Hinweisgebersysteme

b) Risikoszenarioanalyse

80

Die Risikoszenarioanalyse arbeitet mit bestimmten Szenarien und analysiert mit welcher Wahrscheinlichkeit bestimmte Risikoszenarien eintreten können und welche finanziellen Auswirkungen der Eintritt haben kann. Auch dieser Ansatz ist nur schwer in Industrien außerhalb des Finanzsektors umzusetzen. Die Einschätzung, mit welcher Wahrscheinlichkeit ein Szenario eintritt und welche Konsequenzen dies haben kann, erfordert ein hohes Maß an Kenntnis der entsprechenden Risiken und regulatorischen Rahmenbedingungen. Häufig fehlt das Wissen über belastbare Informationen zu der möglichen Schadenshöhe. In solchen Fällen würde das Unternehmen aber Gefahr laufen, die Risikoanalyse aufgrund einer unsicheren Datenbasis durchzuführen.

c) Risikofaktorenanalyse

81

Die bislang effizienteste Vorgehensweise, um die Risiken in einem Unternehmen außerhalb der Finanzindustrie zu prüfen, ist die Risikofaktorenanalyse.[6] Dabei werden aufgrund von Erfahrungswerten, auch mit Blick auf die internationalen Standards, Risikofaktoren definiert, die das Risiko erhöhen, dass in bestimmten Bereichen rechtswidriges Handeln im Unternehmen vorkommen kann. Hierzu gehören etwa im Bereich der Anti-Korruption die Analyse, in welchem Umfang das Unternehmen Geschäfte mit staatlichen Institutionen oder Organisationen betreibt, in welchem Umfang es auf Vertriebsmittler oder sonstige Dritte zurückgreift, um Geschäft zu akquirieren oder etwa ob es Bargeldzahlungen in lokalen Tochtergesellschaften gibt.[7] Auch die wirtschaftliche Größe und der geographische Tätigkeitsbereich einer lokalen Gesellschaft sind wichtige Faktoren, um das Gesamtrisiko des Konzerns bemessen zu können.[8] Die einzelnen Risikofaktoren lassen sich im zweiten Schritt zu Risikoszenarien bündeln, wie beispielsweise die Bestechung von Amtsträgern (mit oder ohne konkretem Geschäftsbezug) oder die Bestechung im geschäftlichen Verkehr oder horizontale und vertikale Kartellrisiken.[9]

d) Fazit

82

Ziel der Risikoanalyse ist es nicht nur, die wesentlichen Risiken zu identifizieren, sondern darauf aufbauend entscheiden zu können, wo die vorhandenen Ressourcen am sinnvollsten eingesetzt werden müssen, um effektiv die Risiken des Unternehmens zu reduzieren bzw. zu minimieren.

83

Unternehmen sind lebende Organismen. Eine Risikoanalyse kann jeweils nur den Zustand zu einem bestimmten Zeitpunkt erfassen und ist daher regelmäßig zu wiederholen.[10] In welchem Abstand dies zu erfolgen hat, steht zu einem gewissen Grad im Ermessen des Unternehmens. Je nach Risikoexposition und struktureller Veränderungen im Unternehmen, ist generell ein Zeitraum von 1-3 Jahren für die Wiederholung der Risikoanalyse angemessen.

Anmerkungen

[1]

ISO 19600, 4.6 Identification, analysis and evaluation of compliance risks, S. 38 ff.; ISO 37001:2016(E), 4.5 Bribery risk assessment, S. 7; DOJ Evaluation of Corporate Compliance Programs in Criminal Antitrust Investigations, I. B. 4. Risk Assessment, S. 7, f.; ICC, The ICC Antitrust Compliance Toolkit, April 2013, 3. Risk identification and assessment, S. 16 ff.; US DOJ, Evaluation of Corporate Compliance Programs, 4. Risk assessment, S. 7 f.

[2]

Hauschka/Moosmayer/Lösler/Pauthner/Stephan Corporate Compliance, § 16 Rn. 69.

[3]

Wiedmann/Greubel CCZ 2019, 88, 90; Bürkle BB 2018, 525, 526.

[4]

Vgl. Sonnenberg JuS 2017, 917, 919 f.

[5]

Hauschka/Moosmayer/Lösler/Pauthner/Stephan Corporate Compliance, § 16 Rn. 57 ff.

[6]

Hauschka/Moosmayer/Lösler/Pauthner/Stephan Corporate Compliance, § 16 Rn. 81 ff.

[7]

Moosmayer Compliance, Rn. 73 ff.

[8]

Hauschka/Moosmayer/Lösler/Pauthner/Stephan Corporate Compliance, § 16 Rn. 83.

[9]

Hauschka/Moosmayer/Lösler/Pauthner/Stephan Corporate Compliance, § 16 Rn. 111 ff.

[10]

Wiedmann/Greubel CCZ 2019, 88, 89, 92; Hopson/Graham Koehler CCZ 2008, 208, 213.

2. Kapitel Grundprinzipien eines Compliance Management Systems › II. Der Weg zu einem effektiven Compliance Management System › 3. Richtlinien und Kontrollen

3. Richtlinien und Kontrollen

84

Der Verhaltenskodex (Code of Conduct oder Code of Ethics) enthält die richtungsweisenden Vorgaben.[1] Kurz gesprochen, enthält er unter anderem das Verbot, Geschäftspartner oder Amtsträger zu bestechen oder sich wettbewerbswidriger Mittel zu bedienen, um den Umsatz zu steigern und den Schutz von Daten von Mitarbeitern und Kunden zu gewährleisten.[2] Ist das Verbot von Bestechung häufig auch in der Laiensphäre in der Regel nachvollziehbar, sind die Verbote im Bereich des Kartell- und Wettbewerbsrechts nicht ohne weiteres verständlich. Gleiches gilt für andere komplexe Materien, wie den Datenschutz. Steht auf Basis der Risikoanalyse fest, welche Risikobereiche im Unternehmen bestehen, bedarf es Richtlinien und Vorgaben, wie die Prozesse rund um die identifizierten Risiken zu steuern sind.[3]

a) Grundsätze der Ausarbeitung von Richtlinien

85

Um die entsprechenden Vorgaben zu entwickeln, verwenden Unternehmen häufig eine Mischung aus normativ geprägten und prozessorientierten Vorgaben. Normative Vorgaben funktionieren ähnlich wie Gesetze und stellen allgemeine Verbote oder Gebote auf. Ähnlich einem Gesetz, muss der Mitarbeiter diese abstrakten Vorgaben in der konkreten Situation selbst interpretieren und anwenden. Weil hierdurch das Risiko entsteht, dass nicht jeder Mitarbeiter die entsprechenden Vorgaben in der einzelnen Situation richtig versteht, gehen Unternehmen zunehmend dazu über, Richtlinien prozessorientiert auszurichten. Das bedeutet, dass sie aufbauend auf den im Rahmen der Risikoanalyse identifizierten Risikoszenarien Prozesse niederlegen, die Vorgaben enthalten, wie mit Compliance-relevanten Situationen umzugehen ist. Praktische Beispiele sind hierbei vor allem die Prüfung von Geschäftspartnern oder Prozessen rund um das Thema Wettbewerberkontakte, etwa bei Verbandstreffen, oder Sanktionsprüfungen.[4] Mit Blick auf die zunehmende Digitalisierung der Compliance-Arbeit, haben Compliance-Organisationen durch diesen Ansatz weitere Möglichkeiten der Kontrolle.[5] Die einmal definierten Prozesse lassen sich mittlerweile recht einfach digitalisieren.[6] Dies erlaubt es den Unternehmen nicht nur rückblickend, manuelle Kontrollen auszuführen, sondern diese digital und präventiv zu steuern. So wird ein Geschäftspartner zum Beispiel nur dann freigegeben, wenn der Vertriebsmitarbeiter die notwendige Prüfung erfolgreich abgeschlossen hat. Anderenfalls können Zahlungen an diesen Geschäftspartner nicht ausgelöst werden. Unternehmen können zudem Mitarbeitern über Apps bestimmte Prozesse an die Hand geben, um sicherzustellen, dass es beispielsweise im Zusammenhang mit Verbandstreffen nicht zu wettbewerbswidrigen Absprachen kommt.

b) Anzahl und inhaltliche Ausgestaltung der Richtlinien

86

Wie viele einzelne Richtlinien und Prozesse Unternehmen einführen, liegt im Ermessen der Geschäftsleitung bzw. Compliance-Organisation. Wichtig ist, dass die implementierten Richtlinien die wesentlichen Risiken, die im Rahmen der Risikoanalyse erfasst wurden, abdecken. Zu den wesentlichen Richtlinien gehören: Anti-Korruptionsrichtlinien, Kartellrichtlinien, Geldwäscherichtlinien, Richtlinien zu Exportkontrolle und Sanktionen, Datenschutzrichtlinien und Richtlinien zu Interessenkonflikten. Als Unterfall zur Anti-Korruptionsrichtlinie haben viele Unternehmen eine gesonderte Richtlinie zur Prüfung von Drittparteien (Third Party Due Diligence)[7].

87

Die Richtlinien und Handlungsanweisungen sollten derart ausgestaltet sein, dass die Anwender in den einzelnen Abteilungen wissen, welche Schritte sie unternehmen dürfen oder müssen, um die Risiken zu reduzieren. Hilfreich ist es, wenn die Compliance-Organisation nach Fertigstellung einer Richtlinie oder eines Prozesses diese oder diesen zunächst selbst durchspielt, um zu evaluieren, ob die Anwender damit zurechtkommen werden. Die operativen Einheiten sind im „Modell der drei Verteidigungslinien“ („Three Lines of Defense“-Modell)[8] die sogenannte 1st line of defense.[9] Die zuständigen Abteilungsleiter, etwa im Vertrieb, sind für die Risiken innerhalb ihres Zuständigkeitsbereichs verantwortlich („risk owner“).[10] Es ist ihre Aufgabe dafür Sorge zu tragen, dass sich die geschäftsinhärenten Risiken nicht realisieren. Tragen die einzelnen Abteilungen das Risiko, so ist es gleichzeitig Aufgabe der Compliance-Organisation, den Mitarbeitern verständliche Anweisungen an die Hand zu geben, um in ihrem jeweiligen Zuständigkeitsbereich die Risiken zu minimieren.

c) Implementierung der Richtlinien

88

Im Rahmen der Implementierung von Richtlinien und Prozessen im internationalen Kontext sollten Compliance-Organisationen berücksichtigen, welche lokalen Vorgaben es gibt, damit die Richtlinien rechtlich wirksam werden können. Die rechtliche Landschaft ist insofern sehr divers. Einige Länder verlangen, dass die Richtlinien übersetzt und an die lokale Gesetzgebung angepasst werden. In anderen Ländern muss vor Verabschiedung der Richtlinie der Betriebsrat eingebunden werden oder die Richtlinie ist durch die Geschäftsleitung selbst zu unterzeichnen.[11] Der letzte Aspekt bei der Implementierung von Richtlinien ist deren Verteilung im Unternehmen. Internationale Behörden erwarten zunehmend, dass die Verteilung von Richtlinien dokumentiert ist.[12] Daher reicht es häufig nicht mehr aus, diese schlicht per E-Mail an alle Mitarbeiter zu verteilen. Auch hier stehen mittlerweile technische Möglichkeiten zur Verfügung, damit die betreffenden Mitarbeiter digital bestätigen können, dass sie die auf sie anwendbaren Richtlinien erhalten und gelesen haben.

Anmerkungen

[1]

ISO 19600, 5.1 Leadership and commitment, S. 49 ff.

[2]

ISO 37001:2016 (E), 5.2 Anti-Bribery-Policy, S. 9; ICC, The ICC Antitrust Compliance Toolkit, April 2013, 1. c. Code of Conduct, S. 6 ff.; vgl. auch in Art. 40 DSGVO sowie dazu ausführlich Reifert ZD 2019, 305.

[3]

ISO 19600, 5.2.2 Development, S. 58 f.; US DOJ, Evaluation of Corporate Compliance Programs in Criminal Antitrust Investigations, Juli 2019, 1. Design and Comprehensiveness, S. 4 f.

[4]

Vgl. Rotsch/Moosmayer Criminal Compliance, § 34 Rn. 60.

[5]

Hauschka/Moosmayer/Lösler/Schlaghecke Corporate Compliance, § 43 Rn. 69.

[6]

Rotsch/Moosmayer Criminal Compliance, § 34 Rn. 60.

[7]

Moosmayer Compliance, Rn. 162.

[8]

Vgl. im Einzelnen dazu FERMA/ECIIA Monitoring of effectiveness of internal control, internal audit and risk management systems, 2010, Guidance Paper zur 8th European Company Law Directive on Statutory Audit (Directive 2006/43/EC – Art. 41-2b); IIA Position Paper: The Three Lines of Defense in effective Risk Management and Control, 2013.

[9]

Vgl. Hauschka/Moosmayer/Lösler/Obermayr Corporate Compliance, § 44 Rn. 116 ff.

[10]

Vgl. dazu Soyer/Ruhmannseder Handbuch Unternehmensstrafrecht, Rn. 13.35 f.

[11]

Moosmayer Compliance, Rn. 209.

[12]

ISO 19600, 3.2.4 Documented information, S. 84 ff.

2. Kapitel Grundprinzipien eines Compliance Management Systems › II. Der Weg zu einem effektiven Compliance Management System › 4. Schulungen und Kommunikation

4. Schulungen und Kommunikation

89

Sind die Risiken analysiert und darauf aufbauende Prozesse in Richtlinien und Handlungsanweisungen niedergelegt, geht es im nächsten Schritt darum, die Risiken und Gegenmaßnahmen den betreffenden Mitarbeitern näher zu bringen.[1] Die Tätigkeit der einzelnen Mitarbeiter unterscheidet sich in ihrer Risiko-Geneigtheit.[2] Das bedeutet im Umkehrschluss, dass nicht jeder Mitarbeiter im gleichen Umfang und in der gleichen Art und Weise geschult werden muss. Welche Mitarbeitergruppen wie zu schulen sind, sollte die Compliance-Organisation in einer global anzuwendenden Schulungsmatrix festhalten.[3] Diese enthält die Mitarbeitergruppen, die Art der Schulungen sowie die einzelnen Schulungsinhalte. Üblich ist es, dass alle Mitarbeiter, die über einen Schreibtisch-Arbeitsplatz verfügen regelmäßig ein E-Learning zum Code of Conduct durchlaufen müssen. Darauf aufbauend sollten die jeweiligen Mitarbeitergruppen je nach Tätigkeitsbereich zusätzliche online Schulungen oder Präsenzschulungen zu den jeweiligen Risikobereichen erhalten. Geschäftsleitung und Vertrieb sollen regelmäßige Präsenzschulungen zu denjenigen Risikofeldern durchlaufen, die mit dem Verkauf der Waren und oder Dienstleistungen im Zusammenhang stehen, allen voran Antikorruption und Kartellrecht.[4] Während bei aktuellen E-Learning Programmen eine Dokumentationsfunktion in der Regel bereits integriert ist, fehlt es bei Präsenzschulungen häufig an der erforderlichen Dokumentation. Besonders wenn lokal organisierte Schulungen stattfinden, sollten die zuständigen Compliance Officer angehalten werden, diese sorgfältig zu dokumentieren. Unternehmen sollten auch nicht vergessen, dass die Compliance Officer, also diejenigen Personen, die vor Ort für das Thema Compliance verantwortlich sind und andere Mitarbeiter unter Umständen schulen werden, selbst in ausreichendem Umfang zu den relevanten Compliance-Themen geschult sein müssen.[5]

90

Neben den Schulungen ist eine regelmäßige Kommunikation zu Compliance-Themen wichtig. Die Kommunikation sollte dabei nicht nur von der Geschäftsführung des Konzerns, sondern auch von der lokalen Geschäftsführung beziehungsweise. dem zuständigen Mittelmanagement in der Organisation verteilt werden.[6] Auch hier gilt, dass die Verteilung sorgfältig zu dokumentieren ist, damit das Unternehmen im Ernstfall zeigen kann, welche Anstrengungen es unternommen hat, um Fehlverhalten im Unternehmen zu unterbinden.

91

Zu der Kommunikation zu Compliance-Themen gehört auch eine Beratungsfunktion. Die Mitarbeiter sollten eine Anlaufstelle für Fragen rund um das Thema Compliance haben. Dem Unternehmen steht frei, hierfür eine zentrale Anlaufstelle einzurichten, oder den lokalen Compliance Officern ausreichend zeitlichen Spielraum einzuräumen, um diese Beratungsfunktion wahrzunehmen.

Anmerkungen

[1]

ICC, The ICC Antitrust Compliance Toolkit, April 2013, 4. b. Antitrust training, S. 45 ff.; FCPA Guide, Chapter 5, Training and Continuing Advise, S. 59.

[2]

Department of the Treasury, A Framework for OFAC Compliance Commitments, S. 7 f.

[3]

ISO 19600, 7.2.2 Training, S. 78.

[4]

Hauschka/Moosmayer/Lösler/Klahold/Lochen Corporate Compliance, § 37 Rn. 60; Hastenrath CCZ 2014, 132; Meyer CCZ 2014, 113, 117 f.

[5]

Hastenrath CCZ 2014, 132; Pauthner/de Lamboy CCZ 2011, 106, 109.

[6]

ICC, The ICC Antitrust Compliance Toolkit, April 2013, 1. e. Ongoing and sustained senior management commitment, S. 8; Moosmayer Compliance, Rn. 144 ff.

2. Kapitel Grundprinzipien eines Compliance Management Systems › II. Der Weg zu einem effektiven Compliance Management System › 5. Überwachung und Revision

5. Überwachung und Revision

92

Das für Unternehmen häufig herausfordernde Element eines CMS ist die ausreichende Überwachung und Revision der Compliance-Themen.

93

Überwachung bedeutet hier, dass eine zuständige Stelle in der Zentralabteilung aber auch in der lokalen Compliance-Organisation dafür zuständig ist, regelmäßig zu prüfen, ob die Vorgaben, die in den Richtlinien und Handlungsanweisungen niedergelegt sind, eingehalten werden:[1] Diskutiert die Geschäftsleitung regelmäßig Compliance-Themen in ihren Besprechungen? Sind die aktuellen Versionen der anwendbaren Richtlinien in der lokalen Gesellschaft verteilt? Haben alle neu eingestellten Mitarbeiter die wesentlichen Compliance Schulungen absolviert? Wurden alle Geschäftspartner überprüft, bevor der Vertrieb mit ihnen eine Geschäftsbeziehung einging? Wurden die entsprechenden Vertragsmuster für die Handelsvertreterverträge verwendet?[2]

94

Auf Ebene der „zweiten Verteidigungslinie“ (2nd line of defense) finden die operativen Kontrollen statt. Dies ist vor allem das Betätigungsfeld der Unternehmensbereiche „Risikomanagement“, „Compliance“, „IT-Security“ etc. Die Überwachung, dass die vorhandenen Richtlinien und Handlungsanweisungen eingehalten werden, ist dabei Aufgabe der Compliance-Organisation. Die „dritte Verteidigungslinie“ (3rd line of defense) stellt als objektive und unabhängige Prüfungs- und Beratungsinstanz die Interne Revision dar. Die Interne Revision unterstützt in dieser Funktion Unternehmensleitung, operatives Management und Überwachungsinstanzen. Sie soll der Unternehmensleitung die Gewähr dafür bieten, dass die Risiken wirksam erkannt, bewertet und gesteuert werden. Durch die Interne Revision werden insbesondere Effektivität und Effizienz der beiden vorgelagerten Verteidigungslinien bewertet. Sie bildet eine unabhängige Einheit, die nicht mit den vorgelagerten Stufen verwoben ist. Zum Aufgabenbereich der Internen Revision gehört auch die Überprüfung der Compliance-Funktion.[3] Zwischen der Internen Revision und der Compliance-Funktion sollte ein reger Austausch stattfinden, damit zum einen die vorhandenen Ressourcen möglichst effizient genutzt werden und damit zum anderen die Compliance-Organisation aus den Erkenntnissen der Internen Revision ggf. erforderliche Verbesserungsmaßnahmen entwickeln kann.

Anmerkungen

[1]

Vgl. Mössner/Reus CCZ 2013, 54, 59.

[2]

Moosmayer Rn. 286 ff.

[3]

Vgl. Hauschka/Moosmayer/Lösler/Obermayr Corporate Compliance, § 44 Rn. 117.

2. Kapitel Grundprinzipien eines Compliance Management Systems › II. Der Weg zu einem effektiven Compliance Management System › 6. Reaktion auf Verstöße und Nachhaltigkeit

6. Reaktion auf Verstöße und Nachhaltigkeit

95

Teil des Elements Reaktion und Nachhaltigkeit ist die Einführung eines Hinweisgebersystems, denn eine Reaktion auf Missstände ist nur möglich, wenn diese ans Licht kommen und beseitigt werden.[1] Ein effektives Hinweisgebersystem ist eine der wirkungsvollsten Möglichkeiten, um dies zu gewährleisten. Dafür ist entscheidend, dass das Hinweisgebersystem von den Mitarbeitern positiv angesehen wird. Basis für die erfolgreiche Einführung des Hinweisgebersystems ist daher eine an der jeweiligen Unternehmenskultur orientierte Kommunikationsstrategie und vorherige Einbindung der internen Stakeholder, um eine positive Aufnahme bei den Mitarbeitern zu gewährleisten und eine schädliche Fehlinterpretation als ein „System der Anschwärzung“ oder gar „Bespitzelung“ zu vermeiden.[2]

96

Von Unternehmen wird erwartet, dass sie auf Missstände adäquat reagieren und die Schwächen im System beheben, die sich durch die Aufklärung und eine regelmäßige Überprüfung des Compliance Management Systems ergeben.[3]

97

Unternehmen sollten klare Prozesse haben, wie sie mit Verdachtsmomenten für Fehlverhalten umgehen. Wer untersucht die Verdachtsmomente? Welcher Umfang und welche Prüftiefe sind erforderlich, um dem Problem auf den Grund zu gehen? Wie sollte das Unternehmen mit der Situation umgehen, wenn sich die Verdachtsmomente erhärten? Einen Standardweg gibt es hier nicht. Was Behörden von Unternehmen allerdings verlangen ist, dass sie konsequent handeln, wenn sich die Verdachtsmomente bestätigen.[4] Dann muss das Unternehmen sorgfältig prüfen, ob personelle Konsequenzen erforderlich sind und welche organisatorischen Maßnahmen dafür sorgen können, dass sich das Fehlverhalten nicht wiederholt.[5] Die Anforderungen der Behörden gehen teilweise sogar soweit, dass Unternehmen das aufgedeckte Fehlverhalten in abstrakter Art und Weise zum Gegenstand von Compliance Schulungen machen sollen. So soll sichergestellt werden, dass die relevanten Mitarbeiter wissen, welches Verhalten, das in ihrem Arbeitsumfeld bereits vorgekommen ist, unter keinen Umständen toleriert wird.

98

Neben der adäquaten Reaktion auf identifiziertes Fehlverhalten müssen Unternehmen auch dafür Sorge tragen, dass sich ihr Compliance Management System den Veränderungen im Unternehmen anpasst.[6] Viele Industrien sind aktuell einem raschen Wandel unterzogen. Insbesondere die Digitalisierung hat dafür gesorgt, dass viele Unternehmen sich von einem Produzenten physischer Produkte hin zu Servicedienstleistern entwickelt haben. Das kann dazu führen, dass die Risiken in bestimmten Bereichen sinken, dass aber Themen wie Cyber-Security oder Datenschutz an anderer Stelle erheblich zunehmen. Das Compliance Management System muss daher so ausgestaltet sein, dass es die anstehenden Veränderungen erfasst und frühzeitig die neuen Risiken identifiziert und entsprechende Maßnahmen und Kontrollen einführt.[7]