Dr. iur. Martin Nebeling, Carsten Beisheim
Rz. 3
Welche Sachverhalte unternehmensspezifisch im gegebenen Kontext relevant sind, ist im Rahmen eines geordneten Compliance Managements durch ein Compliance Risk Assessment (nachfolgend "CRA") zu ermitteln. Ein CRA ist die systematische Analyse möglicher Compliance-Defizite im Unternehmen. In seiner Ausgestaltung hat es stets den unternehmensspezifischen Gegebenheiten Rechnung zu tragen. Das gilt gleichermaßen für das HR-bezogene CRA.
Jedes CRA folgt einem Standard-Prozess, der mit einer sogenannten Relevanzanalyse beginnt und in der Folge dann zur eigentlichen Risikoidentifikation und -bewertung sowie letztlich zum Reporting führt. Prozessual und haftungsbezogen wichtig – auch mit Blick auf spätere etwaige Compliance Vorfälle, erhobene Vorwürfe und die dann notwendige Verteidigung – ist eine regelmäßige Aktualisierung des CRA und eine Dokumentation der einzelnen Arbeits- und Gedankenschritte.
Die Relevanzanalyse ist eine Ersteinschätzung relevanter Bereiche und Themen hinsichtlich ihres Gefährdungspotentials. Sie stützt sich auf bereits verfügbare interne und auch externe Informationsquellen (Hinweisgebersystem, Internes Kontrollsystem, Pressemeldungen, Risikoberichte, Revisionsprüfungen, Situation bei Wettbewerbern, u.Ä.) und entsprechende Austausche mit Führungskräften und weiteren Knowhow-Trägern. Letztlich führt sie zu ersten, im weiteren Verlauf indes weiter zu hinterfragenden und ggf. neu zu priorisierenden wichtigen Erkenntnissen, wo relevante Compliance-Risiken zu vermuten sind. Generell können als "high-risk areas/topics" im Personalmanagement rechtlich und/oder reputationsbezogen beispielsweise die folgenden Punkte in Betracht kommen und so als abstrakte Risiken identifiziert werden (ungewichtet):
▪ |
Arbeitsentgelt, Entgelttransparenz, Incentivierungen, Mindestlohn |
▪ |
Arbeitsschutz |
▪ |
Arbeitssicherheit, Unfallverhütung |
▪ |
Arbeitszeitvorgaben |
▪ |
Arbeitsüberwachung (Audio, Telekommunikation, Video, etc.) |
▪ |
Arbeitsvertragliche Compliance (Vertragsgestaltung, Befristungen, etc.) |
▪ |
Ausländerrecht, Aufenthalts- und Asylvorgaben |
▪ |
Berufsbildungsvorgaben |
▪ |
Bewerbungs- und Einstellungsprozesse |
▪ |
Compliance-Regelungen und -Richtlinien, Kodizes (Verhaltenskodex, Dienstreisen, Einladungen, Geschenke, IT, Social Media, auch implementierungsbezogen, etc.) |
▪ |
Corporate Social Responsibility |
▪ |
Datenschutz |
▪ |
Diskriminierungsverbot, Gleichbehandlungsgebot |
▪ |
Diversity |
▪ |
Fraud, insbesondere Korruption |
▪ |
Integrität, Compliance-Kultur, Werte, Führungsverhalten |
▪ |
Investigations |
▪ |
Jugendarbeitsschutz |
▪ |
Arbeitnehmerüberlassung, Fremdpersonaleinsatz |
▪ |
Lohnsteuerabführung |
▪ |
Mitarbeiterfluktuation, Unterbesetzung |
▪ |
Mobbing, Stalking |
▪ |
Mutterschutz, Elternzeit |
▪ |
Nebentätigkeiten und Interessenskonflikte |
▪ |
Maßregelungsverbot |
▪ |
Mitbestimmungs- und Beteiligungsrechte |
▪ |
Spenden und Sponsoring |
▪ |
Sozialversicherungsvorgaben, Scheinselbstständigkeit |
▪ |
Schwarzarbeit, illegale Beschäftigung |
▪ |
Schwerbehindertenschutz |
▪ |
Whistleblowing |
Nicht zu verkennen ist, dass Verletzungen der Vorgaben in zahlreichen der vorstehenden Themengebiete durch Normen des Straf- und Ordnungswidrigkeitsrechts sanktioniert sind und vielfach auch schwerwiegende Reputationsschäden bewirken. Der Verfolgungsdruck seitens der zuständigen Behörden und seitens der Medien – wegen der oftmals großen Öffentlichkeitsrelevanz – hat spürbar zugenommen. Häufig stehen zudem Verfall und Einziehung erlangter Vorteile im Raum, was zu hohen wirtschaftlichen Risiken führt. Spezifische zivilrechtliche Haftungsnormen runden das Bild ab.
Die Risikoidentifikation ist vor diesem Hintergrund vom Personalmanagement zusammen mit den möglicherweise in diesem Bereich bereits vorhandenen (Einzel-)Risikoverantwortlichen und der Compliance-Einheit fortzuführen. In dieser späteren Phase sind die konkreten Compliance-Risiken zu identifizieren, etwa mittels Workshops, Interviews und/oder durch die Auswertung von Dokumenten. Die Risiken sind Prozessen zuzuordnen. In diesem Rahmen ist sodann insbesondere zu klären, wo, auf welche Art und Weise und unter welchen Umständen sich erkannte Gefährdungen realisieren können und welche materiellen und immateriellen (insbesondere reputationsbezogenen) Schäden deren Realisierung bewirken kann. Die Analyse geht einher mit einer Risikokategorisierung und leitet über zur Risikobewertung, welche sich zumindest bezieht auf die Eintrittswahrscheinlichkeit und das denkbare Schadensausmaß nach Realisierung. Die Ergebnisse lassen sich in einer Risikolandkarte oder einer sog. Heatmap darstellen und einem Ad-hoc- oder Regel-Reporting und damit auch einer geordneten Überwachung zuführen. Wesentlich ist darüber hinaus der weitere Umgang mit den erkannten Risiken: Aus den gewonnenen Erkenntnissen sind angemessene und wirksame Gegenmaßnahmen zu entwickeln, man differenziert hierbei zwischen ursachenbezogenen Maßnahmen und wirkungsbezogenen Maßnahmen. Mögliche Vorgehensoptionen im Rahmen der Steuerung der Risiken sind im Übrigen grundsätzlich deren Vermeidung oder Verminderung, das Abw...