Compliance - vorbildlich führen und aus Fehlern lernen

Mit dem "8-Punkte-Plan" auf der (rechts)sicheren Seite

Gute Unternehmensführung: Was haben Anstand und Nachhaltigkeit mit Recht und Compliance zu tun? Mit System für zufriedene Mitarbeiter, Kunden und Geschäftspartner.

Genügt es im Mittelstand, sich irgendwie an das geltende Recht zu halten? Bestehen nur für die Konzerne wie VW & Co. erhebliche Risiken bei Rechtsverstößen? Löst ein schnell vom Wettbewerber kopierter Verhaltenskodex und eine kurze Ansprache auf der Betriebsfeier alle potentiellen Risiken in Luft auf?

Compliance mit System – muss das wirklich sein?

Rechtliche Vorgaben zu organisieren, ist nicht nur Kür. Die Geschäftsführung steht generell in der Pflicht, nicht nur strategische und operative sondern auch rechtliche Risiken zu managen.

Für regulierte Branchen, wie etwa Banken und Versicherungen, bestehen ausdrückliche gesetzliche Vorschriften, ein Compliance-Management-System zu betreiben. Unternehmen, die eine geschäftliche Verbindung z.B. in die USA haben, müssen systemische Maßnahmen gegen Korruption vorweisen. Die DSGVO verlangt von allen Unternehmen nicht weniger als ein Datenschutz-Management-System.

Bis Ende 2021 war in Deutschland die europäische Richtlinie zum Schutz von Whistleblowern umzusetzen, ein Compliance-System zum Umgang mit Hinweisen auf Verstöße einzurichten - die EU-Vorgabe hat der deutsche Gesetzgeber nun Mitte 2023 in nationales Recht umgesetzt. Geplant sind zudem weiterhin Anreize durch ein „Gute-Firma-Gesetz“, die entsprechende Urteile der Gerichte aufgreifen sollen: Wer ein Compliance-System hat, wird im Fall von Ermittlungen belohnt. Damit möchte der Gesetzgeber Investitionen in vorbeugende Maßnahmen fördern und Anreize für eine sorgfältige und umfassende Aufklärung bei Verdachtsfällen schaffen.

Mittelständische Unternehmen stehen immer stärker im Fokus behördlicher Ermittlungen. Die Strafen werden höher. Ein weiterer Treiber dieser Veränderungen sind sicherlich die Medien, die vierte Staatsgewalt. Die Presse liebt die Skandale. Und zuletzt toleriert die Gesellschaft nicht mehr, dass Unternehmen sich durchmogeln, sich auf Kosten anderer optimieren.

Ziele und Nutzen - was bringt ein Compliance-System?

Ein Compliance-System wirkt auf mehreren Ebenen:

Das Vertrauen in die Geschäftstätigkeit und der gute Ruf werden gestärkt. Eine aktive Kommunikation von Ge- und Verboten schafft klare Strukturen. Entsprechende Regeln geben Orientierung.


Klassische Elemente eines Compliance-Systems wie ein „Code of Conduct“ und das Reporting lassen sich mit Komponenten der Nachhaltigkeit verzahnen, z.B. Arbeits- und Umweltschutz, Achtung von Menschenrechten und Sozialnormen. Das erhöht die Akzeptanz bei Mitarbeitern, Kunden und Geschäftspartnern.


Unternehmensschädigendes Verhalten, wie ein Griff in die Kasse, Unterschlagung von Betriebsmitteln oder die Verletzung von Geschäftsgeheimnissen, und damit ein Werteabfluss werden verhindert bzw. erkannt. Mit Compliance werden insbesondere Missstände gemanagt, aufgeklärt und beseitigt. Aktives Fehlermanagement erzeugt positive Energie, schafft Zufriedenheit.

Zentrale Elemente guter Compliance - der „8-Punkte-Plan“

Was beinhaltet ein funktionales und effektives Compliance-System? Gerade für den Mittelstand sollte eine einfache Lösung gewählt werden:

1. Kultur: Über einen leicht verständlichen Verhaltenskodex und mit der vorbildlichen Ansprache der Unternehmensleitung wird die richtige Einstellung vermittelt. Die Botschaft lautet: Rechtmäßiges Verhalten ist ein wichtige Aufgabe.

2. Organisation: Wer hat welche Rolle und Aufgaben? Was verantworten Geschäftsführung, Führungskräfte und Mitarbeiter? Wie unterstützen dezentrale Compliance-Koordinatoren den zentralen Compliance-Officer?

3. Regeln, Richtlinien und Anweisungen: Was ist erlaubt, z.B. bei Geschenken und Einladungen von Geschäftspartnern? Was ist verboten, z.B. im Umgang mit Behörden? Wie verhalte ich mich richtig, z.B. durch Wahrung des Mehr-Augen-Prinzips und Freigaben bei bestimmten Wertgrenzen? Wer hilft bei Fragen?

4. Kommunikation und Training: Was bedeuten die Regeln in der täglichen Praxis? Es ist empfehlenswert zu erklären und konkrete Hilfestellung zu geben. Weniger ist dabei mehr: Merkblätter als „One-Pager“ statt „Tagesveranstaltung“. Motivierende Beiträge, kurzweilige Erklärvideos im Intranet und gut gemachte E-Learning-Kurse statt Frontalunterricht.

5. Meldesystem für Verstöße: Mitarbeiter oder Geschäftspartner halten sich nicht an definierte Vorgaben? An wen kann dies gemeldet werden? Was passiert dann? Wie wird die Vertraulichkeit gewahrt, aber auch die Unschuldsvermutung? Werden Fehler tatsächlich geahndet und abgestellt? Wird aus Fehlern spürbar gelernt?

6. Audit und Prüfung: Besonders gefährdete Bereiche, wie z.B. Einkauf und Vertrieb, sollten regelmäßig auditiert werden, z.B. durch Auswertungen im Rechnungswesen. Betrügerisches Handeln kann durch externe oder interne Manipulation oder sogar durch Zusammenwirken erfolgen. Bei konkreten Verdachtsfällen sind spezielle Prüfungen erforderlich, um nicht dem Vorwurf ausgesetzt zu sein, Vorgänge zu vertuschen.

7. Monitoring und Analysen: Gibt es neue Gesetze oder für das Unternehmen relevante Urteile? Kommen solche Informationen über definierte Kanäle, z.B. über Newsletter von Rechtsanwälten oder Fachverbände? Werden diese in den betroffenen Bereichen umgesetzt? Funktioniert das Compliance-System, d.h. werden vorgesehene Schulungen tatsächlich durchgeführt und nehmen alle Mitarbeiter teil?

8. Beschreibung und Dokumentation: Wenn eine Behörde oder ein Geschäftspartner danach fragen, dann sollte ein Überblick über das Compliance-System griffbereit sein. Zudem ist eine Dokumentation die Basis für z.B. ein jährliches Update oder eine freiwillige externe Prüfung.

Ein Compliance-System einführen und betreiben

Die Einführung eines Compliance-Systems startet mit einer zielorientierten Analyse und intensiven Bestandsaufnahme. Welche rechtlichen Risikofelder sind in der jeweiligen Branche und im eigenen Unternehmen relevant? Bestehen spezifische Herausforderungen aufgrund behördlicher Auflagen oder Vorgaben der Abnehmer in der Lieferkette?

Im nächsten Schritt werden vorhandene Standards und Systeme erfasst. Dazu werden Dokumente gesichtet und Gespräche mit wichtigen Verantwortlichen, wie Einkauf, Vertrieb, Produktion, Rechnungswesen und Kundenservice, geführt.

Schließlich erfolgt eine Bewertung der vorhandenen Maßnahmen und eine Identifikation von Handlungsbedarf: Was kann weggelassen werden? Was fehlt und muss ergänzt werden? Was lässt sicher verbessern?

Ist ein System bedarfs- und risikoorientiert konzipiert, dann werden die definierten Maßnahmen implementiert, ein „Regelbetrieb“ etabliert sowie das System kontinuierlich weiterentwickelt und verbessert.

Für gute Compliance zählt nicht „der große Wurf“, sondern viele kleine Schritte bringen den Erfolg. Wichtige Bausteine sind eine nachhaltige Fehler- und Lernkultur, ein transparentes Vorleben über Vorbilder in der Unternehmensführung, ein hartnäckiger Compliance-Officer und eine gezielte Kontrolle über die interne Revision. So zahlt sich die Investition in Compliance aus.

© LC | LIBUDA consulting, 2023