Ein Gesetzesentwurf soll Straftaten im Unternehmen stärker sanktionieren und Anreize für Compliance-Investionen geben. Um Compliance-Management-Systeme zu implementieren, haben Unternehmen noch zwei Jahre bis zum Inkrafttreten Zeit.
Sofern nicht bereits geschehen, sollten Unternehmen jetzt damit beginnen, ein Compliance-Management-System zu implementieren. Denn wenn in zwei Jahren das Verbandssanktionengesetz in Kraft tritt, profitieren sie davon.
WrightStudio / stock.adobe.com
Das geplante Verbandssanktionengesetz (VerSanG) stellt in Deutschland ein Novum dar, weil bei Strafrechtsvertößen künftig nicht nur verantwortliche Manager oder Beschäftigte, sondern auch die Unternehmen selbst zur Verantwortung gezogen werden sollen. Gleichzeitig will es Unternehmen dazu veranlassen, zur Bekämpfung von Wirtschaftskriminalität, stärkeren Wert auf eine effiziente und transparente Compliance zu legen. Dies soll dadurch bewirkt werden, dass im Fall einer Verbandstat bestehende Compliance-Maßnahmen, aber auch die Reaktion des Unternehmens auf die Verletzung der Compliance berücksichtigt werden und bei der Bestimmung einer Verbandssanktion möglicherweise auch sanktionsmildernd wirken.
Als solche Maßnahmen nennt der Entwurf insbesondere Organisation, Auswahl, Anleitung und Aufsicht. Damit fordert der Entwurf des VerSanG implizit die Einrichtung eines angemessenen Compliance Management System (CMS), um den Anforderungen nachzukommen. In der Gesetzesbegründung wird ausgeführt, dass für eine Bußgeldminderung entscheidend ist, dass ein Unternehmen ein effektives Compliance-Management installiert hat, welches auf die Vermeidung von Rechtsverstößen ausgelegt sein muss.
Angemessene und wirksame Compliance-Maßnahmen
Doch was sind angemessene Maßnahmen und wie wird ein angemessenes und wirksames CMS ausgestaltet? Um Compliance-Risiken und -Verstöße aktiv zu managen, folgen Compliance-Management-Systeme einem Regelkreis-Prinzip. Das heißt, festgelegte Regeln, Maßnahmen und Kontrollen des CMS werden immer wieder in der Unternehmensrealität geprüft und stetig verbessert. Ausgangspunkt ist eine detaillierte Risikoanalyse, welche die sensitiven Rechtsgebiete für Compliance-Verstöße und somit Verbandstaten und den damit verbundenen Compliance-Risiken identifiziert.
Im zweiten Schritt sind präventive Maßnahmen zu ergreifen (prevent), um diese Risiken aktiv zu steuern. Hierzu zählt, Richtlinien zu verfassen oder diese zu aktualisieren sowie entsprechende Kontrollen und Prozesse zu etablieren. Um die Akzeptanz der Mitarbeiter hinsichtlich der Maßnahmen und damit auch die Regeltreue der Mitarbeiter selbst zu fördern, empfehlen sich begleitende Kommunikationsmaßnahmen, um eine Compliance-Kultur zu schaffen. Diese Kultur kann zudem durch die Einführung entsprechender Anreizsysteme bei der Vergütung gefördert werden.
Prevent, detect und react ins CMS implementieren
Neben der Prävention sollte ein CMS auch Elemente zur Aufdeckung (detect) haben, um Verstöße gegen die Regelungen zu identifizieren. Dies ist notwendig, um im Ernstfall angemessen reagieren zu können. Dies ist auch nach dem VerSanG-E wichtig, da bei einem Verstoß die im Nachhinein getroffenen Maßnahmen nur dann berücksichtigt werden, wenn dies vom Unternehmen selbst erkannt und angezeigt wurde.
Zudem lassen sich durch die Überwachung des Systems auch Schwachstellen und Optimierungspotenziale am System erkennen und damit Verbesserungen am System anstoßen (react). Deshalb sollte ein wirksames CMS neben der anlassbezogenen Überwachung (Investigation) auch die regelmäßige prozessintegrierte und prozessunabhängige Überwachung beinhalten.
Um diese Elemente des prevent, detect und react systematisch zu implementieren gibt es unterschiedliche Rahmenwerke, welche Unternehmen als Orientierung heranziehen können. Beispielhaft sind hier der IDW PS 980, die aktuelle DoJ Guidance oder ISO 19600 zu nennen.
Frühzeitige Compliance-Investition ist sinnvoll
Der Gesetzesentwurf könnte noch in diesem Sommer in den Bundestag eingebracht und in der laufenden Legislaturperiode verabschiedet werden. Damit bleibt nicht viel Zeit, um zu handeln und diese gilt es zu nutzen. Insbesondere sollten die Unternehmen nun ihre Compliance-Risikoanalyse überprüfen und sicherstellen, dass diese alle wesentlichen Rechtsgebiete abdeckt und die entsprechenden Risiken identifiziert wurden. Das gesamte System sollte im Anschluss auf die Abdeckung dieser Risiken durch geeignete Maßnahmen überprüft werden. Gleichzeitig ist zu analysieren, ob entsprechende detektive und reaktive Maßnahmen – wie bspw. ein Hinweisgebersystem mit anschließendem Incident-Handling –
vorhanden sind. Die Maßnahmen sollten in eine entsprechende Organisation eingebettet sein. Dies zeigt auch die Forderung des Entwurfs nach entsprechender Organisation, Auswahl, Anleitung und Aufsicht.
Auf Basis dieser Analyse des Status Quo können Unternehmen gezielt in Compliance investieren, denn wie der vielzitierte ehemalige US-Staatsanwalts Paul McNulty einst bemerkte: "If you think compliance is expensive, try non-compliance." Durch den Entwurf gilt dieser Satz mehr denn je.