Ohne interne Kontrollsysteme keine Compliance
Das Aufstellen interner Richtlinien im Unternehmen ist eine Sache. Ihre Einhaltung ist eine andere. Werden die geschaffenen Compliance-Richtlinien nicht gelebt, bleiben sie funktionslos – und schützen im Ernstfall weder das Unternehmen noch die Geschäftsleitung.
Monitoring und Reporting
Damit Compliance wirkt, muss die Regeleinhaltung überwacht und das Compliance System bei Bedarf verbessert werden. Das ist der Zweck von Compliance Monitoring und Reporting. Als Monitoring wird das Erfassen aller Compliance-relevanten Daten und Vorfälle bezeichnet, Reporting steht für die strukturierte Bereitstellung und Auswertung dieser Informationen.
Der Compliance Officer und das Monitoring
Für das Monitoring und das Reporting ist in der Regel der Compliance Officer zuständig. Schließlich hat er dafür Sorge zu tragen, dass die aufgestellten Richtlinien im Unternehmen tatsächlich eingehalten werden. Daneben ist es seine Aufgabe, das bestehende Compliance-Programm weiter auszubauen, anzupassen und zu überwachen, um Fehlentwicklungen vorzubeugen oder nach einem Fehlverhalten Wiederholungen zu vermeiden.
Drei wichtige Prinzipien für das Compliance-Monitoring
Die Einhaltung der Compliance-Richtlinien setzt voraus, dass bestimmte interne Steuerungs- und Kontrollprinzipien etabliert werden, etwa die folgenden:
- Vier-Augen-Prinzip: jede missbrauchsanfällige Entscheidung im Unternehmen muss durch eine zweite Person bestätigt werden.
- DurchgehendeDokumentation von Entscheidungsprozessen: Alle relevanten Schritte zu einerEntscheidung von bestimmter Tragweite (etwa eine Auftragsvergabe) müssen festgehalten werden. Gemeint sind beispielsweise Vorüberlegungen, Prüfungen, Nachfragen etc. Nur dann ist der Entscheidungsprozess später für einen Dritten nachvollziehbar.
- Whistleblower-System: Hinweisgeber müssen eine Möglichkeit haben, Compliance-Verstöße anonym zu melden – und solchen Hinweisen muss nachgegangen werden.
Solche Grundsätze tragen zum Zweck des Monitoring bei: die Compliance-Vorgaben zu leben, Abläufe transparent zu gestalten und jederzeit nachvollziehen zu können, wie es zu einer bestimmten Entscheidung kam.
Das zweite Herzstück: funktionierendes Reporting
Monitoring erfüllt allerdings nur dann seinen Sinn, wenn gleichzeitig das Reporting funktioniert. Die beim Monitoring erhobenenInformationen müssen in sinnvoller, verwertbarer Form als Reports bereitgestellt werden.
Wie ein Compliance-Report konkret ausgestaltet sein sollte, hängt von den Adressaten ab. Vorstände und Aufsichtsräte benötigen andereAuswertungen als Mitarbeiter oder gar die Kunden des Unternehmens. In jedem Fall müssen die Berichte jedoch übersichtlich und leicht erfassbar sein, umpraktischen Nutzen zu bringen. Das Reporting ist nach meiner Erfahrung einguter Indikator für die Qualität der Compliance insgesamt.
Die Berichte sollten Angaben zum Aufbau der Compliance-Organisation, den wesentlichen Risikofeldern (korruptives Verhalten, Gesetzesverschärfungen, Besonderheiten in bestimmten Ländern bzw. Regionen etc.) sowie Berichte zu einschlägigen Vorfällen im Berichtszeitraum enthalten. Von Interesse sind darüber hinaus durchgeführte Schulungsmaßnahmen sowie die Weiterentwicklung des Compliance Systems.
Beispiel: Monitoring und Reporting von Geschenken
Geschenke von Geschäftspartnern an einzelne Mitarbeiter liefern ein gutes Beispiel für den Sinn von Monitoring und Reporting: Während die Compliance-Regeln bestimmen, bis zu welchem Wert Geschenke angenommen werden dürfen und wer im Zweifelsfall darüber entscheidet, sorgt das Monitoringdafür, dass jedes Geschenk mit den relevanten Angaben tatsächlich erfasst wird.Dank Reporting wird außerdem intern erkennbar, ob die Compliance in Bezug aufGeschenke an Mitarbeiter funktioniert oder ob Anpassungen erforderlich sind.
Das schafft sowohl für den Compliance Officer wie auch für die Geschäftsführung Transparenz.Gleichzeitig werden den Mitarbeitern die mit der Annahme verbundenen Compliance-Risiken bewusst, wenn jedes Geschenk über ein internes Systemgemeldet werden muss.
Compliance Monitoring kann auch angeordnet werden
Die Einführung von Compliance Monitoring erfolgt nicht in allen Fällen ganz freiwillig.
Nicht selten werden Unternehmen nach einem Verstoß dazu verpflichtet, einen Compliance-Beauftragen zu bestellen, zusätzlich zum verhängten Bußgeld.In anderen Fällen ist das Etablieren nachweislich funktionierender Compliance als Zeichen „tätiger Reue“ ein wichtiger Schritt der Verteidigungsstrategie in einem laufenden Verfahren. Dazu gehört dann auch ein funktionierendes Monitoring.
Praktische Beratung zur Compliance Ihres Unternehmens
In letzter Zeit haben wir uns mehrfach mit praktischenAspekten von Compliance befasst: Mit der haftungsbegrenzenden Wirkung von Compliance-Systemen, mit der richtigen Reihenfolge bei ihrer Einführung und mit der Ausarbeitung des Regelwerks.
Ich bin Fachanwalt für Steuerrecht und Fachanwalt fürGesellschaftsrecht, neben Wirtschaftsstrafrecht ist Compliance-Beratung einSchwerpunkt von mir. Wenn Sie konkrete Fragen zur Compliance in Ihrem eigenenUnternehmen haben, kann ich Sie als gerne unterstützen. Sie erreichen mich unter [email protected] oder unter 0941 2809 480 (Regensburg) bzw. 089 741 185 496 (München).
Fragen und Antworten
Diese Fragen aus unserem FAQ passen zum Thema.
