Angenommen, Sie sind Unternehmer oder Leiter einer Firma oder eines Teiles davon. Nehmen wir weiter an, dass Sie klare Werte haben und für Sie «sauberes und faires» Geschäften eine Selbstverständlichkeit ist. Ist Ihr Unternehmen klein und übersichtlich und sind alle Mitarbeitenden wie auch Kunden Ihnen vertraut, so lässt sich Compliance relativ leicht erreichen. Was aber, wenn Ihr Unternehmen wächst, Sie Tochtergesellschaften in vielen Ländern besitzen, gar CEO eines grösseren Konzerns werden oder eine grössere Unternehmung erwerben?

Auch interessant
 
 
 
 
 
 

Firmen bewegen sich nicht im luftleeren Raum

Sicher ist, dass dann alles wesentlich komplizierter wird. Sie können sich nicht mehr alleine auf Ihren Instinkt und Ihre Menschenkenntnisse berufen, sondern müssen sich mit diversen, zum Teil sehr unterschiedlichen Rechtssystemen und Kulturkreisen vertraut machen. Um auch inskünftig ruhig schlafen zu können und sicher zu sein, dass die Geschäfte «sauber und fair» abgewickelt werden, müssen Sie das Thema «Compliance» strukturiert und konzeptionell anpacken. Sie werden dabei – bewusst oder unbewusst – ein Compliance-Management-System einführen. Meist geschieht dies schrittweise, punktuell und auf die Themen fokussiert, bei denen Sie oder Ihre Mitarbeitenden glauben, dass es am ehesten «brennt» oder «brennen könnte». Und oft geschieht dies ungenügend oder schlicht zu spät.

Ganz im luftleeren Raum müssen sich die Unternehmen allerdings schon länger nicht mehr bewegen. Seit Anfang der 1990er-Jahre erweisen sich die U.S. Sentencing Guidelines als hilfreiche Wegweiser. Zudem geben die ausführlichen Begründungen der veröffentlichten Deferred und Non-Prosecution Agreements Hinweise, wie – zumindest in den Augen der US-Behörden – Compliance-Management-Systeme weiterzuentwickeln sind. Seither sind in vielen Ländern entsprechende Bemühungen sichtbar, teils forciert durch Behörden. Selbst in der Schweiz wurde bereits 2010 versucht, die «Grundzüge eines wirksamen Compliance Managements» zu beschreiben.

Und nun kommt noch die ISO, die Internationale Organisation für Normung, und erlässt Richtlinien für Compliance-Management-Systeme. Dies bedeutet nun für Sie als Unternehmer nicht, dass Sie alles neu aufgleisen müssen. Ganz im Gegenteil: Bei den Ausführungen der ISO handelt es sich um unverbindliche Richtlinien. Zudem basieren diese Richtlinien auf dem «Plan-Do-Check-Act»-Zyklus, was nicht nur bedeutet, dass das Management-System laufend verbessert werden sollte, sondern auch, dass man mit wenig anfangen kann, um dann das Programm laufend auszubauen.

Diese Richtlinien geben relativ detailliert und entsprechend umfassend auf 32 Seiten zusammengefasst und mit Beispielen versehen den gegenwärtigen Erwartungsstand der ISO an ein reifes Compliance-Management-System wieder. Compliance wird korrekterweise nicht nur als Funktion, sondern als anzustrebendes Ziel verstanden.

Der Versuch, mit diesen Richtlinien die diversen, zum Teil unterschiedlichen nationalen Anforderungen zu überwinden und einen globalen Standard festzulegen, ist begrüssenswert, ebenso wie die Tatsache, dass die Richtlinien flexibel ausgestattet sind. Weiter wird empfohlen, die Programme risikobasiert zu gestalten. Die konkreten Risiken sind folglich festzustellen, zu bewerten und zu priorisieren. Die Richtlinien geben zudem konkrete Hinweise, wie einzelne Elemente des Programms aufgebaut werden könnten. Dies dient nicht nur Unternehmen mit entwickelten Programmen als wertvolle Verifizierungshilfe, sondern dürfte vor allem für Unternehmen mit Nachholbedarf von Nutzen sein.

So weit, so gut. Die Richtlinien versuchen allerdings auch ein paar Hoffnungen zu wecken, die kaum erfüllbar sein werden. Schon manche Managementsysteme hatten den Anspruch, dass durch deren Einführung die Anzahl und Intensität von Behördenuntersuchungen abnehmen sollten – diese Hoffnungen haben sich in der Praxis jedoch stets zerschlagen. Ferner muss daran gezweifelt werden, ob ein auf guter Corporate Governance, Verhältnismässigkeit, Transparenz und Nachhaltigkeit basierender «One size fits all»-Ansatz in der Lage ist, jedem Unternehmen – unabhängig von Grösse und Risikoprofil – das gewünschte Mass an konkreter Wegleitung anzubieten, damit das Ziel Compliance erreicht werden kann.

Das herauspicken, was Ihre Risiken minimiert

Insbesondere das ausserordentlich hohe Mass an geforderter Dokumentation dürfte in der Praxis nur mit grossem Aufwand erfüllbar sein. Unklar ist, ob diese Formalitätserfordernisse vorwiegend durch Schadensminimierungsgedanken motiviert wurden. Vielleicht haben sich aber auch nur die Compliance-Berater erfolgreich durchgesetzt. Die Richtlinien wurden von der ISO explizit als nicht zertifizierbar bezeichnet. Dies dürfte Compliance-Berater, die seit einiger Zeit sehr aktiv einen neuen Compliance-Zertifizierungsmarkt fördern, kaum hindern, auch Compliance-Management-Systeme nach den ISO-Richtlinien zu zertifizieren. Und da nur Prozesse, die schriftlich dokumentiert sind, auch entsprechend geprüft werden können, dürften die erwähnten Dokumentationspflichten ganz in deren Interesse liegen.

Ihnen als Unternehmer kann einstweilen nur empfohlen werden, die Richtlinien, sobald diese verabschiedet werden, genau zu prüfen und dasjenige herauszupicken, was geeignet ist, Ihr bisheriges Compliance-Management-Programm weiter zu verbessern. Dazu sind diese Richtlinien bestens geeignet. Dann werden Sie – mit weisser Weste - auch weiterhin gut schlafen können.

* Alfred Gerber ist Rechtsanwalt in Hettlingen ZH