Aufsichtsrat zu erleichtern, anstatt ihn diesbezüglich „kurz zu halten“ oder sich gar hinter einem –lediglich formalen und zu kurz greifenden – Argument zu verstecken, dass ja nur die Geschäftsleitung mit dem Aufsichtsrat kommunizieren dürfe.
13
Als „Bergetappe“ bei der nachhaltigen Verankerung des Compliance-Gedankens im Unternehmen darf die Mission gelten, compliance-geneigte Anreize bei der Entlohnung und den unternehmensinternen Aufstiegsmöglichkeiten und Karrierewegen zu schaffen. Wenn sich erst einmal herumspricht, dass variable Vergütungsbestandteile auch an Compliance-Ziele geknüpft werden und dass, wer aufsteigen will, zumindest eine Zeitlang und zumindest in einer Nebenfunktion (etwa als Compliance-Beauftragter einer Landesgesellschaft oder einer Produktsparte) sich um Compliance gekümmert haben muss, so wird dies seine steuernde und bewusstseinsbildende Wirkung nicht verfehlen. Auch dieser Aufgabe muss sich die Unternehmensleitung stellen, mag sie die Umsetzung dann auch in die bewährten Hände der Personalabteilung legen können.
14
Auch den richtigen Chief Compliance Officer zu finden, zu rekrutieren und zu halten, ist ohne Zweifel „Chefsache“. Das ist anspruchsvoll, aber notwendig. Hier zeigt sich auch, aus welchem Holz Geschäftsleitung (und Aufsichtsorgane) geschnitzt sind. Der CCO, eine fachlich starke, menschlich integre, gereifte Persönlichkeit mit Berufs- und Lebenserfahrung darf gerade kein bequemer Zeitgenosse sein. Er muss das Unternehmen gut kennen(lernen), im Zweifel auch „überall dabei sein“ und muss doch stets Abstand wahren.14 Bei der Kandidatenkür muss hier sicherlich mancher Unternehmensleiter über seinen Schatten springen und den Reflex, im Zweifel dem „pflegeleichteren“ (oder auch etwas jüngeren und vielleicht kostengünstigeren) Bewerber den Vorzug zu geben, überwinden. Im Idealfall wird ihn der Aufsichtsrat hierzu ermutigen und vielleicht sogar darauf bestehen, dass eine Berichtslinie des CCO künftig zum Aufsichtsrat oder dessen Prüfungsausschuss führt.
15
Ja, Compliance ist oft der Überbringer eher unschöner Nachrichten. Aber ebenso wie kein vernünftiger Mensch auf die Idee käme, seinen ihn behandelnden Arzt für einen von diesem diagnostizierten Virus verantwortlich zu machen, sollte auch die Unternehmensleitung jeden Reflex unterdrücken, die Compliance-Fachleute und ihren Chef moralisch dafür in Haftung nehmen zu wollen, dass sie einen Compliance-Verstoß aufgedeckt haben.
16
Im Gegenteil: Früher oder später wird die Unternehmensleitung auch heiße Eisen anpacken müssen und wird schwierigen Fragen nicht ausweichen können, bevor sich diese eines Tages gegen das Unternehmen richten können: Schließen sich Compliance und Performance aus? Gibt es Staaten, in denen das Unternehmen seine Geschäftstätigkeit einschränken oder gar einstellen sollte, weil ein regelkonformes Wirtschaften dort nicht möglich erscheint? Kommt dem Unternehmen, etwa aufgrund seines Selbstbildes, seiner Tradition, seiner Größe oder Marktstärke vielleicht sogar eine moralische Pflicht zu, sich auch jenseits des unmittelbaren Unternehmenszwecks, also etwa in Gremien, Vereinigungen oder in der (Fach-)Öffentlichkeit für den Compliance-Gedanken sichtbar stark zu machen und am gelegentlich beschworenen „Kartell der Guten“ aktiv mitzuwirken?
17
Compliance ist Bestandteil einer guten Unternehmensführung (Good Corporate Governance). Ohne Compliance ist auch eine glaubwürdige Wahrnehmung unternehmerischer Sozialverantwortung, die über das auf Gewinnerzielungsabsicht des Unternehmens ausgerichtete Wirtschaften hinausgeht (Corporate Social Responsibility)15 nicht denkbar.
18
Es ist richtig, dass Compliance eine Aufgabe für das ganze Unternehmen ist. Doch ebenso gilt: Sie kann nur mit einer von Compliance überzeugten und im Hinblick auf Compliance überzeugenden Unternehmensleitung gelingen.
2. Aufsichtsrat
19
Die Bezeichnung „Aufsichtsrat“ ist angenehm klar und sprechend: Er hat eine beaufsichtigende und eine beratende Funktion. Und während die unmittelbare Verantwortung für eine den externen und internen Regeln konforme Leitung des Unternehmens bei Vorstand oder Geschäftsführung liegt, umfasst die Aufsichtspflicht des Aufsichtsrats im Sinne von § 111 Abs. 1 AktG auch die Compliance.16
20
Daher tut der Aufsichtsrat gut daran, sich darüber klar zu werden, in welchem inhaltlichen, zeitlichen und personellen Rahmen er seiner Tätigkeit zur Überwachung der Compliance-Risiken und Compliance-Aktivitäten des beaufsichtigten Unternehmens nachkommen muss und kann.17 Welche Aufsichtsratsmitglieder verfügen über besondere Kompetenzen im Hinblick auf Compliance? Sind Schulungen erforderlich? Sind die Aufgaben, die Instrumente und die zeitlichen Budgets des, der Empfehlung in 5.3.2 DCGK folgend, in aller Regel bestehenden Prüfungsausschusses, zu erweitern? Sollte bei besonders risikogeneigten Unternehmen gar über die Bildung eines separaten Compliance-Ausschusses nachgedacht werden? Derartige Fragen sollten sich AR-Vorsitzender und AR-Plenum vorlegen, diese eingehend diskutieren, ihrerseits fachmännischen Rat beiziehen und diese Diskussionen auch in geeigneter Weise dokumentieren.
21
In jedem Fall setzt eine professionelle Aufsichtsratsarbeit eine zeitlich und inhaltlich hinreichende Befassung mit Compliance-Themen voraus. Berichte zu allen Bereichen der Compliance und des Compliance-Management-Systems müssen rechtzeitig vor den Sitzungen verteilt und kritisch gelesen werden. Im Idealfall sollte die Gelegenheit bestehen, bereits im Vorhinein weitere Informationen anzufordern, damit diese dann spätestens in der nächsten Sitzung zur Verfügung stehen und auch erläutert werden können. Mündliche Vorträge und Erörterungen in der Sitzung brauchen Zeit, insbesondere wenn es um komplexe Sachverhalte, etwa aus dem Bereich von Auslandsrechtsordnungen oder bei Spezialmaterien wie Außenwirtschafts- und Embargorecht geht. Nicht wenige Fälle sind nicht nur inhaltlich kompliziert, sondern oft auch menschlich heikel: Wie geht man zum Beispiel mit einem langjährigen Außendienstmitarbeiter um, der sich in einem – sicherlich subjektiven, jedoch für ihn nur schwer überwindbaren – Dilemma zwischen hergebrachten Praktiken, Loyalität zum Unternehmen, Scheu vor dem „Verpfeifen“ eines Kollegen oder gar Vorgesetzten und falscher, nämlich kurzfristig und allein auf Umsatz- und Ertragswachstum orientierter Anreizsysteme („Wie Sie die Ziele erreichen, ist mir egal, nein, ich will es eigentlich gar nicht wissen ...“) befindet.
22
Auch sollte zwischen dem Aufsichtsrat und dem (Chief) Compliance Officer ein reger und vertrauensvoller Austausch stattfinden. Der (Chief) Compliance Officer sollte regelmäßiger Teilnehmer an Aufsichtsratssitzungen sein und dort jedes Mal zumindest kurz vortragen. Auch sollte er Gelegenheit haben, zumindest als Zuhörer auch an jenen Tagesordnungspunkten teilzunehmen, die vielleicht nicht zum Kern der ‚Legal Compliance‘ gehören, aber Berührungspunkte dazu aufweisen, wie etwa die finanzielle Risikosteuerung.18 Ist ein Prüfungsausschuss gebildet, so gilt das soeben Gesagte in besonderem Maße: Prüfungsausschuss und Chief Compliance Officer müssen in engem Austausch stehen.
23
Liegen Compliance-Verstöße vor, so muss zu diesen intensiver berichtet werden – und zwar, wenn dies wegen der Sachnähe geboten erscheint, auch gemeinsam durch den Chief Compliance Officer und den mit dem Fall befassten, spezialisierten Compliance-Mitarbeiter. Unter Umständen kann sich die grundsätzliche Aufsichtspflicht des Aufsichtsrats dann auch zu einer eigenen Aufklärungspflicht verdichten.19
24
Um die Compliance-Berichterstattung vor dem Aufsichtsrat nicht zu einem leeren Ritual gefälliger Grafiken und inhaltsarmer Power Point Präsentationen erstarren zu lassen, ist es notwendig, Vertrauen aufzubauen und zu pflegen und Zeit und Geduld in die gemeinsame Aufgabe zu investieren.
