Compliance. Markus Böttcher
Teil, wenn nicht einen Großteil seiner Zeit wird der Compliance-Verantwortliche, zumal, wenn er als Einzelkämpfer agiert, damit verbringen, Konfliktmanagement im weitesten Sinne zu betreiben, d.h. sich anbahnende Konflikte möglichst zu vermeiden, bereits entstandene Konflikte zu entschärfen und bestehende Konfliktursachen dauerhaft zu beseitigen. Diese Aufgaben ergeben sich zum einen objektiv aus der Stellung von Compliance als Instrument der Führungskontrolle,[9] zum anderen, auf der subjektiven Ebene, aus der Stellung des Compliance-Beauftragten als Vertrauensperson. Die Tatsache, dass der Compliance-Beauftragte aus dieser Vertrauensstellung heraus häufig mit Konfliktsituationen konfrontiert wird, führt häufig dazu, dass er als Konfliktmanager oder auch Mediator tätig werden muss. Selten wird sich eine compliance-relevante Situation als eindeutig erweisen; vielmehr wird in der Regel Aussage gegen Aussage stehen und eines Vermittlers bedürfen, der entschärft, gemeinsam mit den Parteien nach Lösungen sucht oder auch, als ultima ratio, die Eskalation nicht scheut.
3.2 Aufgaben
24
Eine der wichtigsten Aufgaben des Compliance-Verantwortlichen ist es, Compliance als ein Frühwarnsystem zu begreifen. Dies bedeutet, dass so präventiv wie möglich auf bevorstehende Risiken hinzuweisen ist. Dies hat zum einen abstrakt in der Form von generellen Vorschriften wie z.B. dem Verhaltenskodex des Unternehmens zu erfolgen. Zum anderen wird es immer wieder besondere Vorkommnisse geben, die „early warning alerts“ erfordern, wie bspw. die zu bestimmten Zeiten zu verhängenden Sperrfristen (sog. Close Periods) beim Aktienhandel für Mitarbeiter des betroffenen Unternehmens.
25
Compliance als Frühwarnsystem erfordert unter anderem eine intensive Zusammenarbeit mit der Risikomanagement-Abteilung des Unternehmens. Insbesondere ist sicherzustellen, dass ein freier Austausch von Informationen zwischen der Compliance-Abteilung und dem Risikomanagement in beide Richtungen vorbehaltlos und ohne Abgrenzungsmentalität erfolgt. Klares Ziel muss sein, Informationen zum Wohle des Unternehmens so transparent wie möglich vorzuhalten und sie demjenigen zur Verfügung zu stellen, der sie zur Erfüllung seiner Aufgaben benötigt.[10]
26
Wie schon an verschiedener Stelle erwähnt, stellt die Fähigkeit, Risiken zu antizipieren, einen wesentlichen Bestandteil der – zumindest wünschenswerten – Compliance-Funktion dar. Um diese Fähigkeit zu entwickeln und auszubauen, muss der Compliance Officer, als Einzelkämpfer oder mit seiner Abteilung, als fester und unüberwindlicher Baustein in unternehmensinterne Prozesse eingebunden sein. Der Status quo dieser unternehmensinternen Prozesse ist aus Compliance-Sicht laufend auf mögliche bevorstehende Risiken zu überprüfen. In dieser Eigenschaft übt Compliance sicherlich eine Kontrollfunktion aus, die durch die interne Revision oder auf globaler Ebene durch die interne Revision (Internal Audit) langfristig unterstützt werden sollte.[11]
27
Neben der Einbindung in bestehende unternehmensinterne Prozesse ist es von besonderer Wichtigkeit, dass Compliance in bevorstehende, d.h. in der Planung befindliche, Projekte so frühzeitig wie möglich einbezogen wird. Dies gilt nicht nur intern, sondern ist bei der Beobachtung von gesetzlichen Trends und Entwicklungen, die für die Branche wesentlich sein können, auch extern von großer Bedeutung. Deshalb sollte, wie bereits erwähnt, der Compliance-Beauftragte, im Idealfall entweder direkten Kontakt mit den für die Branche wesentlichen Behörden, etwa der Aufsichtsbehörde, pflegen oder über die unternehmensinternen Beziehungen verfügen, die ihm die wesentlichen, für das Antizipieren von Risiken relevanten Informationen vermitteln.
28
Nach der proaktiven Aufgabe von Compliance, mögliche Risiken für das Unternehmen zu antizipieren, gilt es nun, diese Risiken zu analysieren und in ihrer Bedeutung für das Unternehmen kurzfristig und langfristig möglichst realistisch einzuschätzen. Dies gehört sicherlich mit zu den schwierigsten Aufgaben des Compliance-Verantwortlichen.
29
Bisher war vom Compliance-Beauftragten als Einzelkämpfer die Rede, der, wie die sprichwörtliche „eierlegende Wollmilchsau“ sämtliche bislang dargestellten Persönlichkeitsmerkmale, Aufgaben und Verantwortlichkeiten in Personalunion zu gewährleisten habe. Je größer und komplexer das Unternehmen, desto weniger wird jedoch der Einzelkämpfer in der Lage sein, die dargestellten Aufgabenfelder umfassend abzudecken. Deshalb wird es zu seinen Kernaufgaben gehören, ein effizientes und im Unternehmen sichtbares Compliance-Netzwerk aufzubauen. Dabei ist es zweitrangig, ob sich der Compliance-Beauftragte hierzu interner oder externer Ressourcen bedient oder für die Bewältigung seiner vielfältigen Aufgaben Vollzeit- oder Teilzeitkräfte zur Verfügung hat. Allein entscheidend ist, dass die aufgebaute Compliance-Organisation auch tatsächlich als Netzwerk funktioniert. Dies bedeutet klare Kompetenzverteilung unter den einzelnen Compliance-Verantwortlichen, offene Kommunikation auf präventiver und repressiver Ebene und gleichzeitig die Gewährleistung der notwendigen Vertraulichkeit bei Compliance-Verstößen sowie der effizienten Kontrolle der vorhandenen Strukturen.
30
Gerade im globalen Konzern ist es unabdingbar, dass der zentrale Compliance-Beauftragte (Chief Compliance Officer) durch dezentrale Compliance-Verantwortliche unterstützt wird. Die Schaffung dieser dezentralen Funktionen gewährleistet die Versorgung des zentralen Compliance-Beauftragten mit Informationen und dem notwendigen Expertenwissen und verankert das Compliance-Bewusstsein im gesamten Unternehmen. Im Idealfall bzw. in Unternehmen mit großen Compliance-Risiken (z.B. durch aufsichtsrechtliche Vorgaben im Banken- und Versicherungsbereich) sollte es pro Unternehmensstandort einen in Vollzeit beschäftigten Compliance Officer geben, der in die operativen Prozesse eingebunden und mit den vorherrschenden Geschäftspraktiken vertraut ist. In der Realität ist es aufgrund knapper Ressourcen jedoch häufig der Fall, dass ein lokaler Mitarbeiter die Rolle des dezentralen Compliance-Beauftragten als Nebenaufgabe übernimmt. Dies muss nicht unbedingt ein Nachteil sein, wenn dieser Mitarbeiter durch seine – operative oder sonstige – Aufgabe derart in das Geschäftsgeschehen eingebunden ist, dass er Compliance-Risiken unter Umständen sogar schneller und direkter erkennen kann als ein Compliance Officer in Vollzeit.
31
Bei der Ernennung von dezentralen Compliance-Verantwortlichen sind grundsätzlich die gleichen persönlichen, fachlichen und sozialen Maßstäbe anzulegen wie für den Chief Compliance Officer.
Es ist jedoch darauf zu achten, dass durch die Ernennung eines dezentralen Compliance-Verantwortlichen kein persönlicher oder sonstiger Interessenskonflikt entsteht. Deshalb ist es empfehlenswert, die dezentralen Compliance Officer disziplinarisch dem zentralen Compliance-Verantwortlichen zu unterstellen. Doch auch in diesem Bereich wird in der Realität der dezentrale Compliance Officer oft der Bereichsleitung unterstellt, zumal wenn er die Compliance-Aufgabe nur als Nebenaufgabe wahrnimmt und vorwiegend an seiner Hauptaufgabe gemessen und bewertet wird. Ist dies der Fall, sollte zumindest eine zusätzliche direkte Berichtslinie im Rahmen der Compliance-Organisation an den Chief Compliance Officer gegeben sein. In der Praxis gibt es auch Mischformen, wonach die Leistung als dezentraler Compliance-Verantwortlicher in die Leistungsbewertung insgesamt einfließt und somit Zielerreichung und variabler Gehaltsbestandteil die Compliance-Funktion mitbewerten.
32
Die Dokumentation von Compliance-Vorgängen ist ein wichtiger Bestandteil der Compliance-Organisation, wenn auch wegen des oft großen administrativen Aufwands nicht immer sehr beliebt. Zu dokumentieren sind zum einen sämtliche tatsächlichen oder angeblichen Compliance-Vorfälle, die der Compliance-Abteilung zur Kenntnis gelangt sind, aber auch alle Maßnahmen zur Aufklärung, Schulung und Beratung. Die gemeldeten Compliance-Vorfälle werden üblicherweise in einer Datenbank geführt, zu der die Compliance-Beauftragten