Compliance. Markus Böttcher
Aufsichts- oder Kontrollbehörden darzulegen und ggf. zu beweisen, ist auf eine ordnungsgemäße Dokumentation der Schulungsmaßnahmen zu achten.
4.1 Präsenzschulungen vs. E-Learning
82
Es gibt eine Vielzahl von Möglichkeiten, Schulungen zu gestalten. Persönlicher, und für direkte Fragen der Teilnehmer geeigneter sind sicherlich Schulungen von Angesicht zu Angesicht. Die Compliance-Abteilung hat dabei die gute Gelegenheit, sich und ihre Mitarbeiter vorzustellen und durch fachliche Kompetenz und direkte Ansprache der Teilnehmer Vertrauen zu gewinnen. Auch kann ein „Classroom Training“ wesentlich flexibler und individueller gestaltet werden als ein vorgefertigtes Trainingsmodul, das bei Zweifels- und Auslegungsfragen auch durchaus für Verwirrung sorgen kann.
83
Doch im globalen Konzern mit Tausenden von Mitarbeitern werden sich Schulungen auf elektronischem Wege aus Zeit-, Kosten- und Kapazitätsgründen kaum vermeiden lassen. Abgesehen von dem Nachteil des mangelnden persönlichen Kontakts mit den Teilnehmern bieten E-Learning-Programme jedoch auch vielerlei Vorteile: So kann ein einmal erstelltes E-Learning-Modul, bspw. zu den Compliance-Grundlagen, immer wieder verwendet werden, vorausgesetzt, es wird regelmäßig auf den neuesten Stand gebracht. Darüber hinaus kann durch E-Learning ein einheitlicher Trainingsstandard durch alle Unternehmensebenen gewährleistet werden. Auch Überwachung und Kontrolle, ob tatsächlich sämtliche Mitarbeiter das Compliance-Lernprogramm absolviert haben, sind auf elektronische Weise wesentlich einfacher zu handhaben.
4.2 Reputationstraining
84
Reputation[17] und Reputationsrisiko haben sich in den letzten Jahren, bedingt durch den zunehmenden Vertrauensverlust der Öffentlichkeit in Unternehmen und Unternehmensführung, zu bedeutsamen Themen für Corporate Compliance und Risikomanagement entwickelt.
85
Die Reputation eines Unternehmens gilt als einer der wichtigsten immateriellen Vermögenswerte, ist von größter Bedeutung für die Sicherung einer nachhaltigen Rentabilität und stellt ohne Zweifel einen zentralen Wettbewerbsvorteil für das Unternehmen dar.[18] Reputation wird definiert als der öffentliche Ruf eines Unternehmens hinsichtlich Kompetenz, Integrität und Vertrauenswürdigkeit. Reputationsrisiken bestehen in der Gefahr einer negativen Abweichung der Reputation eines Unternehmens vom erwarteten Niveau.[19] Wie einige spektakuläre Fälle in den letzten Jahren immer wieder gezeigt haben, kann der gute Ruf eines Unternehmens in Windeseile zerstört werden. Entsprechend hoch ist inzwischen auch das Bewusstsein der verantwortlichen Manager. Untersuchungen haben ergeben, dass die Mehrheit der Manager und Investoren den Verlust der Reputation als das größte und am schwierigsten einzuschätzende Risiko halten.
86
Häufiger Auslöser für die Schädigung der Reputation eines Unternehmens ist mangelndes Compliance-Bewusstsein sowie das Tolerieren unethischer Praktiken durch die Führungsebene. Hierzu kommt, dass Unternehmen des Kapitalmarkts durch ihre umfangreichen Veröffentlichungspflichten sowie die Beobachtung durch Analysten, Investoren und Ratingagenturen hinsichtlich einer möglichen Schädigung ihrer Unternehmensreputation besonders gefährdet sind. Auch die Abhängigkeit von Aktionären, Konsumenten, Aufsichtsbehörden, der Politik und nicht zuletzt den Medien sollte dazu führen, dass Reputational Risk Management als wichtiger Faktor im Compliance- und/oder Risikomanagement des Unternehmens betrachtet wird.
87
Nicht zu verwechseln ist Reputational Risk Management mit Krisenmanagement, das einsetzt, wenn sich ein Risiko bereits verwirklicht hat, d.h. eine Krise oder ein Schaden bereits eingetreten sind. Wie auch bei sonstigen Compliance-Risiken ist es bei Reputationsrisiken von Bedeutung, so präventiv und antizipatorisch wie möglich zu denken und zu handeln und diese Risiken auf der Basis möglicher Auswirkungen zu bewerten.
88
Gerade weil die Reputation eines Unternehmens sowie die Auswirkungen ihrer Schädigung schwerer messbar sind als andere Vermögenswerte und deren Beeinträchtigung, ist es umso wichtiger, dass Unternehmensleitung und Mitarbeiter über dieses Compliance-Risiko genauso intensiv unterrichtet und geschult werden wie zu den sonstigen konkreter fassbaren Compliance-Themen. Dies ist, je nach Branche, umso schwieriger, je globaler das Unternehmen, zumal wenn es börsennotiert ist, tätig ist. Unternehmen in umweltsensiblen Branchen, wie z.B. der Chemie oder der Pharmaindustrie, haben es noch mit „sichtbareren“ Reputationsrisiken zu tun als bspw. Siemens, das über Jahrzehnte als Vorzeigeunternehmen galt und plötzlich mit Korruption in den eigenen Reihen konfrontiert wurde. Vor diesem Hintergrund ist auf die bedeutsame Zusammenarbeit der einzelnen Abteilungen im Unternehmen, wie z.B. der Rechts- und Personalabteilung, dem Risikomanagement und dem Bereich Kommunikation, hinzuweisen.
89
Schulungsmaßnahmen zu Reputationsrisiken können selbstverständlich in die üblichen Compliance-Schulungen, die die Compliance-Abteilung ohnehin für die Belegschaft oder bestimmte Abteilungen im Unternehmen durchführt, integriert werden. Aufgrund der großen Bedeutung der Reputation eines Unternehmens und ihrer Gefährdung ist es jedoch durchaus empfehlenswert, separate Veranstaltungen zum Thema anzubieten. Dies kann bspw. als verpflichtender Workshop für alle leitenden Angestellten des Unternehmens gestaltet werden. In einem solchen Workshop sollten praktische Fälle als „case studies“ besprochen werden, die sich tatsächlich ereignet haben oder haben könnten (z.B. Siemens, Volkswagen, Deutsche Bank, ERGO). Hierzu sollten von den Teilnehmern Notfallpläne oder Deeskalationsmodelle erarbeitet werden, die auch im Ernstfall Verwendung finden könnten.
5.1 Control Testings und Audits
90
Vertrauen ist gut, Kontrolle ist besser. Der Aufbau einer Compliance-Abteilung, die Erstellung einer rigiden und überzeugenden Compliance-Struktur und nicht zuletzt die Schaffung einer glaubhaften Compliance-Kultur hängen vom guten Willen einer Vielzahl von Beteiligten innerhalb und außerhalb des Unternehmens ab. Compliance wird in der Regel von der überwiegenden Mehrheit der Beteiligten wohlwollend unterstützt und mitgetragen. Nichtsdestotrotz ist eine regelmäßige Überprüfung von Geschäftsvorgängen und Prozessen im Unternehmen erforderlich. Diese Überprüfung kann in Form von informellen Kontrollen oder Stichproben („Control Testings“) durch einzelne Compliance-Beauftragte erfolgen, indem sie den entsprechenden Geschäftsbereich um Auskunft über Prozesse, Abläufe etc. ersuchen. In vielen Bereichen[20] empfehlen sich solche informellen Überprüfungen, damit die Compliance-Abteilung ein Gespür dafür bekommt, wo mögliche Schwachstellen in einem System liegen, ohne gleich eine offizielle Untersuchung einleiten zu müssen.
91
Eine formelle Kontrolle, ob die bestehenden Compliance-Systeme funktionieren und die entsprechenden Richtlinien eingehalten werden, wird in vielen Unternehmen durch die interne Revision (Internal Audit Team) durchgeführt. Dieser Prozess ist vor allem deshalb empfehlenswert, weil er eine unabhängige Überprüfung nicht nur von möglichen Compliance-Verstößen, sondern auch der Effektivität der Compliance-Organisation an sich ermöglicht. Derartige Audits werden in enger Zusammenarbeit mit der Compliance-Abteilung durchgeführt und betreffen in der Regel einen bestimmten Risikobereich, der näher betrachtet werden soll. Andererseits kann sich ein Audit auch auf eine bestimmte Abteilung im Unternehmen konzentrieren, um deren Compliance-Verhalten insgesamt zu überprüfen. Regelmäßige Audits finden vor allem in den operativen Bereichen sowie im Vertrieb eines Unternehmens statt, da diese Abteilungen naturgemäß besonderen Compliance-Risiken unterliegen.
92