Erfahren Sie, wie Richtlinien im Unternehmen über den gesamten Lebenszyklus effizient gemanagt werden – von der Bedarfsfeststellung über die Erstellung und Kommunikation bis hin zur Messung der Effektivität.

» Leitfaden für ein effektives Richtlinien-Management «

2

EinführungDie Wirtschaftsskandale der jüngeren Vergangenheit haben noch einmal die Sinne geschärft für eine ethisch einwandfreie und verantwortungsvolle Geschäftsführung – und damit auch für ein effektives Compliance-Management. Die Grundlage eines solchen Compliance-Programms sind Richtlinien, Arbeitsanweisungen und ähnliche Dokumente, die die Werte, Regeln und gewünschten Verhaltensweisen im Unternehmen vorgeben.

Richtlinien sind in der Regel auch die erste Compliance-Maßnahme, die innerhalb einer Organisation umgesetzt werden – vor allem um die Einhaltung von nationalen und internationalen Vorschriften und Gesetzen sicherzustellen. Häufig werden sie aber auch als Reaktion auf unerwünschte Vorkommnisse im Unternehmen, die durch entsprechende interne Regelungen hätten vermieden werden können, eingeführt.

Darüber hinaus können auch proaktive Schritte eingeleitet werden. Es bietet sich beispielsweise an, Richtlinien zu erstellen, um bestimmte Werte und Verhaltens-weisen zu fördern; aber auch um Leitlinien und Standards zu etablieren, denen sich das Unternehmen freiwillig verpflichtet.

Die Zahl der Richtlinien und Arbeitsanweisungen steigt im Laufe der Zeit massiv an. Denn die fortschreitende Regulierung führt laufend zu neuen Vorschriften, teilweise mit unterschiedlichen regionalen Ausprägungen; ebenso müssen immer neue unternehmensspezifische Themen berücksichtigt und spezielle Regelungen für unterschiedliche internationale Standorte getroffen werden. Und nicht zuletzt müssen die bestehenden Richtlinien laufend aktualisiert werden.

Da wird es dann irgendwann schwer, den Überblick zu behalten: Die zahlreichen Richtlinien, häufig noch in verschiedenen Versionen und Sprachen, sind nicht nur schwierig zu managen, sondern können auch schnell für Verwirrung sorgen. Es ist deshalb wichtig, dass die Mitarbeiter die Unternehmenskultur verinnerlichen und genau wissen, was von ihnen erwartet wird. Das bedeutet, dass sie nicht nur die einzelnen Regelungen und Richtlinien verstehen, sondern auch die Ziele, die dahinterstehen.

Ein proaktives Richtlinien-Management ist damit unverzichtbar. Darunter versteht man den gesamten Lebenszyklus einer Richtlinie – von der Bedarfsfeststellung, über die Erstellung, Prüfung, und Kommunikation bis zur laufenden Aktualisierung und Messung der Effektivität. Bei vielen Richtlinien sind zudem noch Schulungen der Mitarbeiter erforderlich.

Ein gutes Richtlinien-Management ist ein echter Gewinn. Studien zeigen, dass Unternehmen, deren Richtlinien stets aktuell und leicht zugänglich sind, über ein viel effektiveres Compliance-Programm verfügen.1

1 PWC (2018): Staying ahead of change: Real-time compliance management. 2018 State of Compliance

3

Mit folgenden Fragen können Sie einfach testen, wie effizient das

Richtlinien-Management in Ihrer Organisation ist:

2 U.S. Department of Justice, Criminal Division, Fraud Section (2017): Evaluation of Corporate Compliance Programs

Weitere Fragen zur Beurteilung Ihres Richtlinien-Management-Prozesses finden Sie in den Richtlinien des US-Justizministeriums (DoJ) für ein effektives Compliance- Programm – aber vielleicht haben Sie bereits bei diesem Schnell-Check festgestellt, dass noch Optimierungsbedarf bei Ihrem Richtlinien-Management besteht. 2

Dieser Leitfaden gibt Ihnen Best-Practice-Empfehlungen, um die Effektivität Ihres Richtlinien-Managements zu erhöhen. Sie erfahren, wie Sie in Ihrer Organisation den Bedarf für eine Richtlinie feststellen und diese richtig aufsetzen – und schließlich zeigen wir, wie Sie Richtlinien effektiv kommunizieren, um eine möglichst hohe Akzeptanz zu erreichen.

■ Gibt es einen Überblick über alle Richtlinien in Ihrer Organisation, die damit

abgedeckten Themen und Compliance-Risiken sowie die verfügbaren Sprachen

und Versionen?

■ Können alle Mitarbeiter und andere Zielgruppen innerhalb von drei Minuten auf

die für sie relevanten Richtlinien zugreifen?

■ Kann nachverfolgt werden, wer die Richtlinien erhalten, gelesen und die

Kenntnisnahme bestätigt hat?

■ Können Sie sicherstellen, dass jeweils die neueste Version der Richtlinien versendet

wurde und die betroffenen Personen automatisch über Aktualisierungen

informiert werden?

■ Existiert ein Bewusstsein dafür, dass bestimmte Richtlinien bei regulatorischen

Veränderungen angepasst werden müssen? Und sind die Verantwortlichkeiten

hierfür geregelt?

Verwalten derRichtlinien

5

Das Richtlinien-Management kann in vier Phasen unterteilt werden:

Erstellen der Richtlinien

ÜberprüfungAktualisierung

Kommunikation & Effektivitätsmessung

■ Erstellen der Richtlinien

In dieser Phase gilt es zunächst herauszufinden, welche Richtlinien im Unternehmen aufgrund von Compliance-Maßnahmen oder regulatorischen Vorgaben benötigt werden. Anschließend geht es um die Erstellung der Richtlinie in einer anspre-chenden Form, so dass diese auf eine möglichst große Akzeptanz stößt.

■ Überprüfung

Eine fachkundige Stelle sollte vor der Verbreitung einer Richtlinie prüfen, ob deren Inhalt korrekt, der Stil angemessen und die Botschaft klar erkennbar ist. Auch sollten Konflikte mit anderen Richtlinien und Arbeitsanweisungen ausgeschlossen werden. Ob die Compliance-Abteilung die Richtlinien prüft oder die Verantwort-lichkeit hierfür beispielsweise beim Management oder der Rechtsabteilung liegt, hängt auch von der Organisationsstruktur und nicht zuletzt vom Inhalt der Richtlinie ab.

6

■ Kommunikation und Effektivitätsmessung

Die Akzeptanz der Richtlinien kann durch Schulungen sowie die Nachverfolgung von Lese- und Bestätigungsraten nach dem Versand ermittelt werden. Die Prozesse, um die zentralen Richtlinien-KPIs zu erfassen und damit die Effektivität des internen Richtlinien-Managements zu überprüfen, lassen sich weitgehend und ohne viel Aufwand automatisieren.

■ Aktualisierung

Richtlinien sollten immer auf dem neuesten Stand sein – und müssen daher gepflegt und regelmäßig aktualisiert werden. Deshalb sollten Sie stets im Auge haben, ob sich Vorschriften ändern oder neue Gesetze in Kraft treten. Unter Umständen erfordern auch neue Geschäftsfelder, interne Abläufe oder Techno-logien ein Update der Richtlinien.

7

Investitionen in die technische Infrastruktur vornehmen, um das Monitoring zu verbessern und die Prozesse zu automatisieren

1

die Prozesse des Richtlinien- Managements laufend opti-mieren, um die Akzeptanz der Richtlinien zu erhöhen

2

die neuesten Technologien ein-setzen, um zielgerichtete und ansprechende Kampagnen zu erstellen.

3

Die Compliance-Prozesse unterscheiden sich je nach Branche,

Größe und Reifegrad der Organisation teilweise erheblich.

Es hat sich aber gezeigt, dass alle Unternehmen mit einem

effizienten Richtlinien- und Compliance-Management:

8

» Richtlinien erstellen «

3 United States Sentencing Commission (2018): Guidelines Manual (p. 517)

4 U.S. Department of Justice (2012): A Resource Guide to the U.S. Foreign Corrupt Practices Act, p. 58

Welche Richtlinien sind im Unternehmen erforderlich? Diese Frage stellt sich grundsätzlich für alle Unternehmen – unabhängig davon, ob sie am Beginn des Compliance-Prozesses stehen oder bereits ein ausgereiftes System implementiert haben. Erstere müssen entscheiden, welche Richtlinien sie zuerst umsetzen; die anderen stehen vor der Herausforderung, ihr Richtlinien-Management laufend zu optimieren, um nicht den Überblick zu verlieren. So müssen veraltete Regelungen aussortiert werden, wenn sie nicht mehr relevant sind, oder aber aktualisiert werden.

Die Compliance-Verantwortlichen sollten sich dabei an den weltweit gültigen Anti-Korruptions-Vorschriften orientieren. Die U.S. Sentencing Commission, die für die Festlegung von bindenden Grundsätzen für die Strafbemessung an den US-amerikanischen Bundesgerichten zuständig ist, fordert in ihren „Federal Sentencing Guidelines“, dass Unternehmen „Standards und Verfahren zur Vermeidung und Aufklärung von strafbaren Handlungen festlegen“.3 Laut dem Leitfaden des US-Justizministeriums zum U.S. Foreign Corrupt Practices Act (FCPA), einem US-amerikanischen Antikorruptionsgesetz, ist es für Ermittlungen und behördliche Untersuchungen sehr wichtig, ob ein Unternehmen über Richtlinien und andere Verfahren verfügt, die „die Verantwortlichkeiten für die Einhaltung der Vorschriften vorgeben, die ordnungsgemäßen internen Kontrollen, Prüfverfahren und Dokumentationsrichtlinien ausführlich beschreiben sowie schlussendlich Disziplinarverfahren festlegen“.4

Das britische Anti-Korruptionsgesetz (UK Bribery Act) gehört international zu den strengsten. Es sieht in einem Bestechungsfall nur eine mögliche Verteidigung für die betroffenen Unternehmen vor. Sie müssen ein robustes Compliance-Programm mit „angemessenen Präventionsverfahren“ vorweisen können. In Frankreich bestehen mit dem Loi Sapin II inzwischen ebenfalls schärfere Vorschriften, die unter anderem einen Verhaltenskodex („Code of Conduct“) mit einer Anti-Korruptionsrichtlinie verlangen.

Es führt damit kein Weg an gut implementierten Richtlinien vorbei.

In diesem Kapitel wird nachfolgend beschrieben, wie Sie vorgehen sollten, um festzustellen, welche Richtlinien in Ihrem Unternehmen erforderlich sind.

9

1. Richtlinien, um Compliance-Risiken zu minimieren

Richtlinien fußen auf einer umfassenden Analyse der Compliance-Risiken. Um festzu-stellen, welche Richtlinien in Ihrem Unternehmen erforderlich sind, sollten sie anhand Ihrer Risk Map folgende Fragen beantworten:

Das sind die Klassiker unter den Compliance-Richtlinien

Welche Richtlinien ein Unternehmen benötigt, hängt von der Branche und dem Geschäftsmodell, aber auch von den Compliance-Zielen ab. Hier einige der wichtigsten Compliance-Richtlinien:

■ Bestehen Richtlinien für alle identifizierten Risiken?

■ Sind alle Richtlinien aktuell, berücksichtigen sie also auch die neuesten gesetzlichen

Änderungen?

■ Stehen die Dokumente in allen Sprachen zur Verfügung, die für Ihr Unternehmen

und ihre Mitarbeiter relevant sind?

Falls in Ihrem Unternehmen noch keine Bewertung der Compliance-Risiken durchgeführt wurde, so empfehlen wir dies als ersten Schritt Ihres Richtlinien-Managements. So gewährleisten Sie eine einheitliche Vorgehensweise bei der Erstellung der Richtlinien – und verbessern damit auch Ihr gesamtes Compliance-Programm.

■ Verhaltenskodex (“Code of Conduct”)

■ Datenschutzbestimmungen

■ Richtlinie zur Informationssicherheit

■ Anti-Diskriminierungsrichtlinie

■ Richtlinie für Geschenke und

Einladungen

■ Richtlinie zum Umgang mit

Interessenskonflikten

■ Richtlinie zur IT-Nutzung und zum

Umgang mit Unternehmensdaten

■ Richtlinie zu kartell- und

wettbewerbsrechtlichen Fragen

■ Antikorruptionsrichtlinie

■ Richtlinie zum Umgang mit

Geschäftspartnern

■ Richtlinie zur Bearbeitung von

Hinweisen auf Compliance-Verstöße

10

11

2. Richtlinien zur Unterstützung der Unternehmensziele

Die Risikominimierung ist ein wichtiger Grund für die Implementierung von Richtlinien – aber nicht der einzige. Richtlinien können auch das Erreichen von Unternehmenszielen unterstützen, beispielsweise:

■ Die Einhaltung von Normen wie einer ISO- oder Sicherheitszertifizierung. Die Zertifizierungsanforderungen können durch das Einführen bestimmter Richtlinien erfüllt werden.

■ Kultureller Wandel oder das Erreichen von geschäftlichen Zielen. Richtlinien können hier eingesetzt werden, um das Verhalten der Mitarbeiter zu beeinflussen.

Analysieren Sie Ihre Unternehmensorganisation. So stellen Sie fest, welche Richtlinien zum Erreichen der Unternehmensziele beitragen können.

3. Code of Conduct – am Verhaltenskodex führt kein Weg vorbei

Jedes Unternehmen sollte einen Verhaltenskodex (oder eine Ethikrichtlinie) haben, um Werte und Regeln vorzugeben. Diese „Königin der Richtlinien“ soll den Mitarbeitern helfen, ihr Verhalten an dem Leitbild des Unternehmens auszurichten. Das US-Justizministerium nennt den Code of Conduct die „Grundlage für ein effektives Compliance-Programm“.5

Der Verhaltenskodex berührt in der Regel ein breites Spektrum von Normen, Regelungen und Selbstverpflichtungen. Viele dieser Themen werden in eigenständigen Richtlinien auch noch weiter vertieft.

5 U.S. Department of Justice (2012): A Resource Guide to the U.S. Foreign Corrupt Practices Act, p. 57

12

Das Erstellen oder Aktualisieren des Verhaltenskodex kann aufgrund der Anzahl der beteiligten Interessengruppen zeitaufwendig sein. Zu den Mindestanforderungen, die der Code of Conduct erfüllen und enthalten sollte, gehören:

■ Die moralischen und ethischen Werte, für die das Unternehmen steht

■ Klare Regeln und Vorgaben für gewünschte Verhaltensweisen

■ Transparenz für Kunden, Geschäftspartner und die Öffentlichkeit

Der Verhaltenskodex ist das Herzstück eines jeden Compliance-Programms. Stellen Sie sicher, dass dieser proaktiv kommuniziert wird – und für alle Mitarbeiter leicht zugänglich ist. Der Code of Conduct sollte in klarer, prägnanter und einfacher Sprache verfasst und regelmäßig überprüft werden, um sicherzustellen, dass er stets alle Unternehmenswerte widerspiegelt.

4. Richtlinien in verschiedenen Formen und Ausprägungen

Die Art der Gestaltung und Präsentation von Richtlinien ist sehr wichtig, um ein hohes Maß an Akzeptanz zu gewährleisten. Deshalb sollte ein besonderes Augenmerk auf eine ansprechende Darstellung gelegt werden.

So unterschiedlich wie die Inhalte und Adressaten kann auch die die Form der Richtlinien sein – hier bieten sich für konzernweite oder lokale Richtlinien beispielsweise andere Formate an als für werteorientierte Vorschriften oder für formellere Anweisungen für Betriebsabläufe.

Stellen Sie sich bei jeder Richtlinie zunächst die Frage: Was ist die effektivste Form bzw. Darstellung für diesen Inhalt? Zum Thema Informationssicherheit kann dies beispielsweise eine formelle Richtlinie sein, die von einer Broschüre ergänzt wird, die die wichtigsten Inhalte und Kernbotschaften erläutert und anschaulich grafisch darstellt.

13

14

Der Richtlinienverantwortliche muss ein absoluter Experte auf dem jeweiligen Fachgebiet sein. Es bietet sich deshalb beispielsweise an, die Richtlinienverantwortung für das Thema Anti-Diskriminierung bei der HR-Abteilung aufzuhängen. Das Compli-ance-Team sollte unter anderem die Vorschriften zu Anti-Korruption, Kartellrecht und Insiderhandel verantworten.

Es ist jedoch nicht immer so einfach, die Zuständigkeiten festzulegen. Beispielsweise beim Verhaltenskodex, der viele konzernweite und fachübergreifende Inhalte abbildet. Dennoch sollte auch hier eine letztlich verantwortliche Person definiert sein.

Der Richtlinienverantwortliche ist zuständig für:

Ein wesentlicher Bestandteil des Richtlinien-Managements ist es, die Verantwortlichkeiten klar zu regeln und für die einzelnen Richtlinien verantwortliche Personen festzulegen. Nur so ist sichergestellt, dass alle Dokumente auf dem neuesten Stand gehalten und effektiv verwaltet werden – ansonsten droht ein Richtlinienchaos.

■ den Inhalt der Richtlinie

■ das Monitoring der relevanten Vorschriften und Gesetze sowie der Best-Practice-

Verfahren

■ die Aktualität der Richtlinie

■ das Erreichen der mit der Richtlinie verbundenen Ziele

15

1. Das “Warum” erklären

Auch die beste Richtlinie erreicht nicht das gewünschte Ziel, wenn die Mitarbeiter den Sinn und Zweck dahinter nicht verstehen. Kommunizieren Sie deshalb transparent und erklären Sie, weshalb eine Richtlinie notwendig ist und welche Auswirkungen sie auf das Unternehmen hat. Damit steigt die Wahrscheinlichkeit erheblich, dass die Inhalte der Richtlinie akzeptiert und von den Mitarbeitern gelebt werden.

In diesem Abschnitt zeigen wir einige Best Practices für die Richtlinienerstellung auf. So stellen Sie sicher, dass Ihre Richtlinien auch die gewünschte Wirkung erzielen.

Wie stimmt die Richtlinie mit Werten, Mission und Zielen des Unternehmens überein?

Wie wirkt sich die Richtlinie auf die täglichen Abläufe aus?

Welche Vorteile hat die Richtlinie für die Mitarbeiter und das Unternehmen?

Welche Folgen bzw. Konsequenzen hat es, wenn die Vorschriften der Richtlinie nicht eingehalten werden?

Die „Warum“-Checkliste:

Wer erstellt die Richtlinien? Das ist von Unternehmen zu Unternehmen unterschiedlich geregelt und hängt unter anderem auch von den vorhandenen Ressourcen ab. Während viele Organisationen die Richtlinien „in-house“ erstellen, setzen andere auch auf die Expertise von Anwaltskanzleien oder externen Beratern.

16

2. Kernbotschaften hervorheben

Im Alltag werden die Mitarbeiter nur in den seltensten Fällen alle Richtlinien von A bis Z lesen. Umso wichtiger ist es, dass die Kernbotschaften dennoch bei jedem ankommen.

Als Best Practice ist es daher empfehlenswert, die zentralen Kernaussagen hervorzuheben – und im Kopf des Dokuments aufzuführen. Dies führt nachweislich zu einer erhöhten Akzeptanz.

Einige Unternehmen gehen einen anderen Weg und veröffentlichen zwei Versionen ihrer Richtlinien: das vollständige Dokument und eine kurze „On the go“-Version. Die Kurzfassung enthält die Kernbotschaften und kann auch auf Reisen bequem auf einem Smartphone abgerufen und gelesen werden. Einige Software-Lösungen ermöglichen es dem Leser auch, auf beide Versionen zuzugreifen.

Unabhängig davon, wie Sie Ihre Kernbotschaften platzieren, sollten Sie darauf achten, dass der gewählte Ansatz einheitlich ist, also bei allen Richtlinien angewandt wird (darauf gehen wir auch später in diesem Leitfaden noch ein).

3. Auf Visionen und Werte verweisen

Richtlinien können nicht isoliert betrachtet werden. Sie sind ein integraler Bestandteil eines Unternehmens mit all seinen Werten und Visionen. Dieser Zusammenhang sollte, wenn möglich, auch stets hergestellt werden.

Zugegeben, das ist nicht immer ganz einfach – beispielsweise, wenn es um die Einhaltung von gesetzlichen Vorschriften geht – in der Regel aber möglich: Erklären Sie, wie eine Richtlinie dem Unternehmen hilft, seine Mission zu erfüllen und seine Ziele zu erreichen. So schützt beispielsweise eine Anti-Korruptionsrichtlinie das Unternehmen vor Betrug und fördert so das finanzielle Wachstum und damit auch die Marktstellung.

4. Praxisbeispiele verdeutlichen die Relevanz

Richtlinien sind in der Regel abstrakt und für die Mitarbeiter häufig nicht richtig greifbar. Deshalb sollten Sie anhand von Beispielen aus der Praxis die Relevanz der Richtlinie verdeutlichen.

Zeigen Sie beispielsweise, wie korrupte Praktiken in Ihrem Unternehmen aussehen könnten – anhand von Vorkommnissen aus der Vergangenheit können Mitarbeiter für das Thema sensibilisiert werden. Aber auch Fälle von Wettbewerbern oder anderen Unternehmen verdeutlichen, was passiert, wenn die Richtlinie nicht eingehalten wird.

17

5. Richtlinien sollten einheitlich sein

Richtlinien sollten für die Mitarbeiter leicht verständlich und einfach anwendbar sein. Dafür ist es wichtig, dass alle Dokumente einen einheitlichen Stil und eine vergleichbare Struktur aufweisen. Die Vorlagen für die Richtlinien sollten allen Autoren zur Verfügung stehen.

Eine Best-Practice-Struktur für Richtlinien umfasst:

HierarchieDefinieren Sie eine Hierarchie, um beispielsweise bestimmen Richtlinien

und Arbeitsanweisungen eine höhere Priorität einzuräumen und Konflikte

zwischen unterschiedlichen Richtlinien zu vermeiden.

Entwicklungsprozess Legen Sie fest, wie Richtlinien erstellt und welche Vorlagen verwendet

werden sollen.

Aufgaben & Verantwortlichkeiten Legen Sie fest, wer für welche Schritte des Erstellungs-, Genehmigungs-,

Erneuerungs- und Verteilungsprozesses verantwortlich ist.

Viele Unternehmen verfügen auch über einen Richtlinienrahmen

oder eine Richtlinie für Richtlinien. Diese Master-Richtlinie bietet

klare Leitlinien für die Erstellung und Verwaltung von Dokumenten.

Dabei geht es vor allem um die folgenden Punkte:

■ Titel

■ Autor

■ Letzte Aktualisierung

■ Ziel der Richtlinie

■ Zielgruppe der Richtlinie

■ Kernbotschaften

■ Inhalt der Richtlinie

■ Kontakt für Fragen

In Bezug auf den Schreibstil können ebenfalls Regeln und Richtlinien bereitgestellt werden, um die Einheitlichkeit der Dokumente zu gewährleisten.

18

6. Immer schön einfach

Eines ist ganz wichtig: Einfach halten! Vermeiden Sie juristische Fachbegriffe. Und übersetzen Sie komplizierte, technische Sachverhalte und komplexe Inhalte leicht verständlich. Wenn man etwas nicht einfach erklären kann, hat man es nicht gut genug verstanden. (Albert Einstein)

Für eine Compliance-Richtlinie ist es beispielsweise nicht erforderlich, den Gesetzestext im Original zu zitieren – wichtiger ist es, dass die entscheidenden rechtlichen Aspekte als Botschaft deutlich rübergebracht werden.

Orientieren Sie sich an der Vorgehensweise von Journalisten, die einen Artikel schreiben, und stellen Sie sich folgende Fragen: Wer ist meine Zielgruppe? Welchen Wissensstand haben meine Leser? Welche Kernbotschaften möchte ich übermitteln?

7. Veröffentlichen Sie Ihre Richtlinien in verschiedenen Sprachen

Übersetzungen sind wichtig – nicht nur von Fachchinesisch in leicht verständliche Sprache.

Bei internationalen Konzernen sollten die wichtigsten Dokumente, allen voran der Verhaltenskodex, an den verschiedenen Standorten in der jeweiligen Landessprache verfügbar sein – auch wenn die Unternehmenssprache Englisch ist.

So erklärt auch das US-Justizministerium, dass es schwierig sei, ein Compliance-Programm effektiv umzusetzen, wenn zentrale Elemente nicht in der Landessprache verfügbar sind, sodass Mitarbeiter in ausländischen Tochtergesellschaften nicht darauf zugreifen und die Inhalte verstehen können.

Stellen Sie sicher, dass bei der Aktualisierung einer Richtlinie auch die Versionen in den verschiedenen Landessprachen auf den neuesten Stand gebracht werden. Im Idealfall gibt es im Unternehmen auch einen Muttersprachler, der für die Übersetzung oder das Korrekturlesen verantwortlich ist. Dadurch sollte gewährleistet sein, dass in der jeweiligen Landessprache die korrekten branchenspezifischen Begriffe und Fachtermini verwendet werden.

Spezielle Software-Lösungen für das Richtlinien-Management unterstützen Unternehmen dabei, den Überblick über alle Richtlinien in den verschiedenen Versionen und Sprachen zu behalten.

6 U.S. Department of Justice (2012): A Resource Guide to the U.S. Foreign Corrupt Practices Act, p. 57

19

8. Auch auf das Aussehen kommt es an

Richtliniendokumente, die unübersichtlich und als Textwüste präsentiert werden, schlagen die Leser in die Flucht – und werden damit niemals die gewünschte Akzeptanz erreichen. Der Präsentation und optischen Aufbereitung der Richtlinien sollten daher eine besondere Aufmerksamkeit geschenkt werden.

Ein paar einfache Tipps: Verwenden Sie klare und gut lesbare Schriften. Halten Sie die einzelnen Absätze möglichst kurz und verwenden Sie Zwischenüberschriften, um die einzelnen Abschnitte klar zu gliedern. Auch Symbole, Infografiken und Fettungen sind sehr effektiv, um Richtlinien ansprechender und einprägsamer zu gestalten.

Bei der Erstellung der Richtlinien kann auch die Unterstützung durch die Marketing-, Design- oder Kommunikationsabteilung sehr wertvoll sein. So können Sie Vorlagen und Grafiken für alle Richtlinien erstellen lassen. Ein einheitliches, klares Layout erleichtert das Lesen und hilft Ihren Mitarbeitern, die Inhalte der Richtlinien besser zu verarbeiten.

Ein besonderes Augenmerk sollte auf den Verhaltenskodex gelegt werden, denn er ist die „Compliance-Visitenkarte” des Unternehmens. Nehmen Sie sich die Zeit, um ein ansprechendes Dokument mit vielen Bildern und grafischen Darstellungen zu präsentieren. Das erhöht auch die Wahrscheinlichkeit, dass die Inhalte von den Lesern bestmöglich aufgenommen werden.

Einige Unternehmen gehen sogar noch einen Schritt weiter und erstellen eine eigene Micro-Website für den Code of Conduct, um ein interaktives Leseerlebnis zu ermöglichen.

Zusammenfassung: Checkliste für das Erstellen von Richtlinien

Erklären Sie das „Warum“

Heben Sie Kernbotschaften hervor

Verweisen Sie auf Visionen und Werte

Binden Sie Beispiele aus der Praxis ein

Sorgen Sie für einen einheitlichen Aufbau der Richtlinie

Formulieren Sie so einfach wie möglich

Stellen Sie Übersetzungen bereit

Sorgen Sie für eine ansprechende Gestaltung

20

Das Ziel eines effizienten Richtlinien-Managements ist es, die einzelnen Richtlinien an alle relevanten Mitarbeiter und Stakeholder zu kommunizieren und von diesen anerkennen zu lassen. Bei der Verbreitung der Dokumente können viele Wege zum Ziel führen. Wir stellen die beiden Hauptansätze vor:

Wasserfall-Ansatz2Beim Wasserfall-Ansatz sind mehrere Mitarbeiter bzw. Teams für die Verbreitung der Richtlinien verantwortlich – für Unternehmen mit mehreren Tochtergesellschaften oder Geschäftseinheiten, die über die ganze Welt verteilt sind, jeweils eine Person/ein Team je Einheit. Dieses Vorgehen eignet sich auch bei komplexen Strukturen und international aufgestellten Unternehmen.

Das Problem bei diesem Ansatz besteht darin, den Überblick über alle Vorgänge zu behalten und Konflikte zwischen einzelnen Richtlinien zu vermeiden, vor allem bei einer manuellen Verwaltung. Mit einer speziellen Software für das Richtlinien-Management können aber auch diese komplexen Prozesse durch eine zentrale Nachverfolgung relativ einfach abgebildet werden.

Zentralisierter Ansatz 1Beim zentralisierten Ansatz werden die Richtlinien von einer Person bzw. einem Team im Unternehmen an die relevanten Zielgruppen kommuniziert. Verantwortlich ist in der Regel die Personalabteilung, in selteneren Fällen aber auch die Compliance-Verantwortlichen.

Dieser Ansatz ermöglicht einen guten Überblick über alle Vorgänge des Richtlinien-Managements. Er ist allerdings nur bis zu einer gewissen Unternehmensgröße darstellbar.

21

» Kommunikation und Nach-verfolgung der Richtlinien «Eine ansprechende Richtlinie zu erstellen, ist ein erster wichtiger Schritt – allerdings erst der Anfang: Um eine hohe Akzeptanz zu erreichen, ist die Art und Weise, wie die Richtlinien kommuniziert werden, ein weiterer wichtiger Aspekt.

Im Rahmen eines effektiven Richtlinienmanagements sollten Sie bei der Kommunikation folgende Punkte beachten:

Zielgruppenspezifisch kommunizieren

Mitarbeiter sollten sich tatsächlich nur mit den für sie relevanten Richtlinien auseinandersetzen müssen. Andernfalls könnte es zu einer Gleichgültigkeit und sogar Frustration kommen, die den Erfolg des gesamten Compliance-Programms gefährdet. Die manuelle Verwaltung dieser Prozesse ist in der Regel zeitaufwendig, fehlerbehaftet und damit ineffizient.

Die Abläufe lassen sich jedoch ganz einfach automatisieren: Mit einer speziellen Software für die Richtlinienverwaltung kann definiert werden, welche Richtlinien für welche Mitarbeiter relevant sind. So können Dokumente beispielsweise nur für bestimme Standorte oder Geschäftseinheiten zugänglich gemacht werden.

Einfacher Zugang zu den relevanten Richtlinien

Wissen Ihre Mitarbeiter, wo sie die für sie relevanten Dokumente finden? Falls nicht, sollte dies schnell und klar kommuniziert werden.

Im Idealfall sollten Richtlinien von überall auf der Welt und von allen Geräten zugänglich sein. Online-Portale sind die effizienteste Möglichkeit, damit Mitarbeiter die für sie relevanten Richtlinien auf Knopfdruck einsehen können.

Denke Sie auch an Ihre Geschäftspartner!

Mitarbeiter sind in der Regel nicht die einzigen Stakeholder, die Richtlinien zu Kenntnis

nehmen müssen. Um sicherzustellen, dass ethische und moralische Standards auch

von Lieferanten und anderen Geschäftspartnern eingehalten werden, müssen Sie auch

diese in Ihre Richtlinien-Kommunikation miteinbeziehen

Kenntnisnahme bestätigen lassen

Unternehmen sollten bei wichtigen Richtlinien sicherstellen, dass die Mitarbeiter die Dokumente lesen und sich deren Kenntnisnahme bestätigen lassen.

Die Dokumentation der Lesebestätigung und Kenntnisnahme ist vor allem bei behördlichen Untersuchungen oder polizeilichen Ermittlungen wichtig und kann als Beweis dafür dienen, dass das Unternehmen allen Informationspflichten nachgekommen ist. Die bloße Bereitstellung der Richtlinien auf einem Laufwerk reicht dafür nicht aus.

Der manuelle Bestätigungs- und Dokumentationsprozess per E-Mail und Excel ist sehr arbeitsintensiv und nicht sehr übersichtlich. Digitale Prozesse bieten hier viele Vorteile:

■ Vereinfachung für Richtlinienleser: Die Kenntnisnahme von Dokumenten kann

durch einen Klick bestätigt werden.

■ Barrierefreiheit: Richtlinien können auf jedem Gerät und von jedem Ort gelesen

werden.

■ Verschiedene Bestätigungsmöglichkeiten – von der einfachen Checkbox bis zum

Fragebogen.

■ Umfangreiche Dokumentation: Alle Vorgänge werden digital gespeichert und

protokolliert.

22

23

Holen Sie Feedback zu den Richtlinien ein

Richtlinien erzielen nur dann die gewünschte Wirkung, wenn der Leser sie versteht und sich mit deren Inhalten auseinandersetzt. Eine Möglichkeit, dies zu fördern, besteht darin, Feedback einzuholen.

Das Unternehmen zeigt den Mitarbeitern damit auch, dass ihre Meinung geschätzt wird. Außerdem können die Rückmeldungen auch wichtige Erfahrungswerte liefern, um das Richtlinien-Management zu optimieren.

Das Feedback kann natürlich in einem Gespräch unter vier Augen oder bei Schulungen eingeholt werden. Es hat sich jedoch bewährt, einen digitalen Rückmeldekanal innerhalb des Richtlinienportals einzurichten, der eine breitere Zusammenstellung von Daten ermöglicht und das Feedback protokolliert.

Ausnahmeregelungen dokumentieren

Gelegentlich werden Ausnahmen für bestimmte Richtlinien und Mitarbeiter gemacht. Auch hierfür sollten die Prozesse eindeutig definiert und dokumentiert sein. Beispielsweise welche Gründe für die Ausnahmeregelungen bestehen und für welche Mitarbeiter und Zeiträume diese gelten.

Eine digitale Richtlinienverwaltung ermöglicht es, alle Ausnahmeregelungen zu einer Richtlinie zu speichern. So sind alle Dokumente leicht zugänglich und stehen im Fall einer polizeilichen Ermittlung oder eines Audits ohne großen Aufwand zur Verfügung. Und auch der Vorstand hat jederzeit einen Überblick über alle Prozesse.

Schulungen zu den wichtigsten Richtlinien

Wenn eine Richtlinie implementiert und an alle relevanten Zielgruppen kommuniziert worden ist, sollten im letzten Schritt Schulungen und Trainings durchgeführt werden – diese bieten sich vor allem bei sehr sensiblen oder komplizierten Inhalten an. Compliance-Schulungen sind ein umfangreiches und sehr weit gefasstes Thema. Wir sprechen es daher hier nur kurz an, um den Rahmen dieses Leitfadens nicht zu sprengen.

Die Sensibilisierung der Mitarbeiter für bestimmte Sachverhalten ist sehr wichtig für ein wirkungsvolles Compliance-Programm. Vor allem im Rahmen von externen Prüfungen oder Ermittlungen werden proaktive Schulungsmaßnahmen positiv bewertet.

Doch welche Schulungen sind erforderlich? Hier sollten Sie wieder die Risikoanalyse zur Hand nehmen, auf die wir bereits zu Beginn dieses Leitfadens eingegangen sind. Die Bereiche, in denen die größten Compliance-Risiken identifiziert wurden, sollten zunächst im Mittelpunkt stehen.

Das Nachverfolgen von Kennzahlen im Richtlinien-Management liefert einen guten Überblick über den aktuellen Stand der Richtlinien-Implementierung. Daraus lassen sich auch wichtige Rückschlüsse für den Optimierungsbedarfs des Compliance-Systems ziehen.

Zu den wichtigsten KPIs gehören:

■ Prozentsatz der Compliance-Risiken, die durch Richtlinien abgedeckt sind

■ Empfangsrate einer Richtlinie (gefiltert nach Richtlinieninhalt, Region, Abteilung,

Geschäftseinheit)

■ Bestätigungsrate einer Richtlinie

■ Prozentsatz der Mitarbeiter, die an persönlichen Schulungen oder E-Learnings zu

Richtlinien teilgenommen haben

■ Öffnungsrate einer Richtlinie

■ Rate der negativen Rückmeldungen zu einer Richtlinie (z. B. schwer verständlich,

nicht relevant)

24

Die Unternehmen müssen festlegen, welche Kennziffern für sie am wichtigsten sind, um diese dann in ihr Reporting miteinzubeziehen.

Nutzen Sie ein Echtzeit-Dashboard für die Verfolgung der KPIs

Das manuelle Tracking von Kennzahlen ist sehr zeitaufwendig. Denn es müssen Zahlen aus etlichen Tabellenblättern, häufig noch in unterschiedlichen Dateiformaten, sowie aus verschiedenen Niederlassungen und Ländern zusammengetragen werden.

Mit einer speziellen Software für das Richtlinien-Management lassen sich diese Kennzahlen ganz einfach ermitteln. Das Dashboard liefert alle gewünschten Informationen in Echtzeit. Diese können dann auch für Management- und Vorstandsberichte übernommen werden.

Regelmäßige Compliance-Berichte

In Organisationen mit einem ausgereiften Compliance-Programm werden regelmäßige Berichte erstellt – beispielsweise um dem Vorstand vierteljährlich die wichtigsten KPIs vorzulegen. Die Verfolgung der Kennzahlen gibt Aufschluss über den Umsetzungsstand des Compliance-Programms und zeigt ebenfalls, inwieweit die Regeln, Werte und Vorschriften im Unternehmen durch Richtlinien abgedeckt sind.

25

26

Wir hoffen, dass dieser Leitfaden Ihnen einen Einblick gegeben hat, wie ein robustes Richtlinien-Management aussehen kann. Ein effizientes und effektives Richtlinien-Management hilft Unternehmen, die Compliance-Kultur zu fördern und Risiken zu minimieren, indem Werte, Regeln und Richtlinien etabliert und kommuniziert werden.

Viele der in diesem Leitfaden beschriebenen Prozesse können durch den Einsatz einer speziell entwickelten Software für die Richtlinienverwaltung wesentlich einfacher und effizienter gestaltet werden. Durch die Automatisierung von Workflows, den einfachen Zugang für die jeweilige Zielgruppe zu den relevanten Richtlinien sowie die Verwendung von Echtzeit-Dashboards und Berichten können Unternehmen ihr Richtlinien-Management auf die nächste Stufe heben.

27

Bleiben Sie auf dem LaufendenBesuchen Sie unseren EQS Blog für spannende Artikel rund um das Thema Compliance: blog.eqs.com/de/tag/compliance

Über EQS Group Die EQS Group ist ein führender internationaler Technologieanbieter für Corporate Compliance, Investor Relations und Corporate Communications. Mehr als 8.000 Unternehmen weltweit erfüllen mit der EQS Group komplexe nationale und internationale Publizitätspflichten, minimieren Risiken und sprechen Stakeholder gezielt an.

EQS Group bietet Compliance-Verantwortlichen innovative Produkte und Services wie ein Hinweisgebersystem mit angeschlossenem Case Management, einen Policy Manager, sowie eine Lösung, um Insiderlisten zu verwalten. Diese sind in der cloudbasierten Plattform EQS COCKPIT gebündelt, um die Arbeitsprozesse von Compliance-Verantwortlichen zu optimieren.

Die EQS Group wurde im Jahr 2000 in München gegründet. Heute ist der Konzern mit mehr als 450 Mitarbeitern in den wichtigsten Finanzmetropolen der Welt vertreten.

Für weitere Informationen besuchen Sie www.eqs.com oder kontaktieren Sie uns per E-Mail contact@eqs.com

www.eqs.com