37
Für die realistische Bewertung und Einschätzung eines Compliance-Risikos empfiehlt sich zudem die intensive Zusammenarbeit mit den jeweiligen Geschäftsbereichen und dem Risiko-Management. Besteht im Unternehmen noch keine (funktionierende) Compliance-Abteilung, kann die Aufgabe der Identifizierung der Risiken auch gut zum Anlass genommen werden, diese, der Bewertung der Risiken entsprechend, aufzubauen.
38
Die Identifizierung von Compliance-Risiken ist kein Selbstzweck, sondern soll möglichst zügig dazu führen, dass bestehende Lücken im ggf. bereits bestehenden Compliance-Programm geschlossen werden bzw. ein für das Unternehmen sinnvolles Compliance-Programm überhaupt erst ins Leben gerufen wird.
39
Die Definition der lokalen und fachlichen Risikobereiche ist keine einmalige Angelegenheit, sondern sollte regelmäßig, z.B. zweimal jährlich, bei Bedarf auch häufiger, durchgeführt werden. Es empfiehlt sich, einen Fragebogen zu entwerfen, in dem konkret nach den Schlüsselrisiken, geordnet nach Dringlichkeit, den für das Risiko verantwortlichen Personen oder Abteilungen im Unternehmen und einer detaillierten Risikobewertung gefragt wird (Wie schätzen Sie die Schwere und die Häufigkeit des Risikos ein?). Darüber hinaus sollten auch mögliche Reputationsrisiken sowie bestehende oder zu schaffende Kontrollmöglichkeiten sowie konkrete Vorschläge zur Risikobekämpfung abgefragt werden.
40
Die identifizierten Risiken sind sodann einer Bestandsaufnahme und einer Auswertung nach Höhe und Bedeutung für das Unternehmen zu unterziehen. Auch für diesen Arbeitsschritt sollte die Compliance-Abteilung die Unterstützung des Risikomanagements bekommen: Risikobewertungsprozesse müssen in der Regel nicht neu erfunden werden; das entsprechende Know-how ist in den meisten Unternehmen bereits in der ein oder anderen Form vorhanden.
41
Sobald die für das Unternehmen „bedeutsamen“ Risiken herausgefiltert wurden, stellt sich die Frage, wie diese Risiken zu bekämpfen bzw. zu kontrollieren sind. Hierfür bedarf es eines Planungsprozesses, in dem für jedes identifizierte Risiko ein „Schlachtplan“ festgelegt wird, anhand dessen der Umgang mit diesem Risiko bestimmt wird. In diesem Planungsprozess ist insbesondere zu berücksichtigen, dass nicht jedes Risiko vollständig bekämpft werden kann, weshalb ggf. eine „Risikotoleranzebene“ definiert werden sollte.
Stellt sich im Rahmen der Bestandsaufnahme und der Auswertung möglicher Compliance-Risiken im Unternehmen heraus, welche Hauptrisiken für das Unternehmen bestehen (z.B. Kartellrecht, Korruption, Datenschutz, Vertrieb etc.), sollten diese in den für das anstehende Geschäftsjahr durchzulaufenden Compliance-Plan integriert werden.
2. Verhaltenskodices und Richtlinienwesen
42
Ein für alle Mitarbeiter und Dienstleister des Unternehmens verbindlicher Verhaltenskodex mit definierten Ethikrichtlinien ist die Grundlage jeglicher Compliance-Struktur und bildet das Herzstück des Compliance-Programms. Der Code of Conduct sollte der Grundstein beim Aufbau eines Compliance-Programms sein. Alle wesentlichen Bestandteile der im Unternehmen angestrebten Compliance-Kultur und den dazugehörigen Maßnahmen sollten sich im Verhaltenskodex wiederfinden oder dort zumindest in Ansätzen skizziert sein. Dies ist deshalb von großer Bedeutung, weil es erfahrungsgemäß im Nachhinein schwierig ist, Compliance-Maßnahmen festzulegen oder entsprechende Einzelrichtlinien im Unternehmen durchzusetzen. Sobald jedoch Themenkreise bereits im Verhaltenskodex verankert sind und die Mitarbeiter hierüber entsprechend geschult werden, ist die Akzeptanz, sich gem. dem Code zu verhalten, wesentlich größer als bei punktuellen Nachbesserung zu einem späteren Zeitpunkt.
43
Der Verhaltenskodex ist in regelmäßigen Abständen auf den neuesten Stand zu bringen und den veränderten rechtlichen und tatsächlichen Gegebenheiten anzupassen. Sowohl die erstmalige Einführung eines Code of Conduct als auch die regelmäßige Überarbeitung sollten vom Vorstand genehmigt und auch im Namen des Vorstands im Unternehmen kommuniziert werden.
44
In erster Linie dient der Verhaltenskodex dazu, den Mitarbeitern bei ihrer täglichen Arbeit unterstützende Orientierungshilfe zu sein. Wie schon eingangs erwähnt, muss der Code of Conduct für jeden Mitarbeiter verbindlich sein und gilt sowohl im geschäftlichen Umfeld als auch im Umgang mit der Öffentlichkeit sowie mit staatlichen Institutionen. Die Regeln des Verhaltenskodex haben auch dann Gültigkeit, wenn in einzelnen Ländern oder Regionen das geltende Recht und die lokalen Gepflogenheiten dahinter zurückbleiben. Sollten in bestimmten Ländern oder Regionen rechtliche Regelungen oder lokale Gepflogenheiten die Anforderungen des Code of Conduct übersteigen, so sollte das Unternehmen den allgemein verbindlichen Kodex entsprechend anpassen.[1]
45
Der Mindestinhalt eines Code of Conduct hängt stark von der jeweiligen Branche und den bestehenden und zukünftigen Geschäftsbeziehungen ab.[2] Grundgedanke für die Erarbeitung eines sinnvollen und praktikablen Verhaltenskodex muss das Ziel sein, das Unternehmen, die Mitarbeiter sowie die Geschäftspartner vor Schaden zu bewahren, der durch Nichtbeachtung von gesetzlichen Vorschriften sowie von ethischen und moralischen Regeln als auch durch Intransparenz von bestimmten Geschäften entsteht.[3] Üblicherweise sind davon u.a. folgende Themenkreise[4] betroffen:
| – | Ausschluss von Interessenskonflikten/Geschenke und Einladungen, |
| – | Bestechlichkeit/Betrug/Verhalten gegenüber Amtsträgern, |
| – | Wettbewerbs- und Kartellrecht, |
| – | Beachtung der Menschenrechte, |
| – | Schutz vor Diskriminierung/Ethik, |
| – | Vertraulichkeit/Datenschutz/Verhalten in sozialen Netzwerken, |
| – | ordnungsgemäße Rechnungslegung und Bilanzierung/Steuerrecht, |
| – | Insiderhandel, |
| – | IT-Sicherheit, |
| – | Einhaltung von Umweltstandards/Gesundheitsschutz. |
46
Darüber hinaus ist im Verhaltenskodex klar zu definieren, dass der Compliance-Verantwortliche für die Umsetzung der Compliance-Regeln verantwortlich ist und allen Mitarbeitern als Ansprechpartner bei Fragen und Problemen in Sachen Compliance zur Verfügung steht. Hervorzuheben ist, dass der Compliance Officer zur absoluten Verschwiegenheit verpflichtet ist und dass dem Mitarbeiter keinerlei Nachteile entstehen dürfen, wenn er sich dem Compliance-Verantwortlichen anvertraut. Für den Mitarbeiter muss klar verständlich sein, dass es die Aufgabe des Compliance-Verantwortlichen ist, alle eingehenden Hinweise ernst zu nehmen, diese zu protokollieren und ihnen mit der gebotenen Sorgfalt nachzugehen.
47
Des Weiteren ist im Verhaltenskodex die Informations- und Kontrollpflicht der Vorgesetzten zu erwähnen (sog. „First Line of Defense“). Die Vorgesetzten haben dafür Sorge zu tragen und darüber zu wachen,