The ICC Antitrust Compliance Toolkit, April 2013, 1. e. Ongoing and sustained senior management commitment, S. 8; Moosmayer Compliance, Rn. 144 ff.
2. Kapitel Grundprinzipien eines Compliance Management Systems › II. Der Weg zu einem effektiven Compliance Management System › 5. Überwachung und Revision
5. Überwachung und Revision
92
Das für Unternehmen häufig herausfordernde Element eines CMS ist die ausreichende Überwachung und Revision der Compliance-Themen.
93
Überwachung bedeutet hier, dass eine zuständige Stelle in der Zentralabteilung aber auch in der lokalen Compliance-Organisation dafür zuständig ist, regelmäßig zu prüfen, ob die Vorgaben, die in den Richtlinien und Handlungsanweisungen niedergelegt sind, eingehalten werden:[1] Diskutiert die Geschäftsleitung regelmäßig Compliance-Themen in ihren Besprechungen? Sind die aktuellen Versionen der anwendbaren Richtlinien in der lokalen Gesellschaft verteilt? Haben alle neu eingestellten Mitarbeiter die wesentlichen Compliance Schulungen absolviert? Wurden alle Geschäftspartner überprüft, bevor der Vertrieb mit ihnen eine Geschäftsbeziehung einging? Wurden die entsprechenden Vertragsmuster für die Handelsvertreterverträge verwendet?[2]
94
Auf Ebene der „zweiten Verteidigungslinie“ (2nd line of defense) finden die operativen Kontrollen statt. Dies ist vor allem das Betätigungsfeld der Unternehmensbereiche „Risikomanagement“, „Compliance“, „IT-Security“ etc. Die Überwachung, dass die vorhandenen Richtlinien und Handlungsanweisungen eingehalten werden, ist dabei Aufgabe der Compliance-Organisation. Die „dritte Verteidigungslinie“ (3rd line of defense) stellt als objektive und unabhängige Prüfungs- und Beratungsinstanz die Interne Revision dar. Die Interne Revision unterstützt in dieser Funktion Unternehmensleitung, operatives Management und Überwachungsinstanzen. Sie soll der Unternehmensleitung die Gewähr dafür bieten, dass die Risiken wirksam erkannt, bewertet und gesteuert werden. Durch die Interne Revision werden insbesondere Effektivität und Effizienz der beiden vorgelagerten Verteidigungslinien bewertet. Sie bildet eine unabhängige Einheit, die nicht mit den vorgelagerten Stufen verwoben ist. Zum Aufgabenbereich der Internen Revision gehört auch die Überprüfung der Compliance-Funktion.[3] Zwischen der Internen Revision und der Compliance-Funktion sollte ein reger Austausch stattfinden, damit zum einen die vorhandenen Ressourcen möglichst effizient genutzt werden und damit zum anderen die Compliance-Organisation aus den Erkenntnissen der Internen Revision ggf. erforderliche Verbesserungsmaßnahmen entwickeln kann.
Anmerkungen
Vgl. Mössner/Reus CCZ 2013, 54, 59.
Moosmayer Rn. 286 ff.
Vgl. Hauschka/Moosmayer/Lösler/Obermayr Corporate Compliance, § 44 Rn. 117.
2. Kapitel Grundprinzipien eines Compliance Management Systems › II. Der Weg zu einem effektiven Compliance Management System › 6. Reaktion auf Verstöße und Nachhaltigkeit
6. Reaktion auf Verstöße und Nachhaltigkeit
95
Teil des Elements Reaktion und Nachhaltigkeit ist die Einführung eines Hinweisgebersystems, denn eine Reaktion auf Missstände ist nur möglich, wenn diese ans Licht kommen und beseitigt werden.[1] Ein effektives Hinweisgebersystem ist eine der wirkungsvollsten Möglichkeiten, um dies zu gewährleisten. Dafür ist entscheidend, dass das Hinweisgebersystem von den Mitarbeitern positiv angesehen wird. Basis für die erfolgreiche Einführung des Hinweisgebersystems ist daher eine an der jeweiligen Unternehmenskultur orientierte Kommunikationsstrategie und vorherige Einbindung der internen Stakeholder, um eine positive Aufnahme bei den Mitarbeitern zu gewährleisten und eine schädliche Fehlinterpretation als ein „System der Anschwärzung“ oder gar „Bespitzelung“ zu vermeiden.[2]
96
Von Unternehmen wird erwartet, dass sie auf Missstände adäquat reagieren und die Schwächen im System beheben, die sich durch die Aufklärung und eine regelmäßige Überprüfung des Compliance Management Systems ergeben.[3]
97
Unternehmen sollten klare Prozesse haben, wie sie mit Verdachtsmomenten für Fehlverhalten umgehen. Wer untersucht die Verdachtsmomente? Welcher Umfang und welche Prüftiefe sind erforderlich, um dem Problem auf den Grund zu gehen? Wie sollte das Unternehmen mit der Situation umgehen, wenn sich die Verdachtsmomente erhärten? Einen Standardweg gibt es hier nicht. Was Behörden von Unternehmen allerdings verlangen ist, dass sie konsequent handeln, wenn sich die Verdachtsmomente bestätigen.[4] Dann muss das Unternehmen sorgfältig prüfen, ob personelle Konsequenzen erforderlich sind und welche organisatorischen Maßnahmen dafür sorgen können, dass sich das Fehlverhalten nicht wiederholt.[5] Die Anforderungen der Behörden gehen teilweise sogar soweit, dass Unternehmen das aufgedeckte Fehlverhalten in abstrakter Art und Weise zum Gegenstand von Compliance Schulungen machen sollen. So soll sichergestellt werden, dass die relevanten Mitarbeiter wissen, welches Verhalten, das in ihrem Arbeitsumfeld bereits vorgekommen ist, unter keinen Umständen toleriert wird.
98
Neben der adäquaten Reaktion auf identifiziertes Fehlverhalten müssen Unternehmen auch dafür Sorge tragen, dass sich ihr Compliance Management System den Veränderungen im Unternehmen anpasst.[6] Viele Industrien sind aktuell einem raschen Wandel unterzogen. Insbesondere die Digitalisierung hat dafür gesorgt, dass viele Unternehmen sich von einem Produzenten physischer Produkte hin zu Servicedienstleistern entwickelt haben. Das kann dazu führen, dass die Risiken in bestimmten Bereichen sinken, dass aber Themen wie Cyber-Security oder Datenschutz an anderer Stelle erheblich zunehmen. Das Compliance Management System muss daher so ausgestaltet sein, dass es die anstehenden Veränderungen erfasst und frühzeitig die neuen Risiken identifiziert und entsprechende Maßnahmen und Kontrollen einführt.[7]
Anmerkungen
ISO 19600, 10.1.2 Escalation, S. 119 ff.; ISO 27001:2016 (E), 8.9 Raising concerns, S. 17 f.; ICC, The ICC Antitrust Compliance Toolkit, April 2013, 5. c. Whistleblowing, S. 34 ff.
ICC, The ICC Antitrust Compliance Toolkit, 5. d. Communicate, educate and create a culture of speaking up, S. 37; vgl. auch Menner/Bexa CCZ 2019, 129, 131.
