c) Ermittlung des besonderen Compliance-Risikoprofils
57
Aufgrund des oben beschriebenen Zusammenhangs zwischen Compliance Management und Risikomanagement ist die Entwicklung eines Konzepts zur systematischen Steuerung relevanter Rechts- und Compliance-Risiken ein zentraler Bestandteil der Compliance-Strategie.225 Die Compliance-Risikostrategie bildet die Basis für die Identifizierung, Bewertung und Überwachung der Compliance-Risiken sowie die Konzeption adäquater Maßnahmen.226 Sie ist als Bestandteil der Leitungssorgfaltspflicht nicht delegierbar.227 Das Eingehen von Risiken ist Bestandteil jeder unternehmerischen Aktivität, auch ein umfassendes Compliance Management kann die Risiken der „Non-Compliance“ nicht völlig ausschließen. Aus Sicht eines wirksamen Compliance Managements kommt es jedoch darauf an, die Gefahren aus vorsätzlichem oder fahrlässigem Fehlverhalten der Unternehmensangehörigen so weit wie möglich zu reduzieren.228 Wie ausgeführt,229 ist dabei die Einbeziehung von Methoden und Verfahren des Risikomanagements hilfreich,230 die Besonderheiten der Compliance-Risiken sind jedoch stets zu beachten.231 Die Einzelheiten des Compliance-Risikomanagements richten sich nach den unternehmensindividuellen Besonderheiten, Ausgangspunkt ist das jeweils individuelle „Compliance-Risikoprofil“ des Unternehmens.232
aa) Systematische Identifikation von Compliance-Risiken
58
Rechts- und Compliance-Risiken können sich zunächst aus dem rechtlichen Umfeld des Unternehmens ergeben. Zur Identifikation relevanter Compliance-Risiken ist daher eine sorgfältige Analyse des jeweiligen Unternehmens ebenso erforderlich wie eine genaue Prüfung des Umfelds, in dem sich das Unternehmen bewegt. Dazu zählt eine Bestandsaufnahme von Vorgaben des rechtlichen Umfelds, d.h. sämtlicher für das Unternehmen einschlägiger Normen und Rechtspflichten.233 Diese kann je nach Wettbewerbsumfeld, Branche und Geschäftsmodell ganz unterschiedlich ausfallen, gleichwohl gibt es zahlreiche Compliance-Risiken, die alle Unternehmen und Verbände betreffen. Dazu gehören etwa Risiken im Zusammenhang mit arbeitsrechtrechtlichen, datenschutzrechtlichen und steuerrechtlichen Pflichten, weitere besondere Risiken ergeben sich für viele Unternehmen etwa im Zusammenhang mit dem Wettbewerbs- und Kartellrecht, dem Außenwirtschaftsrecht oder Antikorruptionsvorschriften.234 Je nach Branchenzugehörigkeit, Größe und geographischer Präsenz können weitere Risiken hinzukommen, etwa aus der Nichtbeachtung von Vorschriften des internationalen oder ausländischen Rechts. Zur systematischen Erfassung empfiehlt sich, die einschlägigen Normen und Rechtspflichten in einem digitalen Bestandsverzeichnis zu archivieren und zu dokumentieren. Die Analyse des Umfelds sollte neben Rechts- und Compliance-Risiken ferner besondere länder- und branchenspezifische Risiken einbeziehen.235
59
Die Analyse des Umfelds des Unternehmens sollte mit einer sorgfältigen Analyse des individuellen Geschäftsmodells des Unternehmens und seiner Unternehmenseinheiten verknüpft werden.236 So sind bestimmte Abteilungen wie etwa Einkauf und Vertrieb besonders anfällig für „Non-Compliance“ durch Korruption oder Verletzungen des Wettbewerbsrechts.237 Grundsätzlich sollte jede Abteilung und Unternehmensfunktion eine „Risiko-Inventur“ durchführen, unter Zusammenarbeit der jeweiligen Leiter mit dem Compliance Officer, der Rechtsabteilung oder externen Rechtsberatern.
bb) Analyse und Bewertung
60
Die ermittelten Compliance-Risiken sind in einem weiteren Schritt zu analysieren und zu bewerten, maßgebliche Kriterien sind dabei das potenzielle Schadensausmaß sowie die Eintrittswahrscheinlichkeit. Allerdings besteht ein wichtiger Unterschied zum allgemeinen Risikomanagement darin, dass es nicht nur um eine rechnerische Betrachtung geht, sondern vielmehr um die Bewertung menschlichen Verhaltens im Hinblick auf mögliche Regelverstöße.238 Ein weiterer gravierender Unterschied besteht darin, dass die Geschäftsleitung nicht aus Opportunitätserwägungen heraus Rechtsvorschriften missachten sollte, auch sog. „nützliche Pflichtverletzungen“ sind regelmäßig Compliance-Verstöße.239 Allerdings besteht Konsens dahingehend, dass Compliance-Maßnahmen unter den Aspekten der Erforderlichkeit und Zumutbarkeit zu beurteilen sind.240 Dementsprechend erscheint es beispielsweise zulässig, dass sich die Unternehmensleitung in einem ersten Schritt auf die wichtigsten Risiken (z.B. Korruption, Kartellrechtsverstöße) konzentriert. Im Hinblick auf die oben aufgezeigten vielfältigen Rechts- und Compliance-Risiken sollte diese Schwerpunktsetzung jedoch nicht isoliert erfolgen, sondern Bestandteil eines ganzheitlichen Risikomanagements für das Unternehmen sein. Der Erfassung, Analyse und Steuerung der schwerwiegendsten Risiken sollten umgehend die sonstigen Compliance-Risiken folgen.
cc) Entwicklung von Risikosteuerungsmaßnahmen
61
Nach der Analyse und Bewertung der Rechts- und Compliance-Risiken folgt die Konzeption von Maßnahmen der Risikosteuerung, die sich nach dem jeweiligen Risiko richten. So kann die Analyse im Ergebnis etwa zu einer Risikovermeidungsmaßnahme dahingehend führen, dass sich das Unternehmen aus einem bestimmten Markt vollständig zurückzieht bzw. einen bestimmten neuen Markt gar nicht betritt.241 Andere – weniger radikale – Risikosteuerungsmaßnahmen betreffen die Konzeption spezifischer Schulungen zur Risikovermeidung (etwa im Zusammenhang mit Vertriebsstrukturen). Dabei kann ein zuvor erstelltes Rechtspflichten-Verzeichnis als Ausgangspunkt für spezielle Schulungsmaßnahmen dienen, mit denen die Unternehmensangehörigen hinsichtlich relevanter Rechts- und Compliance-Risiken in ihren Einheiten sensibilisiert und geschult werden.242
62
Im Hinblick auf ein integriertes und effektives Integritäts- und Compliance Management ist bei Konzeption und Durchführung passender Risikosteuerungsmaßnahmen die aktive Einbeziehung von Führungskräften und Mitarbeitern der relevanten Fachabteilungen und Unternehmenseinheiten wünschenswert – diese kennen regelmäßig das Risikoprofil ihrer Umgebung und können als „Process Owner“243 ihrer Geschäftsabläufe wertvolle Hinweise zur Risikosteuerung geben. Zudem kann durch die aktive Einbeziehung der Geschäftseinheiten die Akzeptanz von Compliance Management erhöht werden, denn zur Vermeidung von Compliance-Risiken ist eine Compliance-Kultur erforderlich, in der ein entsprechendes Risikoverhalten nicht toleriert wird.244
dd) Berichterstattung zu Compliance-Risiken
63
Die Konzeption einer Compliance-Risikostrategie umfasst auch die Einführung eines entsprechenden Reportings bzw. die Integration dieser Berichte über Compliance-Risiken in die allgemeine Risikoberichterstattung, sofern diese im Unternehmen bereits existiert.245
ee) Regelmäßige Compliance-Audits
64
Die ständige Veränderung des Umfelds für Unternehmen erfordert eine regelmäßige Überprüfung der Compliance-Maßnahmen sowie die Anpassung des Compliance-Risikomanagements an veränderte Umstände. Frequenz und Umfang der sog. „Compliance Audits“ richten sich nach den jeweiligen Besonderheiten des Unternehmens. So folgt aus § 91 Abs. 2 AktG, § 317