Die meisten deutschen Unternehmen haben kein eigenes Compliance-Programm, verfügen also nicht über konsistente Richtlinien und Methoden zur Abwehr von Gefahren (bspw aus dem Bereich der Wirtschaftskriminalität) oder zur Durchsetzung ethischer und rechtlicher Standards. Betrachten man bspw. die stark gestiegenen Anforderungen an administrative Aufgaben im Bereich der Datensicherheit tickt hier offensichtlich eine Zeitbombe. Denn Unternehmen sind heute in vielen Bereichen verpflichtet ihre Compliance gegenüber Behörden, Partnern oder Kunden nachzuweisen. Gelingt dieser Nachweis anhand umfassender Dokumentation der Geschäftsprozesse nicht, drohen Kundenverluste, Geldbußen und Imageschäden!
Was heißt Compliance?
Unter Compliance versteht man die Einhaltung von Verhaltensmaßregeln, Gesetzen und Richtlinien. Verantwortungsvolle Unternehmen haben ein großes Interesse daran, Systeme einzuführen, die sicher gewährleisten, dass innerhalb ihres Betriebs alle relevanten Vorschriften beachtet werden. Zu bemerken ist, dass Compliance Regeln eindeutig nicht nur für große kapitalmarktorientierte Gesellschaften gelten, sondern auch für mittelständische Unternehmen und deren Aufsichts- oder Geschäftsführungsorgane. Auch dort müssen alle Bereiche des Unternehmens ständig an die sich ändernden Rechtsregeln angepasst werden
Was heißt Prozessoptimierung?
Prozessoptimierung dient Unternehmen dazu, die Effizienz bestehender Geschäftsprozesse, sowie den Einsatz der hierfür benötigten Ressourcen kontinuierlich zu verbessern. Globaler Wettbewerb, steigende Kosten und Kundenanforderungen zwingen Unternehmen, alle Reserven (durch Innovation und Abbau von Ressourcen Verschwendung) zu mobilisieren. Prozessoptimierungserfolge in Unternehmensbereichen mit primär administrativen Aufgaben liegen in der Regel deutlich hinter denen der Produktion zurück. Im Hinblick auf Compliance ist es aber gerade hier nicht ausreichend, sich mit einigermaßen sicheren Prozessen innerhalb der zufrieden zu geben. Das Ziel muss vielmehr sein, die Prozesse ständig zu optimieren, um 100 % Sicherheit zu erreichen. Man hat es im Problemfall nicht mit einem fehlerhaften Produkt und einem unzufriedenen Käufer zu tun, sondern mit einem administrativen Fehler, beispielsweise einem fehlerhaft erstellten oder unvollständig und falsch übermittelten Datensatz. Die Folgen eines solchen Fehlers machen sich vielleicht erst spät bemerkbar. Trotzdem kann auch dieser Fehler immer zugleich einen Compliance Verstoß bedeuten und die Folgen sind möglicherweise beträchtlich.
Garantieren Schulungsveranstaltungen das Erreichen von Compliance?
Compliance im Unternehmen bedeutet Einhaltung zwingenden Gesetzesrechts und anerkannter ethischer Standards. Diese Regeln werden den Mitarbeitern in der Regel durch Schulungsveranstaltungen oder sonstige Informationen zur Kenntnis gebracht. Die Garantie für regelkonforme Prozesse ist das jedoch nicht. Es ist zum einen nicht sicher, dass die Mitarbeiter ihre Arbeitsweise aufgrund der neuen Informationen tatsächlich anpassen. Zum anderen führt die heute auch bei administrativen Aufgaben etablierte Arbeitsteilung oft dazu, dass sich die einzelnen, am Prozess beteiligten Mitarbeiter zwar regelkonform verhalten, im Ergebnis der Prozess aber trotzdem Inkorrektheiten aufweist. So ist es beispielsweise denkbar, dass ein durch geänderte Rechtslage neuerdings erforderlicher Prozessschritt von keinem der Prozessbearbeiter übernommen wird und folglich unterbleibt. Sind Teile der Prozesse "outgesourced" und werden von externen Geschäftspartnern erledigt, gewinnt der Sachverhalt an Komplexität. Ein Partner verlässt sich im Zweifel auf den Anderen. Intensive und übergreifende Organisation von Prozessen und die kontinuierliche Anpassung an sich ändernde gesetzliche Rahmenbedingungen, könnten helfen solche Probleme zu lösen.
Die Frage ist: Wer übernimmt die Verantwortung für eine solche, übergreifende Prozess-Organisation?
Auch Unternehmen mit eigenem Compliance Management sind keineswegs sicher!
Risikominimierung ist das vorrangige Ziel eines im Unternehmen integrierten Compliance Managements. Die Medienberichterstattung der jüngsten Zeit demonstriert uns jedoch eindrucksvoll, dass dies sehr häufig nicht gelingt. Selbst Compliance zertifizierte Unternehmen, mit zuständigen Abteilungen, können sich nicht ausreichend vor dem Risiko eines Compliance-Verstoßes und den häufig resultierenden Skandalen und Schadensersatzprozessen schützen.
Der klassische Compliance-Management Ansatz greift zu kurz. Zu den vier üblicherweise genannten Aufgaben einer Compliance Organisation zählen:
1. Die Vorhaltung von Verfahren zur Identifikation von Risiken
2. Die Bereitstellung eines internen Informationssystems
3. Die Errichtung eines internen und externen Kommunikationssystems
4. Die Einführung eines internen Kontrollsystems.
Ein solches Compliance Management basiert in erster Linie auf Information und Kommunikation, von Organisation oder gar Steuerung ist nicht die Rede. Es wäre aber wichtig, dass eine effektive Compliance Beratung auch stärker direkt auf die Geschäftsprozesse Einfluss nimmt. Mit Hilfe von Prozessoptimierung-Projekten könnte man diesem Anliegen näher kommen. Neben dem Ziel, einer generellen Effizienz-und Qualitätssteigerung administrativer Prozesse, ließe sich konsequent auf deren Fehlerfreiheit unter Compliance Gesichtspunkten hinarbeiten. Die beiden Unternehmensziele, Optimierung und Compliance administrativer Prozesse stehen nicht im Widerspruch zueinander. Sie gleichzeitig zu verfolgen kann helfen, Unternehmen nachhaltig zukunftsfähig zu machen. Auf diese Weise optimierte Prozesse tragen neben der erreichten Compliance dazu bei, Kosten zu senken, Zeit zu sparen und Flexibilität zu erhöhen.
Thomas Schmitz - Rechtsanwalt und Prozessberater (Black Belt Six Sigma)
Rechtsanwaltskanzlei Schmitz
Zehentbauernstraße 8
81539 München
Tel. 089 - 54 89 92 52
Mobil 0170 - 68 81 52 8
Fax 089 - 54 89 92 53
Mail: kanzlei@anwalt-giesing.de
In Kooperation mit:
FourTrust - Rechtsanwälte
für das Recht der betrieblichen Altersversorgung
