1. Warum ein Compliance-Konzept?

Ein Compliance-Konzept bringt für jede Organisation Klarheit, Transparenz und Verbindlichkeit. Es steckt nicht nur den Rahmen für das eigene Compliance-Management-System ab, sondern stellt gleichzeitig auch eine Roadmap dar, d.h. dokumentiert verbindlich den Compliance-Anspruch, der formuliert, welches Ziel man mit Blick auf den Auf- und Ausbau des eigenen Compliance-Management-Systems über die Zeit erreichen möchte. Damit lässt sich auch der ungefähre Ressourcenbedarf betreffend Budget und Personen abschätzen, was der Compliance-Funktion erlaubt, über die folgenden Jahre die einzelnen Schritte zu planen und umzusetzen. Zudem erlaubt ein Compliance-Konzept jederzeit gegen aussen und innen eine klare und vor allem ganzheitliche Kommunikation. Es beschreibt als übergeordnetes Dokument auf eine einfache und umfassende Art und Weise, welche konkreten Compliance-Prinzipen, -Elemente, -Prozesse, -Rollen und -Verantwortlichkeiten in der Organisation angedacht und vorgesehen sind.

2. Welche Standards sehen ein Compliance-Konzept vor?

In den «Grundzügen eines wirksamen Compliance Managements» von SwissHoldings und economiesuisse wird festgehalten, dass ausgehend von den essenziellen Grundbausteinen jedes Unternehmen selber für sich das adäquate Compliance-Konzept festlegen und nachhaltig umsetzen muss. Dabei wird auf das Compliance-Haus mit den fünf Grundelementen wirksamer Compliance, nämlich (i) Anreize und Sanktionen, (ii) Überprüfung und Entwicklung, (iii) Prozesse, (iv) Strukturen und (v) Bekenntnis und Verantwortung von Verwaltungsrat und Unternehmensleitung, verwiesen.

Gemäss Ziff. 5.2 der ISO 37301 «Compliance-Managementsysteme – Anforderungen mit Leitlinien zur Anwendung» legen das oberste Leitungsorgan und das Top Management eine Compliance-Policy fest, die dem Zweck der Organisation angemessen ist, einen Rahmen für die Festlegung von Compliance-Zielen bietet und  eine Verpflichtung zur Erfüllung der geltenden Anforderungen und zur kontinuierlichen Verbesserung des Compliance-Management-Systems enthält. In Ziffer A.5.2 der Leitlinien wird beispielhaft aufgeführt, was die Compliance-Policy umfassen kann:

            - ein Leitbild;

            - eine allgemeine Erklärung zur Policy;

            - Managementstrategien und Zuweisung von Zuständigkeiten und Ressourcen;

            - Standard-Compliance-Verfahren;

            - Audit, Sorgfaltspflicht und Compliance

Interessanterweise findet sich in den meisten anderen Standards, wie z.B. Australian Standard Compliance Programs, IDW Prüfungsstandard 890 Compliance Management Systeme, ONR 192050 Compliance Management Systeme, KICG CMS-Guidance, DOJ/SEC – A Resource Guide to the U.S. FCPA, Ministry of Justice – The Bribery Act – Guidance oder DOJ – Evaluation of Corporate Compliance Programs kein Hinweis auf ein Compliance-Konzept.

3. Wie kann ein Compliance-Konzept aussehen?

Obwohl ein ideales Compliance-Konzept auf die spezifischen Bedürfnisse und Risiken der betroffenen Organisation zugeschnitten sein soll, gibt es dennoch gewisse Grundelemente, die in einem umfassenden Compliance-Konzept enthalten sein sollten.

Dazu gehört sicherlich eine Einleitung, in der das Compliance-Konzept verankert wird, z.B. mit den Kernwerten, der Vision oder dem Mission Statement der Organisation.

Bei Zweck/Anwendungsbereich wird erklärt, worum es genau geht, was erreicht werden soll und wer in der Organisation alles davon betroffen ist. Gerne gehen dabei die Verwaltungsräte «vergessen», weil man sich meistens nur auf die Mitarbeitenden beschränkt.

Die einzelnen, inhaltlichen Elemente sollen aufzeigen, wie sich das ganze Compliance-Management-System zusammensetzt.

• Dazu gehört eine klare Aussage zur Compliance-Kultur, resp. zu einer Kultur der umfassenden Integrität, Führung durch Vorbild, Tone from the top and the middle, Speak-up Kultur und ein Compliance-Bekenntnis sowohl nach aussen als auch nach innen.
• Desweitern empfiehlt es sich, im Compliance-Konzept die verschiedenen Compliance-Rollen und –Verantwortlichkeiten innerhalb der Organisation zu definieren und zu dokumentieren. Minimal sollten z.B. bei einer Aktiengesellschaft die Compliance-Rollen und -Verantwortlichkeiten des Verwaltungsrates, der Geschäftsleitung, der Linienvorgesetzten, der anderen Mitarbeitenden und der Compliance-Funktion definiert werden. Selbstverständlich können auch - soweit sinnvoll - z.B. der Einkauf, die Produktion, der Verkauf, die Finanzen, die Rechtsabteilung, die interne Revision oder die Personalabteilung berücksichtig werden. Damit ist augenscheinlich, dass Compliance nicht in der Verantwortung Verantwortung des Compliance Officer liegt, sondern dass alle Personen und alle Funktionen mitwirken sowie insbesondere die Führungskräfte die Compliance-Verantwortung für ihren Zuständigkeits- und Verantwortungsbereich übernehmen müssen und eine erfolgreiche Compliance in einer Organisation auf vielen Schultern verteilt ist.
• Selbstverständlich gehören dazu Richtlinien und Weisungen, d.h. interne Vorgaben, wie z.B. der Verhaltenskodex, das Personalreglement, eine Datenschutz-, Wettbewerbs- oder Anti-Korruptions-Richtlinie.
• Die Organisation beschreibt ihre Prozesse wie z.B. Compliance-Risk Management, Meldungen, Geschäftspartnerprüfung, interne Untersuchungen, Personal (Rekrutierung, Onboarding, Zielefestlegung, Leistungsbeurteilung, Personalentwicklung, Beförderung, Incentivierung und Anreizsysteme)
• Bestandteile sind eine Compliance-Dokumentation und eine Zuteilung der erforderlichen Ressourcen (Budget und Personal), was in einem für die jeweilige Organisation angemessenen Ausmass von der Geschäftsleitung bereitgestellt werden muss.
• Ganz wichtige Elemente sind Schulungen (physisch und on-line) und die interne und externe Compliance-Kommunikation.
• Und schliesslich sind regelmässige Kontrollen und eine jährliche Überprüfung nötig.
   

4. Fazit

Ein gutes Compliance-Konzept ist nicht nur auf die Vermeidung von Fehlverhalten und Strafen ausgerichtet, sondern auch darauf, eine Kultur der umfassenden Integrität und ethischen Verantwortung in der gesamten Organisation zu verlangen, zu fördern und konsequent durchzusetzen, indem es quasi als Leitstern für Compliance fungiert. Es sollte ein integraler Bestandteil der Unternehmensführung und -kultur sein und als oberste Compliance-Richtschnur bei jeder Organisation vorliegen.