Prüfungs- und Beratungsinstanz die Interne Revision dar. Die Interne Revision unterstützt in dieser Funktion Unternehmensleitung, operatives Management und Überwachungsinstanzen. Sie soll der Unternehmensleitung die Gewähr dafür bieten, dass die Risiken wirksam erkannt, bewertet und gesteuert werden. Durch die Interne Revision werden insbesondere Effektivität und Effizienz der beiden vorgelagerten Verteidigungslinien bewertet. Sie bildet eine unabhängige Einheit, die nicht mit den vorgelagerten Stufen verwoben ist. Zum Aufgabenbereich der Internen Revision gehört auch die Überprüfung der Compliance-Funktion.[3] Zwischen der Internen Revision und der Compliance-Funktion sollte ein reger Austausch stattfinden, damit zum einen die vorhandenen Ressourcen möglichst effizient genutzt werden und damit zum anderen die Compliance-Organisation aus den Erkenntnissen der Internen Revision ggf. erforderliche Verbesserungsmaßnahmen entwickeln kann.
Anmerkungen
Vgl. Mössner/Reus CCZ 2013, 54, 59.
Moosmayer Rn. 286 ff.
Vgl. Hauschka/Moosmayer/Lösler/Obermayr Corporate Compliance, § 44 Rn. 117.
2. Kapitel Grundprinzipien eines Compliance Management Systems › II. Der Weg zu einem effektiven Compliance Management System › 6. Reaktion auf Verstöße und Nachhaltigkeit
6. Reaktion auf Verstöße und Nachhaltigkeit
95
Teil des Elements Reaktion und Nachhaltigkeit ist die Einführung eines Hinweisgebersystems, denn eine Reaktion auf Missstände ist nur möglich, wenn diese ans Licht kommen und beseitigt werden.[1] Ein effektives Hinweisgebersystem ist eine der wirkungsvollsten Möglichkeiten, um dies zu gewährleisten. Dafür ist entscheidend, dass das Hinweisgebersystem von den Mitarbeitern positiv angesehen wird. Basis für die erfolgreiche Einführung des Hinweisgebersystems ist daher eine an der jeweiligen Unternehmenskultur orientierte Kommunikationsstrategie und vorherige Einbindung der internen Stakeholder, um eine positive Aufnahme bei den Mitarbeitern zu gewährleisten und eine schädliche Fehlinterpretation als ein „System der Anschwärzung“ oder gar „Bespitzelung“ zu vermeiden.[2]
96
Von Unternehmen wird erwartet, dass sie auf Missstände adäquat reagieren und die Schwächen im System beheben, die sich durch die Aufklärung und eine regelmäßige Überprüfung des Compliance Management Systems ergeben.[3]
97
Unternehmen sollten klare Prozesse haben, wie sie mit Verdachtsmomenten für Fehlverhalten umgehen. Wer untersucht die Verdachtsmomente? Welcher Umfang und welche Prüftiefe sind erforderlich, um dem Problem auf den Grund zu gehen? Wie sollte das Unternehmen mit der Situation umgehen, wenn sich die Verdachtsmomente erhärten? Einen Standardweg gibt es hier nicht. Was Behörden von Unternehmen allerdings verlangen ist, dass sie konsequent handeln, wenn sich die Verdachtsmomente bestätigen.[4] Dann muss das Unternehmen sorgfältig prüfen, ob personelle Konsequenzen erforderlich sind und welche organisatorischen Maßnahmen dafür sorgen können, dass sich das Fehlverhalten nicht wiederholt.[5] Die Anforderungen der Behörden gehen teilweise sogar soweit, dass Unternehmen das aufgedeckte Fehlverhalten in abstrakter Art und Weise zum Gegenstand von Compliance Schulungen machen sollen. So soll sichergestellt werden, dass die relevanten Mitarbeiter wissen, welches Verhalten, das in ihrem Arbeitsumfeld bereits vorgekommen ist, unter keinen Umständen toleriert wird.
98
Neben der adäquaten Reaktion auf identifiziertes Fehlverhalten müssen Unternehmen auch dafür Sorge tragen, dass sich ihr Compliance Management System den Veränderungen im Unternehmen anpasst.[6] Viele Industrien sind aktuell einem raschen Wandel unterzogen. Insbesondere die Digitalisierung hat dafür gesorgt, dass viele Unternehmen sich von einem Produzenten physischer Produkte hin zu Servicedienstleistern entwickelt haben. Das kann dazu führen, dass die Risiken in bestimmten Bereichen sinken, dass aber Themen wie Cyber-Security oder Datenschutz an anderer Stelle erheblich zunehmen. Das Compliance Management System muss daher so ausgestaltet sein, dass es die anstehenden Veränderungen erfasst und frühzeitig die neuen Risiken identifiziert und entsprechende Maßnahmen und Kontrollen einführt.[7]
Anmerkungen
ISO 19600, 10.1.2 Escalation, S. 119 ff.; ISO 27001:2016 (E), 8.9 Raising concerns, S. 17 f.; ICC, The ICC Antitrust Compliance Toolkit, April 2013, 5. c. Whistleblowing, S. 34 ff.
ICC, The ICC Antitrust Compliance Toolkit, 5. d. Communicate, educate and create a culture of speaking up, S. 37; vgl. auch Menner/Bexa CCZ 2019, 129, 131.
ISO 19600, 10.1.2 Escalation und 10.2 Continual improvement, S. 120 ff.; Hauschka/Moosmayer/Lösler/Buchert Corporate Compliance, § 42 Rn. 4.
ISO 19600, 10.1.1 General, S. 114 ff. ISO 37001:2016 (E), 10.1 Nonconformity and corrective action, S. 21 ff. US DOJ, Evaluation of Corporate Compliance Programs, Juli 2019, 9. Remediation and Role of the Compliance Program in the Discovery of the Violation, S. 12 ff.
Moosmayer Compliance, Rn. 338 ff.; US DOJ, Evaluation of Corporate Compliance Programs, Juli 2019, 8. Incentives and Discipline, S. 12.
US DOJ, Evaluation of Corporate Compliance Programs in Criminal Antitrust Investigations, I. B. 1. Design and Comprehensiveness, S. 4.
Department of the Treasury, A Framework for OFAC Compliance Commitments, S. 7.
3. Kapitel Pflicht zur Einführung eines Hinweisgebersystems
Inhaltsverzeichnis
I. Rechtspflicht zur Implementierung eines Hinweisgebersystems?
3. Kapitel Pflicht zur Einführung eines Hinweisgebersystems › I. Rechtspflicht zur Implementierung eines Hinweisgebersystems?
I. Rechtspflicht zur Implementierung eines Hinweisgebersystems?
99
Auf Augustus (Römischer Kaiser) geht das Sprichwort „Ich liebe den Verrat, aber Verräter lobe ich nicht“ zurück.[1] Obwohl Hinweise von Mitarbeitern für Unternehmen häufig die zentrale Informationsquelle zur Aufdeckung