Compliance- Management- Systeme schlank halten

Grundsätzlich verhindern oder versichern lassen sich die genannten Risiken nicht. Sie zu identifizieren und entsprechende Massnahmen zu entwickeln, ist nicht nur gesetzlich vorgeschrieben, sondern auch sinnvoll für das Unternehmen. Bei auffälligen Mustern oder Verdachtsmeldungen muss eine Organisation in der Lage sein, schnell zu reagieren.

Haftung beim Verwaltungsrat
Unternimmt die Organisation nichts oder handelt sie nicht rechtzeitig, riskiert der Verwaltungsrat eine persönliche Haftung. Wenn eine Straftat wie Geldwäscherei aus dem Unternehmen heraus begangen wird und es zu einer Untersuchung oder gar Verurteilung kommt, können die Aktionäre und Gläubiger an den VR gelangen. Die Haftungsrisiken unterscheiden sich je nach Organisationsgrösse.

Noch keine Regulierungen ausserhalb des Finanzsektors
In der Schweiz gibt es ausserhalb des Bankensektors keine konkreten Compliance-Vorgaben. Dennoch fordert das Gesetz, dass «alle zumutbaren organisatorischen Massnahmen» getroffen werden, um deliktische Handlungen in einem Unternehmen zu verhindern. Dem Staatsanwalt müssen im Rahmen einer Untersuchung von Verstössen gegebenenfalls die getroffenen Massnahmen belegt werden können.

Compliance Management System auch für KMU?
Im ersten Moment fühlt sich ein KMU beim Thema Wirtschaftskriminalität nicht angesprochen. Man kennt die spektakulären Fälle aus den Medien und stellt keinen Zusammenhang zum eigenen 30-Personen-Betrieb her.

Die deliktischen Handlungen sind aber mannigfaltig, sodass sie bei näherer Betrachtung auch im eigenen Betrieb möglich sind. Darf ich Geschenke von Lieferanten annehmen? Habe ich genügend Vergleichsofferten eingeholt? Hätte mein Vorgesetzter den po

«Korruption beginnt im Kleinen mit dem Beziehungsmanagement. »

tenziellen Kunden in die Lounge beim Sportanlass einladen dürfen? Korruption beginnt im Kleinen mit dem Beziehungsmanagement. Gemäss einer jährlich veröffentlichten Studie gehören aber Vermögensschädigungen zu den häufigsten Verstössen. (1) Dazu zählen unter anderem die Entwendung von Vermögenswerten, fingierte Ausgaben oder der Verrat von Betriebsgeheimnissen.

Fragen des Compliance Managements stellen sich also in allen Unternehmen. Besonders empfohlen wird die Einführung eines Compliance-Management-Systems (CMS) jenen mittelgrossen Unternehmen, die ein erhöhtes Risikoprofil aufweisen – wenn sie also international agieren oder Geschäfte mit der öffentlichen Hand tätigen. Das Risiko wächst bei der Tätigkeit in Branchen mit besonderen regulatorischen Anforderungen, wie zum Beispiel der Medizinalbereich, die Pharmabranche oder die Nahrungsmittelindustrie.

Schlank durch klaren Fokus
Compliance Management ist somit auch für kleinere Unternehmen ein Thema. Der Umfang soll aber zumutbar sein, also verhältnismässig. Es gibt durchaus schlanke Möglichkeiten, ein CMS zu pflegen.

Die sechs Schritte eines CMS (s. Kasten) können dabei durch eine systematische Herangehensweise und einen klaren Fokus gestrafft werden. In einem Code of Conduct werden die Verhaltensweisen für mögliche heikle Situationen niedergeschrieben. Mitarbeitende und Geschäftsführende können bei Unsicherheiten diesem Verhaltenskodex folgen. Zum Beispiel dann, wenn ihnen Geschenke überreicht oder Einladungen ausgesprochen werden. In der Regel wird die Existenz eines Code of Conduct als Mindestanforderung auch von Revisoren abgefragt.

Stellschraube für schlanken Ansatz
Besonders mit Schritt 3 – Kommunikation und Schulung – kann der Umfang des CMS beein-flusst werden. Anstelle der Schulung der Mit-arbeitenden aller Geschäftsbereiche in allen Compliance-Themen lohnt sich eine genaue Identifizierung der betroffenen Zielgruppen: Welches Thema betrifft welchen Geschäftsbe-reich? Geht es um Bestechung durch Lieferan-ten? Sind die Personen im Verkauf und in der Geschäftsleitung direkt betroffen? Der Lage-rist braucht dieser Schulung nicht beizuwoh-nen. Mit einem klaren Fokus auf die richtige Zielgruppe können Ressourcen gespart wer-den.

Beste Kontrolle: die Mitarbeitenden
ERP-Systeme dienen der Kontrolle von Ge-schäftsabläufen. Durch das Mehraugenprin-zip und die eingebauten Schranken soll Fraud verhindert werden. Trotzdem werden gemäss einer Studie der Association of Certified Fraud Examiners nur gerade ein Prozent der Fälle von berufsbezogenem Betrug und Missbrauch durch ERP-Systeme aufgedeckt. Als praktika-belste und erfolgreichste Massnahme geht Whistleblowing aus der Studie hervor. (2)

Beobachtet eine Mitarbeiterin oder ein Mitarbeiter etwas Auffälliges, soll diese Person eine Meldung abgeben können, ohne dass ihr daraus Nachteile entstehen. Eine einfach um-zusetzende Lösung ist die Ombudsstelle. Im Idealfall sollte diese nicht durch eine Person aus der Geschäftsleitung oder dem Verwaltungsrat besetzt sein. Es hat sich bewährt, dafür eine ex-terne Person – zum Beispiel aus einer Anwalts-kanzlei oder der Wirtschaftsprüfung – zu be-auftragen. Für mittelgrosse und grosse Unter-nehmen sind zudem digitale Lösungen prakti-kabel, die eine anonyme Meldung ermöglichen. In der Schweiz verfügen rund 70 Prozent der grossen und auch knapp elf Prozent der kleinen und mittleren Unternehmen über eine ent-sprechende Meldestelle. (3)

Wenn es dennoch einen Fall gibt
Tritt ein Fall ein, muss er mit viel Fingerspit-zengefühl aufgeklärt werden. Grundsätzlich braucht es dazu einen kulturellen Umschwung im Unternehmen. Whistleblowing-Systeme sollen nicht suggerieren, dass man sich gegen-seitig «verpetzt». Vielmehr hilft man einander, damit das Unternehmen unangreifbar bleibt.

Entpuppt sich der Vorfall nicht als Miss-verständnis und schreitet die Staatsanwalt-schaft ein, helfen Kooperation und Transpa-renz. Sieht die Staatsanwaltschaft, dass das Risiko erkannt wurde, aber – zum Beispiel mangels Ressourcen – nicht prioritär behan-delt werden konnte, kann sie zwar nicht von einer Busse absehen, aber auf verschärfte Kri- terien verzichten.