Markus Böttcher - Compliance

88

Gerade weil die Reputation eines Unternehmens sowie die Auswirkungen ihrer Schädigung schwerer messbar sind als andere Vermögenswerte und deren Beeinträchtigung, ist es umso wichtiger, dass Unternehmensleitung und Mitarbeiter über dieses Compliance-Risiko genauso intensiv unterrichtet und geschult werden wie zu den sonstigen konkreter fassbaren Compliance-Themen. Dies ist, je nach Branche, umso schwieriger, je globaler das Unternehmen, zumal wenn es börsennotiert ist, tätig ist. Unternehmen in umweltsensiblen Branchen, wie z.B. der Chemie oder der Pharmaindustrie, haben es noch mit „sichtbareren“ Reputationsrisiken zu tun als bspw. Siemens, das über Jahrzehnte als Vorzeigeunternehmen galt und plötzlich mit Korruption in den eigenen Reihen konfrontiert wurde. Vor diesem Hintergrund ist auf die bedeutsame Zusammenarbeit der einzelnen Abteilungen im Unternehmen, wie z.B. der Rechts- und Personalabteilung, dem Risikomanagement und dem Bereich Kommunikation, hinzuweisen.

89

Schulungsmaßnahmen zu Reputationsrisiken können selbstverständlich in die üblichen Compliance-Schulungen, die die Compliance-Abteilung ohnehin für die Belegschaft oder bestimmte Abteilungen im Unternehmen durchführt, integriert werden. Aufgrund der großen Bedeutung der Reputation eines Unternehmens und ihrer Gefährdung ist es jedoch durchaus empfehlenswert, separate Veranstaltungen zum Thema anzubieten. Dies kann bspw. als verpflichtender Workshop für alle leitenden Angestellten des Unternehmens gestaltet werden. In einem solchen Workshop sollten praktische Fälle als „case studies“ besprochen werden, die sich tatsächlich ereignet haben oder haben könnten (z.B. Siemens, Volkswagen, Deutsche Bank, ERGO). Hierzu sollten von den Teilnehmern Notfallpläne oder Deeskalationsmodelle erarbeitet werden, die auch im Ernstfall Verwendung finden könnten.

90

Vertrauen ist gut, Kontrolle ist besser. Der Aufbau einer Compliance-Abteilung, die Erstellung einer rigiden und überzeugenden Compliance-Struktur und nicht zuletzt die Schaffung einer glaubhaften Compliance-Kultur hängen vom guten Willen einer Vielzahl von Beteiligten innerhalb und außerhalb des Unternehmens ab. Compliance wird in der Regel von der überwiegenden Mehrheit der Beteiligten wohlwollend unterstützt und mitgetragen. Nichtsdestotrotz ist eine regelmäßige Überprüfung von Geschäftsvorgängen und Prozessen im Unternehmen erforderlich. Diese Überprüfung kann in Form von informellen Kontrollen oder Stichproben („ Control Testings“) durch einzelne Compliance-Beauftragte erfolgen, indem sie den entsprechenden Geschäftsbereich um Auskunft über Prozesse, Abläufe etc. ersuchen. In vielen Bereichen[20] empfehlen sich solche informellen Überprüfungen, damit die Compliance-Abteilung ein Gespür dafür bekommt, wo mögliche Schwachstellen in einem System liegen, ohne gleich eine offizielle Untersuchung einleiten zu müssen.

91

Eine formelle Kontrolle, ob die bestehenden Compliance-Systeme funktionieren und die entsprechenden Richtlinien eingehalten werden, wird in vielen Unternehmen durch die interne Revision (Internal Audit Team) durchgeführt. Dieser Prozess ist vor allem deshalb empfehlenswert, weil er eine unabhängige Überprüfung nicht nur von möglichen Compliance-Verstößen, sondern auch der Effektivität der Compliance-Organisation an sich ermöglicht. Derartige Audits werden in enger Zusammenarbeit mit der Compliance-Abteilung durchgeführt und betreffen in der Regel einen bestimmten Risikobereich, der näher betrachtet werden soll. Andererseits kann sich ein Auditauch auf eine bestimmte Abteilung im Unternehmen konzentrieren, um deren Compliance-Verhalten insgesamt zu überprüfen. Regelmäßige Audits finden vor allem in den operativen Bereichen sowie im Vertrieb eines Unternehmens statt, da diese Abteilungen naturgemäß besonderen Compliance-Risiken unterliegen.

92

Zwar kann auch durch regelmäßige formelle und informelle Kontrollennicht vollständig gewährleistet werden, dass jegliches Fehlverhalten von Mitarbeitern und Dienstleistern komplett ausgeschlossen oder verhindert werden könnte. Eine Fehlerquote von null Prozent ist in Anbetracht der vielfältigen Risiken für ein Unternehmen wohl illusorisch. Auch darf nicht angenommen werden, dass durch Audits und andere Prüfungsmechanismen jegliches Fehlverhalten im Unternehmen aufgedeckt werden könnte. Dennoch sind Audits als Baustein in der Compliance-Organisation von großer Bedeutung: Sie schärfen das Bewusstsein sowohl der Compliance-Abteilung, über bestehende Prozesse nachzudenken und diese bei Bedarf zu verbessern. Darüber hinaus konfrontieren sie die Mitarbeiter in den betroffenen Geschäftsbereichen mit einem Problembewusstsein, das zwar oft als mühsam oder gar unnötig empfunden wird, das aber langfristig Wirkung zeigt. Gerade diejenigen Mitarbeiter, die die Verpflichtung des Unternehmens zu Compliance und Integrität nur als ein Lippenbekenntnis abtun, werden durch den Einsatz von Kontrollmechanismen oft eines Besseren belehrt.

93

Im Rahmen der Überprüfung der Wirksamkeit der Compliance-Richtlinien bietet sich auch die gelegentliche Durchführung eines sog. „ Mock Dawn Raid“ an. Dawn Raids sind unangekündigte Besuche der Polizei, der Finanz-, Aufsichts- oder sonstiger Behörden, z.B. der Generaldirektion Wettbewerb der Europäischen Kommission oder des Bundeskartellamts. Diese Behörden haben die Befugnis, Ermittlungen ohne Vorankündigung („Dawn Raids“) bei Unternehmen in deren Räumlichkeiten durchzuführen. Um auf derartige Überraschungsbesuche richtig vorbereitet zu sein, erstellt die Compliance-Abteilung in der Regel Richtlinien für das Empfangspersonal, die detailliert regeln, wie sich dieses bei einem unangekündigten Besuch einer Behörde zu verhalten hat. Auch für Geschäftsleiter und Manager sowie die Mitglieder der Rechts- und Compliance-Abteilung sollten entsprechende Richtlinien existieren, die sicherstellen, dass das Unternehmen alle Vorkehrungen trifft, die eine potenzielle Ermittlung in einem möglichst geordneten Rahmen ablaufen lassen.

94

Um die Effektivität derartiger Richtlinien zu überprüfen, empfehlen sich „Mock Dawn Raids“, die in glaubhafter Weise den unangekündigten Besuch einer Behörde simulieren. Hierfür können sich dem Empfangspersonal und den lokalen Verantwortlichen unbekannte Mitarbeiter bspw. aus der internen Revision oder dem Audit-Team oder auch externe Anwälte zur Verfügung stellen. Damit kann mit relativ geringem Aufwand festgestellt werden, ob die geltenden Richtlinien und die entsprechenden Schulungsmaßnahmen für das betroffene Personal ausreichend sind oder ob ggf. nachgebessert werden muss. Auch kann ein derartiger „Mock Dawn Raid“ den möglichen Ablauf eines unangekündigten Behördenbesuchs plastisch vor Augen führen, was unter Umständen dazu führt, Situationen, die bislang nicht bedacht wurden, durch verbesserte Richtlinien und Prozesse zu entschärfen.

95

Ebenso wichtig wie der regelmäßige unternehmensinterne Austausch mit der Geschäftsleitung ist für die Compliance-Abteilung, in engem Kontakt mit den für die Geschäftsbereiche des Unternehmens relevanten Behörden zu stehen. Dies sind für die Finanzdienstleister zunächst die einschlägigen Aufsichtsbehörden (in Deutschland die BaFin) in den Ländern, in denen das Unternehmen registriert bzw. tätig ist. Darüber hinaus sind jedoch auch die Kontakte mit den für die jeweiligen identifizierten Risikobereiche zuständigen Behörden (z.B. die EU-Wettbewerbskommission oder die zuständigen Datenschutzbehörden) regelmäßig zu pflegen.