Kategorien

Trends und Anforderungen der Corporate Compliance 2020


„Noch immer ist es in der Praxis so, dass viele mittelgroße Unternehmen kein strukturiertes und vielfältig integriertes Compliance System aufweisen.“ | ©EtiAmmos/fotolia.com

Ein Compliance-Management-System (CMS) sorgt dafür, dass Gesetze und interne Regularien eingehalten werden. In vielen Unternehmen ist dieses wertvolle Instrument aber längst noch nicht hinreichend wirksam installiert. Mit welchen Herausforderungen Unternehmensleitungen bei der Implementierung eines CMS konfrontiert sind und wie sich ein künftiges Verbandssanktionengesetz auswirken wird, erläutern Jürgen Pauthner und Dr. Nima Ghassemi-Tabar, geschäftsführende Herausgeber der Sonderausgabe von DER BETRIEB Corporate Compliance 2020 – Umsetzung für die Unternehmenspraxis.

DB: Gibt es grundsätzliche Schwerpunkte, auf die sich Compliance-Programme in Unternehmen in aller Regel konzentrieren?

Pauthner/Ghassemi-Tabar: „’In aller Regel‘ gibt es aus unserer Sicht nicht. Noch immer ist es in der der Praxis so, dass viele mittelgroße Unternehmen  kein strukturiertes und vielfältig integriertes Compliance System aufweisen. Im Ausland gilt dies sogar erstaunlich oft auch für recht große Unternehmensgruppen. Meist bestehen Anfänge, Grundansätze, stellenweise Aktivitäten und Bemühungen verschiedener Unternehmensbereiche mit Sachnähe oder Teilkompetenzen für einzelne Themen. Die Wirksamkeit des Ganzen und die ‚Systematik‘, wie aus praktischer, rechtlicher und behördlicher Sicht gefordert, bleibt dabei in der Regel ungeprüft.

Grundsätzlich müssen sich die Schwerpunkte aus dem wirksam ermittelten Risikoprofil ableiten – und zwar in fachgerecht dokumentierter Weise. Rechtlich und praktisch unwirksam wäre ein Aufbau nur nach dem Lehrbuch oder mit Checklisten. Letztere sind im Hinblick auf wirksame Compliance-Systeme bestenfalls für einen ersten Orientierungsansatz geeignet, taugen aber nicht zur Sicherstellung der Wirksamkeit von Compliance Systemen.“

DB: Das bedeutet, dass die Ermittlung der Schwerpunkte höchst individuell erfolgen muss …

Pauthner/Ghassemi-Tabar: „Abstrakt formuliert bedarf es zur Ermittlung notwendiger Schwerpunkte fachgerechter, dokumentierter Risikoidentifikation, -bewertung und -steuerung unter den Grundaspekten der Prävention, Aufdeckung und Reaktion.

Grundsätzlich geht es um alle unternehmensinternen und externen Regeln in rechtlicher und auch ethischer Hinsicht. Die wichtigsten Risikobereiche finden sich in der individuellen ‚Risikolandschaft‘ jedes Unternehmens in den Bereichen größter zu erwartender Schadenshöhen und Schadenshäufigkeiten. Klassische Risikobereiche, die sich in den meisten Unternehmen finden, lassen sich im ‚Code of Conduct‘ finden, welchen die meisten Unternehmen veröffentlichen. Wirkliche ‚Top-Risiken‘ der einzelnen Wirtschaftsperioden wird aufgrund ihrer Haftungsrelevanz natürlich kein Unternehmen veröffentlichen.

Das Kopieren von Codes of Conduct anderer Unternehmen würde übrigens fast zwangsläufig zu einem unwirksamen Compliance System führen und wäre ein Verstoß gegen die Compliance-Organisationspflichten der Unternehmensleitung.“

DB: Wichtigste Grundanforderung an Compliance Systeme aus rechtlicher und praktischer Sicht ist deren Wirksamkeit. Wie kann die Unternehmensleitung denn beurteilen, ob das eigene CMS wirksam ist?

Pauthner/Ghassemi-Tabar: „Die Wirksamkeitsfrage ist für die meisten Unternehmensleitungen nie ganz mit hundertprozentiger Sicherheit zu beantworten. Sie hängt natürlich eng mit den fachgerecht ermittelten Compliance-Risiken zusammen, die wiederum unter anderem auch mit individuellem Verhalten in Beziehung stehen und damit auch subjektive, qualitative Aspekte beinhalten. Zudem gilt für die Wirksamkeit auch das Adäquanzprinzip auf Grundlage der Business Judgement Rule – es müssen also Bemühungen zur Risikokontrolle unternommen werden, die– abstrakt formuliert – eine hinreichende Risikoreduktion mit hinreichender Sicherheit erwarten lassen.

Sofern man die Risiken wirksam eingeschätzt hat, ist eine pragmatische Prüfung der Risikosteuerungsmaßnahmen nach den individuellen Unternehmensverhältnissen die beste Herangehensweise. Die Beurteilung sollte durch erfahrenes Fachpersonal erfolgen, sich auch an den Erfahrungen vergleichbarer Unternehmen orientieren und fachgerecht dokumentiert werden. Audits durch externe Dienstleister können zur Wirksamkeitseinschätzung beitragen, sofern sie auf Sachverstand und Erfahrung und nicht auf Checklisten beruhen.“

DB: Wie können Unternehmen die Kosten für Compliance Systeme nicht nur wirksam, sondern auch effizient gestalten?

Pauthner/Ghassemi-Tabar: „Schlüssel ist auch hierfür die möglichst präzise Risikoidentifikation und -bewertung. Nur dann kann relativ genau ermittelt werden, welche Maßnahmen mit welcher Qualität und in welchem Umfang zur Risikoreduktion erforderlich sind, und welche nicht. Dies vermeidet Ansätze im Sinne von ‚viel hilft viel‘, die meist eher die Wirksamkeit reduzieren und obendrein Kosten verursachen.

Manche Unternehmen arbeiten auch mit Key Performance Indicators (KPIs), um die Effizienz der Arbeit der Compliance Abteilung zu beurteilen. Die Aussagekraft vieler KPIs ist allerdings begrenzt, weil beispielsweise die Durchführung zahlreicher Trainings noch nichts über deren Erforderlichkeit und Wirksamkeit im Hinblick auf die tatsächlichen Risiken aussagt.“

DB: Compliance Systeme und die Risikoprofile von Unternehmen sind komplex. Wie kann die Unternehmensleitung hier ihren Überwachungs- und Steuerungspflichten gerecht werden?

Pauthner/Ghassemi-Tabar: „Kernelemente sind die Auswahl möglichst gut qualifizierten Compliance-Personals, die Einrichtung eines kompetent besetzten Compliance Committees und ein wirksames Reporting System in Bezug auf Risiken, Umsetzungsstand und Performance des Compliance Systems sowie der daran Beteiligten nach qualifizierten KPIs. Periodische und ereignisbezogene ad hoc Berichte sowie externe Einzeleinschätzungen und Audits runden das Bild für die Unternehmensleitung ab.“

DB: Welche Veränderungen im Hinblick auf Compliance-Bemühungen der Unternehmen erwarten Sie durch das Unternehmenssanktionsgesetz?

Pauthner/Ghassemi-Tabar:  „Das derzeit noch in der Gesetzgebungsphase steckende VerSanG sieht bei Gesetzesverstößen an die wirtschaftliche Finanzkraft des Unternehmens angepasste und damit fühlbare Sanktionen vor. Umgekehrt können sich Compliance-Maßnahmen (signifikant) mildernd auswirken. So wird gemäß § 3 Abs. 1 Nr. 2 VerSanG-E eine Sanktion gegen den Verband nur verhängt, wenn das Top-Management den Gesetzesverstoß durch angemessene Vorkehrungen hätte verhindern oder wesentlich erschweren können. Ausweislich der Gesetzesbegründung sind damit vor allem vom Management umgesetzte Compliance-Maßnahmen angesprochen.

Wie VorsRiBGH Dr. Rolf Raum in seinem Beitrag zu Recht darlegt, entspricht die bußgeldmindernde Wirkung wirksamer Compliance-Maßnahmen bereits der derzeitigen Rechtsprechung. Gleichwohl dürfte die gesetzliche Kodifizierung sich nachhaltig auf Compliance-Bemühungen der Unternehmen auswirken. Hinzu kommt, dass die Gerichte gemäß § 13 Abs. 2 VerSanG die Unternehmen nicht nur anweisen können, ganz konkrete Compliance-Maßnahmen umzusetzen, sondern darüber hinaus, deren Wirksamkeit durch ‚Bescheinigung einer sachkundigen Stelle‘ nachzuweisen.“

DB: Vielen Dank für das Interview!

Das Interview führte Viola C. Didier, RES JURA Redaktionsbüro.

 

Mehr zum Thema:

Corporate Compliance Sonderausgabe
In der aktuellen Sonderausgabe „Corporate Compliance“ von DER BETRIEB berichten Vorstände und Compliance-Experten aus namhaften Unternehmen, Anwalt- und Beraterschaft sowie aus Wissenschaft und Justiz in 23 Beiträgen auf 88 Seiten über brisante Compliance-Kernthemen.

 


Top