Compliance: Mit relativ wenig Aufwand viel erreichen? Ja, das geht!

Kleine und mittlere Unternehmen (KMU) müssen viele regulatorische Neuerungen umsetzen, insbesondere im Bereich Hinweisgeberschutz und Lieferkette.

Überblick

• Bei der Umsetzung der gesetzlichen Vorgaben und Compliance fehlt es in vielen KMU noch an Systematik.
• Geordnete Prozesse, gute Dokumentation und transparente Abläufe sind die Grundlagen für eine erfolgreiche Umsetzung.
• Eingehende Hinweise haben das Potenzial, Verbesserungen im Unternehmen voranzutreiben. Diese Chance sollten Unternehmen nutzen.

Momentan passiert einiges im regulatorischen Bereich, zum Beispiel durch den aktuellen Entwurf des Hinweisgeberschutzgesetzes (HinSchG) oder das neue Lieferkettensorgfaltspflichtengesetz (LkSG). Wir haben Kira Uebachs-Lohn, Partnerin im Bereich Forensic & Integrity Services, zur Situation befragt. 

EY: Sie sprechen viel mit KMU. Wie ist die Stimmung? Was passiert dort gerade?

Kira Uebachs-Lohn: Alle wissen, dass man etwas tun muss, aber die Verunsicherung ist noch groß, was man wie konkret und zu welchem Zeitpunkt umsetzen muss. Nehmen wir als Beispiel das Hinweisgeberschutzgesetz, das am 27. Juli 2022 vom Kabinett beschlossen wurde und dessen Verpflichtungen demnächst auch Unternehmen bereits ab 50 Beschäftigten treffen. Um die Vorgaben umsetzen zu können, müssen zunächst gewisse Voraussetzungen geschaffen und neue Prozesse implementiert werden. Auch mit Inkrafttreten des LkSG sind Unternehmen in der Pflicht zu handeln und die eigenen Lieferketten mit einer oft großen Anzahl von Geschäftspartnern im Griff zu haben. Bei vielen Unternehmen ist die entsprechende Infrastruktur für diese Compliance-Maßnahmen oft noch nicht da, um die richtige und zeitnahe Umsetzung sicherzustellen. Wer soll sich um diese Themen kümmern? Wenn man sich die vorhandenen Ressourcen anschaut, gibt es oft nur eine oder gar eine halbe FTE-Stelle, die Compliance-Themen, meist neben weiteren Themen, angehen kann. Kurzum, die Unternehmen sind sowohl ressourcenmäßig als auch inhaltlich überfordert.

Manche Unternehmen haben aber dennoch schon jetzt ein Hinweisgebersystem eingerichtet oder sind gerade dabei, eines zu implementieren …

Das stimmt und das ist auch gut so. Es ist aber nur sinnvoll und effektiv, wenn eine solche Hinweisgeberstelle in ein übergeordnetes System eingebettet ist. Es hilft nicht viel, wenn man zwar ein gutes Tool implementiert hat, aber nicht weiß, wie man mit eingehenden Hinweisen umgehen soll. Genau daran scheitern viele kleinere Unternehmen, weil es dort noch keine systematische Herangehensweise gibt. Sind die Zuständigkeiten und Verantwortlichkeiten klar definiert? Gibt es einen geregelten Ablaufplan? Können substanziierte Hinweise umfassend aufgeklärt, dokumentiert und abgearbeitet werden? Hier läuft vieles noch zu unstrukturiert ab. Doch ist erst einmal eine gewisse Systematik dahinter implementiert, kann man die Dinge ruhig und planvoll angehen.

Gehen wir davon aus, dass ein Unternehmen bereits ein Hinweisgebersystem eingerichtet hat und ein Hinweis geht ein. Was macht man damit?

Wenn eine entsprechende Prozessbeschreibung und vielleicht sogar ein effektives Tool implementiert sind, ist es natürlich einfacher. Zunächst muss man sich den konkreten Fall anschauen, auf Plausibilität prüfen und verstehen, welches Thema betroffen ist: Rechnungswesen, Personal, Einkauf oder vielleicht Vertrieb? Dann versteht man auch, wen man in den weiteren Prozess involvieren muss. Man sollte sich natürlich auch Gedanken machen, wie man es am besten schafft, den Fall umfassend aufzuklären. Hat man überhaupt intern die erforderlichen Kapazitäten und den nötigen Sachverstand? Wenn nicht, kann man sich externe Hilfe holen. Dies sollte jemand sein, der den Verantwortlichen aufzeigen kann, wie man diese Sachverhalte systematisch und effektiv angeht. Im Idealfall schließt sich dann der Kreis. Denn das Hinweisgebersystem kann man auch im positiven Sinne nutzen und eingehende Hinweise auf Schwachstellen oder Missstände dazu verwenden, die Prozesse und Maßnahmen innerhalb des Unternehmens nachhaltig zu verbessern. 

Das klingt noch relativ einfach, wenn man es mit Hinweisen zu tun hat, die das Unternehmen intern betreffen. Was aber tun, wenn man auf Fehlverhalten eines Geschäftspartners aufmerksam gemacht wird? Damit wären wir beim Thema Lieferkettensorgfaltspflichtengesetz.

Es ist natürlich deutlich einfacher, interne Themen anzugehen, als einen Zugang zum Geschäftspartner zu finden. Dennoch gehören Geschäftspartner und entsprechende Prozesse genauso zum unternehmerischen Alltag wie die eigenen Prozesse und Mechanismen. Spätestens mit dem LkSG ist man per Gesetz dazu verpflichtet, sich seine Geschäftspartner genauer anzuschauen. Denn wenn das Fehlverhalten aufseiten des Geschäftspartners liegt, ist man letztlich auch selbst betroffen. Das erfordert eine Systematik im Umgang mit der Auswahl und der kontinuierlichen Prüfung von Geschäftspartnern. Wie stelle ich sicher, dass mein Geschäftspartner entsprechende Werte und Richtlinien hat und diesen folgt? Hole ich regelmäßig Bestätigungen ein? Lasse ich mir gewisse Auditrechte vertraglich einräumen? All diese Fragen sollte das KMU beantworten können oder im Zweifelsfall professionelle Unterstützung zurate ziehen, um hier rechtlich keine offene Flanke zu bieten. Außerdem kann man im Zuge der Einrichtung eines Hinweisgebersystems die Einrichtung eines Meldekanals nach dem LkSG gut integrieren, da hier der operative Hintergrund und die Prozesse ähnlich sind.

Generell sollte man das Thema Compliance ernst nehmen und als äußerst wichtig einstufen. Leider sieht die Realität in vielen Unternehmen immer noch anders aus, oder?

Das stimmt, man sollte das Thema ernst nehmen, und zwar nicht nur weil sich gesetzliche Regelungen geändert haben. Es gibt zwar keine gesetzliche Vorgabe für KMU, ein Compliance- Management-System zu implementieren, aber auch hier gelten gewisse Sorgfalts-, Organisations- und Überwachungspflichten, deren Nichteinhaltung zu Strafen oder Bußgeldern führen kann. Ein systematisches Vorgehen bietet hier viele Vorteile und ist letztlich günstiger, als es auf einen Verstoß ankommen zu lassen. Die gesetzliche Verpflichtung, ein Hinweisgebersystem zu implementieren, sollte man als Chance sehen, weil man festgestellt hat, dass Hinweisgeber für Unternehmen wichtig sind und darum Schutz verdienen. Es gibt Erhebungen dazu, wie viel Verlust ein Unternehmen durch Fehlverhalten machen würde, wenn es die Hinweisgeber nicht gäbe. Der EU war es daher ein besonderes Anliegen, dass Hinweisgeber geschützt sind und keine Repressalien im Unternehmen erfahren oder gar gekündigt werden. Dieser Schutz wird nun auch in Deutschland gesetzlich umgesetzt. Auch durch das LkSG sind Unternehmen angehalten, Meldekanäle zu implementieren. Das sollte ein KMU nutzen, um die internen Prozesse und Regelungen insgesamt zu verbessern. Eine offene Kommunikation und eine gelebte Speak-up-Kultur können im Übrigen die Stimmung bei den Mitarbeitenden nachhaltig verbessern. Hiervon profitiert natürlich dann auch das Unternehmen als Ganzes.