Eine nachhaltige und sichere Unternehmensfortentwicklung kann in einem diametralen Verhältnis zwischen dem betriebswirtschaftlichen Risiko-Management und der rechtlich orientierten Legal Compliance stehen. Beide Funktionsbereiche sind schematisch in der 2. Verteidigungslinie (Three Lines of Defence) eingeordnet und übernehmen Kontrollfunktionen  der Prozesse und des internen Kontrollsystems (1. Verteidigungslinie). 

Selbstredend kann ein Unternehmen nicht die Grenzen der Legalität übertreten, auch wenn das Unternehmen versucht, die Gesetze weit (zum eigenen Vorteil) „auszulegen“. Daher sollte die 2. Verteidigungslinie Hand in Hand agieren.

Ein wirtschaftlicher Vorteil durch beispielsweise Kickback-Zahlungen oder Schmiergeldzahlungen zur Erlangung von lukrativen Aufträgen ist strafbar nach u. a. § 299 StGB zzgl. Verbandsbußen nach § 30 OWiG, bringt dem Unternehmen aber im kurzweiligen Moment einen wirtschaftlichen Mehrwert und ist aus Sicht des Risiko-Managements „unkritisch“.

Aus Compliance-Sicht ergeben sich hohe wirtschaftliche Schäden, vor allem Reputationsschäden, die darauf fußen, dass das Unternehmen in rechtlich unerlaubter Weise Geld verdient und andere Marktteilnehmer, Volkswirtschaft und Stakeholder (Aktionäre, Kunden, Lieferanten, etc.) und nicht zuletzt sich selbst einen hohen, nicht quantifizierbaren Schaden, zufügt.

Folgende Fragestellungen sollten sachgerecht und fachlich beantwortet werden, sodass im Ergebnis eine konforme Prozessausrichtung zu Nachweiszwecken gelebt und dokumentiert werden kann. In bestimmten Fällen ist eine Haftungsprivilegierung bis zur vollständigen Vermeidung des Vorstands, Aufsichtsrats, Compliance-Officers in der Garantenstellung und sonstigen mit Kontrollfunktionen betrauten Führungskräften möglich (Business Judgement Rule, Save Harbour, etc.).

Es darf jedoch nicht übersehen werden, dass die zentrale Norm des § 130 OWiG eine ordnungsgemäße Aufsichtspflicht des Inhabers eines Unternehmens vorsieht. Weitere rechtliche Stützen ergeben sich aus §§ 76 Abs. 1, 91 Abs. 2 AktG  bei Aktiengesellschaften. Der Autor bittet um Beachtung, dass aufgrund der Ausstrahlwirkung weitere Gesellschaftsformen wie GmbH-GF-Haftung betroffen sein können.

Prozessuale Korrelation zwischen den Funktionsbereichen Risk und Compliance

Hierzu gehören im Sinne einer gesetzeskonformen Unternehmensführung die Aspekte der Compliance Kultur (z. B CMS IDW PS 980), die Absicherung von Risiken im Unternehmen nach den verschiedensten Risikoarten Markpreise, Operative Risiken, etc. (z. B. nach COSO II Rahmenwerk) und auch Erkenntnisse von innen (Implementierung Whistleblower) oder von außen (Implementierung Kunden-Beschwerde-Hotline). –> Code of Ethic, Anti-Korruptions-Richtlinie, Mahnwesen, etc.)

Besteht ein IKS, Risikomatritzen, Berechnung der Risiken (Qualitativ/Quantitativ)?

Überdies sollte ein Compliance-Graph für die Identifizierung der rechtlichen Anforderungen erstellt werden. Der Graph sollte in der Lage sein, Compliance-Risiken zu klassifizieren.

Eine Prozessoptimierung im Sinne von Benchmarking (z. B. CMMI, Ampelsteuerung, RACI-Diagramm, DEMI-Leiste), Soll-Prozesse, QM-Handbuch, etc. gehört ebenso dazu wie das Gespräch mit Fachabteilungen und Prozessownern, vor allem im Hinblick auf den fachübergreifenden Informations-Austausch und die Zusammenarbeit an den Schnittstellen. Wurden bereits dynamische KVP`s in den Prozessen eingeführt? Gibt es ein dynamisches IKS in den risikogefährdeten Geschäftsprozessen.

Folgende Fragen kommen hinzu: Müssen Prozesse modelliert werden (Produktentwicklung, Start-Up) oder bestehen Prozesse, die untersucht und optimiert werden (End-to-End-Prozessoptimierung, Change-Management, Re-Organisation, etc.).

Aufbauorganisation (RACI, RACE oder DEMI)

Sind die Rollen klar verteilt und bestehen keine Interessenskonflikte hinsichtlich der Aufgabenverteilung (4- Augen-Prinzip, Job-Rotationen, Stellvertreter-Regelungen, etc.)?

Diese Themen können noch weiter ausgebaut werden und gehen jeweils in die entsprechende Tiefe. Hinzu kommen noch weitere Erkenntnisse aus Analysen wie Kundenzufriedenheit (CRM, PPL), Scoring-Modelle, etc., Heat- und Roadmaps, Risiko Handbücher, QM-Handbücher sowie sonstige Fit-Analysen, etc.

Abschließend möchte der Autor den Standpunkt manifestieren, dass die Mitarbeiter das höchste Gut darstellen und hier jede Menge gute Ideen und Vorschläge einbringen können. Die beste Compliance-Organisation ist nicht funktionsfähig, wenn die Kultur nicht bei den Mitarbeitern gedanklich fest verankert ist. Letztendlich rückt Compliance wieder ein Stück in Richtung Betriebswirtschaft, weil Compliance-Schulungen marketingtechnischen Charakter mit sich bringen.

Autor

Kwan I. Jao, LL.M.

Medizinjurist / Medizin-BWL

Transaction Lawyer