Nadine Jacobi

Compliance Officer: Wenn Konsequenzen plötzlich persönlich werden

Teil 12 meiner Blog-Serie zum Thema Compliance Officer: Sie erinnern sich an die drei Säulen meines Compliance-Management-Systems? Heute widme ich mich den Themen Aufdeckung und Reaktion – und welche Folgen Compliance Officer im Blick behalten sollten.

In der zweiten Säule Aufdeckung finden wir Instrumente, mit denen wir Fehlverhalten feststellen können. Hierzu gehören Compliance-Kontrollen als integraler Bestandteil des internen Kontrollsystems. Dies können beispielsweise die Einführung des 4-Augen-Prinzips bei der Genehmigung von Vorgängen, die Festlegung von Genehmigungsgrenzen oder die Verpflichtung zur Einholung von drei Angeboten im Einkaufsbereich sein.

Es gibt keine Komfort-Zonen

Zur Aufdeckung zählen darüber hinaus Prüfungen der Internen Revision, aber auch Sonderprüfungen wie beispielsweise anlassbezogene Investigations oder stichprobenbezogene Routineprüfungen zur Einhaltung von Richtlinien. Spätestens hier wird allen Compliance Officern klar, , dass sie nicht zum beliebtesten Mitarbeiter des Jahres gewählt werden.

Überprüfungen, ob sich Beschäftigte oder 3rd parties an die Richtlinien und Standards halten, sei es aufgrund von Hinweisen oder routinemäßigen Stichprobenüberprüfungen, sind bei den Betroffenen so begehrt wie eine Zahnwurzelbehandlung. Denn hier geht es ans Eingemachte, Sie dringen mit diesen Maßnahmen quasi in seinen oder ihren Wirkungs-/ Hoheitsbereich ein und überprüfen, ob die Aussage „Ja, natürlich haben wir uns an die Vorgaben gehalten“ der Wahrheit entspricht. Die gegenseitige Komfort-Zone haben Sie damit lange hinter sich gelassen.

Es sollte mir als Compliance Officer also klar sein, dass diese Art des Monitorings, vulgo Überwachung, per se eskalationsgeneigt ist. In größeren Compliance Abteilungen von Konzernen ist man dazu übergegangen, Compliance Beratung (Prävention) und Investigations/Compliance Audits nicht in Personalunion durchzuführen. Denn meine Aufgabe als „trustful adivisor“, zu dem die Kollegen gerne kommen, lässt sich ungleich schwerer durchführen, wenn Mitarbeiter aufgrund von durchgeführten Investigations kurz zuvor gehen mussten. Eine solche Trennung der Aufgaben lässt sich aber nur durchführen, wenn meine Compliance Abteilung mehrere Mitarbeiter hat.

Verfüge ich nicht über solch eine Personaldichte, hilft auch hier ein gutes Kommunikationskonzept beim Start meiner Monitoring Aktivitäten (der Zeitpunkt sollte hier gut gewählt sein):

  • Erklären Sie, warum ein CMS ohne Maßnahmen im Bereich Aufdeckung nicht auskommt.
  • Erläutern Sie, wie Sie oder das eingesetzte (externe) Team vorgehen.
  • Legen Sie offen, wann und wie Ergebnisse dem Geschäftsführer der zu untersuchenden Tochtergesellschaft präsentiert werden.

Ein sanfterer Einstieg ins Monitoring kann gelingen, wenn für das erste Jahr der Prüfungen vereinbart wird, dass festgestellte Abweichungen zunächst nur gelistet und daraus Empfehlungen mit Fristvereinbarungen abgeleitet werden. Dies darf natürlich nicht gelten, wenn ein festgestellter, relevanter Verstoß bekannt wird, zum Beispiel wenn sich der/die Mitarbeiter(in) bei der Auftragsvergabe nachweislich einen persönlichen Vorteil verschafft hat.

Aufdeckung ist mehr als Kontrolle

Der Bereich Aufdeckung besteht jedoch nicht nur aus Kontrollen und internen Untersuchungen. Hierin finden sich auch festgelegte Berichtslinien, die Compliance gemeinsam mit den jeweiligen Vorgesetzen erarbeitet hat. Nur so können Sie sicherstellen, dass Sie als Compliance Officer stets rechtzeitig diejenigen Informationen erhalten, die für Ihre Arbeit relevant sind.

Hinweisgeber-Systeme bringen nachweislich Erfolge

Zentrale Bedeutung hat in den letzten Jahren die Einrichtung eines Hinweisgebersystems bekommen. Dabei handelt es sich um ein Meldesystem, mit dem Mitarbeiter und teilweise auch 3rd parties die Möglichkeit erhalten, Hinweise auf Regelverstöße zu geben und dabei auf Wunsch anonym zu bleiben. Unternehmen bieten hierfür entweder ein webbasiertes System, eine Telefonhotline und/ oder einen externen Ombudsmann (oftmals Rechtsanwalt) an.

Der Grund für die Einrichtung eines solchen Hinweisgebersystems ist die Erkenntnis, dass in der überwiegenden Zahl an Fällen die internen Kontrollsysteme nicht greifen und das Unternehmen relevantes Fehlverhalten oftmals nicht aufdecken. In den regelmäßig wiederkehrenden Veröffentlichungen von Studien zum Aufkommen und Entdecken von wirtschaftskriminellen Handlungen wird deutlich, dass Meldungen von Hinweisgebern auf Platz 1 des Aufdeckungs-Rankings stehen.

Auch die EU hat die Bedeutung von Hinweisgebersystemen anerkannt und durch die am 16. Dezember 2019 verabschiedete EU Directive 2019/1937 verstärkt. Hiernach sind die Mitgliedstaaten verpflichtet eine Regelung zu erlassen, wonach Unternehmen ab 50 Mitarbeitern oder einem Umsatz von mehr als zehn Millionen Euro geeignete Meldekanäle (Hinweisgebersysteme) unter Wahrung spezifischer Voraussetzungen, zum Beispiel der garantierten Anonymität, implementieren müssen. Für Unternehmen ab 250 Mitarbeitern ist dies voraussichtlich in den nächsten zwei Jahren umzusetzen.

Hinweisgeber verdienen Schutz

Ziel der Directive ist es, Hinweisgeber unter einen besonderen Schutz zu stellen, um weder Kündigung noch Verunglimpfungen durch Kollegen und Vorgesetzte befürchten zu müssen. Findet der Hinweisgeber intern keine geeigneten Meldekanäle vor, kann er sich zukünftig direkt an die zuständige Aufsichtsbehörde oder die Öffentlichkeit wenden. Für ein Unternehmen wird dies immer die schlechteste aller Optionen sein. Geeignete interne Meldekanäle zur Verfügung zu stellen wird daher zukünftig ein „Muss“ sein, zumal sie für das Unternehmen unter Begleitung eines geeigneten Kommunikationskonzepts eine sehr wichtige Erkenntnisquelle sind.

Sanktionen gegen den Ruf eines zahnlosen Tigers

In der dritten Säule unseres CMS, der Reaktion, finden wir schließlich Maßnahmen zur Sanktionierung von Fehlverhalten und zur nachhaltigen Korrektur von Prozessen. Die Sanktionierung von identifiziertem (relevantem) Fehlverhalten, zum Beispiel auf Basis durchgeführter Untersuchungen, ist von elementarer Bedeutung. Dahinter steht die Erkenntnis, dass das mit hohem Aufwand betriebene CMS nur dann greift, wenn Verstöße konsequent und unabhängig von Rang und Bedeutung des Mitarbeiters geahndet werden. Ansonsten agieren Sie und das Management wie ein zahnloser Tiger.

„Der Kollege war doch immer so nett“

Dieser so wichtige Teil der Reaktion ist gleichzeitig der Schwierigste. Denn sich von einem(r) langjährigen, auch für das Unternehmen verdient gemachten Mitarbeiter(in) unter Umständen sogar trennen zu müssen, tut ausgesprochen weh. Sie können davon ausgehen, dass man Ihnen die Trennung persönlich „in die Schuhe schieben“ wird.

Erinnern Sie sich an meine Ausführungen in Teil 9, in dem es um das Verständnis zu Ihrer Rolle, Funktion, Verantwortung und Ihre Haftung geht? Warum mussten Sie denn auch den Hinweisen oder Ungereimtheiten weiter nachgehen? Sie hätten Ihre Nase doch einfach in andere, nicht so kritische Themen stecken können. Der/die Kollege/in war doch so nett, und schließlich machen es die anderen doch auch… (Und täglich grüßt das Murmeltier!).

Hier bedarf es eines Managements, welches voll und ganz hinter Ihren Monitoring-Aufgaben steht und ein Compliance System nicht nur auf dem Papier sehen will. Es ist eine der wirkungsvollsten Gelegenheiten zu zeigen, dass das Management die „Tone-from-the-Top“-Kultur tatsächlich lebt.

Lücken schließen – und zwar ständig

Ein weiterer wichtiger Teil im Bereich Reaktion ist es, Prozesslücken zu schließen und Prozessschwächen zu beseitigen, die im Rahmen von Monitoring-Aktivitäten identifiziert wurden. Denn es ist eine altbekannte Regel, dass Täter die Schwächen des Systems, wie zum Beispiel fehlende Kontrollen, nutzen, um wirtschaftskriminelle Handlungen zu begehen.

Stehen die drei Säulen unseres Compliance Management Systems, ist unsere Arbeit aber nicht vollendet. Sie erinnern sich an unsere Compliance-Risiko-Analyse in meinem Blogteil 11? Diese Analyse müssen wir fortlaufend aktualisieren, erweitern oder sogar verändern, wenn es neue Erkenntnisse oder Umstände erfordern. Daraus leiten wir neue Prioritäten, Schwerpunkte und die Ausrichtung unserer Compliance-Maßnahmen ab und vertiefen diese im Aktionsplan. Nur dieser kontinuierliche Abgleich ermöglicht es uns, ein wirkungsvolles CMS zu etablieren, das passgenau auf die Risiken des Unternehmens zugeschnitten ist.

Kommende Woche werde ich erklären, in welchen Punkten das 3-Säulen-Modell wissenschaftliche Erkenntnisse zur Psychologie der Täter berücksichtigt. Bleiben Sie bis dahin wie immer gesund und compliant!