sofortige Einleiten einer eigenen Internal Investigation ist aus mehreren Gründen angeraten: Neben dem Aspekt der Kontrolle, der Schadensbegrenzung und des positiv gewerteten pro-aktiven Verhaltens geht es darum, Anfragen durch Aufsichtsbehörden zeitnah und professionell mit aufbereiteten Ergebnissen zu beantworten und damit regulatorische Untersuchungen hinsichtlich Inhalt und Dauer zu steuern.
92
Untersuchungen erweisen sich häufig als komplex. Voreiliges sowie unstrukturiertes Vorgehen gefährdet vielfach den gesamten Ermittlungserfolg, da die Beteiligten hierdurch in die Lage versetzt werden, Beweise zu vernichten oder Mittäter zu informieren. Im Fall einer „Compliance-Krise“ (vgl. dazu 22. Kap.) kommt es darauf an schnell, diskret und entschlossen vorzugehen. Es müssen möglicherweise Autorisierungskonzepte umgehend überarbeitet, Konten gesperrt, große Datenmengen gesammelt und analysiert sowie gerichtsverwertbare Beweise dokumentiert werden. Daher sollte die Internal Investigation wie bereits dargestellt durch einen unabhängigen Untersuchungsausschuss koordiniert und gegebenenfalls mit Unterstützung externer forensicher Sachverständiger erfolgen.
93
Zur Bewältigung der Untersuchung als auch der sich anschließenden Aufarbeitung (Remediation) ist ein strukturiertes Vorgehen (Untersuchungskonzept) notwendig, das mit einer gründlichen und objektiven Untersuchung der zugrunde liegenden Sachverhalte/Vorfälle (Cases) beginnt.
94
Das Untersuchungsmandat sollte bei einem „Compliance-Vorfall“ vom Vorstand des Unternehmens (als Lenkungs- und Steuerungsorgan) im Einvernehmen mit dem Prüfungsausschuss des Unternehmens (als Aufsichts- und Kontrollorgan) erteilt werden, wenn es sich um Vorgänge von einiger Bedeutung für das Unternehmen handelt. Ist im Unternehmen eine unabhängige Compliance-Funktion bereits eingerichtet, sind in der Regel bereits Fallermittlungsprozesse installiert, so dass eine Einschaltung des Prüfungsausschusses außerhalb der Regelberichterstattung dann notwendig wird, wenn sich ein begründeter Verdacht gegen Mitglieder des Managements richtet. [1]
95
Um einen optimalen Untersuchungsablauf zu gewährleisten, sollten der Zweck der Internal Investigation, daraus folgende klare Untersuchungsziele und die damit verbundenen Ermittlungsschritte definiert werden. Die Projektplanung hat ferner zu berücksichtigen, dass die Untersuchung möglicherweise länderübergreifend stattfindet und somit unterschiedliche Rechtsrahmen und kulturelle Besonderheiten berücksichtigt werden müssen.
96
Insbesondere sollte in einem solchen Fall rechtlich geprüft werden, ob und in welcher Weise sichergestellt werden kann, dass weder die Untersuchungsergebnisse noch weitere im Rahmen der Untersuchung gewonnene Erkenntnisse zukünftig im Falle von Gerichtsverfahren offen gelegt werden (siehe Rn. 32). Dies ist insbesondere für Verfahren und Sammelklagen im angelsächsischen Raum relevant. Hier kann es erforderlich sein, die Untersuchungsergebnisse durch die Beauftragung einer externen Rechtsanwaltskanzlei privilegiert und vertraulich zu halten.
a) Analyseobjekte
97
Die Aufgaben der eigens für die Internal Investigation einzurichtenden Projektorganisation leiten sich direkt aus der Reichweite des zu untersuchenden Sachverhalts ab. In jedem Fall ist es empfehlenswert, einen detaillierten Projektplan zügig zu erstellen und zu kommunizieren. Er sollte die wesentlichen Rahmenbedingungen und Grundsätze festhalten wie auch Aufgaben und Verantwortlichkeiten der Projektbeteiligten, die Zusammensetzung der Gremien, die Frequenz ihrer Zusammenkunft sowie Inhalte und den Ablauf der einzelnen Maßnahmenpakete (siehe dazu im Einzelnen Rn. 52 ff.).
b) Vorgehensweise in sachlicher/fachlicher Hinsicht
98
In der Praxis hat sich eine Kombination aus einer Einzelfalluntersuchung, einer Handlungsmusteranalyse sowie eines Compliance Reviews besonders gut bewährt.
99
Im Rahmen der Einzelfalluntersuchung findet eine umfassende Untersuchung compliance-relevanter – insb. korruptionsrelevanter – Vorgänge (z.B. Einkauf, Vertrieb) sowie eine Bewertung aller identifizierten Vorfälle und Kreditorenbeziehungen statt. Dabei beginnt die Einzelfalluntersuchung mit der Sammlung notwendiger Informationen darüber, wo etwas vorgefallen ist, was im Detail vorgefallen ist und wer beteiligt war. Hierzu werden sowohl schriftlich niedergelegte Arbeitsanweisungen und Prozessbeschreibungen eingesehen als auch Gespräche mit den an den Prozessen beteiligten Mitarbeitern und möglichen Zeugen geführt. Es gilt auch zu ergründen, ob weitere Untersuchungseinheiten betroffen sind. Sofern hinreichend sicher ist, dass das lokale Management an den dolosen Handlungen nicht beteiligt ist, sollte dieses über die Internal Investigation unterrichtet und in den Prozess der Sachverhaltsaufklärung mit einbezogen werden.
100
In diesem Abschnitt der Internal Investigation müssen häufig große Datenmengen (strukturiert/unstrukturiert) gesammelt, verarbeitet, analysiert und für Berichtszwecke aufbereitet werden. Es muss sichergestellt werden, dass relevante Daten, z.B. aus IT-Systemen, Archiven oder Ablagen nicht absichtlich oder unabsichtlich vernichtet werden. In der Praxis hat es sich als notwendig erwiesen, eine sog. „Preservation Order“, also das Verbot jegliche Daten oder Akten selbst nach Ablauf der gesetzlichen Aufbewahrungsfristen zu verändern oder zu vernichten, zu erlassen. Unerlaubter Zugriff auf Daten und Datenmanipulation muss ebenfalls verhindert werden.
101
Die Handlungsmusteranalyse dient als systematische Massendatenanalyse der Finanzbuchhaltung, hinsichtlich identifizierter Handlungsmuster, der Sicherstellung der Vollständigkeit des Untersuchungsansatzes. Im Rahmen der Analyse gilt es Datenfilter zu bestimmen, die identifizierten Handlungsmuster in Transaktionsreports zu übertragen (Datamining/Matching Reports), Auffälligkeiten in den Transaktionsreports mittels zu definierender Red Flags zu lokalisieren sowie eine straf- und steuerrechtliche Bewertung der Auffälligkeiten vorzunehmen.
102
Zudem sollte geklärt werden, ob die auffällig gewordenen kritischen Geschäftsvorfälle einen Einzelfall, eine übliche Vorgehensweise oder ein Geschäftsmodell darstellen, das sich auch in anderen Bereichen oder Unternehmenseinheiten wieder finden lässt.
103
Die Handlungsmusteranalyse ist ein iterativer Prozess, dessen Schritte zur Informationssammlung, Analyse und Bewertung sowie Befragung insbesondere bei einer komplexen Internal Investigation mehrmals durchlaufen werden müssen.
104
Mittels Compliance Review werden die Compliance-Strukturen (Aufbau- und Ablauforganisation) auf ihre Eignung zur Vorbeugung, Verhinderung und Ahndung von Verhaltensweisen untersucht, die strafrechtliche Tatbestände, bspw. der Vorteilsgewährung, Bestechung, Untreue und Steuerdelikte sowie der Beteiligung an solchen Delikten verwirklichen.
105
Ziel des Compliance Reviews ist es, interne Kontrollschwächen zu identifizieren und konkrete Maßnahmen vorzuschlagen, wie ein eventuell bestehendes Compliance Management System korrigiert bzw. verbessert werden muss, damit das Risiko neu auftretender Compliance-Verstöße bestmöglich kontrollierbar bleibt und der Vorwurf der Systemschwäche nicht mehr, auch nicht in Zukunft, erhoben werden kann.
c) Aufgabenplanung
106
Ziel der Aufgabenplanung ist ein detaillierter Projektplan,