Compliance-Risikoanalyse

Praxisleitfaden für Unternehmen. Von Klaus Moosmayer (Hrsg.). C.H. Beck Verlag, München 2015, 184 Seiten, 59,00 EUR, ISBN 978-3-406-66299-7.

Klaus Moosmayer ist Chief Compliance Officer von Siemens. Wenn er sich zu den praktisch relevanten Themen des Compliance- Managements äußert, ist genaues Lesen angezeigt. Sein neues Herausgeberwerk widmet sich einem der entscheidenden Prozesse in jedem Compliance-Management-System, nämlich der Risikoanalyse. Mit ihr gibt das Unternehmen sich selbst vor, was Teil seines Compliance-Management-Systems werden wird. Es schafft die Basis für alles, was kommt. Damit ist es sinnvoll, sich diesem Thema auch ausführlich zu widmen. Ein Risiko nicht zu entdecken, kann ein Compliance-Programm gefährlich machen. Einen falschen Schwerpunkt zu setzen, also ein nicht vorhandenes Risiko zu bekämpfen, kann teuer werden, ohne einen entsprechenden Nutzen zu stiften.

Zu Recht stellt Moosmayer zu Beginn des Buches das theoretisch gebotene Vorgehen (eine Risikoanalyse zeigt, was das Unternehmen tun muss, um Verstöße zu vermeiden) und das in der Realität gerade im Mittelstand vorherrschende Vorgehen (es ist etwas passiert, dadurch ist klar, welches Risiko besonders wichtig ist) gegenüber.

Das grundsätzliche Vorgehen, welches Moosmayer vorschlägt, entspricht dem betriebswirtschaftlichen Modell des Risikomanagements: Geprüft werden sollen Faktoren, die auf das eigene Unternehmen bezogen sind, genauso wie Faktoren, die aus der Umwelt auf das Unternehmen einwirken. Zuzustimmen ist den Autoren auch bei der Zweistufigkeit des Verfahrens: Risiken sollten zum einen Topdown untersucht werden aber auch Bottom-up durch das operative Management gespiegelt werden. Dem State of the Art entsprechen auch die zwei Kernrisiken für das Compliance-Management: Korruption und Kartellrecht. Diesen Risiken sind alle Unternehmen – wenn auch in unterschiedlicher Ausprägung – ausgesetzt. Hinzu kommen andere branchen- und unternehmensspezifische Risiken, die in der Risikoanalyse identifiziert werden sollen.

Vetter und Harting diskutieren in ihrem Beitrag die Pflichten des Vorstands eines herrschenden Unternehmens, für Compliance im gesamten Konzern zu sorgen. Ihnen ist zuzustimmen, wenn sie die Diskussion um die Legalitätspflicht im Konzern als „akademisch“ bezeichnen. Zu stark sind die materiellen Rückwirkungen auf die Muttergesellschaft und den Gesamtkonzern, wenn es zu Compliance-Verstößen in Tochtergesellschaften kommt. Kunden und andere Stakeholder unterscheiden nicht zwischen den gesellschaftsrechtlichen Besonderheiten, die Reputation macht sich mehr an Marken fest als an rechtlichen Konstruktionen innerhalb eines Konzerns. Verluste werden in Vertrags- und Eingliederungskonzernen durch die Muttergesellschaft ausgeglichen. Also, kommt es auch zu finanzwirtschaftlichen Rückwirkungen auf die Mutter. In einer Überarbeitung des Bandes wäre es wünschenswert, Redundanzen abzubauen. Das Thema der Pflicht für Compliance im Konzern wird an zwei Stellen ausführlich diskutiert.

In dem Kapitel zur Umsetzung der gesetzlich geforderten Pflichten gehen Schiefer und Wauschkuhn auf fünf Leitlinien ein, die der Vorstand zur Erfüllung beachten sollte: Die sorgfältige Auswahl der Mitarbeiter ist der erste Punkt. Zweitens muss die Organisation und Aufgabenverteilung (also die ordnungsmäßige Betriebsorganisation) inklusive einer Compliance-Organisation klar geregelt sein. Daneben wird die Aufklärung und Unterweisung der Mitarbeiter als besondere Pflicht dargestellt. In diesem Kapitel machen die Autoren einen wichtigen Hinweis: Die Pflicht zur Unterweisung der Mitarbeiter entbindet in keiner Weise von der Eigenverantwortlichkeit der Mitarbeiter. Der gesamten Belegschaft muss klar sein, dass sie selber für die Einhaltung der relevanten Gesetze verantwortlich ist. Vierte Leitlinie ist die Unterweisung der Führungskräfte. Ihnen kommt eine besondere Verantwortung zu, da sie letztlich diejenigen sind, die eine Kultur der Integrität schaffen oder nicht. Die Autoren empfehlen zudem besondere vertragliche Regelungen bzw. eine Wiederholung der Schulungen in höherer Frequenz für Führungskräfte. Als fünfte Leitlinie wird die Kontrolle und Überwachung der Aktivitäten benannt.

Hilfreich sind viele praktische Hinweise wie Checklisten. So wird in einer Checkliste das Für und Wider bezüglich der Offenlegung von Rechtsverstößen gegenüber den Behörden analysiert. Dies kann im Alltag eines Compliance-Officers eine wichtige Hilfestellung sein.

Im dritten Kapitel des Buches werden die bis dato theoretisch formulierten Einsichten in ihrer praktischen Anwendung gezeigt. Die Autoren stellen die praktischen Erfahrungen im Volkswagen Konzern, bei Siemens, in mittelständischen Maschinenbau-Unternehmen und in der öffentlichen Verwaltung dar. Damit wird ein breites Anwendungsspektrum der Risikoanalyse dargestellt, das dem Leser wertvolle Hinweise zur praktischen Anwendung gibt. Im vierten Kapitel wird ein besonderer Bereich der Risikoanalyse herausgegriffen, nämlich die kartellrechtliche Risikoanalyse. Dies ist eines der Kernrisiken, die schon vorher im Buch benannt worden sind. Allerdings erschließt sich dem Leser nicht, warum ein Drittel des Buches sich dieser Frage widmet. Nichtsdestotrotz sind die Ausführungen durchaus hilfreich für den Compliance-Praktiker. Abgeschlossen wird das Werk mit einer Betrachtung der Prüfung von Compliance-Management-Systemen nach dem IDW PS 980.

Es handelt sich um ein verdienstvolles Werk, da ein besonders wichtiger Baustein des Compliance-Management-Systems ausführlich diskutiert wird und damit eine Lücke in der Literatur geschlossen wird.

Prof. Dr. Stefan Behringer, NORDAKADEMIE Elmshorn

Quelle: ZRFC Risk, Fraud & Compliance Heft 2/2015