Martin Walter - Hinweisgebersysteme

82

Ziel der Risikoanalyse ist es nicht nur, die wesentlichen Risiken zu identifizieren, sondern darauf aufbauend entscheiden zu können, wo die vorhandenen Ressourcen am sinnvollsten eingesetzt werden müssen, um effektiv die Risiken des Unternehmens zu reduzieren bzw. zu minimieren.

83

Unternehmen sind lebende Organismen. Eine Risikoanalyse kann jeweils nur den Zustand zu einem bestimmten Zeitpunkt erfassen und ist daher regelmäßig zu wiederholen.[10] In welchem Abstand dies zu erfolgen hat, steht zu einem gewissen Grad im Ermessen des Unternehmens. Je nach Risikoexposition und struktureller Veränderungen im Unternehmen, ist generell ein Zeitraum von 1-3 Jahren für die Wiederholung der Risikoanalyse angemessen.

[1]

ISO 19600, 4.6 Identification, analysis and evaluation of compliance risks, S. 38 ff.; ISO 37001:2016(E), 4.5 Bribery risk assessment, S. 7; DOJ Evaluation of Corporate Compliance Programs in Criminal Antitrust Investigations, I. B. 4. Risk Assessment, S. 7, f.; ICC, The ICC Antitrust Compliance Toolkit, April 2013, 3. Risk identification and assessment, S. 16 ff.; US DOJ, Evaluation of Corporate Compliance Programs, 4. Risk assessment, S. 7 f.

[2]

Hauschka/Moosmayer/Lösler/ Pauthner/Stephan Corporate Compliance, § 16 Rn. 69.

[3]

Wiedmann/Greubel CCZ 2019, 88, 90; Bürkle BB 2018, 525, 526.

[4]

Vgl. Sonnenberg JuS 2017, 917, 919 f.

[5]

Hauschka/Moosmayer/Lösler/ Pauthner/Stephan Corporate Compliance, § 16 Rn. 57 ff.

[6]

Hauschka/Moosmayer/Lösler/ Pauthner/Stephan Corporate Compliance, § 16 Rn. 81 ff.

[7]

Moosmayer Compliance, Rn. 73 ff.

[8]

Hauschka/Moosmayer/Lösler/ Pauthner/Stephan Corporate Compliance, § 16 Rn. 83.

[9]

Hauschka/Moosmayer/Lösler/ Pauthner/Stephan Corporate Compliance, § 16 Rn. 111 ff.

[10]

Wiedmann/Greubel CCZ 2019, 88, 89, 92; Hopson/Graham Koehler CCZ 2008, 208, 213.

2. Kapitel Grundprinzipien eines Compliance Management Systems› II. Der Weg zu einem effektiven Compliance Management System› 3. Richtlinien und Kontrollen

84

Der Verhaltenskodex(Code of Conduct oder Code of Ethics) enthält die richtungsweisenden Vorgaben.[1] Kurz gesprochen, enthält er unter anderem das Verbot, Geschäftspartner oder Amtsträger zu bestechen oder sich wettbewerbswidriger Mittel zu bedienen, um den Umsatz zu steigern und den Schutz von Daten von Mitarbeitern und Kunden zu gewährleisten.[2] Ist das Verbot von Bestechung häufig auch in der Laiensphäre in der Regel nachvollziehbar, sind die Verbote im Bereich des Kartell- und Wettbewerbsrechts nicht ohne weiteres verständlich. Gleiches gilt für andere komplexe Materien, wie den Datenschutz. Steht auf Basis der Risikoanalyse fest, welche Risikobereiche im Unternehmen bestehen, bedarf es Richtlinien und Vorgaben, wie die Prozesse rund um die identifizierten Risiken zu steuern sind.[3]

85

Um die entsprechenden Vorgaben zu entwickeln, verwenden Unternehmen häufig eine Mischung aus normativ geprägten und prozessorientierten Vorgaben. Normative Vorgaben funktionieren ähnlich wie Gesetze und stellen allgemeine Verbote oder Gebote auf. Ähnlich einem Gesetz, muss der Mitarbeiter diese abstrakten Vorgaben in der konkreten Situation selbst interpretieren und anwenden. Weil hierdurch das Risiko entsteht, dass nicht jeder Mitarbeiter die entsprechenden Vorgaben in der einzelnen Situation richtig versteht, gehen Unternehmen zunehmend dazu über, Richtlinien prozessorientiert auszurichten. Das bedeutet, dass sie aufbauend auf den im Rahmen der Risikoanalyse identifizierten Risikoszenarien Prozesse niederlegen, die Vorgaben enthalten, wie mit Compliance-relevanten Situationen umzugehen ist. Praktische Beispiele sind hierbei vor allem die Prüfung von Geschäftspartnern oder Prozessen rund um das Thema Wettbewerberkontakte, etwa bei Verbandstreffen, oder Sanktionsprüfungen.[4] Mit Blick auf die zunehmende Digitalisierung der Compliance-Arbeit, haben Compliance-Organisationen durch diesen Ansatz weitere Möglichkeiten der Kontrolle.[5] Die einmal definierten Prozesse lassen sich mittlerweile recht einfach digitalisieren.[6] Dies erlaubt es den Unternehmen nicht nur rückblickend, manuelle Kontrollen auszuführen, sondern diese digital und präventiv zu steuern. So wird ein Geschäftspartner zum Beispiel nur dann freigegeben, wenn der Vertriebsmitarbeiter die notwendige Prüfung erfolgreich abgeschlossen hat. Anderenfalls können Zahlungen an diesen Geschäftspartner nicht ausgelöst werden. Unternehmen können zudem Mitarbeitern über Apps bestimmte Prozesse an die Hand geben, um sicherzustellen, dass es beispielsweise im Zusammenhang mit Verbandstreffen nicht zu wettbewerbswidrigen Absprachen kommt.

86

Wie viele einzelne Richtlinien und Prozesse Unternehmen einführen, liegt im Ermessen der Geschäftsleitung bzw. Compliance-Organisation. Wichtig ist, dass die implementierten Richtlinien die wesentlichen Risiken, die im Rahmen der Risikoanalyse erfasst wurden, abdecken. Zu den wesentlichen Richtlinien gehören: Anti-Korruptionsrichtlinien, Kartellrichtlinien, Geldwäscherichtlinien, Richtlinien zu Exportkontrolle und Sanktionen, Datenschutzrichtlinien und Richtlinien zu Interessenkonflikten. Als Unterfall zur Anti-Korruptionsrichtlinie haben viele Unternehmen eine gesonderte Richtlinie zur Prüfung von Drittparteien (Third Party Due Diligence)[7].

87

Die Richtlinien und Handlungsanweisungen sollten derart ausgestaltet sein, dass die Anwender in den einzelnen Abteilungen wissen, welche Schritte sie unternehmen dürfen oder müssen, um die Risiken zu reduzieren. Hilfreich ist es, wenn die Compliance-Organisation nach Fertigstellung einer Richtlinie oder eines Prozesses diese oder diesen zunächst selbst durchspielt, um zu evaluieren, ob die Anwender damit zurechtkommen werden. Die operativen Einheitensind im „Modell der drei Verteidigungslinien“ („Three Lines of Defense“-Modell)[8] die sogenannte 1st line of defense.[9] Die zuständigen Abteilungsleiter, etwa im Vertrieb, sind für die Risiken innerhalb ihres Zuständigkeitsbereichs verantwortlich („risk owner“).[10] Es ist ihre Aufgabe dafür Sorge zu tragen, dass sich die geschäftsinhärenten Risiken nicht realisieren. Tragen die einzelnen Abteilungen das Risiko, so ist es gleichzeitig Aufgabe der Compliance-Organisation, den Mitarbeitern verständliche Anweisungen an die Hand zu geben, um in ihrem jeweiligen Zuständigkeitsbereich die Risiken zu minimieren.

88

Im Rahmen der Implementierung von Richtlinien und Prozessen im internationalen Kontext sollten Compliance-Organisationen berücksichtigen, welche lokalen Vorgaben es gibt, damit die Richtlinien rechtlich wirksam werden können. Die rechtliche Landschaft ist insofern sehr divers. Einige Länder verlangen, dass die Richtlinien übersetzt und an die lokale Gesetzgebung angepasst werden. In anderen Ländern muss vor Verabschiedung der Richtlinie der Betriebsrat eingebundenwerden oder die Richtlinie ist durch die Geschäftsleitung selbst zu unterzeichnen.[11] Der letzte Aspekt bei der Implementierung von Richtlinien ist deren Verteilung im Unternehmen. Internationale Behörden erwarten zunehmend, dass die Verteilung von Richtlinien dokumentiert ist.[12] Daher reicht es häufig nicht mehr aus, diese schlicht per E-Mail an alle Mitarbeiter zu verteilen. Auch hier stehen mittlerweile technische Möglichkeiten zur Verfügung, damit die betreffenden Mitarbeiter digital bestätigen können, dass sie die auf sie anwendbaren Richtlinien erhalten und gelesen haben.