9
Dass also zumindest langfristig diese ganzheitlich verstandenen „Gesamtkosten“ von Non-Compliance jene von Compliance weit übersteigen, sollte auch den kühlen Rechnern und auch jenen Skeptikern in der Unternehmensleitung und den oberen Führungsebenen einleuchten, die sich mit beleidigter Miene darüber beschweren, dass Compliance – womöglich in typisch deutscher Übertreibung – den Wettbewerb verzerre und „uns“ das Leben unnötig schwer mache, während anderswo Überwachung, Eingriffe und Sanktionen weiterhin eher lax gehandhabt würden. Der Wirtschaftsstandort Deutschland ist unteilbar: Gut ausgebildete und selbstbewusste Mitarbeiter gehören ebenso dazu wie sozialer Friede, eine verlässliche Infrastruktur, ein funktionierendes Rechtssystem – und eben Compliance. Dessen muss sich die Unternehmensleitung im Rahmen ihrer Compliance-Anstrengungen bewusst sein.
10
Was noch kann und sollte sie tun, um Compliance zum Erfolg zu verhelfen? Vor allem muss sie immer wieder und mit allen kommunikativen Möglichkeiten ein unzweideutiges Bekenntnis abgeben, dass Compliance angenommen und ernst genommen wird, dass Rechtsverstöße nicht geduldet werden und dass Compliance ganz im Interesse eines langfristigen Unternehmenserfolgs ist. Verlautbarungen zu Integrität und Regelbefolgung dürfen keine bloßen Sonntagsreden sein, und einmal im Wege der Selbstverpflichtung aufgestellte Zielvorgaben („Vorreiter in Sachen Compliance“) müssen dann auch konsequent und mit langem Atem verfolgt werden. Hierin zeigt sich der vielbeschworene „Tone at the Top“. Er hat für die Unternehmensmitarbeiter prägende Wirkung und wird genau wahrgenommen.12
11
Taten zählen natürlich noch mehr als Worte. Gleichzeitig bietet sich hier mit vergleichsweise überschaubarem Aufwand die Gelegenheit zur – weithin sichtbaren – Führung durch Beispiel: Wenn also die Mitglieder der Geschäftsleitung bei Online-Schulungen mit gutem Beispiel vorangehen, sich als erste (natürlich selbst) dem computerisierten Fragebogen stellen und die Unternehmensmitarbeiter darüber im Unternehmens-Intranet informieren, wird dies die regelmäßigen Aufrufe zur Compliance unterstützen und mit dabei helfen, dass Compliance zur gelebten Unternehmenswirklichkeit wird.
12
Des Weiteren sollte die Geschäftsleitung alles daran setzen, die fachliche Unabhängigkeit und Weisungsfreiheit der Compliance-Organisation zu gewährleisten und zu respektieren.13 Dem (Chief) Compliance Officer ist regelmäßiges und im Notfall jederzeitiges Vortragsrecht zu gewähren. Auch ist es klug, den Zugang des CCO zum Aufsichtsrat zu erleichtern, anstatt ihn diesbezüglich „kurz zu halten“ oder sich gar hinter einem –lediglich formalen und zu kurz greifenden – Argument zu verstecken, dass ja nur die Geschäftsleitung mit dem Aufsichtsrat kommunizieren dürfe.
13
Als „Bergetappe“ bei der nachhaltigen Verankerung des Compliance-Gedankens im Unternehmen darf die Mission gelten, compliance-geneigte Anreize bei der Entlohnung und den unternehmensinternen Aufstiegsmöglichkeiten und Karrierewegen zu schaffen. Wenn sich erst einmal herumspricht, dass variable Vergütungsbestandteile auch an Compliance-Ziele geknüpft werden und dass, wer aufsteigen will, zumindest eine Zeitlang und zumindest in einer Nebenfunktion (etwa als Compliance-Beauftragter einer Landesgesellschaft oder einer Produktsparte) sich um Compliance gekümmert haben muss, so wird dies seine steuernde und bewusstseinsbildende Wirkung nicht verfehlen. Auch dieser Aufgabe muss sich die Unternehmensleitung stellen, mag sie die Umsetzung dann auch in die bewährten Hände der Personalabteilung legen können.
14
Auch den richtigen Chief Compliance Officer zu finden, zu rekrutieren und zu halten, ist ohne Zweifel „Chefsache“. Das ist anspruchsvoll, aber notwendig. Hier zeigt sich auch, aus welchem Holz Geschäftsleitung (und Aufsichtsorgane) geschnitzt sind. Der CCO, eine fachlich starke, menschlich integre, gereifte Persönlichkeit mit Berufs- und Lebenserfahrung darf gerade kein bequemer Zeitgenosse sein. Er muss das Unternehmen gut kennen(lernen), im Zweifel auch „überall dabei sein“ und muss doch stets Abstand wahren.14 Bei der Kandidatenkür muss hier sicherlich mancher Unternehmensleiter über seinen Schatten springen und den Reflex, im Zweifel dem „pflegeleichteren“ (oder auch etwas jüngeren und vielleicht kostengünstigeren) Bewerber den Vorzug zu geben, überwinden. Im Idealfall wird ihn der Aufsichtsrat hierzu ermutigen und vielleicht sogar darauf bestehen, dass eine Berichtslinie des CCO künftig zum Aufsichtsrat oder dessen Prüfungsausschuss führt.
15
Ja, Compliance ist oft der Überbringer eher unschöner Nachrichten. Aber ebenso wie kein vernünftiger Mensch auf die Idee käme, seinen ihn behandelnden Arzt für einen von diesem diagnostizierten Virus verantwortlich zu machen, sollte auch die Unternehmensleitung jeden Reflex unterdrücken, die Compliance-Fachleute und ihren Chef moralisch dafür in Haftung nehmen zu wollen, dass sie einen Compliance-Verstoß aufgedeckt haben.
16
Im Gegenteil: Früher oder später wird die Unternehmensleitung auch heiße Eisen anpacken müssen und wird schwierigen Fragen nicht ausweichen können, bevor sich diese eines Tages gegen das Unternehmen richten können: Schließen sich Compliance und Performance aus? Gibt es Staaten, in denen das Unternehmen seine Geschäftstätigkeit einschränken oder gar einstellen sollte, weil ein regelkonformes Wirtschaften dort nicht möglich erscheint? Kommt dem Unternehmen, etwa aufgrund seines Selbstbildes, seiner Tradition, seiner Größe oder Marktstärke vielleicht sogar eine moralische Pflicht zu, sich auch jenseits des unmittelbaren Unternehmenszwecks, also etwa in Gremien, Vereinigungen oder in der (Fach-)Öffentlichkeit für den Compliance-Gedanken sichtbar stark zu machen und am gelegentlich beschworenen „Kartell der Guten“ aktiv mitzuwirken?
17
Compliance ist Bestandteil einer guten Unternehmensführung (Good Corporate Governance). Ohne Compliance ist auch eine glaubwürdige Wahrnehmung unternehmerischer Sozialverantwortung, die über das auf Gewinnerzielungsabsicht des Unternehmens ausgerichtete Wirtschaften hinausgeht (Corporate Social Responsibility)15 nicht denkbar.
18
Es ist richtig, dass Compliance eine Aufgabe für das ganze Unternehmen ist. Doch ebenso gilt: Sie kann nur mit einer von Compliance überzeugten und im Hinblick auf Compliance überzeugenden Unternehmensleitung gelingen.
2. Aufsichtsrat
19
Die Bezeichnung „Aufsichtsrat“ ist angenehm klar und sprechend: Er hat eine beaufsichtigende und eine beratende Funktion. Und während die unmittelbare Verantwortung für eine den externen und internen Regeln konforme Leitung des Unternehmens bei Vorstand oder Geschäftsführung liegt, umfasst die Aufsichtspflicht des Aufsichtsrats im Sinne von § 111 Abs. 1 AktG auch die Compliance.16
20
Daher tut der Aufsichtsrat gut daran, sich darüber klar zu werden, in welchem inhaltlichen, zeitlichen und personellen Rahmen er seiner Tätigkeit zur Überwachung der Compliance-Risiken und Compliance-Aktivitäten des beaufsichtigten Unternehmens nachkommen muss und kann.17 Welche Aufsichtsratsmitglieder verfügen über besondere Kompetenzen im Hinblick auf Compliance? Sind Schulungen erforderlich? Sind die Aufgaben, die Instrumente und die zeitlichen Budgets des, der Empfehlung in 5.3.2 DCGK folgend, in aller Regel bestehenden Prüfungsausschusses, zu erweitern? Sollte bei besonders risikogeneigten Unternehmen gar über die Bildung eines separaten Compliance-Ausschusses nachgedacht werden? Derartige Fragen sollten sich AR-Vorsitzender und AR-Plenum vorlegen, diese eingehend diskutieren, ihrerseits fachmännischen Rat beiziehen und diese Diskussionen auch in geeigneter Weise dokumentieren.
21
In jedem Fall setzt eine professionelle Aufsichtsratsarbeit eine zeitlich und inhaltlich hinreichende Befassung mit Compliance-Themen voraus. Berichte zu allen Bereichen der Compliance und des Compliance-Management-Systems müssen rechtzeitig vor den Sitzungen verteilt und kritisch gelesen werden. Im Idealfall sollte die Gelegenheit bestehen, bereits im Vorhinein weitere Informationen anzufordern, damit diese dann spätestens in der nächsten Sitzung