Es gibt noch viel zu tun

Best Practice: Ergebnisse einer umfassenden Compliancebefragung in deutschen Unternehmen
Ein Gastbeitrag von Dr. Tobias Teicke und Florian Block

Beitrag als Download (PDF)

Deutsche Unternehmen investieren immer mehr in Compliance. Integrity Committees, Help-Hotlines und seitenlange Richtlinien zur Annahme von Geschenken sollen dafür sorgen, dass Unternehmen den Pfad der Tugend nicht verlassen. Hier stellt sich dem unbefangenen Betrachter die Frage, ob dieser ganze Aufwand überhaupt sinnvoll ist. Die Antwort ist: Ja, aber mit dem nötigen Augenmaß! In der deutschen Unternehmenswelt hat sich seit dem Siemens-Skandal vor nicht einmal zehn Jahren vieles geändert. Das bekommen Unternehmen direkt zu spüren. Nicht nur Gesetze wurden verschärft. Staatsanwaltschaften, Kartellämter und andere Behörden haben ihre Ermittlungstätigkeit deutlich erhöht, die Maßstäbe sind strenger geworden. Hinzu kommt, dass auch viele Unternehmen mittlerweile hohe Anforderungen an die Compliance ihrer Geschäftspartner stellen. Die Haftungsrisiken sind daher heute höher denn je.

Viele der größeren deutschen Unternehmen haben darauf reagiert. Es bleibt aber nach wie vor viel zu tun. Dies zeigt die jüngst von der Rechtsanwaltskanzlei CMS Hasche Sigle in Auftrag gegebene repräsentative Studie des Meinungsforschungsinstituts IPSOS. Befragt wurden Complianceverantwortliche in deutschen Unternehmen mit mehr als 500 Mitarbeitern vom gehobenen Mittelstand bis zum Großkonzern. Ob aus ethischer Überzeugung oder als lästige Pflichtübung, eine Complianceorganisation gehört inzwischen in den meisten Firmen zum Standard. Dieser Trend wird sich auch in kleineren Unternehmen weiter durchsetzen.

Verbesserungspotential in der Complianceorganisation

Fast die Hälfte der Unternehmen hat in den vergangenen Jahren die personellen und finanziellen Complianceressourcen erhöht. Der Großteil der Befragten fühlt sich dabei gut aufgestellt. Dennoch: Viele der befragten Compliance-Officer sehen noch deutliches Verbesserungspo-tential. Die Einführung einer echten Compliancekultur gilt als größte Herausforderung. Denn interne Vorgaben müssen wirklich „gelebt“ werden. Sonst ist Compliance nicht nur wirkungslos, sondern stellt auch ein Risiko dar. Wenn es trotz Compliancevorkehrungen zu Gesetzesverstößen im Unternehmen kommt, entsteht bei Staatsanwaltschaften und Gerichten schnell der Eindruck, das Compliancesystem bestehe nur „auf dem Papier“. In solchen Fällen kann dies sogar zu einer strengeren Haftung des Unternehmens und der Geschäftsleitung führen.

Eigene Complianceabteilung ist eher der Ausnahmefall

In den meisten Unternehmen ist in erster Linie die Rechtsabteilung oder das Controlling für Compliance zuständig. Auch Risikomanagement und Revision übernehmen häufig Complianceaufgaben. Nur drei von zehn Unternehmen haben eine eigene Complianceabteilung. Wirklich überraschend ist dies nicht: Es besteht keine Pflicht zur Einrichtung einer zentralen Compliance­abteilung. Die organisatorische Ausgestaltung liegt im Ermessen der Geschäftsleitung. Viele Unternehmen entscheiden sich auch aus Kosten- oder Praktikabilitätsgründen für eine dezentrale Complianceorganisation.

Erstaunlicherweise üben aber in 30% der Unternehmen Complianceverantwortliche gleichzeitig auch Tätigkeiten im Einkauf und Vertrieb aus. Ob im Rahmen einer solchen Doppelfunktion auch Compliancekontrollaufgaben immer optimal wahrgenommen werden können, erscheint zumindest fraglich. So könnte zum Beispiel ein Vertriebsleiter, dessen variable Vergütung allein vom Umsatz abhängt, im Zweifel eher dazu neigen, ein kritisches Geschäft durchzuwinken als zu blockieren.

Auffällig ist, dass Unternehmen häufig externe fachliche Unterstützung einkaufen – je nach Compliancethema liegt die Beratungsquote bei bis zu 80%. Während manche Unternehmen sich bei kritischen Compliancefragen durch externe Expertise absichern wollen, haben insbesondere viele mittelständische Unternehmen schlicht nicht die Kapazitäten, alle aufkommenden Compliancefragen selbst zu beantworten.

Richtige Schwerpunktsetzung im Mittelstand?

Bei der Risikobewertung überraschen vor allem mittelständische Unternehmen (500–999 Mitarbeiter). Nach Einschätzung der dort tätigen Befragten spielen die zentralen Compliancethemen der Kartell- und Korruptionsbekämpfung eine eher untergeordnete Rolle. Der Datenschutz wird hingegen als wichtigstes Compliancethema gesehen. Auch wenn dem Datenschutz heutzutage eine wesentliche Rolle zukommt, legt dieses Ergebnis doch nahe, dass gerade der Mittelstand Kartellrechts- und Korruptionsrisiken weiterhin unterschätzt. Dies spiegelt die in der Complianceberatung häufig anzutreffende Einschätzung mittelständischer Unternehmen wider, Kartell- und Korruptionsrisiken gäbe es nur in Großkonzernen. Diese Sichtweise kann fatale Auswirkungen haben: Wettbewerbswidriges und korruptes Verhalten birgt gerade auch für den Mittelstand die größten – teilweise sogar existenzbedrohenden – Haftungsrisiken. Die vergangenen Jahre haben gezeigt, dass die Kartellbehörden und Staatsanwaltschaften Vergehen in diesen Bereichen besonders konsequent verfolgen und mit erheblichen Sanktionen ahnden. Bei Großkonzernen werden diese Bereiche hingegen realistischer eingeschätzt: Kartellrecht und Antikorruption stehen hier ganz oben auf der Agenda. Datenschutz und Produkthaftung schaffen es nur auf die Plätze 3 und 4.

Entstehung eines Compliancestandards

Die meisten Unternehmen verfügen mittlerweile über ein Standardrepertoire an Complianceinstrumenten, bestehend aus Verhaltensrichtlinien und Kontrollprozessen. Acht von zehn Unternehmen haben einen allgemeinen Verhaltenskodex (Code of Conduct) oder bereichsspezifische Verhaltensrichtlinien, wie etwa eine Antikorruptionsrichtlinie. Jedoch vermittelt nur knapp die Hälfte der Unternehmen die Inhalte der Compliancekultur über ein internes Schulungsprogramm. Hier besteht Nachholbedarf. Regelmäßige Schulungen spielen eine essentielle Rolle bei der Prävention von Straftaten. Denn nur die wenigsten Mitarbeiter beschäftigen sich regelmäßig mit den ihnen ausgehändigten Richtlinien.

Compliancepflichten gegenüber Geschäftspartnern

Unternehmen sind bekanntermaßen nicht glücklich über die „Überregulierung“ durch den Staat. Auch die drohende Bürokratisierung von Unternehmensprozessen wird kritisch gesehen. Interessant ist jedoch, dass für mehr als die Hälfte der Studienteilnehmer Compliance nicht lediglich eine Reaktion auf staatliches Handeln ist. So hält es die Hälfte der Unternehmensverantwortlichen für wichtig, gegenüber Geschäftspartnern im Inland ein eigenes Compliancesystem nachweisen zu können. Dies deckt sich mit der anwaltlichen Erfahrung: Viele Großkonzerne verlangen heutzutage von ihren Geschäftspartnern die Errichtung von Compliancesystemen. Dies kann vor allem kleinere Unternehmen hart treffen – können sie die an sie gestellten Anforderungen nicht erfüllen, erhalten sie von dem potentiellen Kunden möglicherweise keinen Auftrag.

Schnittmengen werden zu selten optimal genutzt

In acht von zehn Unternehmen existiert ein Internes Kontrollsystem (IKS). 43% der Unternehmen konnten keine genaue Angabe dazu machen, in welchem Verhältnis IKS und Compliancesystem zueinander stehen. Viele Unternehmen versäumen es hierdurch, Organisations-bereiche effizient zu verknüpfen und die bereits vorhandenen Ressourcen optimal auszunutzen.

Interne Ermittlungen werden häufig durchgeführt

Steht der Verdacht rechtswidrigen Verhaltens im Raum, ist die Unternehmensleitung grundsätzlich dazu verpflichtet, den Sachverhalt aufzuklären. Bei der überwiegenden Mehrheit der Befragten wurden deshalb klare Zuständigkeiten für interne Untersuchungen etabliert. Gut die Hälfte hat bereits eine solche Untersuchung durchgeführt, wobei in der Hälfte der Verdachtsfälle allein mit betriebsinternen Kapazitäten gearbeitet wurde. Allerdings gaben nur rund 6% der Befragten an, umfassend auf Krisenfälle vorbereitet zu sein. Auch hier gibt es somit noch Nachholbedarf, kann doch gerade eine professionelle Vorbereitung drohende Schäden deutlich abmildern.

Complianceverantwortliche sehen gerade das Compliancebewusstsein von Mitarbeitern als verbesserungsbedürftig an. Weniger kritisch gehen sie mit ihrem Management ins Gericht. 88% schätzen das Bewusstsein hier sehr hoch ein. Gefragt nach der Bereitschaft des Managements, Compliancethemen zu unterstützen und auch tatsächlich voranzutreiben, fällt die Meinung der Befragten etwas weniger positiv aus. Dies bestätigt auch die Praxis: Gerade an der konsequenten Umsetzung scheitert es häufig. Compliance ist Chefsache. Kein Compliance-Officer kann ohne Rückendeckung der Geschäftsführung agieren. Hier müssen alle Unternehmensebenen an einem Strang ziehen, um die passende und angemessene Compliancestruktur für ihr Unternehmen zu finden.

tobias.teicke@cms-hs-com

florian.block@cms-hs.com