Martin Walter - Hinweisgebersysteme

75

Die primäre Verpflichtung zur Einführungeines effektiven CMS trifft die Geschäftsleitung.[4] Sie darf aber die eigenen Pflichten teilweise delegieren, vor allem im alltäglichen Geschäft. Eine Delegation kann aber nur dann wirksam sein, wenn ausreichend Ressourcen und Befugnisse zur Verfügung stehen. Es gibt allgemein relativ wenig belastbare Zahlen darüber, wie viel Compliance auf eine bestimmte Unternehmensgröße entfallen sollte. Der Pflichtenkatalog einer Compliance-Organisation ist relativ lang. Je nach Industrie oder geographischer Ausbreitung können zusätzliche Pflichten hinzukommen. Die Compliance-Organisation sollte so aufgestellt sein, dass sie diesen Pflichten tatsächlich nachkommen kann und auch bei Ausfällen, etwa durch Krankheit, noch ausreichend Ressourcen zur Verfügung stehen, um den ordentlichen Geschäftsbetrieb der Compliance-Organisation zu gewährleisten. Internationale Standards verlangen auch, dass die Mitglieder der Compliance-Organisation für ihre Tätigkeit angemessen vergütet werden.[5] Die Angemessenheit richtet sich hierbei vor allem nach der Vergütung vergleichbarer Positionen im Konzern.

76

Der letzte Aspekt sind die Berichtslinien.[6] Es muss sichergestellt sein, dass etwa lokale Compliance-Verantwortliche in ausländischen Tochtergesellschaften – jedenfalls auch – direkt an die zentrale Organisation in der Konzernzentrale berichten. Eine zweite, direkte Berichtslinie muss zwischen der zentralen Compliance-Organisation, etwa dem Chief Compliance Officer, und der Geschäftsführung bestehen. Um eine wirksame Delegation zu gewährleisten, sollte sich die Geschäftsführung regelmäßig von der Compliance-Organisation zu den wesentlichen Entwicklungen Bericht erstatten lassen.

[1]

US DOJ/US SEC, A Resource Guide to the US Foreign Corrupt Practices Act, Chapter 5, Hallmarks of Effective Compliance Programs, S. 57 ff.; ISO 19600, Chapter 5. Leadership, S. 47-54.

[2]

Auch in: US DOJ, Evaluation of Corporate Compliance Programs in Criminal Antitrust Investigations, April 2019, I. B. 2. Culture of Compliance, S. 5-6; ISO 37001:2016 (E), 5. Leadership, S. 8-9.

[3]

Vgl. Moosmayer Compliance, Rn. 180.

[4]

Für Deutschland beispielhaft LG München I NZG 2014, 345.

[5]

US DOJ, Evaluation of Corporate Compliance Programs in Criminal Antitrust Investigations, Juli 2019, I. B. 3. Responsibility for the Compliance Program, S. 6 f.

[6]

Fleischer CCZ 2008, 1, 6; US DJ, Evaluation of Corporate Compliance Programs in Criminal Antitrust Investigations, Juli 2019, I. B. 3. Responsibility for the Compliance Program, S. 6; Hauschka/Moosmayer/Lösler/ Klahold/Lochen Corporate Compliance, § 3 Rn. 52-57.

2. Kapitel Grundprinzipien eines Compliance Management Systems› II. Der Weg zu einem effektiven Compliance Management System› 2. Risikoanalyse

77

Die oben genannten internationalen Standards bieten eine gute Hilfestellung um die wesentlichen Bestandteile eines CMS für die einzelnen Rechtsgebiete zu ermitteln.[1] Naturgemäß können diese Standards nur sehr allgemeine Vorgaben zur Verfügung stellen, die weder die Industrie, die Größe, noch die internationale Ausbreitung eines Unternehmens berücksichtigen.[2] Damit ein CMS effektiv sein kann, muss es aber bei den geschäftsinhärenten Risiken des Unternehmens ansetzen.[3] Haben etwa Unternehmen in der Öl- und Gasindustrie keine Prozesse und Sicherungen, um zu gewährleisten, dass bei dem Erwerb von Bohrrechten kein rechtswidriges Handeln die Vergabe beeinflusst, helfen dem Unternehmen auch die sorgfältigsten Register für Einladungen und Geschenke nicht dabei, eine Geldbuße abzuwenden.[4]

78

Zu der Art und Weise, wie eine Risikoanalyse durchgeführt werden sollte, gibt es diverse Ansätze und Methoden. Der kosteneffizienteste und schnellsteAnsatz ist eine sogenannte Top-Down-Analyse. Diese beschränkt sich darauf, Gespräche mit der obersten Führungsebene und den Leitern von risikorelevanten Unternehmensbereichen zu führen.[5] Bei diesen Gesprächen lassen sich in der Regel wertvolle Hinweise darauf gewinnen, wo in der Organisation möglicherweise Risiken verborgen sein können. Die Schwächedieses Ansatzes ist der Umstand, dass die Geschäftsleitung in der Konzernzentrale häufig nicht alle Risiken in den einzelnen Konzerngesellschaften kennt. Eine (zusätzliche) detaillierte Analyse der Risiken in den lokalen Gesellschaften ist daher präziser, aber auch deutlich kostenintensiver. Damit nicht erhebliche Ressourcen und Zeit aufgewendet werden, um teils dutzende lokale Gesellschaften zu prüfen, stehen mittlerweile innovative Ansätze zur Verfügung. Diese sammeln sowohl das lokal vorhandene Wissen, als auch die dort vorhandenen Daten, korrigieren diese und bewerten sie auf Basis einer juristischen Prüfung.

79

Besonders in der Finanzindustrie haben sich mittlerweile feste Standards etabliert, um festzustellen, wie die Risiken in einem Konzern erfasst werden sollen. Diese Ansätze liefern für Unternehmen außerhalb des Finanzsektors wertvolle Hinweise, wie Risiken in Unternehmen effektiv erfasst werden können. Gleichzeitig müssen diese Ansätze für die übrigen Industrien adaptiert werden, weil häufig die Prozesse der übrigen Industrien nicht den Standards der Finanzindustrie entsprechen. Die im Finanzsektor etablierte Prozessrisikoanalyse ist beispielsweise dort nur möglich, weil alle relevanten Prozesse in Banken kartographiert sind. Für den Fall, dass keine umfassenden Prozessbeschreibungen vorhanden sind, müssten diese zunächst mit hohem Aufwand erstellt werden, bevor eine Risikoanalyse wirksam umgesetzt werden kann.

80

Die Risikoszenarioanalyse arbeitet mit bestimmten Szenarien und analysiert mit welcher Wahrscheinlichkeit bestimmte Risikoszenarieneintreten können und welche finanziellen Auswirkungen der Eintritt haben kann. Auch dieser Ansatz ist nur schwer in Industrien außerhalb des Finanzsektors umzusetzen. Die Einschätzung, mit welcher Wahrscheinlichkeit ein Szenario eintritt und welche Konsequenzen dies haben kann, erfordert ein hohes Maß an Kenntnis der entsprechenden Risiken und regulatorischen Rahmenbedingungen. Häufig fehlt das Wissen über belastbare Informationen zu der möglichen Schadenshöhe. In solchen Fällen würde das Unternehmen aber Gefahr laufen, die Risikoanalyse aufgrund einer unsicheren Datenbasis durchzuführen.

81

Die bislang effizienteste Vorgehensweise, um die Risiken in einem Unternehmen außerhalb der Finanzindustrie zu prüfen, ist die Risikofaktorenanalyse.[6] Dabei werden aufgrund von Erfahrungswerten, auch mit Blick auf die internationalen Standards, Risikofaktoren definiert, die das Risiko erhöhen, dass in bestimmten Bereichen rechtswidriges Handeln im Unternehmen vorkommen kann. Hierzu gehören etwa im Bereich der Anti-Korruption die Analyse, in welchem Umfang das Unternehmen Geschäfte mit staatlichen Institutionen oder Organisationen betreibt, in welchem Umfang es auf Vertriebsmittler oder sonstige Dritte zurückgreift, um Geschäft zu akquirieren oder etwa ob es Bargeldzahlungen in lokalen Tochtergesellschaften gibt.[7] Auch die wirtschaftliche Größe und der geographische Tätigkeitsbereich einer lokalen Gesellschaft sind wichtige Faktoren, um das Gesamtrisiko des Konzerns bemessen zu können.[8] Die einzelnen Risikofaktoren lassen sich im zweiten Schritt zu Risikoszenarien bündeln, wie beispielsweise die Bestechung von Amtsträgern (mit oder ohne konkretem Geschäftsbezug) oder die Bestechung im geschäftlichen Verkehr oder horizontale und vertikale Kartellrisiken.[9]