Risikomanagement- und Compliance-Koordinationsgruppe: Ar ... / 1.2. Die Themenreihenfolge

1.1.1 Risikoerfassung

Die Reihenfolge der Themenauflistung orientiert sich daran, dass zunächst eine Risikobestandsaufnahme erfolgen sollte. Ausgangspunkt hierfür sind zunächst die im Rahmen der allgemeinen Risikoanalyse getroffenen Feststellungen.

Hiervon ausgehend erfolgt dann eine eigenständige Beurteilung der Compliance-Risiken (Bußgeld, Strafbarkeit, Reputation, für Finanzdienstleister: Rechtsnormen, deren Verletzung zu wesentlichen Vermögensschäden führen kann) durch den Compliance-Beauftragten, andere Unternehmensbeauftragten und die weiteren mit Unternehmensrisiken befassten Funktionen, wie z.B. Revision, Qualitätsmanagement oder Controlling. Dabei empfiehlt sich eine Aufgliederung nach den unter TOP Ziffer 8 aufgeführten Compliance-relevanten Prozessen.

1.1.2 Compliance-Feedback

Während des Geschäftsjahres ist die ursprüngliche Risikobeurteilung einem fortlaufenden Feedback-Verfahren zu unterziehen. Hierin fließen natürlich alle Fälle ein, in denen sich Compliance-Risiken realisiert haben; darüber hinaus Beratungsfälle, die Hinweisen auf Risiken, Verstöße oder Verbesserungsmöglichkeiten enthalten sowie anonyme Hinweise und Compliance veranlasste Untersuchungen (prozessbezogen wegen Verfahrensschwächen/Verbesserungsmöglichkeiten und/oder verdachtsfall-/personenbezogen).

Unter der Rubrik "Compliance-Nachrichten" sollte nach neueren Entwicklungen bei Wettbewerbern, in der Rechtsprechung oder bei den Aufsichtsbehörden gefragt werden, die eine Änderung der Risikobeurteilung zur Folge haben könnten.

1.1.3 Nicht fachbezogene Compliance-Kernprozesse

Die TOP 3 - 7 befassen sich mit der Berichterstattung oder Beschlüssen zu nicht fachbezogenen Compliance-Kernprozessen.

Am Beginn steht dabei als TOP 3 die Themengruppe "Konsequenzenmanagement". Die unter TOP 2 "Compliance-Feedback" erfassten Vorfälle und Nachrichten führen unmittelbar zu der Frage, ob und welche Folgen hieraus zu ziehen sind, sei es in Hinblick auf die Veränderung oder Neueinführung bestimmter Verfahren oder sei es im Hinblick auf Personen.

Hierzu unterscheidet die Tagesordnung zwischen

1. Konsequenzen durch Linienvorgesetzte, wie etwa Beratung oder ein Personalgespräch,
2. arbeitsrechtlichen Maßnahmen und
3. der Einschaltung Externer, d. h. im Regelfall von Aufsichts- oder Strafverfolgungsbehörden.

Die Entscheidung hierüber wird im Regelfall nicht oder nicht allein beim Compliance-Beauftragten oder der Risikomanagement- und Compliance-Koordinationsgruppe liegen. Allerdings sollte der Compliance-Beauftragte entweder unmittelbar persönlich oder über die Koordinationsgruppe an solchen Entscheidungen mitwirken.

1.1.4 Kommunikation

Die Themengruppe Kommunikation (TOP 4) steht zwischen Konsequenzenmanagement (anlassbezogene Kommunikation) einerseits und Schulung/Training (TOP 5) andererseits. Hierin einbezogen sind auch Berichte und Berichtspflichten gegenüber Aufsichts- und/oder Strafverfolgungsbehörden, weil bei entsprechenden Situationen jeweils Kommunikationsmaßnahmen ins Unternehmen hinein und gegenüber der Öffentlichkeit bedacht werden sollten.

1.1.5 Schulung/Training

Schulung/Training (TOP 5) unterscheidet zwischen

1. Schulungen in fachübergreifenden Compliance-Themen, wie z. B. Verhaltenskodex, Verhinderung von Korruption, Kartellrecht und
2. der Vermittlung von Compliance-Kenntnissen in Bezug auf Fachprozesse, die mit Compliance-Risiken behaftet sind.

Beide Themengruppen zielen auf unterschiedlich breite Adressatenkreise und werden in der Regel unterschiedliche Gestaltungen der Mitwirkung des Compliance-Beauftragten, des Personalwesens und der Fachabteilung aufweisen. In der Sitzung der Koordinationsgruppe berichten die Schulungsverantwortlichen über die Schulungsplanung und die erfolgten Schulungsmaßnahmen.

1.1.6 Beratung

Beratung (TOP 6) hat für das Compliance-Management eine besonders wichtige Bedeutung. Wer seinen Mitarbeitern und Geschäftspartnern in Zweifels- oder Problemfällen rechtzeitig wirksame Hilfestellungen anbietet, kann möglicherweise verhindern, dass aus kleinen Fehlern große werden. Hinter Beratungsfragen verstecken sich nicht selten Hinweise auf Compliance-Risiken. Für die Behandlung in der Koordinationsgruppe unter TOP 6 geht es typischerweise um eine statistisch ausgerichtete Berichterstattung. Beratungsfälle mit besonderer Bedeutung sollten bereits unter TOP 2 (Compliance-Feedback) erörtert worden sein.

1.1.7 Kontrollen

Das Thema Kontrollen (TOP 7) dürfte für mittelständische Unternehmen in der Regel schon deshalb eine besondere Rolle spielen, weil sie häufig nicht über die bei Großunternehmen üblichen besonderen Prüf- oder Kontrollfunktionen, wie z. B. eine Revisionsabteilung oder eine besondere Risikomanagementabteilung verfügen. Das muss kein Nachteil sein. Kleinere Unternehmen sind leichter zu überschauen und stärker von persönlicher Zurechenbarkeit (accountability) geprägt, als dies für Großunternehmen gilt.

Das unter TOP 7 zu Grunde gelegte Kontrollkonzept (IKS) verzichtet deshalb zunächst auf sprachliche Unterscheidungen zwischen Monitoring, Prüfung und Kontrollen ebenso wie auf eine Differenzierung nach verschiedenen Kontrollstufen. Sodann sieht es sieht für besondere Risikofelder (Festlegung im Rahmen der...