Compliance Management
Folge 12: Monitoring & Review

„Catch me if you can!”

Monitoring & Review sind ein essentielles Element, das jedes Compliance Management System (CMS) vervollständigt. In meiner Beratung stelle ich bei der Bewertung von Compliance-Programmen jedoch häufig fest, dass dieses Thema vernachlässigt wird. Viele Unternehmen implementieren detaillierte Richtlinien und schulen, überzeugen sich aber nicht von der Effektivität dieser Maßnahmen. Dies geschieht einerseits aus Zeitgründen, aber auch, weil sich Compliance-Verantwortliche die Rolle des „Kontrolleurs“ im eigenen Unternehmen nur ungern zu eigen machen und einen Interessenskonflikt zu ihrer Rolle als Berater wahrnehmen.

Was ist Monitoring & Review?

Letztlich handelt es sich bei Monitoring & Review um eine Prüfung von Funktionsfähigkeit und Effektivität eines CMS. „Mit der Prüfung des CMS (…) erhalten Unternehmen einen unabhängigen und objektivierten Nachweis darüber, dass ihr CMS angemessen und wirksam ist. (…) Nur bei einer Wirksamkeitsprüfung (wird) die tatsächliche Funktion der einzelnen Komponenten des CMS beurteilt. Neben der risikobegrenzenden Wirkung kann eine CMS-Prüfung auch als ‚Stresstest‘ für das Unternehmen verstanden werden, der dazu beiträgt, ggf. bestehende Schwächen (z. B. Regelungslücken im System) zu erkennen und das System zu verbessern“.[1]

Ähnliches findet sich auch im U.S. Foreign Corrupt Practices Act (FCPA) und dem UK Bribery Act (UKBA). Auch das US-amerikanische Justizministerium (DOJ) hat jüngst (Juni 2020) erneut betont, dass ein Compliance-Programm in der Praxis auch funktionieren muss – das beste CMS hilft schließlich nichts, wenn es nicht umgesetzt wird oder Compliance-Verantwortliche sich nicht regelmäßig von seiner Wirksamkeit überzeugen.

Die Begriffe Monitoring, Review, Revision, interne Untersuchung und Audit werden oft durcheinandergeworfen und sind auch nicht immer ganz klar voneinander abgrenzbar. Hervorzuheben ist allerdings der Unterschied zwischen periodischen Maßnahmen, die wir hier Monitoring & Review nennen wollen, und internen Ermittlungen. Letztere beschreiben ein Tätigwerden ad hoc in einem konkreten Verdachtsfall.

Planung ist alles

Wie sollten Compliance-Verantwortliche das Thema nun praktisch angehen? Dafür muss geplant werden: Was will man prüfen und wie will man es prüfen?

Betrachten wir dabei die Elemente des CMS (siehe dafür auch die einzelnen Abschnitte dieser „12-Month Challenge“) als Checkliste. Die einzelnen Elemente müssen nicht nur formal – „auf dem Papier“ – vorhanden sein, sondern sie müssen ihren Zweck auch in effektiver Art und Weise erfüllen.

Dabei stehen unterschiedliche Methoden zur Auswahl. Einerseits ist ein „Self-Check“ des CMS möglich, bei dem die Verantwortlichen ihr Compliance-Programm auf seine Vollständigkeit, Funktionalität und Wirksamkeit überprüfen. Die Frage könnte etwa sein: Steht das Programm so, wie es vorgesehen ist? Bekommen Mitarbeiter bei Eintritt tatsächlich den Verhaltenskodex ausgeteilt? Funktioniert die Telefonnummer des Hinweisgebersystems? Wurden Handlungsempfehlungen aus Risikobewertungen umgesetzt? Andererseits können Sie auch das Monitoring anderer Funktionen oder des Verhaltens von Mitarbeitern in den Vordergrund stellen. Hier prüfen Sie idealerweise sowohl „on-book“, also anhand von Rechnungen, Leistungsbeschreibungen o. Ä., wodurch etwa die zweckwidrige Verwendung von Geldern durch ausländische Standorte auffallen könnte, als auch „off-book“, also durch praktische Kontrollen vor Ort, wodurch auch undokumentierte Geschehnisse entdeckt werden können, wie abgezweigte Barzahlungen an Berater.

Es hat sich für die Planung bewährt, die einzelnen Prüfungen in einen Jahresplan einzutragen, mit der Geschäftsführung abzustimmen und dann über das Jahr hinweg abzuarbeiten.

Stakeholder definieren und Verbündete suchen

Bei der Planung ist aber nicht nur wichtig, was geprüft werden soll und mit welcher Methode, sondern auch durch wen.

Neben dem Compliance-Verantwortlichen selbst bietet sich die Unterstützung durch eine interne Revision/Auditfunktion an. Diese ist (soweit vorhanden) für Compliance-Verantwortliche ein wichtiger Partner, dessen Fachkenntnis und Ressourcen sehr nützlich sein kann. Auch externe Hilfe kann dazu beitragen, Compliance-Monitoring & Audit nicht weiter auf die lange Bank zu schieben und einen Startpunkt zu finden. Beachten Sie bitte auch, dass eine Beteiligung des Betriebsrats notwendig sein kann.

Aus Findings lernen

Die besten Maßnahmen und Überprüfungen helfen nicht, wenn aus ihren Ergebnissen keine Schlüsse gezogen werden. Was also sollte man tun, wenn bei der Überprüfung des CMS Lücken oder Auffälligkeiten gefunden werden? Das hängt von der Art des Befundes ab. Entdecken Sie einzelnes Fehlverhalten oder Unregelmäßigkeiten, kann eine interne Untersuchung die richtige Konsequenz sein. Stellen Sie hingegen fest, dass Ihr CMS unter strukturellen Mängeln leidet, sollten Sie Verbesserungen des CMS in Betracht ziehen.

Fazit

Zentraler Leitsatz beim Thema Monitoring ist: „Wenig ist mehr als nichts“, d. h. klein anzufangen und sich notfalls in Einzelschritten vorzuarbeiten, ist in jedem Fall besser, als gar nichts zu tun. Wer hier „dranbleibt“ und sein gut konzipiertes CMS auch regelmäßig einem „Stresstest“ unterzieht, wird im Fall der Fälle klar im Vorteil sein.

Unsere „12-Month Compliance Challenge“ ist zu Ende. Wir haben alle wichtigen Elemente eines CMS betrachtet und in einzelne Arbeitspakete unterteilt. Erinnern Sie sich noch wie man einen Elefanten isst? Stück für Stück!

Falls Sie unsicher sind, wie Sie Ihr Compliance Management System erfolgreich gestalten können, nehmen Sie gern Kontakt mit mir auf.

[1] Schmidt, in: Hauschka/Moosmayer/Lösler, Corporate Compliance, 3. Aufl. 2016, § 45 Rn. 14.