Ob Normen, Gesetze oder Verordnungen, Unternehmen sind immer mehr Regularien ausgesetzt. Nach dem Vorsorgeprinzip sollen gesetzliche Vorgaben u.a. im Bereich Datenschutz (z. B. DSGVO), Qualität, Umwelt und Arbeitssicherheit (ISO-Normen) als auch Anlagensicherheit Unternehmen einen klaren Rahmen und damit Rechtssicherheit geben. Gleichzeitig bringt die Regularienkomplexität erhebliche Unsicherheiten und Zusatzaufwände für das betriebliche Compliance-Management mit sich.
Auch nachhaltigkeitsrelevante Themen – das prominenteste Beispiel ist sicher die CSR-Berichtspflicht – avancieren zu zentralen Compliance-Themen und bekommen so in der Unternehmenspraxis in beiden Management-Bereichen eine erhöhte Relevanz. Die zentrale Frage ist: Wie kann man das betriebliche Compliance-Management in all seinen Facetten effizienter gestalten und professionell steuern.
Von der Krise zu mehr Kontrolle
Seit etwa 20 Jahren ist die Wirtschaft durch eine Krisenhaftigkeit geprägt, allen voran von der Finanzkrise im Jahr 2008, Vorfällen wie Fukushima sowie weitere wirtschaftliche korrupte Machenschaften. Die Politik hat darauf mit verstärkter Regulierung reagiert, u.a. mit der Offenlegungspflicht eines Corporate-Governance-Kodex sowie der Berichtspflicht zu ESG-Kriterien für die Finanzbranche. Damit hat sich das Thema Compliance – sprich die Einhaltung von Gesetzen und Regularien – als eine zentrale Managementaufgabe in der Unternehmenspraxis etabliert. Dabei spielt die Einhaltung des sogenannten “soft laws” in Form von Selbstverpflichtungen (z. B. Mitgliedschaft im UN Global Compact) mittlerweile eine fast so große Rolle wie die Einhaltung des “hard laws” in Form von gesetzlichen Vorgaben.
Gleichzeitig spielt der Megatrend der Digitalisierung dem Compliance-Management in die Karten: Digitalisierte Prozesse im Unternehmen ermöglichen es, Compliance- relevante Abfragen dezentraler und effizienter zu gestalten als auch die Datenerfassung und Dokumentation zu erleichtern. Zudem können Unternehmen durch digitale Lösungen die relevanten Inhalte (z. B. Rechtsquellen) in den Compliance-Prozess integrieren.
Das 1×1 des Compliance-Managements
Unter dem betrieblichen Compliance-Management versteht man das Einhalten eines Unternehmens von Gesetzen, Regeln und Normen1. Dabei agieren Unternehmen im Spannungsfeld von “hard law” und “soft law”. Ersteres ist für den Betrieb existenziell und daher vom Prinzip der Risikovermeidung getrieben. Denn bei Nichteinhaltung können hier z. B. hohe Strafzahlungen, Produktionseinstellung oder gar die Betriebsschließung drohen. Zweiteres basiert auf freiwilligen Selbstverpflichtungen wie Zertifizierungen oder Audits und ist oftmals Chancen getrieben. Denn durch die Einhaltung dieser Verpflichtungen erhalten Unternehmen einen Wettbewerbsvorteil am Markt. Mittlerweile werden auch solche anfangs freiwilligen Standards zu einem quasi “hard law”, da eine Nichteinhaltung zu erheblichen Umsatzverlusten führen kann, wenn Auftraggeber Lieferanten aufgrund dessen “outlisten” oder ein Unternehmen dadurch an der Teilnahme von Ausschreibungen ausgeschlossen wird.
Da Compliance in der Management-Praxis so immer relevanter wird, richten viele Unternehmen eigene Abteilungen mit Experten und Expertinnen ein. Solche Abteilungen können je nach Komplexität des Unternehmens und Kerngeschäft kleiner oder größer ausfallen. In der Praxis lässt sich beobachten, dass das Thema häufig in der Rechtsabteilung oder im Risiko-Management angesiedelt wird, da für die notwendige Rechtstreue u.a. juristisches Know-How gefordert ist und das Prinzip der Risikovermeidung im Vordergrund steht.
Im Rahmen des Compliance-Management sprechen Experten oftmals über den sogenannten “Compliance-Lifecycle”, den Betriebe immer wieder durchlaufen:
- reform = erfassen, entscheiden und Prozesse definieren/verändern
- comply = gesetzl. Anforderungen und Prozesse einhalten
- report = relevante Daten transparent machen
Es geht im Compliance-Management somit darum, einen zuverlässigen immer wiederkehrenden Prozess mit Datenerhebungen und Prüfpunkten zu etablieren, über den transparent berichtet werden kann.
Compliance-Experte Ulrich Heun gibt Unternehmen 11 Tipps mit auf den Weg2:
- Bedarfsgerecht definieren
- Auf Überflüssiges verzichten
- Auf die Praktikabilität achten
- Für Verständnis sorgen
- Compliance von oben vorleben
- Sinnvoll kontrollieren
- Compliance Regelwerk implementieren
- Hinweisgebersysteme und Ombudsmann einrichten
- Einbindung in das operative Geschäft
- Den zahnlosen Tiger vermeiden
- Agil bleiben
CSR und Compliance: Was sie vereint und trennt
Die Institutionalisierung und damit einhergehende Professionalisierung des CSR-Managements lassen beide Disziplinen – CSR und Compliance – immer näher zusammenrücken. Denn auch CSR hat eine zunehmende Regulatorik erfahren, die das Thema aus der “nice-to-have”-Ecke geholt und in die “licence-to-operate”-Ecke gestellt hat. Allen voran die CSR-Berichtspflicht ist ein Beispiel für ein nachhaltigkeitsrelevantes “hard law”. Die Umsetzung von ISO-Normen zu Umwelt, Qualität und Nachhaltigkeit oder aber die Bekennung zu den Prinzipien des UN Global Compacts oder den Sustainable Development Goals (SDGs) zeigt den Willen der Unternehmen, sich auch in Sachen CSR in die freiwillige Selbstverpflichtung zu begeben. Dabei verfolgen Betriebe mit ihrem systematischen Nachhaltigkeitsmanagement entweder die Maxime „Keep us out of trouble“ oder „Make our business better“, idealerweise jedoch beides gleichzeitig. „Vielen ist nun klar, dass das Abwarten bis zu gesetzlichen Regulierungen oder selbst beschränkenden Verbandsbeschlüssen von Schlüsselbranchen schnurstracks und ungebremst vor die Betonmauer führt3”, ist Kommunikations- und Nachhaltigkeitsexperte Dr. Klaus Stallbaum überzeugt.
Experten beider Managementfelder betonen, dass CSR wie auch Compliance sich unter dem Dach der “Corporate Governance” komplementär zusammenführen lassen. Während Compliance ein Referenzsystem zeichnet, das sich mit der Rechtstreue und Integrität im Unternehmen beschäftigt und bei der Rechtsabteilung aufgehangen ist, bezeichnet CSR vorwiegend eine ethische Haltung, die im Unternehmen operationalisiert und als Einheit oftmals in der Kommunikationsabteilung oder aber als Stabsstelle bei der Unternehmensführung aufgehangen wird.
Reinhold Kopp, Minister a.D. und Partner bei Heussen Rechtsanwaltsgesellschaft hat auf dem Deutschen CSR-Forum 2014 den Teilnehmenden empfohlen, dass …
- die Konvergenz mit konkreten Inhalten gefüllt werden muss
- es eine persönlich vorgelebte Werteorientierung im Unternehmen braucht
- die Ressourcenausstattung in den Unternehmen den Anforderungen im Bereich CSR und Compliance angepasst werden muss
- sie als integrierte Managementsysteme interagieren und ganzheitlicher Bestandteil der gesamten Wertschöpfungskette verstanden werden müssen
- Verantwortung regional und global auch über die eigenen Grenzen hinaus getragen werden muss
- eine Fehlerkultur zugelassen und gelebt werden soll.
Industrial Compliance: Wer produziert, wird reguliert
In Industrieunternehmen bzw. produzierenden Unternehmen mit einer umfangreichen Anlageninfrastruktur ist Compliance über die Jahre immer umfangreicher und relevanter geworden. Hier spricht man von der sogenannten “Industrial Compliance”, die u.a. spezifische Themenfelder wie Anlagen- und Arbeitssicherheit sowie Umwelt- und Gesundheitsschutz umfasst.
So müssen produzierende Unternehmen eine Reihe unterschiedlicher Gesetze und Normen in ihrem Anlagenbetrieb einhalten, damit weder Mensch noch Umwelt zu Schaden kommen. Auch hier liegen das Compliance- und CSR-Management eng beieinander. Risiken müssen antizipiert, erkannt, geprüft sowie behoben und schließlich kontinuierlich kontrolliert werden. Ohne das entsprechende Know-how und eine passende IT-Lösung, ist es beinahe eine Sache der Unmöglichkeit für Betriebe eine aktuelle Übersicht über die relevanten Rechtsquellen zu erhalten und einen zuverlässigen Prozess zu etablieren.
Die IT-Infrastruktur als doppeltes Sicherheitsnetz
Für viele produzierende Unternehmen ist eine IT-Infrastruktur unerlässlich. Nicht nur geht es darum, mithilfe eines Softwaresystems eine zuverlässige und transparente Dokumentation der Compliance sowie den Prozess gewährleisten zu können, es geht vor allem darum nach vorne gewandt Compliance-Maßnahmen zu planen und Handlungsbedarfe rechtzeitig zu antizipieren. Eine Software macht den Compliance-Prozess inkl. Datenerfassung in Unternehmen somit beherrschbarer und minimiert betriebliche Risiken.
Ein Software-Anbieter für Industrial Compliance in Deutschland ist WeSustain: Mit der “Enterprise Compliance Management Lösung” (kurz: ECM) unterstützt WeSustain – vor allem produzierende Unternehmen – bei der Professionalisierung ihres Compliance-Managements. Die ECM-Lösung integriert neben den klassischen Compliance relevanten Aspekten auch ökologische und soziale Aspekte. Die wesentlichen vier Mehrwerte der ECM-Lösung sind:
- Rechtsrelevanz: Die sich automatisch aktualisierenden Rechtskataster sorgen dafür, dass das Unternehmen stets weiß, ob es von Neuerungen in Gesetzen betroffen ist.
- Rechtssicherheit: Durch transparente Dokumentation und Datenerfassung entlang des Prozesses sowie automatisierte Hinweise für verantwortliche MitarbeiterInnen, können Unternehmen ihre Compliance proaktiv steuern und Prüffristen zuverlässig managen.
- Prozess-Effizienz: Als zentrale Plattform bildet die ECM-Lösung die Arbeitsschritte und Verantwortlichkeiten ab und macht so den Compliance-Prozess effizienter.
- Content-Integration: Die ECM-Lösung integriert alle relevanten Informationen und Rechtsquellen an den entsprechenden Arbeitsschritten entlang des gesamten Prozesses.
Durch Softwarelösungen können sich Unternehmen somit im wahrsten Sinne des Wortes ein doppeltes Sicherheitsnetz aufbauen: Rechtssicherheit durch softwaregestützte Prozesssicherheit.
Ein Ausblick: Das Compliance-Management der Zukunft
Das betriebliche Compliance-Management wird in Zukunft sicher noch weiter an Komplexität gewinnen. Es ist daher wichtig, dass Unternehmen zunehmend auf digitale Lösungen zurückgreifen, um Prozesse effizient zu gestalten. Sicherlich werden Fortschritte im Bereich Internet-of-Things und Künstlicher Intelligenz ihren Beitrag dazu leisten, dass das Compliance-Management sich professionalisiert und streckenweise automatisiert. So forscht WeSustain in dem Projekt “EHS-BAI” (= engl. Environment, Health & Safety based on artificial intelligence) gemeinsam mit der Hochschule Osnabrück seit Februar 2018 an der Frage, ob Künstliche Intelligenz bei der Beurteilung von EHS-Regularien beim Betrieb von Anlagen den manuellen Aufwand und die Verarbeitungszeiten reduzieren kann.
Auch im Kontext von RegTech – einer Verschmelzung von “regulatory” und “technology” entwickeln Unternehmen derzeit im engen Zusammenhang mit der FinTech-Debatte neue Technologien, um z. B. in der IT-Bankeninfrastruktur ein effizientes Compliance-Management aus IT-Sicht zu unterstützen. Eine der zentralen Fragestellungen dabei ist: Wie wirkt sich die Digitalisierung (z. B. cloud-basierte Services, Blockchain oder Künstliche Intelligenz) künftig auf juristische und regulatorische Rahmenwerke aus?
So oder so wird das Compliance-Management aus der Unternehmenspraxis, wie es das CSR-Management mittlerweile auch ist, nicht mehr weg zu denken sein und ein zentraler Bestandteil der “licence to operate” werden.