Karl Würz, Dr. Reinhard Preusche
Hieran können sich dann Berichterstattung und Beschlussfassung zu fach- und funktionsübergreifenden Compliance-eigenen Unterstützungs- und Kontrollprozessen anschließen.
Das beginnt mit dem Konsequenzenmanagement. Feststellungen über Compliance-Ereignisse im Feedback-Verfahren führen zur Frage nach den Folgen für Verfahren oder Personen. Hierbei sollte man unterscheiden zwischen
- internen Konsequenzen, wie Beratung, Personalgespräch, arbeitsrechtlichen Maßnahmen, und
- der Einschaltung Externer (in der Regel Aufsichts- oder Strafverfolgungsbehörden). Die Entscheidung über die Einschaltung externer Dritter wird im Regelfall bei der Geschäftsleitung, nicht beim Compliance-Beauftragten oder der Risiko- und Compliance-Koordinationsgruppe liegen. Allerdings sollte der Compliance-Beauftragte an solchen Entscheidungen mitwirken.
Kommunikationsthemen sind schon im Normalbetrieb ein wesentlicher Faktor für die Compliance-Kultur Ihres Unternehmens. Bei Compliance-Störfällen/-anlässen sind Kommunikationsmaßnahmen gegenüber Mitarbeitern, Geschäftspartnern, Behörden und der Öffentlichkeit unverzichtbarer Teil des Krisen- und Konsequenzenmanagements. Hier sind Spannungsverhältnisse zwischen Anforderungen aus Kommunikationssicht und Handlungsempfehlungen unter juristischen Gesichtspunkten vorgezeichnet:
- Der Rechtsberater warnt, sich voreilig und auf Basis möglicherweise unrichtiger Informationen festzulegen.
- Der Kommunikationsprofi drängt wegen des öffentlichen Meinungsdrucks auf eine schnelle Stellungnahme.
In der RICKO-Arbeitsgruppe oder einem bei ihr angesiedelten Sonderteam für das Ereignismanagement können beide Überlegungen unter einen Hut gebracht werden. Compliance-erfahrene Kommunikationsprofis haben hierzu Lösungsmuster entwickelt.
Die Verantwortung für Schulung und Training liegt in Unternehmen typischerweise gemeinsam bei der Personalabteilung (Umsetzung) und den Fachabteilungen (Inhalt). In der RICKO-Gruppe sind Schulungen zu Compliance- oder Risikomanagement-Themen zu behandeln. Bezüglich der Compliance-Schulungskonzepte ist zu überlegen, welche Themen abteilungsübergreifend aufgenommen werden sollen und in welchen Fällen eine abteilungsbezogene Ausrichtung vorgesehen ist. Beide Vorgehensweisen haben Vor- und Nachteile. Abteilungsübergreifende Schulungen, etwa zu Verhaltenskodex, Interessenkonflikten, Geschenken und Einladungen, Verhinderung von Korruption oder unzulässigen Wettbewerbsbeschränkungen, vermitteln Grundlagenkenntnisse und schaffen ein Gefühl für Fragestellungen anderer Abteilungen. Fachbezogene Gestaltungen, wie z. B. Compliance im Vertrieb oder Einkauf, ermöglichen eine Vertiefung und Verknüpfung mit den Prozessen der Fachabteilung. Weiterhin unterscheiden sich Schulungsinhalte und Vorgehensweisen je nachdem, ob Schulungen sich an alle Mitarbeiter oder an Führungskräfte richten. Wir haben den Eindruck, dass Präsenztrainings für Führungskräfte intensiver werden, wenn die Teilnehmer aus verschiedenen Teilen des Unternehmens kommen. In Workshops und Spielsituationen können Compliance-Inhalte anders vermittelt werden als mit E-Learning-Modulen oder schriftlichen Unterweisungen. In der Sitzung der Koordinationsgruppe berichten die Schulungsverantwortlichen über Schulungsplanung und erfolgte Schulungsmaßnahmen. Diese Berichte dienen dann gleichzeitig als Grundlage für die Wirksamkeitskontrolle des CMS.
Beratung hat für das Compliance-Management eine besonders wichtige Bedeutung. Rechtzeitige Hilfestellung in Zweifels- oder Problemfällen kann verhindern, dass aus kleinen Fehlern große werden. Mitarbeiter, die auf Compliance-Probleme hinweisen wollen, müssen auf Unterstützung im Unternehmen vertrauen können. Hinter Beratungsfragen verstecken sich nicht selten Hinweise auf Compliance-Risiken. Für die Behandlung in der Koordinationsgruppe unter dem Tagesordnungspunkt "Beratung" geht es typischerweise um eine statistisch ausgerichtete Berichterstattung. Beratungsfälle mit besonderer Bedeutung sollten bereits unter dem Stichwort "Compliance-Feedback" erörtert worden sein.
Das Thema Kontrollen dürfte für mittelständische Unternehmen in der Regel schon deshalb eine besondere Rolle spielen, weil sie häufig nicht über die bei Großunternehmen üblichen besonderen Prüf- oder Kontrollfunktionen verfügen, wie z. B. eine Revisions- oder Risikomanagementabteilung. Das muss kein Nachteil sein. Kleinere Unternehmen sind leichter zu überschauen und eher von persönlicher Zurechenbarkeit geprägt, als das bei Großunternehmen der Fall sein mag.
Das von uns für mittelständische Unternehmen empfohlene Kontrollkonzept verzichtet deshalb auf sprachliche Unterscheidungen zwischen Monitoring, Prüfung und Kontrollen, ebenso wie auf eine Differenzierung nach verschiedenen Kontrollstufen. Inhaltlich sieht es interne Kontrollen durch neutrale, fachlich nicht unmittelbar verantwortliche Führungskräfte vor. Die betreffenden Risikofelder und Themengebiete sind aufgrund der Resultate der Gefährdungsanalysen für das Unternehmen festzulegen. Ferne...