Über die Überwachung von Compliance-Management-Systemen durch den Aufsichtsrat referierte Prof. Dr. Stefan Behringer von der Nordakademie. Die Pflichten des Aufsichtsrat seien in § 111 Abs. 1 AktG (Überwachung der Geschäftsführung) und im Deutschen Corporate Governance Kodex beschrieben.

Zwar sei prinzipiell der Vorstand für die Einrichtung eines Compliance-Management-Systems verantwortlich, sollte ein Vorstand aber der Ansicht sein, dass das implementierte CMS unzureichend sei, müsse er sich an den Aufsichtsrat wenden, so Behringer. Außerdem müsse der Aufsichtsrat immer dann aktiv werden, wenn ein Vorfall bedeutsam sei (Finanzen, Reputation) oder wenn Vorstände in Compliance-Vorfälle involviert seien.

Fachtagung Compliance

Fortsetzung des Tagungsberichts. Teil I lesen Sie auf ESV.info.

Thematisch sei der Aufsichtsrat für die Feststellung des Jahresabschlusses verantwortlich sowie der nicht finanziellen Erklärung nach dem CSR-Richtlinie-Umsetzungsgesetz.

Behringer: „Kein bürokratisches Monster”

Auch die Kontrolle der Wirtschaftlichkeit der Compliance sei Aufsichtsratsaufgabe, damit „kein bürokratisches Monster entstehe”. Behringer betonte: Auch wenn die Compliance-Abteilung nicht in direktem Zugriff des Aufsichtsrats stehe, sondern des Vorstands, sei ein regelmäßiger Austausch zwischen Aufsichtsrat und Compliance-Officer dennoch sinnvoll. Behringer empfahl, eine Geschäftsordnung mit klaren Regeln im Falle eines Compliance-Verstoßes zu erstellen. Darüber hinaus sei es ratsam, einen Compliance-Experten im Aufsichtsrat zu haben, zumindest bei besonders gefährdeten Unternehmen, auch wenn dies nicht gesetzlich vorgeschrieben sei.

Effektivität und Effizient von Internal Investigations

Im zweiten Teil der Veranstaltung widmeten sich die Referenten den Internal Investigations. Markus Brinkmann, Head of Forensic, Risk & Compliance bei BDO, benannte als rechtliche Rahmenbedingungen der Investigation den Datenschutz, aber bspw. auch das Outsourcing der IT (wie E-Mail-Server) an externe Dienstleister als besondere Herausforderung, um an relevante Informationen zu gelangen.

Wichtig für eine erfolgreiche interne Untersuchung sei es, die Ziele genau festzulegen und zu bestimmen, welches Ergebnis ermittelt werden solle, etwa ob die Schadenshöhe eines eingetretenen Schadens ermittelt werden soll, die Überführung eines Täters im Vordergrund stehe oder ob nur die zukünftige Vermeidung von ähnlicher Vorfälle in Zukunft erreicht werde solle.

Die richtige Mischung

Dabei seien landesspezifische Besonderheiten zu beachten, die Einbindung von kulturell und sprachlich versierten Mitarbeitern eine wichtige Maßnahme. Auch der richtige Team-Mix sei für den Erfolg einer Untersuchung entscheidend. Ein gutes Investigationsteam würde verschiedene Themenbereiche abdecken. Auslöser einer forensischen Sonderuntersuchung können Whistleblower-Hinweise, Red Flags, die subjektive Wahrnehmung oder öffentliche Ermittlungen durch Behörden sein. Die Sachverhaltsaufklärung beginne mit dem Stellen der entscheidenden „W-Fragen” (was, wann, wer, wie), da Untersuchungen zeit- und budgetkritisch seien.

Mitarbeiter-Befragungen bei unternehmenseigenen Ermittlungen

Birgit Galley, Betrugsermittlerin und Direktorin der School of Governance, Risk und Compliance, hob anschließend hervor, wie wichtig eine gute Vorbereitung für eine erfolgreiche Befragung sei. Nach der „ROM-Befragungssystematik” müsse der Ermittler sich sowohl mit den Rahmenbedingungen (rechtlich und organisatorisch), der Organisation (Umfeldgestaltung und Dokumentation) und der Methodik (Befragungssystematik und Befragungskompetenz) vertraut machen. Besonders wichtig seien die Fähigkeiten des Interviewers. Dieser müsse empathisch sein und sich als Brückenbauer verstehen. Das Zeigen von Verständnis, Halten des Blickkontakts sowie eine gleichschwingende Körpersprache führen zu einer positiven Beeinflussung des Gesprächspartners. Dabei sollte eine Investigation nach Möglichkeit keine verbrannte Erde hinterlassen, da man den Interviewten voraussichtlich „irgendwann in der Kantine wiedertreffen könne”.

Forensische Psychologie

Anschließend gab die Profilerin Suzanne Grieger-Langer Hinweise zur Psychologie von Tätern. In der ersten Stufe gebe es diejenigen, die sich etwas nehmen, weil sie denken, dass es ihnen zustehe („Retourkutsche”) und in einer zweiten Stufe die geringfügigen Straftaten („Minibar-Diebe”). Beide Täter-Typen besitzen kein Einsehen, dass sie etwas Falsches tun und seien von emotionalen Faktoren geleitet. Eine Stufe höher stehe der „Dolus Directus”, also der direkte Vorsatz, beispielsweise einen professionellen Betrug zu begehen und auf der höchsten Stufe der Usus. Hier geht der Täter davon aus, dass etwas so sein muss, weil er es gar nicht mehr anders kennt und er keinen Widerstand erfährt. Zu erklären sei das Verhalten der Täter gut durch das Fraud Triangle. Wenn Motivation (Angst oder Gier), geringe Moralvorstellungen und die günstige Gelegenheit zusammentreffen, seien die Voraussetzungen für dolose Handlungen gegeben.

Schaffung von „Compliance Awareness”

Sebastian Scheidt von der Deutschen Telekom sprach im Anschluss über die Schaffung von Compliance Awareness in Unternehmen. Die Vorteile sah Scheidt u.a. in der Vermeidung von Imageschäden, der Reduzierung von Haftungsrisiken aber auch in einem Wettbewerbsvorteil. Für eine gute Awareness im Unternehmen sei die Kommunikation sehr wichtig, müsse allerdings wohl dosiert eingesetzt werden. Gerade wenn es keinen besonderen Anlass gebe, sollten Mitarbeiter auch nicht mit Compliance-Verhaltens-Regeln „genervt” werden. Eine gute Compliance-Kommunikation gelinge am besten, wenn Compliance anfassbar, adressatengerecht und „locker mit Witz” vermittelt werde. Dennoch sei unbeliebtes E-Learning gerade in einem Großkonzern nicht vermeidbar. Abschließend stellte Scheid den „Concierge” vor, einen Chatbot, der allen Mitarbeitern des Telekom-Konzerns auf der Suche nach Compliance-Informationen weiterhelfen kann, indem er Fragen direkt beantwortet oder zu einem Ansprechpartner weiterleitet.

Unternehmensethik, Corporate Responsibility und Compliance

Den Abschlussvortrag der Veranstaltung hielt Monika Rühl, Leiterin Social Responsibility der Deutschen Lufthansa. Bei der Airline umfasse das Thema sechs Dimensionen: Klima & Umweltschutz, wirtschaftliche Nachhaltigkeit, soziale Verantwortung, Corporate Governance und Compliance, Produktverantwortung und gesellschaftliche Verantwortung. Ethik und Integrität hält Rühl für eine Selbstverständlichkeit. Bei der Lufthansa zeige sich, wie ernst die Themen genommen werden auch darin, dass es bei dem Unternehmen in der Vergangenheit im Gegensatz zu anderen Großkonzernen keine Skandale gegeben habe. Allerdings sei eine freiwillige Selbstverpflichtung heute zunehmend unzureichend. Die Anforderungen potenzieller Kunden für die Vergabe ihrer Aufträge würden die Messlatte stets höher liegen, ebenso schauen Aktionärsvertreter immer genauer hin. Daher sei auch die größte deutsche Fluggesellschaft zunehmend gezwungen, Nachweise wie Auditierungen und Zertifizierungen vorzuhalten. Einen Code of Conduct habe sich das Unternehmen 2017 gegeben.

Compliance für Aufsichtsräte Compliance nimmt auch den Aufsichtsrat und seine Mitglieder in die Pflicht. Nicht nur die jüngsten Unternehmensskandale lassen Fragen nach einer effektiveren Kontrolle aufkommen. Auch die berechtigte Erwartung an Compliance-Abteilungen, ein Unternehmensgetriebe nicht mit bürokratischem Sand zu blockieren, rückt die Funktionalität des Compliance-Management-Systems (CMS) auf die Agenda. Ausgerichtet auf die spezifischen Anforderungen an Mandatsträger zeigt Ihnen Stefan Behringer, worauf bei der Überwachung der eingesetzten Compliance-Steuerung zu achten ist: Grundlegende Aufgaben und Ziele des Compliance-Managements Einrichtung eines CMS: Risikoanalyse, Instrumente, Organisation und Zertifizierung, insb. nach ISO 19600, IDW PS 980 und dem Hamburger Compliance-Modell Verantwortlichkeiten von Compliance-Managern, Sorgfaltspflichten von Aufsichtsratsmitgliedern Persönliche Haftung für Compliance-Vorfälle, Fehler und Fehlentscheidungen Ein kompakter Leitfaden für Aufsichtsräte auf Kapital- und Arbeitnehmerseite – mit einem speziellen Fragenkatalog, um professionellen und rechtlichen Verpflichtungen systematisch nachzukommen.

(ESV/ps)