test
01.02.2017

Regelkonformität ist nur ein Anfang - Wie wirkt sich Compliance Management auf die Qualitätssicherung aus?

Im Fall von Verstößen sollen Unternehmen mit einem Compliance-Management-System (CMS) gegen Haftungsrisiken und Reputationsschäden abgesichert werden. Die positiven Folgen eines CMS im unternehmerischen Alltag gehen über die rechtliche Absicherung weit hinaus. Denn ein umfassendes und individuell angepasstes Compliance-Management-System kann auch der Qualitätssicherung einen Mehrwert bieten, wie diese Studie zeigt.

Die positiven Auswirkungen eines effektiven Compliance-Management-Systems (CMS) im täglichen Geschäft werden oft übersehen oder unterschätzt. Doch bereits im Einkauf stellt ein CMS sicher, dass Ausschreibungen mit der erforderlichen Objektivität durchgeführt werden und tatsächlich jener Lieferant beauftragt wird, der beste Preise und Qualität bietet. Weiter sind auch regelmäßige Überprüfungen der Funktionalität in Form von Compliance-Audits oder Compliance Reviews Teil eines intakten Compliance-Management-Systems, Werden unternehmensinterne Qualitätsstandards an jeglicher Stelle unterschritten, so fallen diese Defizite rasch auf und können korrigiert werden bevor sie sich in Prozessen etablieren.

Compliance ist nicht bloß eine Versicherung für den Schadensfall, sondern auch eine Effizienzgarantie im operativen Geschäft. Eine langfristige Wettbewerbsfähigkeit werden daher nur Unternehmen mit einem wirksamen Compliance-Management-System erreichen, Doch viele Unternehmen stellt der Aufbau eines Compliance-Management-Systems vor eine echte Herausforderung.

Orientierung für die Umsetzung eines solchen Systems bieten deswegen Compliance-Standards. Sie fungieren als Leitfaden für den Auf- und Ausbau und zielen so darauf ab, regel- oder gesetzeswidriges Verhalten im gesamten Unternehmen zu vermeiden. Der erste internationale Standard ist ISO 19600, bei dem sich verschiedene Länder (auch Deutschland und Österreich) auf einen Kompromiss einigen konnten. Ein Beispiel für einen weiteren nationalen Standard ist IDW PS 980. Beide Standards standen im Fokus einer Studie der Kerkhoff Risk & Compliance GmbH. Die Studie verfolgte das Ziel einer Bestandsaufnahme hinsichtlich Compliance im Mittelstand. Besonders die Einschätzung der genannten Standards durch mittelständische Unternehmen sowie der Umsetzungsfortschritt von bereits implementierten Compliance-Management-Systemen standen dabei im Vordergrund.

Die Präferenz der teilnehmenden Mittelständler zu ISO 19600 zeigt sich in dieser Studie ganz eindeutig. Obwohl dieser Standard wesentlich jünger (Veröffentlichung 2014) als IDW PS 980 (Veröffentlichung 2011) ist, entwickelt sich ISO 19600 zum internationalen Standard. Die aktive Auseinandersetzung mit diesem und die Compliance-Management-System-Ausrichtung der Unternehmen unterstreichen die Position dieses Standards. Auch bei der hypothetischen Ausrichtung liegt ISOI9600 vorn. Dagegen haben sich weniger Unternehmen mit IDW PS 980 befasst oder planen eine Zertifizierung auf Basis dieses Standards. Auffällig hoch ist jedoch der Anteil der Unternehmen, die ein Compliance-Management-System unabhängig von beiden Standards entwickelt und umgesetzt haben.

Wie ist Compliance im Unternehmen organisiert?

Die Implementierung des Compliance-Management-Systems stellt sich zu großen Teilen positiv dar. So basiert der Geltungsbereich des implementierten Compliance-Management-Systems bei einem Großteil der befragten Mittelständler auf internen sowie externen Themen, und auch die Anforderungen der Stakeholder wurden in den meisten befragten Unternehmen definiert. Weiterhin ist erfreulich, dass zumeist auch eine Compliance-Funktion mit direkter Berichtslinie zur Geschäftsführung eingerichtet wurde. Auch eine regelmäßige Risikoanalyse sowie eine Überprüfung des Compliance-Management-Systems hinsichtlich Funktionalität werden in den meisten Unternehmen durchgeführt.

Stiefmütterlich behandelt wird hingegen der Prozess zur Feststellung von Gesetzesänderungen, ein Defizit in dieser Hinsicht zeigt sich immerhin bei etwa 40 Prozent der teilnehmenden Unternehmen. Wenn man die Dynamik im regulatorischen Rechtsumfeld analysiert, steigt das Risiko des Missmanagements aufgrund fehlender Prozesse in diesem Bereich. Durchschnittlich werden jeden Monat 431 Rechtspflichten geändert, neu erlassen oder außer Kraft gesetzt. Dazu kommen etwa 33 Gerichtsurteile und 56 juristische Fachaufsätze. Ferner muss jedes Industrieunternehmen durchschnittlich 15.000 Rechtsnormen beachten. Diese erhöhen sich jährlich um etwa 500 bis 600 weitere Gesetze.

Dieser Aufwand lässt sich nur bewältigen, wenn entsprechende Prozesse im Hinblick auf die Neuerungen und Veränderungen der Rechtslage sowie auf die Anwendung anderer Rechtsvorschriften aufgrund des Vertriebs von Neuprodukten oder beim Eindringen in neue Märkte im Unternehmen eingerichtet sind.

Wie wird Compliance im Unternehmen kommuniziert?

Die Studie zeigt eine sehr gute interne Kommunikation von aufgebauten Compliance-Management-Systemen. Alle befragten Unternehmen nutzen mindestens einen Kommunikationsweg. Etwas mehr als 90 Prozent kommunizieren sogar mit unterschiedlichen Kommunikationsmitteln, wie zum Beispiel mithilfe einer Unternehmenszeitung, via Intranet oder auf internen Informationsveranstaltungen.
Im Gegensatz dazu ist die Kommunikation nach außen offenkundig ausbaufähig. Rund 35 Prozent der Teilnehmer betreiben keine aktive externe Kommunikation und vergeben somit die Chance, ihren Wettbewerbsvorteil, den sie gegenüber Mitbewerbern ohne ein eingerichtetes Compliance-Management-System haben‚ zu platzieren. Die teilnehmenden Unternehmen haben die Wichtigkeit der Compliance-Kultur als Fundament eines CMS erkannt und zu über 80 Prozent diese auch im Unternehmen implementiert.

Ferner lassen die Ergebnisse der Untersuchung erkennen, dass unter anderem bei der Geschäftspartner-Compliance ein erheblicher Handlungsbedarf besteht. Insbesondere die wiederholende Prüfung bei bestehenden Geschäftspartnerbeziehungen weist einen deutlichen Nachholbedarf auf.

Wie werden CMS richtig implementiert?

Bei der Umsetzung des Compliance-Management-Systems zeigt sich ein drastischer Nachholbedarf. Indikatoren zur Bewertung der CMS-Performance fehlen bei etwa 70 Prozent der Unternehmen. Auch auf ein elektronisches Unterstützungstool für die Steuerung des CMS verzichten etwa 80 Prozent. Hinsichtlich der Durchführung von internen und externen Audits zeigen sich diese Defizite ebenfalls: Nur bei der Hälfte der Unternehmen sind sie Teil des CMS.

Obwohl sich das allgemeine Bewusstsein für Compliance gut entwickelt hat, ist den Verantwortlichen die Notwendigkeit einer kontinuierlichen Prüfung und Verbesserung nicht ausreichend bewusst. Auch bei der Umsetzung der Compliance Maßnahmen besteht an vielen Stellen Verbesserungspotenzial.

Welche Compliance-Risiken bestehen im Einkauf?

Im Zusammenhang mit dem Compliance-Management-System wurden auch die Compliance-relevanten Bereiche im Mittelstand untersucht. So zeigt die Studie, dass die Mehrheit der befragten mittelständischen Unternehmen Compliance-Risiken in den Unternehmensbereichen Einkauf, Beschaffung und Vertrieb sehen. Dabei werden von 60 Prozent der Teilnehmer die Definition und Bewertung der Compliance-Risiken im Einkauf als Herausforderung betrachtet. Diese hat jedes Unternehmen individuell zu analysieren, und darüber hinaus sind entsprechende Kontrollen und Maßnahmen aufzusetzen.
Dieser hohe Stellenwert des Einkaufs in Bezug auf Compliance-Relevanz resultiert aus den unterschiedlichsten Gründen. So verschärft sich der Wettbewerb zunehmend, da einerseits ausländische Firmen auf den deutschen Markt und andererseits deutsche Mittelständler in neue, ausländische Märkte drängen. Sie haben die Compliance Anforderungen ihres eigenen Herkunftslands sowie des ausländischen Standorts zu beachten.

Weiter verändern sich ständig die wirtschaftlichen und rechtlichen Rahmenbedingungen im In- und Ausland. Auch etwa die mögliche Abhängigkeit von einigen wenigen Lieferanten, wie beim Single Sourcing, erhöht das Compliance-Risiko im Beschaffungsprozess. Dies sind einige Gründe, weshalb der Bereich in regelmäßigen Abständen als sensibler Bereich für Non-Compliance in einem Unternehmen benannt wird.

Wie weit ist CMS im deutschen Mittelstand verbreitet?

So stellt die Studie nicht allein den Fortschritt im Hinblick auf die Umsetzung des Compliance-Management-Systems im Mittelstand dar, sondern zeigt vor allem einen deutlichen Nachholbedarf. Nur zu etwa 68 Prozent werden die Empfehlungen des präferierten CMS-Standards ISO 19600 umgesetzt, während die Empfehlungen zu etwa 30 Prozent nicht umgesetzt werden. Letztlich können nur etwa drei Prozent der befragten Unternehmen auf ein gut entwickeltes Compliance-Management-System verweisen. Für diese Defizite zeigt die Studie Handlungsempfehlungen auf und kommt zu dem Ergebnis, dass die Relevanz von Compliance im deutschen Mittelstand weiter zunimmt.

Für eine effiziente und geordnete Einführung eines CMS ist es sinnvoll, auf externes Know-how zurückzugreifen. Dadurch lässt sich die Implementierungszeit aufgrund von ausreichender Umsetzungserfahrung reduzieren. Dem stimmen die meisten Unternehmen zu. Etwa 66 Prozent der befragten Unternehmen halten die Unterstützung durch einen externen Experten für förderlich.

Über die Studie:
Mit dem Ziel einer Bestandsaufnahme zur Compliance im Mittelstand führte die Kerkhoff Risk & Compliance GmbH über einen Zeitraum von drei Monaten eine Umfrage unter mittelständischen Unternehmen aus unterschiedlichen Branchen durch. Im Rahmen der quantitativen Online-Befragung wurden Compliance-Verantwortliche aus 1.000 Unternehmen angeschrieben, die Umfrage wurde dabei überwiegend an die Geschäftsführung und den Vorstand adressiert.

Zur Autorin:
Anne Bernzen, geb. 1963, ist Geschäftsführerin sowie Chief Compliance Officer und Syndikusanwältin der Kerkhoff Group GmbH.

Kontakt:
Anne Bernzen
T 0211 6218061-33
a.bernzen@kerkhoff-rc.com

Impressum & Datenschutz – Kerkhoff Software GmbH – +49 211 6218061-0 – Elisabethstr. 5 – 40217 Düsseldorf