Editorial im Controller Magazin
Sehr geehrte Risikomanager*innen und Ratinganalyst*innen,
einen wesentlichen Teil der Risiken und der Haftung machen in der heutigen Zeit die Compliance Risiken aus. Aufgrund der Regelungsflut der EU wird dies keinesfalls besser werden. Schauen wir bei Regelwerken mal in die Vergangenheit.
Die Kelten haben ihr Regelwerk vor Tausenden von Jahren in 8 Worte gefasst: „Verehre die Götter! Thue nichts Bößes! Beweise Muth!“[1] Warum gelingt uns das heute nicht mehr? Die Zehn Gebote, wie sie in der Bibel (2. Mose 20, 2-17) stehen, haben ca. 80 Wörter. Die EU-Richtlinie CSDDD | Corporate Sustainability Due Diligence Directive (Richtlinie (EU) 2024/1760) hat ca. 25.000 Wörter! Was bringen uns Regeln, die nicht mehr klar, leicht zu verstehen, eindeutig und ohne Einschränkung anzuwenden sind?
EU-Richtlinien gelten branchen-, umsatz- oder mitarbeiterbezogen, sind also nicht durchgängig anwendbar. Es ist so weit, dass Betroffenheitsanalysen notwendig werden, um die Betroffenheit des eigenen Unternehmens rechtssicher klären zu können. Hinzu kommt dann, dass auch wenn das eigene Unternehmen nicht betroffen ist, es über die Kundenanforderungen der betroffenen Unternehmen einbezogen wird! Das heißt, dass trotz aller Limits, die gesetzt werden, am Ende doch so gut wie alle Unternehmen eingebunden sind.
Und das erfolgt dann mit eigenen, abgeleiteten und angereicherten Regelwerken, dem sog. Code of Conduct für Geschäftspartner. So gibt es eine Vielzahl von Geschäftspartner Code of Conducts, die jeweils ein eigenes Regelwerk darstellen. Dies erhöht den Aufwand in der Lieferkette und die Komplexität. Das ginge wirklich einfacher! Ein Mindest-Standard für alle! Und dann kann das Regelwerk ja in einigen Jahren diese Mindest-Anforderungen langsam erweitern. So wie es jetzt läuft, müssen auch die kleinen und mittleren Unternehmen über die Kundenanforderungen die gesetzlichen Vorgaben erfüllen.
Die Veröffentlichung der DIN SPEC 91524 „Leitfaden für Compliance-Management-Systeme in kleinen und mittleren Unternehmen“ [2] im Mai 2025 als kostenloses PDF zum Download stellt hier einen einfach umzusetzenden Mindestansatz nicht nur für kleine und mittlere Unternehmen dar.
Kleine und mittelständische Unternehmen (KMUs) stehen vor der Herausforderung, Compliance-Management-Systeme (CMS) zu implementieren, die ihren begrenzten Ressourcen und spezifischen Bedürfnissen gerecht werden. Der Leitfaden DIN SPEC 91524:2025-05 bietet eine praxisorientierte Anleitung für KMUs, um ein effektives CMS aufzubauen.
Besonders interessant ist der Selbst-Check in dem Leitfaden, der kleine Unternehmen bei der Ermittlung der größten Compliance-Risiken in verschiedenen Unternehmensbereichen unterstützt. Im Vertrieb zum Beispiel sind es Kartellverstöße und Korruption. Für diese beiden Risiken werden dann Maßnahmen zur Risikominimierung, wie zum Beispiel regelmäßige Schulungen zum Kartellrecht und zur Korruptionsbekämpfung, Entwicklung von Richtlinien zu Kartellrecht und Antikorruption, Einführung eines Hinweisgebersystems und die Funktionstrennung und Vier-Augen-Prinzip, empfohlen. Weitere Prozesse im Leitfaden sind der Wertschöpfungs-, Personal-, IT-, Logistik- und der Finanzprozess.
Die kostenlose, von der Technischen Universität Dortmund entwickelte und von der Funk Stiftung geförderte APP „MyRiskGov“ soll als nächstes um diese Compliance-Selbstauskunft des Leitfadens erweitert werden. In den letzten 10 Jahren wurden ca. 160 Projekte von der FUNK-Stiftung gefördert, davon gingen die Fördergelder zum überwiegenden Teil an die Risikomanagementprojekte. Es lohnt sich also, sich mal die jeweils kostenlosen Risikomanagementprojekte und -tools auf der Website (www.funk-stiftung.org) anzusehen.
Hilfreich ist es auch, die 33 Compliancefelder des Deutschen Institut für Compliance e.V. (DICO e.V.), in den sieben Gruppen: Criminal-, Competition-, Production- IP/IT-, HR-, Financial- und Sustainability Compliance in einer Risikoanalyse (Eintrittswahrscheinlichkeit, Schadenshöhe, Reputation und Haftung) zu bewerten und auf das eigene Unternehmen anzupassen. Zu den Compliancefeldern gibt es jeweils eine Erläuterung/Beschreibung, Compliance-Risiko-Bereiche mit beispielhaften Ausprägungen, den typischen Auswirkungen bei Compliance-Verstößen und eine Auswahl der wesentlichen Gesetze. Dies ist auch bei der Risikoidentifikation eine hervorragende Basis.
Wenn mir mit diesem Editorial zwei Punkte gelungen sind, bin ich mehr als zufrieden. Zum einen wollte ich Sie auf einen interessanten Mindestansatz für Compliance Management Systeme mit der Möglichkeit der Selbstauskunft aufmerksam machen und zum anderen auf die immer weiter ausufernden Regelwerke der EU. Es sollten nicht immer nur neue Regelwerke dazukommen, sondern ein nicht unerheblicher Teil der Gremien sollte sich auch mit der Vereinfachung und dem Weglassen von Regelwerken beschäftigen. Wie dies auch schon Prof. Dr. Fredmund Malik in seinem Buch „Führen Leisten Leben“ mit der „systematischen Müllabfuhr im Unternehmen“ als Werkzeug wirksamer Führung vorschlägt. Die EU Omnibus Initiative ist der richtige Weg!
Ihr
Ralf A. Huber
[1] Buch „Die Houbirg oder Geschichte der Nürnberger Schweiz, Johann Wolfgang Woerlein, 1838, Seite 27
[2] https://www.dinmedia.de/de/technische-regel/din-spec-91524/390496185