Um was geht es bei Compliance?

Unter Compliance wird allgemein die Einhaltung von gesetzlichen Pflichten und unternehmensinternen Richtlinien sowie alle organisatorischen Maßnahmen zur Erreichung dieses Ziels verstanden. Bei der Einführung von Compliance geht es nicht um die Verhinderung jeglichen Fehlverhaltens von Mitarbeitern, aber es geht darum, Risiken zu minimieren und systematisches Fehlverhalten zu verhindern.

In Österreich rückte mit der Einführung des Verbandsverantwortlichkeitsgesetzes die Notwendigkeit zu strafrechtlicher Compliance in den Fokus. Aber auch darüber hinaus ist Compliance zur Vermeidung zivil- und verwaltungsrechtlicher Verantwortungen und zunehmend auch zur Vermeidung ethischer Verfehlungen, welche durch negative Medienberichterstattung die Reputation eines Unternehmens in der Öffentlichkeit erheblich beschädigen können, von großer Bedeutung.

Kein Patentrezept, aber…

Für Compliance gibt es kein allgemein gültiges Patentrezept, sondern sind die gebotenen Maßnahmen unter anderem abhängig von Größe, Branche und geographischem Tätigkeitsbereich. International anerkannte Leitlinien für die Implementierung von Compliance Management Systemen bietet etwa die von der International Organization for Standardization (ISO) im Dezember 2014 veröffentlichte ISO-Richtlinie ISO 19600 Compliance Management Systems.

Ausgangspunkt für sämtliche Compliance-Maßnahmen ist die Risikoanalyse (Compliance Risk Assessment): Risiken sollen absehbar sowie beeinflussbar gemacht und minimiert werden.

Nachdem die identifizierten Risikobereiche nach Eintrittswahrscheinlichkeit und Schädlichkeit bewertet und kategorisiert wurden, sind darauf aufbauend Verhaltensleitlinien zu erarbeiten. Ein Verhaltenskodex („code of conduct“) soll nach Möglichkeit weiter als die rechtlichen Grenzen gefasst sein und bestimmte Werte vorgeben, also eine Unternehmensphilosophie vermitteln. Insbesondere sollte auch die Achtung der Menschenrechte im Unternehmen und in dessen Einflusssphäre ein zentraler Bestandteil des Regelwerks sein. Die Verhaltensleitlinien sollten möglichst klar, verständlich und praxisnah formuliert sein.

Tone from the Top…

Grundvoraussetzung für den Erfolg von Compliance ist der glaubhafte Einsatz der Unternehmensleitung bei der Implementierung. Eine einmalige Verkündungsaktion genügt nicht, sondern es geht um eine dauerhafte und nachhaltige Kommunikation an die Mitarbeiter. Die Botschaften der Unternehmensleitung – im Englischen als „Tone from the Top“ bezeichnet – sollten, um Glaubwürdigkeit bei den Mitarbeitern zu erzeugen, prägnant und unmissverständlich in ihrer Zielrichtung sein.

Compliance ist vor allem auch eine herausfordernde Organisationsaufgabe für die Unternehmensleitung, die umso komplexer wird, je internationaler das Unternehmen aufgestellt ist und je vielfältiger der Tätigkeitsbereich des Unternehmens ist. Die Organisation muss sich an den drei Grundfunktionen der Compliance orientieren: der Prävention und Aufdeckung von Fehlverhalten und der Reaktion hierauf.

Die Compliance-Beauftragten sollen die Unternehmensführung über Verstöße und Mängel informieren, Verbesserungsvorschläge unterbreiten, und darüber hinaus als Anlaufstelle für die Mitarbeiter dienen. Im Rahmen von Schulungen und Informationsveranstaltungen sind die Mitarbeiter regelmäßig über die Verhaltensrichtlinien zu unterrichten und bei Fragen zu ihrer Anwendung sollen sie den Mitarbeitern als Ansprechpersonen zur Verfügung stehen (Compliance Help Desk).

Sämtliche Compliance-Maßnahmen sind zu dokumentieren und regelmäßig auf ihre Wirksamkeit zu evaluieren. Welche Maßnahmen konkret anzuwenden sind, hängt von den spezifischen Risiken ab. So wird etwa bei der Gefahr ausbeuterischer Arbeitsbedingungen in der Zulieferkette zu den Compliance-Maßnahmen die sorgfältige Auswahl der Zulieferunternehmen zählen, welche vertraglich im Rahmen eines Code of Conduct für Zulieferer zur Einhaltung von Mindeststandards in Bezug auf Arbeitnehmerrechte, Mindestlohn, Verbot von Kinderarbeit verpflichtet werden und deren Einhaltung in Folge auch regelmäßig kontrolliert wird.

Auf der Überwachungsebene (Monitoringebene) sind vor allem die fortlaufende Prüfung der eingeführten Maßnahmen, das Festlegen von genau definierten Verantwortungsbereichen und die Etablierung von Berichtspflichten wesentlich. Empfehlenswert ist die Einrichtung von sogenannten Klagemauer-Instutionen, etwa in Form einer Whistleblower-Hotline oder eines Ombudsmannes, bei denen Mitarbeiter Verdachtsmomente melden können, ohne Angst vor Repressalien haben zu müssen. Und wenn Verstöße gegen die Leitlinien erkannt werden, geht es um das Enforcement, also um die Sanktionierung von Verstößen – je nach Schwere des Verstoßes durch Verwarnungen, Bonuskürzungen bis hin zur Beendigung des Dienstverhältnisses – und bei strafbaren Handlungen auch um die Zusammenarbeit mit den Strafverfolgungsbehörden.

(Literaturtipps zum Thema Compliance: Moosmayer, Praxisleitfaden für Unternehmen, 3. Aufl. 2015; aktuelle Informationen zu Compliance in Österreich: Compliance Netzwerk Österreich, http://www.compliance-praxis.at/ )