Warum kein Unternehmen auf Compliance Management verzichten kann

Schmiergeldskandale, illegale Preisabsprachen, Korruption - insbesondere Großkonzerne waren in der Vergangenheit immer wieder im Visier der Ermittler. Dies hat dazu geführt, dass heute ein äußerst vielschichtiges Compliance Management in Unternehmen notwendig ist. Der Mittelstand ist hiervon nicht ausgenommen.

Es gilt, die Einhaltung von Vorgaben sicherzustellen, um Verstöße und damit einhergehende Risiken zu minimieren. Wie Sie den hohen Anforderungen in der Praxis optimal begegnen, zeigt dieser Artikel auf.
 

Compliance Management: Eine Definition

Der englische Begriff Compliance steht für Regeltreue oder Regelkonformität. Im betriebswirtschaftlichen Sinne umschreibt er in erster Linie die Einhaltung gesetzlicher Vorgaben, aber auch selbst auferlegter Verhaltensrichtlinien. Übergeordnetes Ziel ist es, Regelverstöße zu vermeiden. Hierfür werden verschiedene Maßnahmen durchgeführt und Grundsätze aufgestellt, die in ihrer Gesamtheit als Compliance Management System bezeichnet werden. 

Compliance-Regeln müssen klar formuliert sein und für jeden Mitarbeiter im Unternehmen verbindlich gelten. Das Compliance Management System umfasst präventive Maßnahmen wie Mitarbeiterschulungen, Aufklärung und Information. Es stellt darüber hinaus eine Kontrolle interner Vorgänge sicher.
 

Der Compliance-Verstoß und seine Folgen

Ein Compliance-Verstoß, also eine Missachtung geltender Gesetze oder ein Verhalten, das nicht den unternehmensinternen Compliance-Regeln entspricht, kann weitreichende Folgen haben. Unter anderem drohen Schadenersatzforderungen und hohe Geldstrafen.

Nicht nur Unternehmen, sondern auch deren Verantwortliche können belangt werden. Selbst Freiheitsstrafen sind nicht ausgeschlossen. Erschwerend kommen Imageschäden hinzu, die das Geschäft langfristig negativ beeinflussen können. Es muss daher das Ziel sein, Compliance-Risiken auf ein Minimum zu reduzieren.
 

Häufige Irrtümer im Compliance Management

In der Praxis existieren gerade in kleinen und mittelständischen Unternehmen einige weitverbreitete Irrtümer. So werden Compliance-Risiken oftmals unterschätzt. Teils fehlt zudem eine revisionssichere Vorgehensweise. Sehen wir uns diese Faktoren nun näher an.
 

Irrtum 1: Compliance Risiken sind durch die Haftpflichtversicherung abgedeckt

Dass die Versicherung bei einem Compliance-Verstoß zahlt, ist eine gravierende Fehleinschätzung. Unternehmensverantwortliche, darunter insbesondere Geschäftsführer, Vorstände und Aufsichtsräte, haften persönlich und mit ihrem privaten Vermögen, wenn sie ihre Compliance-Pflichten verletzen.

Zur Absicherung schließen Betroffene häufig eine sogenannte Manager-Haftpflichtversicherung, auch D&O-Police genannt, ab. Wie bei vielen Versicherungen existieren jedoch auch hier Leistungsausschlüsse. So greifen die Policen in der Regel nicht, wenn Compliance-Verstöße wissentlich in Kauf genommen wurden. Teils umfassen die Ausschlüsse gar komplette Bereiche wie Schadensersatzzahlungen bei der Missachtung von Außenhandelsrichtlinien.
 

Irrtum 2: Ein Compliance Management System verursacht zu hohen Aufwand 

Gerade im Mittelstand schrecken Verantwortliche vor dem hohen Aufwand zurück, der mit einem Compliance Management System einhergeht. Ganz unbegründet ist dieser Vorbehalt nicht. Tatsächlich nehmen Aufbau und Pflege entsprechender Vorgehensweisen gewisse Ressourcen in Anspruch. Es existieren heute jedoch etliche Werkzeuge, mit denen der Aufwand deutlich reduziert werden kann.

Zahlreiche Risiken lassen sich beispielsweise durch ein ERP-System minimieren, das rechtliche Vorgaben berücksichtigt. Zu nennen wäre hier ein integriertes revisionssicheres Dokumenten-Management-System, GoBD-konforme Prozesse sowie Module für den Außenhandel und die automatische Überprüfung von Geschäftspartnern. Zudem lassen sich mithilfe von ERP-Softwarenachvollziehbare Workflows abbilden, sodass unter anderem das häufig geforderte Vier-Augen-Prinzip eingehalten und dokumentiert wird.
 

Irrtum 3: Ein Verstoß gegen Compliance-Regeln fällt selten auf

Mittlerweile sind Behörden äußerst sensibel, wenn es um Compliance geht. Selbst im Mittelstand wird gezielt nach Regelabweichungen gesucht. Erleichtert wird dies durch den immer höheren Digitalisierungsgrad in Unternehmen. Kaum vergeht ein längerer Zeitabschnitt, in dem in den Medien nicht über spektakuläre Compliance-Verstöße berichtet wird. Dies unterstreicht, dass das Thema Compliance Management System auch im Mittelstand nicht vernachlässigt werden sollte.
 

Irrtum 4: Sanktionslisten und Exportkontrolle spielen im Mittelstand keine Rolle

Auch dies ist ein klarer Irrtum.  Jedes Unternehmen, das Güter exportiert, muss sich mit Genehmigungspflichten auseinandersetzen. Dies gilt nicht nur bei Geschäftsbeziehungen mit Drittländern, sondern sogar innerhalb der EU. Eine mögliche Stolperfalle sind beispielsweise sogenannte Dual-Use-Güter. Es handelt sich hierbei um Güter, die sich sowohl zivil als auch militärisch nutzen lassen. Entsprechend muss jedes Material vor dem Export einer Prüfung unterzogen werden.

Auch die EU-Vorgaben im Bereich der Terrorismusbekämpfung sind für Betriebe jeder Größenordnung obligatorisch. Selbst bei Geschäften im Inland oder innerhalb der EU müssen Geschäftspartner daher mit aktuellen Sanktionslisten abgeglichen werden. Dies gilt sowohl für neue als auch für bestehende Lieferanten, Dienstleister und Kunden.

Ferner sind Handelsbeschränkungen (Embargos) für bestimmte Länder zu berücksichtigen. In all diesen Fällen ist IT-Unterstützung mittlerweile kaum noch wegzudenken. Teils verfügen ERP-Lösungen über eigene Module für den Außenhandel oder über Schnittstellen zu entsprechenden Drittsystemen. Hierdurch hält sich der manuelle Aufwand in Grenzen und die Risiken werden minimiert.
 

Irrtum 5: Ein Dokumenten-Management-System ist nicht zwingend erforderlich

Eine unstrukturierte Dokumentenablage und -archivierung verursacht nicht nur hohe Aufwände, sondern gefährdet auch die Revisionssicherheit. So kann eine Vorgehensweise, die nicht im Einklang mit den GoBD steht, Schwierigkeiten mit den Finanzbehörden mit sich bringen.

Insbesondere, wenn steuerlich relevante Dokumente nicht innerhalb angemessener Zeit auffindbar sind oder gar gänzlich fehlen, erfolgt möglicherweise eine Steuerschätzung. Diese ist selten vorteilhaft für Unternehmen. Hier schafft die Anwendung eines GoBD-konformen DMS Abhilfe. In modernen ERP-Lösungen ist das Dokumenten-Management häufig bereits integriert. Auch trägt ein ERP-System dazu bei, die geforderte Protokollierung von Änderungen zu gewährleisten.
 

Compliance Management: Software kann unterstützen

Die Einhaltung von Regelwerken kann heute nicht alleine auf organisatorischer Basis sichergestellt werden. Aus diesem Grund muss die eingesetzte Software „Compliance-gerecht“ ausgestaltet sein. Insbesondere ERP-Lösungen unterstützen Unternehmen dabei, Compliance-Regeln erfolgreich in Geschäftsprozesse zu integrieren. Dies geschieht beispielsweise über Rollen und Berechtigungen, mit denen das Durchführen unbefugter Handlungen unterbunden werden kann. Auch ist auf diese Weise eine Funktionstrennung realisierbar.

Zudem kann gesteuert werden, welche Daten eine Benutzergruppe einsehen darf. Dies ist insbesondere im Zusammenhang mit dem Datenschutz von hoher Bedeutung. Konfigurierbare Workflows sorgen dafür, dass Prozessvorgaben eingehalten werden und Kontrollen greifen können. Unternehmen, die international agieren, sollten bei der Auswahl eines ERP-Systems zudem darauf achten, dass die Software lokalen rechtlichen Vorgaben gerecht wird.
 

Fazit

Compliance kostet unstrittig Geld und Zeit. Trotz allem sollte Compliance Management nicht als unnötiger Kostenfaktor betrachtet werden. Immerhin lassen sich unternehmerische Risiken durch regelkonforme Prozesse deutlich minimieren. Darüber hinaus fordern Kunden im Rahmen von Ausschreibungen zunehmend, dass ihre Lieferanten über ein Compliance Management System verfügen. „Non-Compliance“ kann also im Extremfall dazu führen, dass Umsatzpotenzial ungenutzt bleibt. 

Aufgrund der hohen Anforderungen sind rein manuelle Kontrollen zu risikobehaftet. Wirklich sicher und gleichzeitig effizient sind ausschließlich softwaregestützte Prozesse. Hier schaffen ERP-Lösungen die Ausgangsbasis für Gesetzeskonformität und ermöglichen es gleichzeitig, die Aufwände auf ein vertretbares Maß zu beschränken.