Alter Inhalt in neuer Verpackung?

Der Begriff Compliance¹ ist seit geraumer Zeit omnipräsent. Er grassiert in juristischen und betriebswirtschaftlichen Fachzeitschriften, in der branchenspezifischen Literatur des Gesundheits- und Sozialwesens, auf Sitzungen von Aufsichtsgremien und unterschiedlichsten Seminarveranstaltungen. Doch was ist eigentlich Compliance?

Ursprünglich kommt der Begriff aus dem medizinischen Bereich. Dort versteht man unter Compliance die Therapiemitarbeit eines Patienten. Compliance liegt somit vor, wenn ärztliche Ratschläge (beispielsweise die Einnahme von Medikamenten durch den Patienten) befolgt werden. Später hielt der Begriff Einzug im Banken- und Versicherungswesen und bei Industrie- und Dienstleistungsunternehmen. Compliance wird somit seit jeher als die Befolgung und Einhaltung von Regelungen verstanden. Dabei sind sowohl externe als auch interne Regelungen gemeint.

Je nach Leistungs- und Hilfeangeboten, dem Einrichtungs- beziehungsweise Unternehmensstandort und etwaigen ­weiteren Parametern hat ein Unternehmen unterschiedliche externe Regeln ­einzuhalten. Exemplarisch sind an dieser Stelle Datenschutzgesetz, Arbeitszeitgesetz, Kirchenrecht, Länder-Heimgesetze und gesetzliche Anforderungen zu den Themen Arbeitnehmerüberlassung, Steuern, Hygiene und Lebensmittel zu nennen. Klassische interne Bestimmungen, zu deren Einhaltung sich Unternehmen selbst verpflichten, sind beispielsweise verschiedene Corporate-Governance-Kodizes (AWO, Caritas, Diakonie), unternehmensspezifische Leitbilder, Unterschriftenregelungen, Bilanzierungshandbücher und Kommunikationsleitfäden.

Für die überwiegende Mehrheit von Unternehmen ist es nichts Neues, externe und interne Regeln einzuhalten, sondern seit jeher selbstverständlich. Neu ist nur der Mechanismus, mit dem sichergestellt werden soll, dass die jeweiligen Be­stimmungen befolgt werden. Dies sollen nun Compliance-Management-Systeme ge­währleisten. Eine Rechtspflicht, ein solches System zu implementieren, besteht über das Wertpapierhandelsgesetz und über § 91 Abs. 2 Aktiengesetz lediglich für Unternehmen der Finanzwirtschaft und für börsennotierte Unternehmen. Eine ­allgemeine Rechtspflicht zur Einführung solcher Systeme existiert bis dato nicht.

Immer häufiger fordern Aufsichts­gremien und Unternehmensleitungen ­vor­schnell die Implementierung eines Compliance-Management-Systems. So ver­weisen sie darauf, dass die aus Reputationsschäden, Geldstrafen oder Schadenersatzansprüchen resultierenden Kosten deutlich höher sind als die Kosten für ein Compliance-Management-System.

Zudem, so das Argument, häufen sich die Compliance-Verstöße bei Unternehmen in der medialen Berichterstattung. Vor der Entwicklung und Implementierung eines solchen Systems sollte jedoch die Frage aufgeworfen werden, ob ein Compliance-Management-System tatsächlich notwendig ist.

Beide Systeme verfolgen die gleichen Ziele

Diese Frage sollten sich Unternehmensleitungen insbesondere dann stellen, wenn ein Unternehmen bereits ein funktionierendes Risikomanagement-System eingerichtet hat. Denn sowohl Risiko- als auch Compliance-Management-Systeme verfolgen letztlich die gleichen Ziele. Im Kern geht es darum, wesentliche unternehmensspezifische Gefahren zu kennen und diese durch entsprechende Risikobegegnungen steuern zu können, um den potenziellen Eintritt von Fehlentwicklungen zu ver­meiden oder zu vermindern. Hat ein Unternehmen bereits ein funktionierendes Risiko-Management-System eingerichtet, bedarf es vor dem Hintergrund der Praktikabilität und der häufig geringen Akzeptanz für solche Systeme keines gesonderten Compliance-Management-Systems. Ein funktionierendes Risiko-Management-System umfasst vielmehr ein Compliance-Management-System.

Verfügt ein Unternehmen noch nicht über ein Risiko-Management-System, das als Risiko- und Compliance-Management-System verstanden werden kann, empfiehlt sich die Implementierung eines solchen Systems. Es kann einen wesentlichen Beitrag dazu leisten, existenzgefährdende Risiken abzuwenden, den künftigen Erfolg zu sichern und die Risikokosten, welche sich aus den zu entrichtenden Versicherungsbeiträgen und selbst zu tragenden Schäden ergeben, zu reduzieren. Darüber hinaus kommt die Geschäftsleitung mit einem solchen System ihrer Sorgfaltspflicht nach.

Unternehmen identifizieren die Risiken individuell

Ist eine Entscheidung zugunsten eines Risiko- und Compliance-Management-Systems getroffen, so stellt sich die Frage: Was ist bei der Entwicklung und?Einführung zu beachten?

Der erste wesentliche Schritt auf dem Weg zu einem funktionalen Risiko- und Compliance-Management-System besteht darin, einen Risiko- und Compliancekatalog zu erarbeiten. Dieser muss individuell sein, da Unternehmen durchaus deckungsgleiche, aber auch zahlreiche unternehmensspezifische Risiken besitzen, die beispielsweise aus der Altersstruktur der Belegschaft, der baulichen Substanz, der lokalen Wettbewerbssituation oder unternehmensspezifischen vertraglichen Vereinbarungen resultieren. Wichtig ist in ­diesem Zusammenhang, alle Gefahrenquellen und Störpotenziale in den Katalog aufzunehmen. Bei der Identifikation der Risiken bietet sich eine Zuordnung in Hauptkategorien an. Etabliert haben sich bei Unternehmen des Gesundheits- und Sozialwesens die folgenden fünf Bereiche:

• Umfeldrisiken (beispielsweise durch Gesetzesänderungen oder Verschärfungen des Wettbewerbs);
• strategische Risiken (beispielsweise durch die unzureichende Formulierung einer Gesamtstrategie oder eine unzureichende Spezialisierung);
• finanzielle Risiken (beispielsweise durch eine nicht zeitnahe Rechnungsstellung oder eine unzureichende Liquiditätsplanung);
• Risiken der Leistungserbringung (zum Beispiel durch eine hohe Fluktuation des Personals oder veraltete beziehungsweise nicht vorhandene Technik);
• Betriebsquerschnittsrisiken (beispielsweise durch das Nichtvorhandensein eines zentralen, kostenoptimierenden Einkaufsverbundes oder ein unklares IT-Rollen-Rechte-Konzept).

Umfangreiche Musterrisikokataloge sollten bei der Risikoinventur nicht eins zu eins übernommen, sondern als Hilfestellung herangezogen werden, um die Vollständigkeit des Kataloges zu gewährleisten.

Bei der ersten Risikoinventur kommt es nicht selten vor, dass mehrere hundert Sachverhalte in den Risiko- und Compliancekatalog einfließen. In einem zweiten Schritt gilt es daher, die für ein Unternehmen wichtigen Gefahren zu identifizieren. Zur Bewertung der Risiken empfiehlt es sich, zwischen niedrigen, moderaten, wesentlichen und gravierenden Risiken zu unterscheiden. Für die Differenzierung sollte ein einheitlicher Bewertungsmaßstab genutzt werden. So kann beispielsweise ein bestimmtes unternehmensspezifisches Risiko als gravierend eingestuft werden, wenn sowohl die potenzielle Schadenshöhe (beispielsweise 1,5 Prozent des Umsatzerlöses eines Jahres) als auch die Eintrittswahrscheinlichkeit (beispielsweise Risikoeintritt mindestens einmal pro Jahr) als sehr hoch eingestuft werden. Als niedrig kann ein Risiko eingestuft werden, wenn sowohl die potenzielle Schadenshöhe (beispielsweise maximal 0,02 Prozent des Umsatzerlöses eines Jahres) als auch die Eintrittswahrscheinlichkeit (beispielsweise Risikoeintritt maximal alle zehn Jahre) als gering eingeschätzt werden.

Ein Handbuch fasst alles Wichtige zusammen

Im Anschluss an die Risikobewertung müssen die Verantwortlichen in der Unternehmenshierarchie benannt werden, die die als wichtig erkannten Gefahren überwachen beziehungsweise managen und Geschäftsleitungen und Aufsichtsorganen darüber berichten. Dazu gehört auch die Definition von Berichtswegen und -formen, um alle entscheidenden Stellen im Unternehmen informieren zu können. Entscheidend ist hier, vorhandene Berichte und Berichtswege einzubeziehen. Im Sinne eines integrierten Systems sollten keine redundanten Strukturen aufgebaut werden.

Zu guter Letzt gehört zu jedem System eine Beschreibung - das sogenannte Handbuch des unternehmensspezifischen Risiko- und Compliance-Managements. Es dient dazu, dass alle Beteiligten wissen, was ihre Aufgaben innerhalb des Risiko- und Compliance-Managements sind. Das Handbuch sollte regelmäßig überprüft werden, da Veränderungen in der Unternehmensorganisation häufig auch Veränderungen im Risiko- und Compliance-Management nach sich ziehen.

Eine strukturierte Entwicklung und Implementierung eines Risiko- und Compliance-Management-Systems sorgt dafür, dass das Thema beherrschbar und prak­tikabel bleibt und nicht zum "Papiertiger" mutiert. Versteht man, wie oben ausgeführt, unter einem funktionierenden Risiko-Management-System zugleich ein Compliance-Management-System, ist das Thema Compliance wahrlich alter Inhalt in einer neuen Verpackung.

Anmerkung
1. Aus dem Englischen: Zustimmung, Übereinstimmung, Einhaltung.