Von Hartwig Laute, Geschäftsführer, Recommind GmbH, Rheinbach
Interne Audits dienen einer besseren Transparenz im Unternehmen und versetzen die Verantwortlichen in die Lage, Risikorechtsbereiche zu überwachen. Die Einführung eines Complianceprogramms allein schützt kein Unternehmen vor Strafe, wenn Regelverstöße einzelner Mitarbeiter oder ganzer Teams zu Ermittlungen führen. Nur ein wirksames Zusammenspiel von Compliancerisikomanagement, einer entsprechenden Complianceprogrammentwicklung und regelmäßiger Überwachung der geschaffenen Prozesse ergibt ein erfolgreiches Compliancemanagementsystem. Laut einer aktuellen Studie von KPMG führen aber nur 74% der befragten Unternehmen tatsächlich präventive Kontrollen durch – im Mittelstand sind es sogar nur 45%. Dabei schützen präventive Audits zur Früherkennung und Schadenminimierung bei möglichen Fehltritten nicht nur vor finanziellem und Imageschaden, sie sind für Aufsichtsorgane sogar Pflicht.
Kartellrecht, Korruptionsbekämpfung und Datenschutz sind drei kritische Bereiche, in denen Unternehmen gut beraten sind, durch Kontrollmaßnahmen mögliche Verstöße frühzeitig zu erkennen, um den Schaden einzudämmen. Wo kontrolliert wird, ist aber auch mit Widerständen zu rechnen: Niemand fühlt sich gerne unter Generalverdacht, und auch die Sorge vor dem Eindringen in vertrauliche Konversationen kann eine Blockadehaltung unter den Angestellten fördern. Transparenz bei der Durchführung der nötigen Kontrollmaßnahmen hingegen gilt als Schlüssel für ein optimales Compliancemanagement, sichert die Unterstützung der Mitarbeiter und kann im Ernstfall sogar die Kooperationsbereitschaft Überführter verbessern.
Auf der Frankfurter Veranstaltung Legal IT Spring diskutierten Anwälte und Unternehmensjuristen die Vereinbarkeit von Internal Investigations und Beschäftigtendatenschutz: Unter anderem ging es um die Frage, wie es gelingen kann, Mitarbeiter ins Boot zu holen, die Akzeptanz für Audits zu erhöhen und somit den Aufwand für Revisionen zu mindern sowie deren Effektivität zu steigern. Werden ein paar grundsätzliche Empfehlungen beachtet, lässt sich die Revision für alle Beteiligten angenehmer gestalten: Durch eine größtmögliche Teilhabe der zu prüfenden Abteilungen und Mitarbeiter können die Akzeptanz und die bereitwillige Mitarbeit deutlich erhöht werden.
Gehen Sie mit gutem Beispiel voran
Der Geschäftsleitung kommt eine Vorreiterrolle zu, wenn es darum geht, die Ernsthaftigkeit der anstehenden Untersuchung zu unterstreichen. Nur wenn die Führungsebene deutlich macht, welche Bedeutung Audits für den Schutz von Unternehmen und Mitarbeitern haben und Sinn und Zweck der Untersuchung darlegen, erhält die Maßnahme den nötigen Nachdruck. Ein Audit dient nicht der Suche nach einem Schuldigen, sondern gleicht einem kontinuierlichen Optimierungsprozess – und das Unternehmen muss nachweisen, dass es sich nicht um eine lästige Kontrollmaßnahme handelt, sondern um notwendige Vorkehrungen zum Wohle aller: Probleme in Unternehmensabläufen können rechtzeitig aufgespürt und Lösungsmaßnahmen initiiert werden.
Respektieren Sie Mitbestimmungsrechte und Datenschutz
Audits sind keine Razzien. Ziel ist nicht, Schwächen einzelner Mitarbeiter zu entlarven, sondern präventiv – selbst noch so unbeabsichtigtes – Fehlverhalten zu erkennen und zu handeln. Dabei ist es wichtig, dass Mitarbeiter ihre Rechte gewahrt sehen. Der Datenschutz darf in keinem Fall ignoriert werden, denn das wäre mit erheblichen Rechtsfolgen verbunden. Wenn eine Ermittlungsmaßnahme ansteht, sollte der Datenschutzrechtler frühzeitig eingeschaltet werden. So lässt sich sicherstellen, dass das Audit am Ende mit dem Datenschutz rechtlich konform ist. Auch die rechtzeitige Einbeziehung des Betriebsrats ist unumgänglich, um etwa das Einverständnis zur Sichtung von E-Mail-Konten zu erlangen. Selbst wenn die Nutzung des geschäftlichen E-Mail-Accounts für private Zwecke verboten ist, können Nachrichten durchaus vertrauliche Informationen enthalten, zum Beispiel als privat zu betrachtende Kommentare unter Kollegen oder der Austausch mit dem Betriebsarzt oder der Personalabteilung. Diese sind ohne Zustimmung der betroffenen Gesprächspartner nicht für die Augen Dritter bestimmt. Eine Objektivierung von Informationen, etwa durch die Nutzung einer speziellen Review-Software, schafft durch die automatisierte Anonymisierung und Pseudonymisierung personenbezogener Daten zusätzliche Sicherheit und Vertrauen.
Agieren Sie nicht ferngesteuert
Gerade bei Konzernen kann es förderlich sein, Audits eher dezentral umzusetzen, als sie aus der Zentrale zu steuern. Mit Beauftragten aus den Teams in den einzelnen Niederlassungen und der Anpassung der Maßnahmen an die Gegebenheiten vor Ort ist die Akzeptanz der lokalen Teams schneller erreicht. So werden Audits zu Prozessen, die von vielen Schultern getragen werden, und erscheinen nicht als von oben diktierte Pflichtveranstaltung. Auch wird der Eindruck vermieden, einzelne Niederlassungen stünden unter einem bestimmten Verdacht.
Machen Sie mehr aus Ihren Audits
Oft beruhen Regelverstöße auch auf reinem Nichtwissen, zum Beispiel wenn Mitarbeitern in Vertrieb oder Einkauf die Grenzen regelkonformen Verhaltens nicht zu 100% klar sind. Die Schwelle von „eher erlaubten“ zu „eher verbotenen“ bis hin zu definitiv untersagten Absprachen sind zum Teil nicht jedem klar, und in vertrauter Atmosphäre auf Branchenveranstaltungen ist schnell ein falsches Wort gewechselt. Regelmäßige Audits mit Trainingsmaßnahmen für Mitarbeiter zu verbinden ist ein guter Weg, um neben der Akzeptanz von Compliance auch einen unternehmensweiten Verhaltenskodex zu etablieren. Auch erhöht sich so die Fähigkeit geschulter Mitarbeiter, grenzwertiges oder -überschreitendes Verhalten bei sich und anderen zu erkennen: Eine weitere Sicherungsebene entsteht.
Trainingseinheiten können von den Complianceverantwortlichen im Unternehmen oder von unabhängigen Dritten geleitet werden. Die Einbeziehung externer Experten bietet sich jedoch nicht nur zu Schulungszwecken an: Externe können auch mit der Durchführung ganzer Audits beauftragt werden und als neutrale Größe auftreten. Im Sinne des Betriebsklimas kann das von Vorteil sein, um interne Missstimmungen zwischen Prüfern und Geprüften zu vermeiden.
Abschreckung als Ultima Ratio?
Angst ist ein schlechter Ratgeber, dennoch ist es wichtig, dass Mitarbeitern die Konsequenzen bewusst sind, die Complianceverstöße mit sich bringen – auch für sie persönlich. Neben Transparenz und Fingerspitzengefühl kann es im Rahmen von Schulungen sinnvoll sein, anhand abschreckender Beispiele die Dramatik des Themas zu unterstreichen: vom möglichen Jobverlust bis zu persönlicher Haftung.
Tritt tatsächlich der Ernstfall ein und werden im Audit zum Beispiel kartellrechtliche Regelverstöße aufgedeckt, ist die freiwillige Selbstanzeige bei der Kartellbehörde der empfehlenswerte Schritt. Um dann zur umfassenden Aufklärung beitragen zu können, bedarf es neben einer vollständigen Übersicht über das vorhandene Beweismaterial – das ebenfalls am besten softwaregestützt recherchiert wird – auch der Kooperation des betroffenen Mitarbeiters. Und Kooperationsbereitschaft wird sich nur finden, wo Transparenz und Teilhabe gelebt werden.
Kontakt: hartwig.laute@recommind.com