Aus Brüssel drohen den mittelständischen Unternehmen weitere Berichtspflichten und Bürokratiekosten. Unter dem Namen European Sustainability Reporting Standard (ESRS) hat die EU auf 400 Seiten ein neues Regelwerk vorgelegt, das einige als Heilsbringer gegen den Klimawandel anpreisen und andere als den Untergang des Mittelstands fürchten. Die ESRS-Richtlinie ist seit Anfang 2023 in Kraft und wird die Anforderungen an das betriebliche Compliance-Management weiter erhöhen. Auch das neue Lieferkettengesetz erhöht den Druck auf mittelständische Unternehmen, entsprechende Sicherheitsvorkehrungen in Form von Compliance Management Systemen (CMS) zu etablieren.

European Sustainability Reporting Standard

Nach den neuen ESRS-Regeln müssen zahlreiche Unternehmen in ihren Geschäftsberichten darlegen, wie nachhaltig sie im Hinblick auf die Umwelt und Gesellschaft arbeiten. Aber das reicht nicht. Sie müssen auch offenlegen, wie nachhaltig ihre Zulieferer über die gesamte Wertschöpfungskette arbeiten. Die neue Richtlinie betrifft ab 2026 auch Unternehmen mit mehr als 250 Mitarbeitern. Das sind in Deutschland rund 15.000. Dagegen laufen im Moment die nationalen Wirtschaftsverbände Sturm und versuchen, noch Erleichterungen durchzusetzen. Sie argumentieren, dass der Mittelstand seine Zeit besser für Innovationen und Marktwachstum einsetzen sollte.

Compliance Management Systemen

Vermutlich wird es zu einigen Zugeständnissen der EU kommen. An der großen Linie wird sich jedoch nicht viel ändern. Ein Compliance Management Systemen (CMS) wird für große Mittelständler also unausweichlich. Ziel eines CMS ist, die organisatorischen Voraussetzungen zu schaffen, um Verstöße gegen Compliance-Anforderungen zu verhindern bzw. aufzudecken und zu bearbeiten. Einrichtung, Ausgestaltung und Überwachung des CMS liegen in der Verantwortung der gesetzlichen Vertreter des Unternehmens. CMS basieren auf allgemein anerkannten Rahmenkonzepten oder vom Unternehmen selbst entwickelten Grundsätzen. Das Institut der Wirtschaftsprüfer hat in seinem Standard IDW PS 980 von April 2011 sieben Grundelemente eines CMS definiert.

• Compliance-Kultur: In den Unternehmensgrundsätzen oder in einem speziellen Verhaltenskodex wird die Bedeutung der Einhaltung von Gesetzen und Regeln schriftlich fixiert. Dieses Kulturverständnis wird an alle Unternehmensbeteiligten kommuniziert. Führungskräfte haben eine Vorbildfunktion („Tone from the Top“).
• Compliance-Ziele: Oberstes Ziel ist es, Regelverletzungen und damit die Risiken für das Unternehmen möglichst effizient und effektiv zu reduzieren.  
• Compliance-Risiken: In einem CMS werden die wesentlichen rechtlichen Risiken identifiziert und beurteilt. Eine regelmäßige Überprüfung der Ziele und eine Anpassung an Veränderungen sind dabei notwendig.
• Compliance-Programm: Alle Maßnahmen, die risikominimierend wirken, werden im Unternehmen eingeführt, bei Bedarf für Unternehmensbereiche unterschiedlich.
• Compliance-Organisation: Für Compliance müssen Rollen und Verantwortlichkeiten im Unternehmen bestimmt werden. Jeder muss wissen, was er zu tun hat. In größeren Unternehmen sind auch sogenannte Compliance-Manager sinnvoll, die wie Qualitätsmanager den gesamten Prozess verantworten.
• Compliance-Kommunikation: Neben der Information von Mitarbeitern, wie das gesamte CMS im Unternehmen funktioniert, müssen auch die Berichtswege für Regelverstöße und Risiken klar definiert werden.
• Compliance-Überwachung und -Verbesserung: Die Angemessenheit und Wirksamkeit des CMS werden überprüft und Verbesserungen vorgeschlagen.

Die Einführung eines professionellen CMS ist auch für mittelständische Unternehmen in der Regel sinnvoll. Dies ergibt sich aus einer betriebswirtschaftlichen Risiko-Kosten-Nutzen-Analyse. Compliance-relevante Chancen mittelständischer Unternehmen könnten z. B. in den Punkten Imagegewinn, Wettbewerbsvorteile und Schutzfunktion für die Unternehmensorgane liegen. Eine Prüfung des CMS durch unabhängige Dritte (z.B. durch einen Wirtschaftsprüfer) ermöglicht nicht nur eine Aufdeckung von Verbesserungspotenzialen, sondern liefert ein unabhängiges Urteil für Aufsichtsorgane und kann eine enthaftende Wirkung für die Geschäftsführung und Aufsichtsgremien haben. Angemessene Compliance kann auch im Mittelstand ein Baustein für eine erfolgreiche Zukunft sein.