Compliance ist eine grundlegende Pflicht der Unternehmensleitung – sie fällt aber auch in das Pflichtenprogramm des Aufsichtsrats. Jürgen Pauthner und Dr. Nima Ghassemi-Tabar, Autoren des Fachbuchs „Corporate Compliance: Praxisleitfaden für die Unternehmensführung“ erklären, wie Compliance in der Praxis funktioniert und welche Compliance-Herausforderungen der Aufsichtsrat zu meistern hat.
Wieso ist es für Unternehmen so wichtig, ein Compliance-Management-System (CMS) zu installieren? Genügt es nicht, zu handeln, wenn ein Risiko besteht?
„Aus rechtlicher und wirtschaftlicher Sicht genügt es nicht zu warten, bis sich ein Schaden oder ein akutes Risiko bereits manifestiert hat. Beim Compliance Management müssen vielmehr die Bestandteile des reaktiven und des präventiven Risikomanagements eng miteinander verzahnt sein. Die Unternehmensleitung ist in so gut wie allen Unternehmen rechtlich verpflichtet, die individuellen Compliance-Risiken fachgerecht zu analysieren und adäquate Maßnahmen zu treffen, um Compliance-Verstößen hinreichend wirksam entgegenzuwirken. Stellt sie dies nicht sicher, ergeben sich zivil-, straf- und ordnungswidrigkeitenrechtliche Haftungsgefahren. Compliance-Risiken gehören klar zu den zentralen Faktoren, die jedes Unternehmen angemessen wirksam steuern können muss, um wirtschaftlich erfolgreich zu sein.“
Wie sieht ein CMS in der Praxis aus?
„Ein pflichtgemäß wirksames und wirtschaftliches CMS muss immer präzise auf die unternehmensindividuellen Compliance-Risiken zugeschnitten und dies auch durch die CMS-Dokumentation nachvollziehbar sein. Die fachgerechte Risikoanalyse bildet die essentielle Grundlage eines wirksamen Compliance-Systems. Entsprechend des unternehmensindividuellen Risikoportfolios unterscheiden sich auch die CMS von Unternehmen. Dennoch lassen sich natürlich Hauptelemente identifizieren, die in jedem CMS vorhanden sein müssen.“
Welche Hauptelemente sind dies?
„Compliance Management besteht aus präventiven und reaktiven Teilen. Zu den letzteren gehören vor allem die wirksame Untersuchung potenzieller Compliance-Verstöße im Unternehmen und das Compliance-bezogene Krisenmanagement. Der reaktive wie der präventive Bereich bestehen jeweils aus einer Vielzahl von Elementen, Instrumenten, Prozessen und Maßnahmen. Im präventiven Bereich müssen präzise auf die Ergebnisse der Risikoanalyse ausgerichtete Maßnahmen etwa in folgenden Bereichen getroffen werden: Kommunikation, Führung, Schulung, Information, Überwachung, Wirksamkeitskontrolle sowie kontinuierliche Verbesserung und Anpassung. Jeder dieser Bereiche beinhaltet zahlreiche Bestandteile, deren wirksame und wirtschaftliche Ausgestaltung auf die risikorelevanten Parameter des Unternehmens zugeschnitten sein muss.“
„Pragmatisch gesehen ist der wichtigste Teil des CMS die kontinuierliche fachgerechte – und das heißt nicht zuletzt behördengerechte – Dokumentation der Wirksamkeit der Maßnahmen, Prozesse und Teile des CMS.“
Wie gelingt die Einbindung eines CMS in bestehende Prozesse?
„Das CMS muss sich – räumlich ausgedrückt – horizontal und vertikal auf alle Teile, Einheiten, Ebenen und Prozesse des Unternehmens erstrecken. Die Einbindung bzw. Integration bezieht sich daher beispielsweise auf Führungsebenen, Standorte, Fachabteilungen wie HR, Recht oder die Revision, operative Einheiten, Prozesse, Führungsprinzipien, Incentive-Pläne usw. Zudem muss das CMS in das interne Kontrollsystem, das Risikomanagementsystem, in Governance-Elemente sowie in das Führungs- und Performance Management System integriert sein.“
„Das Gelingen dieser Integration hängt von zahlreichen Faktoren ab, wie die Erfahrung zeigt. Eine wichtige Grundlage ist der Aufbau und die Erhaltung der intrinsischen Compliance-Motivation der Unternehmensangehörigen, die über zahlreiche Maßnahmen beeinflusst wird. Zudem müssen die Teile und Prozesse des CMS strikt geschäftsbezogen definiert sein, das Geschäft bestmöglich unterstützen, möglichst wenig komplex und direkt wirksam sein sowie jedem Einzelnen konkrete Vorteile bieten, die auch implizit kommuniziert werden.“
In Ihrem Buch „Corporate Compliance: Praxisleitfaden für die Unternehmensführung“ gehen Sie davon aus, dass Compliance eine grundlegende Pflicht der Unternehmensleitung ist – aber auch in das Pflichtenprogramm des Aufsichtsrats fällt. Wieso?
„Das eine ist natürlich das Spiegelbild des anderen, weil der Aufsichtsrat ja die Unternehmensführung überwacht. Die Compliance-Leitungs-, Steuerungs- und Überwachungspflichten der Unternehmensleitung wurden vielfach erörtert. Der Aufsichtsrat muss entsprechend seiner eigenen rechtlichen Pflichten im Rahmen einer grundlegenden „Systemüberwachung“ die Einführung und den Bestand angemessener, funktionsfähiger und effizienter CMS-Elemente prüfen. Er muss insbesondere verifizieren, ob eine wirksame Risikoanalyse durchgeführt wird und ob das entsprechend angemessene CMS in wirksam risikoreduzierender Weise auf deren Ergebnisse zugeschnitten ist.“
„Die Notwendigkeit einer zumindest grundlegenden Wirksamkeitsprüfung des CMS durch den Aufsichtsrat ergibt sich aus seiner Aufgabe der Effizienzprüfung, denn ein CMS ist ja nur unter der Voraussetzung wirtschaftlich, dass es die fachgerecht und zutreffend ermittelten Risiken hinreichend wirksam reduziert. Die erforderliche Wirksamkeitsprüfung durch den Aufsichtsrat folgt aber auch aus der Pflicht zur Legalitätsprüfung, denn ein CMS genügt ja nur dann den rechtlichen Anforderungen, wenn es die wirksam festgestellten Risiken auch wirksam reduziert.“
Was bedeutet dies in der Praxis für den Aufsichtsrat?
„Diese Prüfung muss der Aufsichtsrat kontinuierlich vornehmen und nicht erst, wenn Anhaltspunkte für mögliche Compliance-Defizite auftauchen. Er führt dabei eine grundlegende Legalitäts-, Wirtschaftlichkeits- und Wirksamkeitsprüfung durch.“
„Bei Defiziten des CMS muss der Aufsichtsrat prüfen, ob die Unternehmensleitung bei der Auswahl der entsprechenden Maßnahmen im Rahmen ihres Ermessensspielraums gehandelt hat. Ist dies nicht der Fall, stehen dem Aufsichtsrat verschiedene Wege und Maßnahmen offen. Das kann so weit gehen, dass der Aufsichtsrat verpflichtet ist, eigenständige Untersuchungsmaßnahmen zu Compliance-Defiziten oder Compliance-Verstößen in die Wege zu leiten.“
Können Compliance-Pflichten dann denn überhaupt delegiert werden? Wenn ja, welche?
„Compliance-Pflichten können nur zum Teil delegiert werden. Das gilt sowohl für die horizontale Delegation innerhalb der Unternehmensleitung als auch für deren vertikale Delegation, etwa auf den Chief Compliance Officer oder auf externe Fachleute. Man sagt, die Unternehmensleitung kann die Umsetzung, nicht aber die Gesamtverantwortung delegieren. Trotz der Delegation von Umsetzungsmaßnahmen verbleiben ihr Compliance-Organisations-, Steuerungs-, Auswahl-, Informations-, Kontroll- und Überwachungspflichten.“
„Auch der Aufsichtsrat kann seine Compliance-Aufgaben nur bedingt auf den Prüfungsausschuss oder einen Compliance-Ausschuss delegieren und muss sich anhand der Ausschussberichte regelmäßig über die Wirksamkeit von deren Arbeit informieren. Die Arbeit von Compliance-Ausschüssen muss stets vom Plenum des Aufsichtsrats geprüft werden. Daneben kann der Aufsichtsrat natürlich Compliance-Sachverständige beauftragen, sofern deren Aufgaben genau bestimmt sind.“
Herr Pauthner und Herr Dr. Ghassemi-Tabar – vielen Dank für das spannende Gespräch!
Das Interview führte Viola C. Didier, RES JURA Redaktionsbüro
Mehr erfahren
Das Fachbuch „Corporate Compliance – Praxisleitfaden für die Unternehmensführung“ fasst die Aufgaben der Unternehmensleitung übersichtlich und kompakt zusammen. Mit dem praktischen Leitfaden erfüllen Sie Ihre Compliance-Pflichten wirksam und rechtssicher:
Corporate Compliance (Buch) von Jürgen Pauthner und Dr. Nima Ghassemi-Tabar, 89,00 €, 600 Seiten, ISBN: 978-3-942543-52-1