etwa das im Sommer 2020 ins Gesetzgebungsverfahren eingebrachte deutsche „Verbandssanktionengesetz“4 werden diese Entwicklung weiter stärken und auch hierzulande vollends unumkehrbar machen.
II. Unternehmensfunktionen und ihre Interaktion im Sinne der Compliance
3
Dieses Kapitel befasst sich daher aus Praktikersicht mit Fragen nach einer sinnvollen, effektiven und wertbildenden Interaktion dieser „neuen Unternehmensfunktion“ mit ihren angestammten Nachbarinnen. Wie können diese zur Compliance des Unternehmens beitragen? Was kann Compliance von Unternehmensorganen und Nachbarfunktionen lernen, was kann sie von ihnen erwarten? Wie kann eine sinnvolle und nachhaltige Zusammenarbeit gelingen? Und wie kann Compliance den mittlerweile als Substrat sinnvoller Compliance-Risikosteuerung weithin akzeptierten Dreischritt aus präventiver Schadensabwendung, Ermittlung von Verstößen und korrektiver Reaktion von Fehlverhalten5 im Zusammenwirken mit anderen Unternehmensfunktionen am besten erfüllen und meistern? Im Folgenden werden daher die für den Gedanken der Compliance besonders wichtigen Unternehmensorgane und Unternehmensfunktionen analysiert, um das Management an der „Schnittstelle Compliance“6 verbessern zu helfen.
1. Geschäftsleitung
4
Der Vorstandsvorsitzende eines großen, international operierenden Unternehmens hat auf die Frage seines künftigen Leiters Compliance,7 was denn nun von ihm erwartet und woran er gemessen werde, wie folgt geantwortet: „Keine Rechtsverstöße und unfallfreies Fahren!“ Dieser knappe Befehl bringt die Erwartung der Geschäftsleitung an Compliance in verallgemeinerungsfähiger Weise auf den Punkt. Die Compliance-Funktion soll also Regelverstöße verhüten und „Unfälle“ vermeiden. Dabei muss allerdings von vornherein betont werden, dass Compliance nur gelingen kann, wenn sie vom Unternehmensganzen akzeptiert und gelebt wird. Außerdem, und das ist an dieser Stelle maßgeblich, liegt die Letztverantwortung für Compliance bei der Unternehmensleitung. Sie ist Ausdruck ihrer Leitungspflicht und mithin „Chefsache“.8 Compliance kann daher nicht auf mehr oder minder bequeme Weise „wegdelegiert“ und schon gar nicht ignoriert werden.9
5
Die Geschäftsleitung und insbesondere ihr Vorsitzender müssen also im Rahmen eben dieser grundlegenden Leitungspflicht das Thema Compliance aktiv angehen und vorantreiben: In Abhängigkeit von Geschäftsmodell, Branche, Internationalität, Risikoprofil und Unternehmenskultur muss ein an diese Kriterien angepasstes Compliance-Management-System (CMS) entstehen,10 will sich das Top-Management im Falle eines Compliance-Verstoßes nicht dem Vorwurf eines Organisationsversagens aussetzen. An der Entwicklung, Begleitung und Justierung dieses Compliance-Management-Systems muss die gesamte Unternehmensleitung tatkräftig und nachhaltig mitwirken und ihr gesamtes Gewicht an Unternehmens- und Branchenkenntnis in die Waagschale werfen. Je mehr sie dabei aktiv mitsteuert und sich nicht nur auf Unternehmensberatungen oder andere Externe verlässt, umso höher ist auch die Chance, sich nicht einen fehlgerichteten oder falsch dimensionierten Fremdkörper überstülpen zu lassen.
6
Diese Aufgabe ist nicht einfach und sie birgt auch insofern Konfliktpotenzial, als sie dazu führen kann und wird, die Unternehmensleitung mit Versäumnissen oder Unebenheiten aus der Vergangenheit zu konfrontieren. Auch ist die Befassung mit komplizierten Rechtsfragen und anspruchsvollen Schulungs-, Hinweisgeber- und Reaktionsprozessen nicht jedermanns Sache. Und dennoch: Compliance ist nun tatsächlich alternativlos. Auch wenn die Unternehmensleitung der Auffassung ist, bisher sei doch immer alles gutgegangen und man könne (und wolle?) ja auch nicht immer alles wissen, sollte sie allerspätestens jetzt „die Flucht nach vorn“ ergreifen und Compliance aktiv annehmen, statt sich von ihr fernzuhalten.
7
Das alles nimmt Zeit, Aufmerksamkeit und Geld in Anspruch. Wer nun nur eindimensional-kurzfristig fragt oder – schlimmer noch – das gerade inthronisierte, oft noch etwas unsichere Compliance-Team anherrscht: „Was bringt uns das?“, wird im Allgemeinen keine für ihn befriedigende Antwort erhalten, zumal ja gerade die vorsorgende, schulende und den Eintritt von Compliance-Risiken minimierende Compliance-Arbeit häufig wenig spektakulär ist, kaum nach außen hin sichtbar wird und sich oft auch hinsichtlich ihres Wertbeitrags mit herkömmlichen Mitteln nur schwer quantifizieren lässt.
8
Was, also, bringt das? Die in Compliance-Schulungen gern landauf, landab gezeigten „Schockfotos“ mit gewaltigen Strafzahlungen, Schadensersatzsummen und Unternehmenslenkern hinter Gittern sind notwendig und entfalten auch einen gewissen pädagogischen Effekt. Sie erreichen aber beileibe nicht jeden. Manch einer lässt sich dadurch nicht beeindrucken und lernt tatsächlich nur aus eigenem, höchstpersönlich erlittenem Schaden. Auch greifen die Versuche, die Kosten von Non-Compliance nur im Wege spektakulärer Sanktionen zu illustrieren, zu kurz. Nicht alle Bußgelder sind drakonisch, nicht überall droht eine Gewinnabschöpfung oder gar der Ausschluss von künftigen Bieterverfahren. Oft liegen die – diffusen – Kosten von Compliance-Verstößen woanders: Derartige Verstöße und die in ihrer Folge unternommenen internen und externen Untersuchungen und Reaktionsmaßnahmen können ganze Unternehmensteile über Wochen und Monate lahmlegen, sie halten von der eigentlichen Arbeit ab, verunsichern die Belegschaft, untergraben Vertrauen und Loyalität und schädigen den guten Ruf. Ihre Nachwirkungen klingen oft erst nach Jahren ab.11
9
Dass also zumindest langfristig diese ganzheitlich verstandenen „Gesamtkosten“ von Non-Compliance jene von Compliance weit übersteigen, sollte auch den kühlen Rechnern und auch jenen Skeptikern in der Unternehmensleitung und den oberen Führungsebenen einleuchten, die sich mit beleidigter Miene darüber beschweren, dass Compliance – womöglich in typisch deutscher Übertreibung – den Wettbewerb verzerre und „uns“ das Leben unnötig schwer mache, während anderswo Überwachung, Eingriffe und Sanktionen weiterhin eher lax gehandhabt würden. Der Wirtschaftsstandort Deutschland ist unteilbar: Gut ausgebildete und selbstbewusste Mitarbeiter gehören ebenso dazu wie sozialer Friede, eine verlässliche Infrastruktur, ein funktionierendes Rechtssystem – und eben Compliance. Dessen muss sich die Unternehmensleitung im Rahmen ihrer Compliance-Anstrengungen bewusst sein.
10
Was noch kann und sollte sie tun, um Compliance zum Erfolg zu verhelfen? Vor allem muss sie immer wieder und mit allen kommunikativen Möglichkeiten ein unzweideutiges Bekenntnis abgeben, dass Compliance angenommen und ernst genommen wird, dass Rechtsverstöße nicht geduldet werden und dass Compliance ganz im Interesse eines langfristigen Unternehmenserfolgs ist. Verlautbarungen zu Integrität und Regelbefolgung dürfen keine bloßen Sonntagsreden sein, und einmal im Wege der Selbstverpflichtung aufgestellte Zielvorgaben („Vorreiter in Sachen Compliance“) müssen dann auch konsequent und mit langem Atem verfolgt werden. Hierin zeigt sich der vielbeschworene „Tone at the Top“. Er hat für die Unternehmensmitarbeiter prägende Wirkung und wird genau wahrgenommen.12
11
Taten zählen natürlich noch mehr als Worte. Gleichzeitig bietet sich hier mit vergleichsweise überschaubarem Aufwand die Gelegenheit zur – weithin sichtbaren – Führung durch Beispiel: Wenn also die Mitglieder der Geschäftsleitung bei Online-Schulungen mit gutem Beispiel vorangehen, sich als erste (natürlich selbst) dem computerisierten Fragebogen stellen und die Unternehmensmitarbeiter darüber im Unternehmens-Intranet informieren, wird dies die regelmäßigen Aufrufe zur Compliance unterstützen und mit dabei helfen, dass Compliance zur gelebten Unternehmenswirklichkeit wird.
12
Des Weiteren sollte die Geschäftsleitung alles daran setzen, die fachliche Unabhängigkeit und Weisungsfreiheit der Compliance-Organisation zu gewährleisten und zu respektieren.13
