Jörg Ekkenga, Dr. Andreas Kramer
Rechtliche Fragen
Das Ergebnis einer Compliance-Risikoanalyse wirft die Frage auf, ob man sich mit der Dokumentation von Compliance-Risiken nicht der Gefahr der Selbstbeschuldigung aussetzt. Besteht also die Gefahr, dass die dokumentierten Erkenntnisse darüber, dass in bestimmten Unternehmensbereichen Compliance-Verstöße möglich sind, von einem Richter negativ gewürdigt werden könnten? Hiermit indirekt verbunden ist die Frage, ob das Anwaltsprivileg für den internen Hausjuristen gilt, wenn dieser die Risikoanalyse begleitet hat.
Ohne an dieser Stelle eine rechtliche Würdigung vornehmen oder auf bestehende Rechtsprechung verweisen zu wollen, ist unserer Meinung nach die systematische Identifizierung und Bewertung von Compliance-Risiken unkritisch. Auch im klassischen Risikomanagement werden bestandsgefährdende Risiken identifiziert, ohne dass dies juristische Konsequenzen hätte (wie z. B. die Einberufung der Hauptversammlung bei Aktiengesellschaften bei Verlust der Hälfte des Eigenkapitals, § 92 Abs. 1 AktG).
Handeln, nicht untätig bleiben
Kritischer ist dies jedoch zu sehen, wenn aufgrund von Untätigkeit die Compliance-Gefährdung über längere Zeit fortbesteht und es dann tatsächlich zu einem Compliance-Verstoß kommt. Dann könnte die rechtliche Würdigung des Falles berücksichtigen, dass die Gefahr eines Compliance-Verstoßes über einen langen Zeitraum bekannt war, aber das Management trotzdem untätig geblieben ist.
Daher erfordert das dokumentierte Ergebnis einer Risikoanalyse zwingend Handlungen vom Management. Insofern verhält es sich hier wie mit der Büchse der Pandora: Wenn die Compliance-Risiken bekannt sind, müssen auch entsprechende Handlungen folgen. Somit ist die Ableitung von Maßnahmen zur Bekämpfung von Compliance-Risiken der entscheidende Teil der Compliance-Risikoanalyse.
Maßnahmen haben überwiegend präventiven Charakter
Die Maßnahmen, die aus einer Compliance-Risikoanalyse abgeleitet werden, haben überwiegend präventiven Charakter, da es darum geht, Compliance-Verstöße in Zukunft zu verhindern und nicht bereits eingetretene Verfehlungen zu behandeln. Die Maßnahmen können allgemeinen Charakter haben, wie z. B. die Durchführung von speziellen Schulungen, oder es handelt sich um zielgerichtete Prozessverbesserungen, wie die Einführung einer Kontrolle im Einkauf.
Maßnahmen und Kontrollen, die operative Geschäftsprozesse betreffen, liegen i. d. R. in der Verantwortung der entsprechenden Führungskräfte des Geschäftsbereichs. Eine Compliance-Abteilung, die i. d. R. als Stabsstelle aufgestellt ist, hat nicht die disziplinarische Autorität, Abläufe in einem Geschäftsbereich zu verändern. Sie kann lediglich Empfehlungen aussprechen, die aber das verantwortliche Management umsetzen muss.
Klare und eindeutige Verantwortlichkeiten festlegen
Allgemein präventive Maßnahmen, wie Compliance-Schulungen oder das Erlassen von entsprechenden Richtlinien, können durchaus von der Compliance-Organisation veranlasst werden. Hierzu muss die Geschäftsführung sie entsprechend autorisieren. Unsere Erfahrungen zeigen, dass Maßnahmen häufig zu abstrakt, ohne klare Verantwortlichkeit und ohne zeitliche Frist formuliert werden. Dies führt dazu, dass zwar die richtigen Verbesserungen identifiziert, aber oftmals nicht zeitgerecht umgesetzt werden.
Wir empfehlen daher, klare und eindeutige Verantwortlichkeiten festzulegen. Verantwortung sollte nach Möglichkeit nicht geteilt werden, damit ein Verweisen auf den jeweils anderen nicht möglich ist. Ferner sollte ein simpler Meilensteinplan verabredet werden, damit eine zeitgerechte Umsetzung sichergestellt werden kann. Zudem sollte ein festes Budget für die jeweilige Maßnahme festgelegt werden. Aus betriebswirtschaftlichen Gründen müssen die Kosten einer Maßnahme in einem angemessenen Verhältnis zum Risiko stehen, da es nicht lohnend ist, jedes Risiko mit Maßnahmen zu belegen, wenn diese zu kostspielig sind.