Compliance statt Kumpanei

Wer Nachhaltigkeit hört, denkt an grüne Bäume, Windkrafträder oder Solarpaneelen. Aber für Unternehmen bedeutet es sehr viel mehr. Gerade beim G in ESG, der Governance, der guten Unternehmensführung, zeigen sich Unterschiede zwischen börsennotierten und nicht börsennotierten Unternehmen. Compliance sei jedoch nicht nur ein Thema für die „Großen“, befand Daniela Favoccia jüngst im Gastbeitrag für Markt und Mittelstand. „Auch mittelständische Unternehmen müssen daher globale Anforderungen erfüllen.“ Favoccia ist Partnerin bei Hengeler Mueller Rechtsanwälte und Mitglied in der Regierungskommission Deutscher Corporate Governance Kodex. „Der Kodex, obwohl ursprünglich nicht für den Mittelstand konzipiert, kann und sollte als Leitfaden für gute Unternehmensführung auch in mittelständischen Strukturen Anwendung finden“, meint die Expertin. Er bietet einen Rahmen für gute Governance, die nicht allein entscheidend, aber doch ein wichtiges Fundament ist, um die Zukunftsfähigkeit zu sichern und das Vertrauen aller Stakeholder zu stärken.

Anja Seele gehört zu denen, die Governance seit vielen Jahren ganz praktisch machen. Sie ist Chief Compliance Officer beim Telekommunikationsunternehmen Tele Columbus und sieht hierzulande deutlichen Nachholbedarf: „Es braucht eine neue Form von Governance. Im Mittelstand haben wir weder die personellen Ressourcen noch die umfassende IT, um die neuen Anforderungen zu orchestrieren.“ Zwar helfen Branchenverbände mit einer Reihe von Initiativen auch, um einheitliche Standards festzulegen, aber „momentan laufen alle los und erfinden ihr eigenes Rad“.

Man habe zu lange den Fokus auf den Bereich Umwelt gelegt, das E in ESG, sagt Seele. Hier gebe es noch am ehesten Kennzahlen, Kriterien und Erfahrung. „Da sind wir gut vorbereitet seitens der Industrie, aber bei Social und Governance ist vieles neu.“ Dabei habe gerade der Mittelstand einen Vorteil im Bereich Social, weil soziales Engagement für viele Häuser zum Selbstverständnis gehört. 

Beim G aber sieht es anders aus. Die typische Struktur des Mittelstands komme als Nachteil zum Tragen, sagt Seele. Immer wieder ist von Ämterhäufung in Aufsichts- und Beiräten zu lesen. Die Folgen sind Zeitmangel, um die Aufgaben effektiv zu erfüllen, aber auch fehlende Kenntnisse, Erfahrungen und Blickwinkel. Zudem können Interessenkonflikte auftreten, denen durch entsprechende Compliance-Regeln begegnet werden muss. Und da ist die Frage, wie Aufgaben und Personen in einem Haus voneinander separiert sind. „Gewisse Positionen sollten getrennt sein, um den täglichen Betrieb von Compliance zu ermöglichen“, meint die Expertin. In der Governance-Logik gibt es das Prinzip „Three Lines of Defense“, also drei Ebenen, die sich gegenseitig kontrollieren. Das Prinzip darf nicht aufgeweicht werden, wenn Governance einen wirksamen Schutz bieten soll. Gute Compliance entsteht, wenn alle Funktionen ihren Beitrag leisten. Der Betriebsrat ist dafür ebenso wichtig wie die Geschäftsführung. „Da gibt es hier und da noch Verbesserungsbedarf“, sagt die Tele-Columbus-CSO.

Ein Kernproblem sei, dass Governance immer noch unterschätzt werde, sagt Seele „Wir leben als Unternehmen in einer Welt, in der sehr komplexe und sich teilweise sogar widersprechende Regeln erlassen werden.“ Regelungsdichte und -geschwindigkeit nehmen zu. Die neuen Gesetze wie zum Beispiel das Lieferkettensorgfaltsgesetz sind inzwischen Querschnittsthemen. „Dafür muss man das ganze Haus analysieren und tief in die Prozesse einsteigen“, sagt Seele. „Um die relevanten Anforderungen schnell zu erfassen und passende Maßnahmen abzuleiten, wird man juristischen Sachverstand mit einbeziehen wollen, der im Mittelstand aber manchmal extern mit hinzugezogen werden muss. Die aktuellen Themen lassen sich nicht mehr mit einer einfachen Arbeitsanweisung erledigen.“ Das Prinzip „So läuft das jetzt“ funktioniere nicht mehr. Vielmehr sei bei etlichen Themen ein tiefes Verständnis für die Prozesse, ein starkes internes Kontrollsystem und entsprechender IT-Support nötig.

Erstaunliche Unterschiede

Die Herausforderungen sind oft klar. Selbst kleinen Unternehmen werden Lieferantenkodizes vorgelegt, die sie prüfen und befolgen sollen. Solche Kodizes, die sich auf dasselbe Gesetz beziehen, weisen in der Praxis erstaunliche Unterschiede auf. Zudem verlangen Kunden, dass bestimmte Schulungen durchlaufen werden müssen. Ein Problem: „Wer soll diese Trainings absolvieren?“, fragt Seele. „Absolviert eine zentrale Stelle alle Trainings? Oder wird es eine Möglichkeit geben, eigene Schulungen und entsprechende Fachkunde der Mitarbeitenden nachzuweisen? Wie umfangreich und häufig muss geschult werden?“ Hier wäre Verbandsarbeit ein wichtiger Faktor, um Klarheit und Einheitlichkeit zu bringen.
„Zudem scheint der Gesetzgeber zu erwarten, dass Mittelständler alle erdenklichen Daten und Zahlen liefern können“, sagt Seele.

„Wachstumsorientierte Mittelständler haben selten konsistente Datenstände, mit denen jede erdenkliche Zahl generiert werden kann. Und IT-Ressourcen, um dies zu ändern, sind Mangelware.“ Hier seien ebenfalls die Verbände gefragt, um ideale Forderungen durch realistische Erwartungen zu ersetzen.

Dann muss das Unternehmen die relevanten Informationen sammeln und gleichzeitig das Wissen der Mitarbeitenden im Haus halten. Das ist angesichts des knappen Personals eine immense Herausforderung. Aber: „Technologie hilft, um regulatorische Anforderungen zu erfüllen, Risiken in den Unternehmen zu minimieren und intern sowie extern mit verschiedenen Anspruchsgruppen transparent zu kommunizieren“, sagt Marcus Sultzer, Mitglied des Vorstandes der EQS Group, eines Cloud-Softwareanbieters für Corporate Compliance, Investor Relations und ESG. Die Kunden haben mal 50 Mitarbeiter, mal mehrere hunderttausend. Sultzer ist Fachmann für Compliance und Regulierung und weiß, dass der Mittelstand davon auch manchmal überfordert ist.

Compliance-Verantwortliche müssen vieles im Blick haben: Risikomanagement, Lieferantenmanagement, Interessenkonflikte handhaben, Belegschaft trainieren. Zuletzt kam Hinweisgeberschutz in Deutschland und Europa dazu. „Natürlich ist jede rechtliche Anforderung, die neu kommt, zuerst einmal Aufwand“, sagt Sultzer. Unternehmer sollten sich aber fragen, warum der Gesetzgeber so vorgeht. „Es gibt ja gute Gründe, warum Unternehmen jetzt verpflichtet werden, gewisse Dinge zu erfüllen.“ Als Erstes brauche es bei den Betrieben ein Bewusstsein für die Gesetze und die Bedeutung von Compliance. Dann stellen sich die organisatorischen Anforderungen: Wer kümmert sich um die Themen? Wer ist für Compliance verantwortlich? In größeren Unternehmen gibt es eine Abteilung dafür, aber in mittelständischen Betrieben wird das häufig von Geschäftsführung oder Rechtsabteilung übernommen.

Als weit gereister Fachmann sieht Sultzer im internationalen Vergleich viele Besonderheiten für deutsche Betriebe. Zum Beispiel absolute Transparenz, die ein Wert an sich sei. Deutschland stehe da noch am Anfang. Vor allem im Vergleich zu Dänemark, Schweden, Norwegen oder auch Großbritannien, den USA und Frankreich „hat Deutschland sehr viel aufzuholen“. Die Bereitschaft dazu nimmt zu. „Wir sehen eine deutlich steigende Präsenz des Themas Whistleblowing und des Themas Compliance in Unternehmen“, sagt Sultzer. „Wir erhalten mittlerweile viel mehr Anfragen hierzu.“