidungsstrukturen zum Wohl des Unternehmens, seiner Mitarbeiter und auch seiner Kunden.
Deutscher Nachhaltigkeitskodex als Orientierungshilfe
Die 20 Umsetzungskriterien im Leitfaden zum Deutschen Nachhaltigkeitskodex des Deutschen Nachhaltigkeitsrats in der Fassung vom Januar 2015 verdeutlichen hierbei die unterschiedlichen unternehmensweiten Ansatzpunkte für die Umsetzung von CSR-Aktivitäten. 19)
Hierbei werden auch die Schnittstellen zu den oben beschriebenen Compliance-Aktivitäten sichtbar. Es gibt bereits Unternehmen, die sich in ihrer Nachhaltigkeitspolitik an diesen Kriterien orientieren und diese auch dokumentieren. Die 20 Umsetzungskriterien sind die folgenden:
Strategie: strategische Analyse und Maßnahmen, Wesentlichkeit, Ziele, Tiefe der Wertschöpfungskette
Prozessmanagement: Verantwortung, Regeln und Prozesse, Kontrolle, Anreizsysteme, Beteiligung von Anspruchsgruppen, Innovations- und Produktmanagement
Umwelt: Inanspruchnahme von natürlichen Ressourcen, Ressourcenmanagement, klimarelevante Emissionen
Gesellschaft: Arbeitnehmerrechte, Chancengerechtigkeit, Qualifizierung, Menschenrechte, Gemeinwesen, Politische Einflussnahme, Gesetzes- und richtlinienkonformes Verhalten
Kombination zahlt sich aus
Die Kombination von Compliance- und CSR-Aktivitäten führt zu einem fairen und nachhaltigen Umgang mit den Kundenwünschen. Das Ergebnis strahlt auch auf die (potenziellen) Mitarbeiter des Unternehmens aus. Nachhaltige ökonomische Aspekte werden Gegenstand bei der Wahl des Kunden, welche Produkte und/oder Dienstleistungen er von welchen Unternehmen beziehen möchte. Auch (potenzielle) Mitarbeiter entscheiden nach diesen Kriterien in ihrem Auswahlprozess für oder gegen einen (potenziellen) Arbeitgeber.
Compliance und CSR stehen damit nicht im Widerspruch zueinander, sondern ergänzen sich vielmehr. Compliance kann hierbei auf Grund der höheren Regulierungsdichte eine Vorreiterrolle einnehmen, an der sich die CSR-Aktivitäten orientieren könnten. In einer optimalen Ergänzung beider Ansätze führt dies zu einer Unternehmenskultur, die sowohl dem Unternehmen selbst als auch seinen Mitarbeitern und Kunden zugutekommt. Dabei spielt die Vorbildfunktion des Senior Managements eine entscheidende Rolle. Mit dessen Verhalten steht und fällt der Erfolg beider Ansätze.
Fußnoten
1) Der Deutsche Corporate Governance Kodex (DCGK) beispielsweise definiert Compliance als die in der Verantwortung des Vorstands liegende Pflicht zur Einhaltung der gesetzlichen Bestimmungen und unternehmensinternen Richtlinien. http:// www.dcgk.de/de/
2) Krügler, Eberhard, "Compliance - ein Thema mit vielen Facetten" in: Umwelt Magazin, Heft 7/8 2011, S. 50; Renz/ Hense, in: Wertpapier-Compliance in der Praxis, S. 902 f.
3) Vgl. BDCO-Positionspapier zum Berufsbild des Compliance Officers, S. 5.; Renz, Hartmut, in: ZRFC 1/14, S. 38.
4) Glaser, Andreas, in: IRZ 2015, S. 55.
5) Kommission der Europäischen Gemeinschaften, Europäische Rahmenbedingungen für die soziale Verantwortung der Unternehmen, vorgelegt von der Kommission, csr-in-deutschland.de/.
6) http://www.nachhaltigkeitsrat.de/index.php?id=6672
7) Spießhofer, Birgit, in: NZG 2014, S. 1281.
8) EU-Richtlinie: PE-CONS 47/14 und 13265/14 ADD 1 REV 1; http://www.nachhaltigkeitsrat.de/presseinformationen/pressemitteilungen/eu-richtlinie-07-10-2014.
9) Eichler, Hubertus, in: Wpg 2015, S. 7; Schreiber, Alexander, in: NZA-RR 2010, S. 617.
10) Martin, Christina/ Schroeren, Dorit/ Wolff, Oliver, in: CCZ 2014, S. 86.
11) Reichert, Jochem, in: ZIS 3/201, S. 113; Meier-Greve, BB 2009, S. 2555.
12) LG München I, Urt. v. 10. Dezember 2013 - 5 HK O 1387/10, in: NZG 2014, S. 345.
13) Marschlich, Annette, in: CCZ 2010, S. 195.
14) Albrecht, Christoph/ Pauli, Marcus, in: CCZ 2014, S. 17.
15) Vgl. IDW PS 980.
16) Bussmann, Kai/Salvenmoser, Steffen, in: CCZ 2008, S. 192.
17) Pauthner, de Lamboy, in: CCZ 2011, 146 Aufbau unternehmensinterner Kompetenz- und Wissensressourcen für das Compliance-Management - B. Teil 2 - Aufbau von Compliance-Ressourcen durch geeignete und angemessene Schulungskonzepte und Schulungsformen.
18) Stütze, Sebastian, in: NZA 2013, S. 1255.
19) http://www.nachhaltigkeitsrat.de/uploads/media/RNE_Der_ Deutsche_Nachhaltigkeitskodex_DNK_texte_Nr_47_Januar_2015.pdf
Rechtsanwalt Hartmut T. Renz, Counsel, Rechtsanwältin Melanie Frankenberger, CCP Associate, Kaye Scholer LLP, Frankfurt am Main, Petra Schlitt, Projektmanagerin, Frankfurt am Main
