Nadine Jacobi

3 Fragen – 3 Säulen: Wir bauen ein Compliance Management System (CMS)

In Teil 11 meiner Blog-Serie zum Thema Compliance Officer kommen wir zur Kernfrage: Wie gehe ich als Compliance Officer eines deutschen Unternehmens bei der Konzeption, Implementierung oder Optimierung eines CMS vor?

Erste Orientierung verschaffe ich mir durch Klärung der Unternehmensgröße (Konzern – Mittelstand – Kleinstbetrieb), der Branche, der Industrie, der geographischen Lage und der weiteren Standorte des Unternehmens. Es ist vollkommen klar, dass für einen Betrieb mit fünf bis 100 Beschäftigten, die Geburtstagskarten und Kalender produzieren, andere Anforderungen gelten müssen als beispielsweise für ein Rüstungsunternehmen mit 3.000 Mitarbeitern und 3rdparties in Ländern wie Saudi-Arabien, United Emirates und Pakistan.

Wirft man nochmal einen Blick auf die amerikanischen Guidelines, sieht man, dass diese im Hinblick auf die Bewertung eines CMS ebenfalls Unterschiede machen:  Handelt es sich um ein großes, in einer Risikobranche agierendes Unternehmen oder um ein kleineres Unternehmen in unproblematischen Industrien? Das DOJ verbleibt bei ihrer aufgesetzten Systematik der drei Kernfragen –

  1. wurde das CMS gut konzeptioniert?,
  2. wurde das CMS effektiv implementiert?,
  3. funktioniert das CMS in der Praxis?

und der hierunter subsumierten Themen, Elemente und vertiefenden Fragen. Abstriche macht es allerdings bezüglich der formalen Anforderungen, zum Beispiel welche Standards, Prozesse und Tools die Firmen aufsetzen, verschriftlichen und anwenden sollen. Für Compliance Officer, die womöglich gerade ihre neue Position in einem Unternehmen ohne FCPA-Bezug übernommen haben, sind diese Informationen aber möglicherweise zu weitgehend.

Bevor ich mit der Konzeption oder Optimierung von Compliance Maßnahmen beginne, starte ich mit einer Compliance-Risiko-Analyse, in der es darum geht, die relevanten Risikofelder des Unternehmens zu identifizieren. Mögliche Themen können dabei Korruptions- und kartellrechtliche Risiken, aber auch sozialversicherungsrechtliche Themen sein, wie sie durch den Einsatz von IT-Interimsmanagern oder Leiharbeitern entstehen können. Die so identifizierten Risikofelder geben mir die Prioritätenliste meines aufzubauenden CMS vor.

Aller guten Dinge sind Drei

Aus meiner Erfahrung hat es sich bewährt, ein CMS aufzusetzen, das auf drei Säulen basiert:

  • Prävention
  • Aufdeckung
  • Reaktion

Prävention – aber bitte nicht übertreiben!

Unter den Bereich Prävention fallen Maßnahmen, mit deren Hilfe Unternehmen systematisches Fehlverhalten und Compliance-Risiken vermeiden können. Es geht also darum, solche Maßnahmen zu implementieren, damit es erst gar nicht zum Verstoß kommt. Hierzu gehören neben der bereits erwähnten Definition einer „Tone-from-the-Top“-Kaskade auch der Code of Conduct sowie das interne Regelwerk aus Richtlinien und Standard-Dokumenten.

Dabei bin ich keine Anhängerin eines allumfassenden „Compliance-Handbuchs“. Übereifrige Compliance Officer befüllen gerne mal hunderte von Seiten, die bestenfalls noch die Mitarbeiter aus der eigenen Abteilung lesen. Alle anderen Mitarbeiter verliere ich damit. Denn wer hat schon Zeit und Lust, ein solches Mammutwerk Seite für Seite durchzugehen und zu verinnerlichen?

Zur Erinnerung: Vertriebsmitarbeiter verdienen vor allem dann Geld, wenn Sie „nah am Kunden“ sind. D.h. ihre Bereitschaft solche Werke durchzulesen, ist entsprechend gering.

Im Sinne der Adressatenorientierung sollten Richtlinien auch für Nichtjuristen verständlich und auf den Punkt formuliert sein. Hinzukommt, dass die Richtlinien regelmäßig an ein sich veränderndes Umfeld von Regularien, aber auch auf Basis von Erkenntnissen aus durchgeführten Compliance-Risiko-Analysen und Compliance Audits angepasst werden müssen. Kurz gesagt: Das CMS sollte risikobasiert ausgerichtet werden.

Aktualität schlägt Umfang

Wer regelmäßig aktualisiert, der bleibt nah an der Praxis und steigert damit spürbar die Akzeptanz der Regeln im Unternehmen. Dabei erweist es sich als sehr nützlich, einzelne, passgenaue Richtlinien für Themen wie Korruption, Kartellrecht oder Interessenkonflikte zu erarbeiten. Dadurch kann ich vermeiden, bei jeder Aktualisierung das gesamte Handbuch inklusive Querverweise überarbeiten zu müssen.

Ein weiterer Bestandteil des Bereichs Prävention ist die Definition eines sogenannten Due-Diligence-Prozesses für 3rd parties. Anhand dieser Sorgfaltsprüfung kann zum Beispiel geklärt werden, ob mit der im Ausland geplanten Einsetzung einer 3rd party (wie z.B. Agent, Berater oder Distributor) Compliance-Risiken einhergehen. So kann es sein, dass Presseberichte darauf hinweisen, dass der Vertriebsmittler bereits wegen Korruption auffällig geworden ist oder er aufgrund seiner Unternehmensstruktur, Mitarbeiterzahl oder seines Geschäftszwecks gar nicht in der Lage ist, die geplanten Geschäftsaktivitäten zu übernehmen.

Ebenfalls zu Prävention zählen die Benennung eines „Compliance Service Point“ als erste Anlaufstelle für Fragen und Beratungsbedarf sowie ein Notfallplan für den Fall, dass der Staatsanwalt trotz aller Bemühungen zur Einhaltung aller Regeln dann doch einmal vorstellig werden sollte.

Trainings: Niemals „One-fits-All”!

Last but not least sind Ausbildung und Compliance-Trainings natürlich ein Muss im Bereich Prävention. Für Unternehmen mit  vielen Standorten und Mitarbeitern sind E-Learning-Module eine gute Möglichkeit, viele dieser Mitarbeiter in kurzer Zeit mit den Grundlagen vertraut zu machen. Sie können jedoch persönliche Schulungen nicht vollständig ersetzen, zum Beispiel für das Top- und Seniormanagement sowie für Risikobereiche wie den Vertrieb und den Einkauf. Wichtig dabei ist, dass diese Schulungen nicht nach dem „One-fits-All“-Prinzip, sondern individuell gestaltet werden: passend für den jeweiligen Fachbereich, dessen Funktion und in der passenden Sprache. Interessant werden diese Schulungen, wenn Praxisfälle aus dem Unternehmen besprochen werden. Teilnehmer erkennen dadurch den Bezug zu ihren Tätigkeits-und Verantwortungsbereichen und nehmen die Schulungsinhalte eher an.

Viel mehr als „Schönwetter-Compliance“

In unserer „Compliance Community“ nennen wir die Maßnahmen im Präventionsbereich gerne „Schönwetter Compliance“. Warum? Ein bisschen Richtlinien, Verhaltenskodex und Schulungen aufzusetzen tut niemandem weh und so kann man ja auch jahrelang weitermachen. Ein Beispiel aus der Praxis, hier aus einem Bewerbergespräch mit dem Finanzvorstand:

Was wollen Sie denn als Compliance Officer bei uns so an Maßnahmen einführen?

Kandidat: Also neben den Standardmaßnahmen wie Compliance-Beratung, Richtlinien und Schulungen sollten wir Compliance Audits durchführen, um festzustellen, ob die Vorgaben verstanden und befolgt werden.

Finanzvorstand (unter Auftreten hektischer Flecken im Gesicht): Also, äh, nein, uns würden erst einmal Compliance-Schulungen reichen, so für die nächsten drei Jahre…“

Nächste Woche erläutere ich die Säulen „Aufdeckung“ und „Reaktion“. Bleiben Sie bis dahin gesund und compliant!