Compliance bedeutet die Einhaltung von nationalen und supranationalen Gesetzen, Verordnungen, Richtlinien und freiwilligen Selbstverpflichtungen. Die Aufgabe der Geschäftsleitung ist es, dies durch angemessene, geeignete und effiziente Maßnahmen zu gewährleisten.
Da aber die Geschäftsführung nicht alles selbst erledigen kann, werden zur Einhaltung und Überprüfung dieser Regeln Mitarbeiter bestimmt, welche die operativen Aufgaben des Compliance übernehmen.
Damit wird Compliance abteilungs- und prozessübergreifend im Unternehmen mittels eines Compliance-Management-System (CMS) verankert.
Was sich jetzt erstmal schwierig und komplex anhört, ist in der Praxis nichts anderes, als die Zusammenfassung der von Compliance getroffenen Maßnahmen, zum Beispiel in Form von Verhaltenskodizes.
Es ist in der Praxis nahezu unmöglich, alle Compliance-Risiken zu kennen oder sich gar dagegen abzusichern. Um die Risiken zu managen und die Dunkelziffer an verbleibenden Risiken möglichst klein zu halten, ist eine Risikoanalyse unumgänglich. Denn nur bekannten Risiken kann entsprechend begegnet werden. Die Risiken mit der höchsten Eintrittswahrscheinlichkeit und dem höchsten ermittelten Schadenspotenzial müssen hierbei zuerst durch angemessene und geeignete Maßnahmen minimiert oder im Idealfall beseitigt werden.
Leider wird das Risikomanagement in vielen Unternehmen irrtümlicherweise immer noch als eine Art "Buchhaltung" der im Unternehmen existierenden operativen Risiken dargestellt. Dies ist jedoch weder zielführend, noch erfüllt es die gesetzlichen Mindestanforderungen. Zudem wird auch die Notwendigkeit, die Risiken in ihrem Zusammenwirken (Wechselwirkungen) zu betrachten, vernachlässigt.
Aus diversen gesetzlichen Regeln, wie beispielsweise dem § 93 AktG "Business Judgement Rule" mit Ausstrahlwirkung auf GmbHs, ergibt sich vor allem für die Unternehmensführung die Pflicht, bei Vorbereitungen von unternehmerischen Entscheidungen eine adäquate Risikoanalyse durchzuführen und die ermittelten Risiken dem (geschätzten) Ertrag gegenüberzustellen. Existiert keine geeignete informationelle Fundierung/Dokumentation der Entscheidungen, so stellt dies eine Pflichtverletzung dar.
Eine angemessene und vor allem entscheidungsorientierte Ausgestaltung des Risikomanagements und des CMS sollte für Unternehmen, Unternehmer und Geschäftsführer sowie Entscheidungsträger eine Selbstverständlichkeit sein.
Bis heute, und es ist derzeit auch kein Ende in Sicht, wurden seitens des Gesetzgebers an Unternehmen immer mehr regulatorische Anforderungen gestellt, was im Umkehrschluss auch zu mehr Compliance-Risiken führt. Noch wichtiger, als die Tatsache des stringenteren Regulierens, ist aber die Wirkung von Verfehlungen in der Öffentlichkeit, an deren Aufdeckung und Diskussion die Medien seit Jahren ein wachsendes Interesse besitzen. Ein derzeit immer noch gegenwärtiges Beispiel ist die Diesel-Krise, bei der diversen Unternehmen Verfehlungen der Abgasvorschriften vorgeworfen wird.
Und auch die Politik ist nicht davor gefreit, in den Fokus der Medien durch Compliance-Verstöße zu geraten, wie die aktuelle Berichterstattung über das Wirtschafts-und Klimaministerium zu berichten weiß ("Trauzeugen-Affäre").
Die klassischen Gründe für die Einführung und Umsetzung eines Compliance-Management-Systems (CMS) im Unternehmen sind Haftungsvermeidungen durch Korruptions-, Wettbewerbs- oder Vermögensdelikte. Aber auch Themen, wie Reputationssicherung und Anforderungen an und von Geschäftspartnern (Business Partner Integrity Management) spielen eine wichtige Rolle.
Zur Umsetzung gibt es viele Hilfsmittel und Orientierungshilfen. Unter anderem existieren gut verständliche Standards und sogenannte Best-Practice-Ansätze.
In der globalisierten Welt gibt es immer mehr Unternehmen, die von ihren Partnern oder Zulieferern die Existenz oder gar die Zertifizierung eines CMS einfordern. Die Mindestanforderung stellt hier oftmals die Anerkennung des eigenen Verhaltenskodex dar. Das von der Bundesregierung verabschiedete Lieferkettensorgfaltspflichtengesetz (LkSG) macht es den Unternehmen ebenfalls nicht einfacher.
Bei all dem spielt Compliance eine ganz entscheidende Rolle, denn ein gut funktionierendes CMS identifiziert, managt und minimiert Risiken und Probleme, bevor diese möglicherweise durch sogenannte "Whistle-Blower" (eventuell auch medienwirksam) an die Öffentlichkeit gelangen.
Einer der bekanntesten zertifizierbaren Compliance-Standards ist die ISO-Norm 37301. Ihr entscheidender Vorteil ist die universelle Einsetzbarkeit sowie die grenzen- und branchenübergreifende Flexibilität. Sie kann von kleineren, mittleren und großen Unternehmen, von Behörden, Vereinen und Verbänden angewandt und herangezogen werden. Darüber hinaus existieren noch weitere Compliance-Standards.
Aus der Entwicklung der Regulatorik der Finanzinstitute ist ableitbar, dass der Beginn von Regelungen in Industrie, Handel und Dienstleistung sehr ernst genommen werden sollte.
Der Zeitpunkt, um sich mit dem Thema Compliance zu beschäftigen, ist spätestens jetzt gekommen.
Es wird wohl nicht mehr lange dauern, bis die Unternehmen dies erkennen werden und danach handeln müssen, um zukünftig möglichen Sanktionen zu entgehen.
Eines der zukünftigen Hauptprobleme wird sein, Mitarbeiter mit entsprechender Qualifikation einzustellen, alternativ entsprechend zu schulen. Es bleibt jedoch anzumerken, das es bis heute keine flächendeckende Ausbildung, wie (Fachhochschul-)Studiengänge oder berufsbegleitende Studiengänge in diesen Fachgebieten gibt.