Скачать книгу

eines neuen Compliance-Risikos führen.

      37

      

      Für die realistische Bewertung und Einschätzung eines Compliance-Risikos empfiehlt sich zudem die intensive Zusammenarbeit mit den jeweiligen Geschäftsbereichen und dem Risiko-Management. Besteht im Unternehmen noch keine (funktionierende) Compliance-Abteilung, kann die Aufgabe der Identifizierung der Risiken auch gut zum Anlass genommen werden, diese, der Bewertung der Risiken entsprechend, aufzubauen.

      38

      

      Die Identifizierung von Compliance-Risiken ist kein Selbstzweck, sondern soll möglichst zügig dazu führen, dass bestehende Lücken im ggf. bereits bestehenden Compliance-Programm geschlossen werden bzw. ein für das Unternehmen sinnvolles Compliance-Programm überhaupt erst ins Leben gerufen wird.

      39

      Die Definition der lokalen und fachlichen Risikobereiche ist keine einmalige Angelegenheit, sondern sollte regelmäßig, z.B. zweimal jährlich, bei Bedarf auch häufiger, durchgeführt werden. Es empfiehlt sich, einen Fragebogen zu entwerfen, in dem konkret nach den Schlüsselrisiken, geordnet nach Dringlichkeit, den für das Risiko verantwortlichen Personen oder Abteilungen im Unternehmen und einer detaillierten Risikobewertung gefragt wird (Wie schätzen Sie die Schwere und die Häufigkeit des Risikos ein?). Darüber hinaus sollten auch mögliche Reputationsrisiken sowie bestehende oder zu schaffende Kontrollmöglichkeiten sowie konkrete Vorschläge zur Risikobekämpfung abgefragt werden.

      40

      

      Die identifizierten Risiken sind sodann einer Bestandsaufnahme und einer Auswertung nach Höhe und Bedeutung für das Unternehmen zu unterziehen. Auch für diesen Arbeitsschritt sollte die Compliance-Abteilung die Unterstützung des Risikomanagements bekommen: Risikobewertungsprozesse müssen in der Regel nicht neu erfunden werden; das entsprechende Know-how ist in den meisten Unternehmen bereits in der ein oder anderen Form vorhanden.

      41

      Sobald die für das Unternehmen „bedeutsamen“ Risiken herausgefiltert wurden, stellt sich die Frage, wie diese Risiken zu bekämpfen bzw. zu kontrollieren sind. Hierfür bedarf es eines Planungsprozesses, in dem für jedes identifizierte Risiko ein „Schlachtplan“ festgelegt wird, anhand dessen der Umgang mit diesem Risiko bestimmt wird. In diesem Planungsprozess ist insbesondere zu berücksichtigen, dass nicht jedes Risiko vollständig bekämpft werden kann, weshalb ggf. eine „Risikotoleranzebene“ definiert werden sollte.

      Stellt sich im Rahmen der Bestandsaufnahme und der Auswertung möglicher Compliance-Risiken im Unternehmen heraus, welche Hauptrisiken für das Unternehmen bestehen (z.B. Kartellrecht, Korruption, Datenschutz, Vertrieb etc.), sollten diese in den für das anstehende Geschäftsjahr durchzulaufenden Compliance-Plan integriert werden.

      42

      Ein für alle Mitarbeiter und Dienstleister des Unternehmens verbindlicher Verhaltenskodex mit definierten Ethikrichtlinien ist die Grundlage jeglicher Compliance-Struktur und bildet das Herzstück des Compliance-Programms. Der Code of Conduct sollte der Grundstein beim Aufbau eines Compliance-Programms sein. Alle wesentlichen Bestandteile der im Unternehmen angestrebten Compliance-Kultur und den dazugehörigen Maßnahmen sollten sich im Verhaltenskodex wiederfinden oder dort zumindest in Ansätzen skizziert sein. Dies ist deshalb von großer Bedeutung, weil es erfahrungsgemäß im Nachhinein schwierig ist, Compliance-Maßnahmen festzulegen oder entsprechende Einzelrichtlinien im Unternehmen durchzusetzen. Sobald jedoch Themenkreise bereits im Verhaltenskodex verankert sind und die Mitarbeiter hierüber entsprechend geschult werden, ist die Akzeptanz, sich gem. dem Code zu verhalten, wesentlich größer als bei punktuellen Nachbesserung zu einem späteren Zeitpunkt.

      43

      Der Verhaltenskodex ist in regelmäßigen Abständen auf den neuesten Stand zu bringen und den veränderten rechtlichen und tatsächlichen Gegebenheiten anzupassen. Sowohl die erstmalige Einführung eines Code of Conduct als auch die regelmäßige Überarbeitung sollten vom Vorstand genehmigt und auch im Namen des Vorstands im Unternehmen kommuniziert werden.

      44

      

      45

Ausschluss von Interessenskonflikten/Geschenke und Einladungen,
Bestechlichkeit/Betrug/Verhalten gegenüber Amtsträgern,
Wettbewerbs- und Kartellrecht,
Beachtung der Menschenrechte,
Schutz vor Diskriminierung/Ethik,
Vertraulichkeit/Datenschutz/Verhalten in sozialen Netzwerken,
ordnungsgemäße Rechnungslegung und Bilanzierung/Steuerrecht,
Insiderhandel,
IT-Sicherheit,
Einhaltung von Umweltstandards/Gesundheitsschutz.

      46

      

      Darüber hinaus ist im Verhaltenskodex klar zu definieren, dass der Compliance-Verantwortliche für die Umsetzung der Compliance-Regeln verantwortlich ist und allen Mitarbeitern als Ansprechpartner bei Fragen und Problemen in Sachen Compliance zur Verfügung steht. Hervorzuheben ist, dass der Compliance Officer zur absoluten Verschwiegenheit verpflichtet ist und dass dem Mitarbeiter keinerlei Nachteile entstehen dürfen, wenn er sich dem Compliance-Verantwortlichen anvertraut. Für den Mitarbeiter muss klar verständlich sein, dass es die Aufgabe des Compliance-Verantwortlichen ist, alle eingehenden Hinweise ernst zu nehmen, diese zu protokollieren und ihnen mit der gebotenen Sorgfalt nachzugehen.

      47

      

      Des Weiteren ist im Verhaltenskodex die Informations- und Kontrollpflicht der Vorgesetzten zu erwähnen (sog. „First Line of Defense“). Die Vorgesetzten haben dafür Sorge zu tragen und darüber zu wachen,

Скачать книгу