Wenn Sie glauben, dass die Einhaltung von Vorschriften teuer ist, versuchen Sie es einmal mit der Nichteinhaltung.
– Paul McNulty, ehemaliger stellvertretender US-Generalstaatsanwalt
Die Compliance-Welt des 21. Jahrhunderts wird immer komplexer – “sie nimmt sowohl an Umfang als auch an Tiefe zu. Die neue Normalität ist gekennzeichnet durch Ungewissheit, Volatilität und ein Regulierungssystem, das alles daransetzt, die Situation in den Griff zu bekommen”. (Ramakrishna, 2015, S. 41). Diese Realität stellt Unternehmen aller Größenordnungen vor die Herausforderung, immer agiler zu werden, um sich an die sich schnell ändernden regulatorischen Rahmenbedingungen und Marktbedingungen anpassen zu können (Weigand, van den Heuvel, & Hiel, 2011). Die Folgen einer übermäßigen Exposition eines Unternehmens gegenüber Geschäftsrisiken allein können zu einer Reihe negativer Konsequenzen führen, wie z. B. der Beschädigung des Geschäftsmodells der Organisation, dem Verlust von Geschäftsmöglichkeiten und im schlimmsten Fall dem Verlust der Genehmigung zur Fortsetzung der Geschäftstätigkeit (Ramakrishna, 2015). Andere Risikokategorien sind finanzielle, regulatorische und Reputationsrisiken – alle mit ihren eigenen Konsequenzen bei Nichteinhaltung und Unterschätzung (Ramakrishna, 2015). Dieser Artikel soll einen grundlegenden Einblick in das globale Compliance-Management geben, das für Unternehmen jeder Größe und jedes Reifegrads unerlässlich ist. Zwei Beispiele für internationale und regionale Vorschriften werden kurz erörtert, um die wachsende und zunehmend komplexe globale Compliance-Landschaft zu veranschaulichen.
Echtes Compliance Management ist ein geschäftlicher Imperativ
Eine solide, zuverlässige Compliance hat viele Vorteile für Unternehmen – finanzielle Vorteile (vor allem durch die Einsparung der potenziell kolossalen Kosten für die Nichteinhaltung von Vorschriften und für Rechtsstreitigkeiten), ein größeres Vertrauen der Kunden und eine bessere Corporate Governance (Mills & Haines, 2015). Transparenz ist ein wesentlicher Bestandteil von Compliance, da sie sowohl die Wirksamkeit als auch den langfristigen Nutzen erhöht – letzteres, da Stakeholder regelkonforme Unternehmen belohnen können (Robertson, 2020). Maßnahmen wie formelle, mittel- bis langfristige Compliance-Programme dienen nicht nur der Abschreckung von Fehlverhalten, sondern spielen auch eine immer wichtigere Rolle bei der Steuerung der Legitimität eines Unternehmens und signalisieren so die “Übereinstimmung mit den normativen Erwartungen des externen Publikums” (MacLean & Behnam, 2010, S. 1500). Die Systematisierung des Compliance-Managements erfordert eine effiziente und effektive Verflechtung von Dokumenten, Funktionen, Prozessen und Kontrollen (Patra, Rahaman, & Vanitha, 2020).
Geschäftsprozess-Compliance ist ein Teilbereich der Compliance, der sich auf die Einhaltung von Geschäftsprozessen in Übereinstimmung mit den relevanten gesetzlichen Vorgaben und internen, organisatorischen Richtlinien konzentriert (Becker & Buchkremer, 2019). Die entwickelte Unternehmensstrategie erfordert dabei vor allem die Betrachtung von zwei Perspektiven: (1) die vorhandenen Dokumente, in denen die einzelnen Prozesse und deren Umsetzung festgelegt sind, und (2) die tatsächliche (praktische) Ausführung der Geschäftsprozesse. Beides muss regelkonform erfolgen, wobei auch eine kontinuierliche Durchführung und regelmäßige Evaluierung gewährleistet sein muss (Becker & Buchkremer, 2019).
Der Aufbau einer Compliance-Funktion
Was die Organisation einer Compliance-Funktion in einem Unternehmen betrifft, stellen die Empfehlungen des Basler Ausschusses für Bankenaufsicht (der sich speziell auf die Compliance von Banken konzentriert) einen guten Standard dar, der auch von Unternehmen anderer Branchen eingehalten werden sollte: Eine unabhängige Compliance-Funktion soll getrennt von anderen Risikomanagement-Funktionen (z.B. Risikocontrolling) und von operativen Funktionen existieren (Meissner, 2018). Außerdem soll der Fokus der Verantwortung auf der Verwaltung und Aufrechterhaltung der Einhaltung externer und interner Gesetze, Vorschriften und Richtlinien liegen – idealerweise unter Wahrung der Unabhängigkeit mit direkter Berichterstattung an leitende Unternehmensentscheider (Meissner, 2018).
ISO 37301:2021
– eine internationale Norm für Compliance-Management-Systeme
Die ISO 37301:2021, die von der Internationalen Organisation für Normung (ISO) entworfen und am 13. April 2021 veröffentlicht wurde, annulliert und ersetzt die bestehende Norm ISO 19600:2014 für Compliance-Management-Systeme. Die neue Norm legt kurz gefasst die Anforderungen an ein funktionierendes Compliance-Management-System fest[1]. Die Prinzipien, die einem Compliance-Management-System zugrunde liegen, sollten laut ISO 37301:2021 die folgenden Grundbausteine umfassen [2]:
- Integrität
- Gute Unternehmensführung
- Verhältnismäßigkeit
- Transparenz
- Rechenschaftspflicht (Verantwortlichkeit)
- Nachhaltigkeit
Dieser neue Standard soll, sobald er eingeführt ist, den Unternehmen Vorteile bringen, indem er beispielsweise die Geschäftschancen verbessert, nach außen hin das Engagement für ein wirksames und effizientes Management von Compliance-Risiken verdeutlicht und damit auch das Risiko der Nichteinhaltung (einschließlich Strafen und Reputationsschäden) wirksam verringert [3]. Darüber hinaus handelt es sich bei dieser neuen Standardisierung um eine so genannte Typ-A-Norm, was bedeutet, dass der Standard zertifizierbar ist[4], wodurch sich wiederum der Vorteil ergibt, dass diese Norm als wichtiger mildernder Faktor dient, wenn ein Unternehmen mit Gerichtsverfahren konfrontiert wird[5]. Die ISO hat ca. 165 nationale Normungsorganisationen als Mitglieder und vertritt 164 Länder weltweit[6]. Während die Annahme der ISO-Normen also freiwillig ist, sind viele nationale Normungsgremien verpflichtet, diese für Unternehmen verbindlich zu machen, was die Verantwortung für die Einhaltung der Normen erhöht.
Whistleblowing-Systeme sind eine Frage von Compliance
Der wirksame und institutionelle Schutz von Hinweisgebern ist für die Korruptionsbekämpfung von größter Bedeutung. Die Europäische Kommission definierte Whistleblower im Jahr 2019 als Personen, “die Informationen über ein Fehlverhalten, welche sie in einem arbeitsbezogenen Kontext erlangt haben, melden (innerhalb der betroffenen Organisation oder gegenüber einer externen Behörde) oder offenlegen (gegenüber der Allgemeinheit) und so dazu beitragen, Schaden abzuwenden und Bedrohungen oder Beeinträchtigungen des öffentlichen Wohles aufzudecken, die andernfalls verborgen bleiben könnten.”[7]. Diese Definition bestätigt die Bedeutung von betrieblichen Insider-Informationen zur Bekämpfung von Korruption, unternehmerischen und organisatorischen Missständen und Fehlverhalten sowie die Notwendigkeit des Schutzes von Whistleblowern (Scherbarth & Behringer, 2021).
EU Whistleblowing-Richtlinie
Am 23. Oktober 2019 hat das Europäische Parlament die Richtlinie (EU) 2019/1937 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden (im Folgenden: EU-Whistleblowing-Richtlinie), verabschiedet. In Absatz 1 der Präambel wird die Bedeutung des Schutzes von Whistleblowern beschrieben:
Personen, die für eine öffentliche oder private Organisation arbeiten oder im Rahmen ihrer beruflichen Tätigkeit mit einer solchen Organisation in Kontakt stehen, sind oft die ersten, die von Bedrohungen oder Schädigungen des öffentlichen Interesses erfahren, die in diesem Zusammenhang auftreten. Indem sie Verstöße gegen das Unionsrecht, die dem öffentlichen Interesse schaden, melden, spielen diese Personen als “Whistleblower” eine Schlüsselrolle bei der Aufdeckung und Verhinderung solcher Verstöße und bei der Wahrung des Wohlergehens der Gesellschaft. Potenzielle Hinweisgeber werden jedoch häufig davon abgehalten, ihre Bedenken oder Vermutungen zu melden, weil sie Vergeltungsmaßnahmen fürchten. In diesem Zusammenhang wird die Bedeutung eines ausgewogenen und wirksamen Schutzes von Hinweisgebern sowohl auf EU-Ebene als auch auf internationaler Ebene zunehmend anerkannt.
Die weit gefasste Definition von Arbeit im obigen Zitat (als “arbeitsbezogene Tätigkeiten”) ist ein Hinweis darauf, dass das Ziel darin besteht, den größtmöglichen Personenkreis zu schützen, der Zugang zu Informationen hat, deren Meldung im öffentlichen Interesse wäre (Hobby, 2020). Unternehmen mit mehr als 50 Beschäftigten müssen Meldesysteme für Whistleblowing einrichten, während kleinere Unternehmen ermutigt werden, dies ebenfalls zu tun (De Zwart, 2020). Für Unternehmen sollte Whistleblowing (zusammen mit den entsprechenden Systemen und Prozessen) ein integraler Bestandteil ihres internen Compliance-Managements sein, was bedeutet, dass die Ermutigung durch die oberste Führungsebene, unterschiedliche Anreize und eine wirksame Kommunikation in dieser Hinsicht von größter Bedeutung sein sollten (Teichmann & Falker, 2021).
Angeregt durch die zunehmende Berichterstattung über die Offenlegung von Informationen und die weitreichenden finanziellen Folgen für die betroffenen Unternehmen haben immer mehr Länder und Regionen weltweit damit begonnen, verbindliche Rechtsvorschriften einzuführen, wodurch das Spektrum der Compliance erweitert und intensiviert wird.
Schlussbemerkung
In diesem Artikel wurde ein Einblick in das globale Compliance-Management gewährt. Es wurde aufgezeigt, dass das Compliance-Management eine unternehmerische Notwendigkeit darstellt, die ein Unternehmen vor lähmenden Geldstrafen und Reputationsschäden bewahren kann. Eine Einführung in die ISO-Norm 37301:21 (im Zusammenhang mit Compliance-Management-Systemen) sowie die EU-Richtlinie zum Whistleblowing (im Zusammenhang mit Whistleblowing als Compliance-Angelegenheit) dienten zur Veranschaulichung aktueller Beispiele des expandierenden Compliance-Universums. Unternehmen jeder Größe und jedes Reifegrades müssen das Compliance-Management beherzigen und ganz oben auf die Unternehmensagenda setzen.
Bibliography
Becker, M., & Buchkremer, R. (2019). A practical process mining approach for compliance management. Journal of financial regulation and compliance, 27(4), pp. 464-478.
De Zwart, A. P. (2020). EU whistleblowing rules to change in favor of whistleblowers. Journal of Investment Compliance, 21(1), pp. 55-61.
Hobby, C. (2020). Worker and Organisational Protection_ The Future of Whistleblowing in the Gig Economy. Emerald Publishing Limited.
Kosytsia, O., Kolesnikova, M., Kadala, V., & Baranova, V. (2019). Institution of Whistleblowers: Characteristic Features and Guarantees of Protection. Journal of Legal, Ethical and Regulatory Issues, 22(2S), pp. 1-6.
MacLean, T. L., & Behnam, M. (2010). The Dangers of Decoupling: the Relationship between Compliance Programs, Legitimacy Perceptions, and Institutionalized Misconduct. The Academy of Management Journal, 53(6), pp. 1499-1520.
Meissner, M. H. (2018). Accountability of senior compliance management for compliance failures in a credit institution. Journal of Financial Crime, 25(1), pp. 131-139.
Mills, A., & Haines, P. (2015). Essential Strategies for Financial Services Compliance (2nd ed.). Great Britain: John Wiley & Sons, Incorporated.
Patra, S. S., Rahaman, A. S., & Vanitha, K. (2020). Compliance Management System – Legal Management using SAP. International Journal of Innovative Technology and Exploring Engineering, 9(7), pp. 252-254.
Ramakrishna, S. (2015). Enterprise Compliance Risk Management: An Essential Toolkit for Banks and Financial Services. Great Britain: John Wiley & Sons, Incorporated.
Robertson, R. (2020). Lights On: How Transparency Increases Compliance in Cambodin Global Value Chains. ILR Review, 73(4), pp. 939-968.
Scherbarth, S., & Behringer, S. (2021). Whistleblowing systems: A systematic literature review on the design specifications and the consideration of the risk for organizational insiders to blow the whistle. Corporate Ownership and Control, 18(2), pp. 60-73.
Scherbarth, S., & Behringer, S. (2021). Whistleblowing Systems: A Systematic Literature Review on the Design Specifications and the Consideration of the Risk for Organizational Insiders to Blow the Whistle. Corporate Ownership & Control, 18(2), pp. 60-73.
Teichmann, F. M., & Falker, M.-C. (2021). Whistleblowing Incentives. Journal of Financial Crime, 28(2), pp. 394-405.
Weigand, H., van den Heuvel, W.-J., & Hiel, M. (2011). Business policy compliance in service-oriented systems. Information Systems, 36(4), pp. 791-807.
Notes
[1] https://home.kpmg/de/en/home/insights/2021/05/new-standard-for-compliance-management-systems.html
[2] https://www.iso.org/obp/ui/#iso:std:75080:en
[3] https://www.iso.org/obp/ui/#iso:std:iso:37301:ed-1:v1:en
[4] https://www.quentic.com/whitepaper/iso-37301
[5] https://abacgroup.com/iso-37301-certification
[6] https://www.iso.org/about-us.html
[7] https://ec.europa.eu/info/aid-development-cooperation-fundamental-rights/your-rights-eu/whistleblowers-protection_en
