17. Juli 2020 / Compliance / von Samuel Rivero
I. Einleitung
Der neue Ansatz im Kampf gegen Korruption sowie bei der Einhaltung von Gesetzen und Vorschriften hat deutlich gemacht, wie wichtig es ist, in jedem Unternehmen ein wirksames Compliance-Programm aufzubauen und aufrechtzuerhalten. Es gibt keine bestimmte Struktur oder kein bestimmtes Programm, das als das perfekte Modell für alle Unternehmen bezeichnet werden könnte.
Jedes Unternehmen trägt verschiedene Verantwortlichkeiten. Es herrscht allgemein die Auffassung, dass diese Verantwortung ausschließlich strafrechtliche Angelegenheiten betrifft; es gibt jedoch auch andere Arten von Verantwortung, die voneinander unabhängig sind; daher darf das Erkennen, Verhindern und Eindämmen von Fehlverhalten von Unternehmen niemals vernachlässigt werden. Aus diesem Grund müssen wir Instrumente entwickeln, die uns dabei helfen, Fehlverhalten innerhalb des Unternehmens einzudämmen.
Darüber hinaus benötigen wir Richtlinien zu diesem Thema. Jedes Programm müsste auf die Risikobereiche des Unternehmens, dessen Größe, Ressourcen, Branche, Standorte usw. abgestimmt sein.
Im Folgenden werden zwei Verpflichtungen aufgeführt, bei deren Verletzung einem Unternehmen Strafen drohen können, sowie ein allgemeiner Leitfaden für die wirksame Umsetzung eines Programms in Unternehmen zur Eindämmung und Verhinderung solcher Verhaltensweisen:
II. Korruption in Mexiko
Die Korruption in Mexiko hat im Laufe der Jahre sowohl im öffentlichen als auch im privaten Sektor zugenommen. Tatsächlich sind diese beiden Sektoren bei Korruptionsfällen meist miteinander verflochten. Nach Angaben des mexikanischen Verbands der Fachleute für Ethik und Compliance macht die Korruption in Unternehmen 9 % (neun Prozent) des BIP aus, was erhebliche Auswirkungen auf die Wirtschaft des Landes hat und ein Problem darstellt, das besonders aufmerksam angegangen werden muss.
In Mexiko bekämpfen zwar das Staatsministerium und das Ministerium für Regierungsangelegenheiten die Korruption, doch konzentriert sich diese Bekämpfung auf den öffentlichen Sektor, d. h. auf Korruptionshandlungen, die von Beamten begangen werden. Zudem ist es nur dann im öffentlichen Sektor tätig, wenn eine Person außerhalb der öffentlichen Verwaltung in einen Korruptionsfall verwickelt ist, bei dem eine Verbindung zu einem Beamten besteht; daher steht der Privatsektor nicht im Mittelpunkt der Arbeit des oben genannten Ministeriums für Staatsangelegenheiten. In den letzten zehn Jahren haben jedoch sowohl die Regierung als auch der Privatsektor einen Anstieg korruptiver Verhaltensweisen innerhalb der Unternehmen festgestellt; daher wurden nach und nach Gesetze, Richtlinien, Handbücher und verschiedene Instrumente zur Eindämmung solcher Handlungen erlassen.
III. Verwaltungsverstöße im privaten Sektor
Wie oben erwähnt, besteht die Hauptaufgabe des Ministeriums für Regierungsangelegenheiten darin, die öffentliche Politik im Bereich der internen Kontrolle zu konzipieren, zu planen, umzusetzen und zu koordinieren, die staatliche Verwaltung zu bewerten sowie die Richtlinien für diesen speziellen Sektor zu regeln oder festzulegen, die sich aus verschiedenen Rechtsinstrumenten ableiten, welche es Einzelpersonen ermöglichen, in staatlichen Angelegenheiten zu handeln. Gemäß Artikel 12 des Übereinkommens der Vereinten Nationen gegen Korruption ist festgelegt, dass die Staaten Maßnahmen zur Korruptionsprävention ergreifen, die Rechnungslegungs- und Prüfungsvorschriften im privaten Sektor verbessern sowie Sanktionen für Verstöße festlegen müssen. Daher legt das Allgemeine Gesetz über die Verwaltungshaftung (im Folgenden: LGRA) die Sanktionen für die Begehung von Verstößen durch Einzelpersonen sowie die Verfahren für deren Anwendung und die Befugnisse der zuständigen Behörden zu diesem Zweck fest.
Auf der Grundlage der Artikel 21 und 25 des oben genannten Gesetzes hat das Ministerium für Regierungsangelegenheiten das „Modellprogramm für Unternehmensintegrität“ herausgegeben. Dabei handelt es sich um einen Leitfaden, dessen Zweck darin besteht, dem privaten Sektor eine Reihe von Maßnahmen und Richtlinien an die Hand zu geben, die gemäß Artikel 25 des Allgemeinen Gesetzes über die Verwaltungshaftung (LGRA) umzusetzen sind. Der Zweck des vorgenannten Handbuchs besteht darin, die Einführung und Einhaltung der internen Vorschriften (Corporate Governance) sowie die Rechenschaftspflicht des Unternehmens zu fördern; das Engagement der Geschäftsführer und leitenden Angestellten des Unternehmens sicherzustellen, um Korruption durch „bewährte Praktiken“, Verhaltenskodizes, Beschwerdesysteme, Kontrollsysteme, Überwachung und Audits, Schulungen sowie verschiedene Mechanismen zur Gewährleistung von Transparenz zu jeder Zeit zu verhindern und einzudämmen.
Wie bereits erwähnt, besteht der Zweck des „Business Integrity Model Program“ darin, Korruptionshandlungen zu verhindern; die LGRA stellt jedoch fest, dass es gemäß Kapitel III und IV des Gesetzes zu Verwaltungsverstößen durch Einzelpersonen kommt.
Daher sieht das LGRA, Abschnitt III, Kapitel III, verschiedene Sanktionen für Personen vor, die gegen die in diesem Gesetz festgelegten Vorschriften verstoßen; für juristische Personen gelten gemäß Artikel 81 folgende Sanktionen: a) Eine Geldstrafe, die bis zu zwei Drittel der erzielten Gewinne betragen kann; falls keine Gewinne erzielt wurden, entspricht sie dem Betrag von 1.000 (eintausend) bis zu 1.500.000 (eine Million fünfhundert) Mal dem Tageswert der Maßeinheiten und Aktualisierungswerte; b) Vorübergehende Aussetzung der Teilnahme an Verkäufen, Leasinggeschäften, öffentlichen Dienstleistungen oder Bauarbeiten für einen Zeitraum von mindestens 3 (drei) Monaten und höchstens 10 (zehn) Jahren; c) Aussetzung der Geschäftstätigkeit für einen Zeitraum von mindestens 3 (drei) Monaten und höchstens 3 (drei) Jahren, die darin besteht, Personen aufgrund ihrer Verbindung zu Verwaltungsverstößen vorübergehend an der Ausübung ihrer Handels-, Wirtschafts-, Vertrags- oder Geschäftstätigkeiten zu hindern, diese zu verzögern oder ihnen diese zu entziehen; d) Auflösung des betreffenden Unternehmens durch gerichtliche Anordnung als Folge der Begehung, Verbindung, Beteiligung und Beziehung zu einem schwerwiegenden Verwaltungsverstoß; und e) Ersatz des Schadens und des entgangenen Gewinns zugunsten der öffentlichen Staatskasse, sei es auf lokaler oder kommunaler Ebene, oder zugunsten des Vermögens öffentlicher Einrichtungen.
Wie wir sehen, kann ein Unternehmen auch für Ordnungswidrigkeiten haftbar gemacht werden. Wir dürfen nicht vergessen, dass ein privates Unternehmen in straf-, verwaltungs- und zivilrechtlichen Angelegenheiten verschiedene Verantwortlichkeiten tragen kann.
IV. Strafrechtliche Haftung in Unternehmen
Im mexikanischen Strafrechtssystem sind bereits bestimmte Sanktionen vorgesehen, die ein Richter gegen eine juristische Person verhängen kann, wenn diese als Mittel zur Begehung einer Straftat genutzt wurde; derzeit sind jedoch gemäß Artikel 421 der Nationalen Strafprozessordnung (CNPP) die Haftungsansprüche gegenüber der juristischen Person, für die deren Vertreter haften können, und gegenüber den Geschäftsführern voneinander unabhängig.
Gemäß Artikel 421 des CNPP haften juristische Personen strafrechtlich für Straftaten, die in ihrem Namen, auf ihre Rechnung, zu ihrem Vorteil oder unter Nutzung der von ihnen bereitgestellten Mittel begangen wurden, sofern festgestellt wird, dass zudem ein Verstoß gegen die gebotene Kontrolle innerhalb ihrer Organisation vorliegt. Dieser Verstoß bezieht sich auf mangelnde Überwachung oder Aufsicht sowie auf das Fehlen einer Richtlinie zur Verhinderung des vorgenannten Vorfalls.
Es ist wichtig zu verdeutlichen, dass die Feststellung der strafrechtlichen Haftung der juristischen Person nicht voraussetzt, dass die Handlung von den gesetzlichen Vertretern, Geschäftsführern, Gesellschaftern, Aktionären usw. begangen wird, sondern dass die Straftat von jedem Mitarbeiter – unabhängig von dessen Titel oder Position – begangen werden kann, da für die Haftung lediglich erforderlich ist, dass die Straftat unter Nutzung der von dieser juristischen Person gewährten Mittel begangen wird. Dies ergibt sich aus § 11 des Bundesstrafgesetzbuches; daher ist es wichtig, dass alle Mitarbeiter des Unternehmens über die Richtlinien zur Verhinderung solcher Handlungen informiert sind.
Das Strafgesetzbuch (CNPP) legt in Artikel 421 außerdem fest, dass die strafrechtliche Haftung juristischer Personen – im Falle einer Fusion, Umwandlung, Übernahme oder Spaltung – nicht erlischt. In diesen Fällen kann die Übertragung der Strafe im Hinblick auf die Beziehung zu der juristischen Person geregelt werden, die ursprünglich für die Straftat verantwortlich war.
Darüber hinaus werden gemäß Artikel 422 des CNPP in Bezug auf Artikel 11 Bis des Bundesstrafgesetzbuchs (im Folgenden „FCC“) die in dieser Angelegenheit geltenden rechtlichen Konsequenzen für juristische Personen davon abhängen, ob diese über eigene Rechtsfähigkeit verfügen oder nicht. Verfügen sie über eigene Rechtsfähigkeit, können folgende Strafen – einzeln oder in Kombination – verhängt werden: a) Geldstrafe oder Geldbuße; b) Einziehung von Tatwerkzeugen, Gegenständen oder Erträgen der Straftat; c) Veröffentlichung des Urteils; d) Auflösung der Gesellschaft; und e) sonstige in den Strafgesetzen ausdrücklich festgelegte Strafen. Für juristische Personen mit oder ohne eigene Rechtsfähigkeit gelten folgende Sanktionen: a) Aussetzung der Geschäftstätigkeit; b) Schließung der Niederlassung oder des Geschäfts; c) Verbot der Ausübung künftiger Tätigkeiten, die sie ausgeübt haben oder an deren Begehung sie beteiligt waren; d) Vorübergehende Ausschließung durch Aussetzung des Rechts, direkt, indirekt oder über einen Vermittler an Vergabeverfahren des öffentlichen Sektors teilzunehmen; e) Rechtliche Intervention zum Schutz der Rechte von Arbeitnehmern oder Gläubigern; und f) Öffentliche Rügen.
Andererseits sieht Artikel 11 Bis, letzter Absatz, des FCC vor, dass die Strafen um bis zu einem Viertel gemildert werden können, wenn die juristischen Personen vor der ihnen zur Last gelegten Handlung über ein ständiges Kontrollgremium verfügten, das für die Überprüfung der Einhaltung der geltenden Rechtsvorschriften sowie für die Umsetzung der internen Richtlinien zur Verbrechensprävention zuständig war.
Daher ist es wichtig, dass Richtlinien und Verfahren vorhanden sind, um Verhaltensweisen, die als Korruptionshandlungen angesehen werden können, anzugehen, zu verhindern und zu mindern, um die oben genannten Sanktionen zu vermeiden, da wir bedenken müssen, dass die strafrechtliche Haftung ebenso wie die Sanktionen unabhängig von der verwaltungsrechtlichen Haftung ist, was dazu führen kann, dass dem Unternehmen mehrere rechtliche Sanktionen auferlegt werden.
V. Risikobewertung
Erfolgreiche Compliance-Programme basieren auf erfolgreichen Risikobewertungen. Keine interne Richtlinie, kein Verfahren und keine Kontrollmaßnahme wird viel bewirken, wenn diese Instrumente die falschen Risiken auf falsche Weise erfassen. Die Durchführung von Risikobewertungen kann jedoch eine schwierige Aufgabe sein, nicht nur aufgrund der Vielfalt der Risiken, sondern auch, weil sich kein Standardformat für die Risikobewertung auf alle Risiken anwenden lässt, denen ein Unternehmen ausgesetzt sein kann. Unternehmen sind mit Risiken konfrontiert, die sich aus ihrer Struktur, ihrer jeweiligen Branche und möglicherweise auch aus ihren Geschäftspartnern und/oder dem Ort, an dem sie tätig sind, ergeben.
Zunächst muss der Zweck der Compliance-Risikobewertung definiert werden. Anschließend müssen alle korrekten und erforderlichen Informationen zusammengetragen werden, da eine wirksame Compliance-Risikobewertung voraussetzt, dass der Compliance-Beauftragte (CO) alle notwendigen Informationsarten prüft, um das betreffende Risiko korrekt einzuschätzen und festzustellen, welche Bereiche des Unternehmens bei dieser Einschätzung hilfreich sein können.
Sobald die Risiken des Unternehmens ermittelt wurden, müssen diese bewertet werden. Im Grunde misst eine Risikobewertung, wie gut die internen Kontrollen in einem Unternehmen funktionieren, um die Wahrscheinlichkeit des ermittelten Risikos zu mindern. Es ist wichtig, die Ergebnisse mit einer schriftlichen Zusammenfassung oder einem Bericht abzuschließen, in dem die wahrscheinlichsten Compliance-Verstöße beschrieben werden; darin wird vor allem dargelegt, warum die internen Kontrollen nicht ausreichen (mangelhafte Kontrollmechanismen, veraltete Untersuchungsverfahren, unklare Richtlinien zur Aufbewahrung von Dokumenten usw.) und in welchen Bereichen solidere interne Kontrollmechanismen erforderlich sind. Idealerweise enthält der Bericht auch Maßnahmen, die umgesetzt werden sollen.
VI. Richtlinien und Verhaltenskodex
Die Fähigkeit, wirksame Richtlinien zu entwerfen, ist entscheidend für ein erfolgreiches Compliance-Programm. Compliance-Beauftragte müssen die Erstellung und Einführung von Richtlinien systematisieren, auch wenn deren Inhalt sehr spezifisch und detailliert ist. Es ist wichtig, bei der individuellen Gestaltung von Richtlinien einen methodischen Ansatz zu verfolgen: Richtlinien, die von den Mitarbeitern (und Dritten) verstanden, respektiert und eingehalten werden können. Unabhängig von den regulatorischen Anforderungen oder den geschäftlichen Risiken, die die Notwendigkeit einer bestimmten Richtlinie begründen – wenn diese Richtlinie die drei oben genannten Punkte nicht erfüllt, wird sie den Anforderungen des Unternehmens nicht gerecht.
Gemäß dem „Business Integrity Model Program“ wird betont, dass die Richtlinien klar sein müssen und die Aufgaben und Zuständigkeiten jedes Mitarbeiters im Unternehmen entsprechend seinem Tätigkeitsbereich festlegen müssen; außerdem müssen sie die verschiedenen Befehls- und Führungswege innerhalb der Unternehmensstruktur eindeutig festlegen.
Ebenso müssen die Richtlinien und der Verhaltenskodex veröffentlicht werden und allen Mitgliedern der Organisation zugänglich sein; darüber hinaus müssen konkrete Anwendungssysteme und -mechanismen vorhanden sein. Sie müssen Leitlinien zur Vermeidung von Interessenkonflikten enthalten, die eine ordnungsgemäße und korrekte Durchführung der geschäftlichen Aktivitäten gewährleisten.[1] Um zu verhindern, dass diese Richtlinien und der Verhaltenskodex lediglich als bloße Beispiele dienen, ist es wichtig, Maßnahmen zur Durchsetzung sowie Sanktionsverfahren für den Fall eines Verstoßes vorzusehen und schwerwiegende Fälle an die zuständigen Behörden weiterzuleiten.
Das Vorstehende veranlasst uns, über ein geeignetes Meldesystem nachzudenken, sowohl innerhalb des Unternehmens als auch gegenüber den zuständigen Behörden, sowie über konkrete Konsequenzen für diejenigen, die gegen die internen Vorschriften und die geltenden Gesetze verstoßen.
Ein weiterer wichtiger Aspekt, der in den Richtlinien des Unternehmens berücksichtigt werden muss, sind Ausnahmeanträge: In jeder Richtlinie muss erläutert werden, wie ein Mitarbeiter eine Ausnahme beantragen kann oder warum eine Ausnahme nicht zulässig ist. Eine Richtlinie darf Ausnahmeanträge keinesfalls völlig außer Acht lassen, da sonst die Gefahr besteht, dass Mitarbeiter einfach darauf verzichten, eine Ausnahme zu beantragen, und somit gegen die Richtlinie verstoßen, ohne dies zu melden. Ausnahmegenehmigungsanträge müssen alle erforderlichen Informationen enthalten, damit die Vorgesetzten den Antrag ordnungsgemäß bearbeiten können und das Unternehmen den Antrag bei Bedarf als Referenz für die Zukunft archivieren kann.
Es ist wichtig, dass unsere Richtlinien im Personalbereich auch Leitlinien und Anleitungen enthalten, die darauf abzielen, die Einstellung von Personen zu vermeiden, die ein Risiko für das Unternehmen darstellen könnten.
VII. Verwaltung von Richtlinien und Ausnahmeanträgen
Anträge auf Ausnahmegenehmigungen können dazu führen, dass das Compliance-Programm überprüft und schließlich angepasst wird. Um jedoch solche Erkenntnisse zu gewinnen, benötigen Compliance-Programme zwei Dinge. Erstens benötigen sie Daten zu den Anträgen auf Ausnahmegenehmigungen; deshalb ist es wichtig, dass der Antrag selbst klare und ausreichende Angaben zum Antragsteller und zum Grund für den Antrag enthält. Zweitens benötigt das Compliance-Programm ein System, um alle Informationen zu erfassen, damit diese analysiert werden können. Wie immer gilt: Je stärker die Datenerfassung automatisiert und vernetzt ist, desto besser.
VIII. Due Diligence
Unredliche Dritte stellen für ein Unternehmen das größte individuelle Risiko dar. Daher ist es unerlässlich, dass Unternehmen eine Due-Diligence-Prüfung von Dritten durchführen. Wie oben erwähnt, muss eine wirksame Due-Diligence-Prüfung risikobasiert sein; die Prozesse müssen den Anforderungen des Unternehmens entsprechen. Andererseits kann der Umsetzungsrahmen auf einer Reihe von Standardschritten basieren, die als Leitfaden für die Erstellung von unternehmensspezifischen Due-Diligence-Workflows dienen können. Die Festlegung und Konkretisierung der Prozesse und Systeme für jedes Unternehmen erfordert eine umfassende Analyse jedes einzelnen Falls in Bezug auf Anbieter, Kunden und sogar Mitarbeiter des Unternehmens, was dem Unternehmen Sicherheit hinsichtlich der zu erfüllenden Sorgfaltspflichten verschafft.
IX. Führen Sie eine interne Bewertung des Risikos durch Dritte durch
Die Beziehung zwischen dem Unternehmen und einem Dritten muss einer Risikobewertung in Form eines internen Fragebogens unterzogen werden, der dem Unternehmen oder Bereich, der die Geschäftsbeziehung initiiert (Initiator), eine Reihe von Fragen zur Beziehung oder „Warnsignale“ vorlegt, die zu weiteren Informationsanfragen führen. Diese Fragen müssen einige Schlüsselbereiche abdecken, die auf ein geringes, mittleres oder hohes Korruptionsrisiko hinweisen, wie beispielsweise die bisherigen Erfahrungen mit dem Dritten; den Zweck der Geschäftsbeziehung; die Interaktion mit Regierungsbeamten; die Art der auszuführenden Tätigkeiten; die Art der Vergütung und die Zahlungsbedingungen; die Art und Weise, wie der Dritte ausgewählt wurde; sowie eine Risikoeinstufung des Landes, in dem der Dritte tätig ist.
In dieser Phase muss ein Dritter anhand einer Internet-Datenbank oder anderer verfügbarer Quellen (Listen sanktionierter Personen, PEPs usw.) überprüft werden, wobei Analysten die Daten auf Fehlalarme hin überprüfen. Auf diese Weise lässt sich genau feststellen, welcher Fragebogen ausgefüllt werden muss, anstatt sich auf eine Risikobewertung zu stützen, die ausschließlich auf den Antworten des Ausfüllenden basiert.
X. Durchführung einer externen Due-Diligence-Prüfung des Dritten
Auf der Grundlage der Ergebnisse des internen Fragebogens und der Hintergrundprüfung muss eine Risikobewertung berechnet werden. Die Risikobewertung eines Dritten bestimmt den Mindestumfang der Sorgfaltsprüfung, die anhand einer Reihe von Fragen im externen Sorgfaltsprüfungsfragebogen durchgeführt werden muss. Im Allgemeinen gilt: Je höher das Risikoniveau, desto gründlicher muss die Recherche sein. Zu den Fragen, die im Standardfragebogen für hohe Risiken enthalten sind, gehören unter anderem die Bedingungen der geplanten Geschäftsbeziehung, Bankdaten und Referenzen, Verbindungen zu Regierungsbeamten, aktuelle und frühere Rechtsstreitigkeiten sowie strafrechtliche Ermittlungen und Strafen.
Es muss ein externer Fragebogen zugewiesen und an den Dritten versandt werden. Sobald dieser Fragebogen ausgefüllt ist, wird die Risikobewertung des Dritten entsprechend seinen Antworten angepasst. Nach Abschluss der Prüfung muss ein Compliance-Beauftragter entscheiden, ob der Dritte zugelassen oder abgelehnt wird. Es muss sichergestellt werden, dass Dritte, die als mittleres oder hohes Risiko eingestuft werden, von einer anderen Abteilung als der Vertriebsabteilung – beispielsweise der Compliance- oder Rechtsabteilung – oder sogar von einer externen Bewertungsstelle geprüft werden, um Interessenkonflikte zu vermeiden.
XI. Nachträgliche Genehmigung durch Dritte.
Je nach ermitteltem Risikograd muss die Rezertifizierung des Drittanbieters automatisch in vordefinierten Zeitabständen geplant werden. Dies kann durch automatisierte Erinnerungen zur Rezertifizierung erfolgen. Ebenso ist es möglich, den Drittanbieter nach seiner Zulassung aufzufordern, die Richtlinien zu unterzeichnen und die entsprechenden Schulungen zu absolvieren. Im Idealfall werden diese Aktivitäten von entsprechenden Benachrichtigungen und/oder Materialien begleitet, die automatisch versendet werden, sobald das Unternehmen als Geschäftspartner gekennzeichnet wurde.
XII. Schulung
Eine gute Schulung muss die Richtlinien und Abläufe widerspiegeln und den Mitarbeitern den Zusammenhang zwischen den Compliance-Zielen, die das Unternehmen erreichen möchte, und den Richtlinien und Systemen verdeutlichen, die das Unternehmen zur Steuerung des täglichen Betriebs einsetzt.
Es ist wichtig, die Zielgruppe zu kennen, da nicht alle Mitarbeiter in gleichem Maße auf alle Schulungen angewiesen sind. Die Häufigkeit, mit der die Schulungsunterlagen versendet werden, muss möglicherweise an das Risikoprofil der verschiedenen Mitarbeitergruppen angepasst werden. Mitarbeiter oder Partner, die in risikoreichen Umgebungen tätig sind, müssen häufiger geschult werden.
Die Wirksamkeit des Schulungsprogramms muss auch im Hinblick auf die angestrebten Ergebnisse bewertet werden. So kann beispielsweise eine höhere Fluktuation unter den Mitarbeitern zu einer höheren Beschwerdequote führen.
Die Schulungen müssen unter anderem folgende Themen behandeln: a) Einhaltung gesetzlicher Vorschriften und Sanktionen; b) allgemeine Leitlinien der nationalen und internationalen Vorschriften in Bezug auf Korruptions- und Bestechungsbekämpfung; c) Vermeidung und Umgang mit Interessenkonflikten; sowie d) Geschäftsethik und Integrität.
Ebenso wird es wichtig sein, die Mitarbeiter regelmäßig hinsichtlich der in der Schulung erworbenen Kenntnisse zu bewerten, da sich daraus konkrete Werte ableiten lassen, die den Lernstand der Mitarbeiter in Bezug auf Korruptionsbekämpfung widerspiegeln, sowie ihre Fähigkeit, korrupte Handlungen zu erkennen.
XIII. Fallmanagement
Der Compliance-Bereich befasst sich mit einer Vielzahl von Themen, und der Compliance-Beauftragte muss mehrere Meldungen, Anfragen und Untersuchungen gleichzeitig bearbeiten. Daher ist ein Fallmanagementsystem im Compliance-Programm unerlässlich, da es ein grundlegendes Instrument darstellt, um nicht nur die Wirksamkeit des Programms, sondern auch die Arbeitsleistung des Compliance-Beauftragten aufrechtzuerhalten.
Jedes Fallbearbeitungssystem muss über ein effektives Meldesystem verfügen, damit die Mitarbeiter Beschwerden einreichen können. Ein naheliegendes Beispiel hierfür ist eine direkte Meldestelle. Ein effizientes Meldesystem ermöglicht es, dass Meldungen über jeden beliebigen Kanal eingehen, und fasst alle Einträge in einem zentralen System zusammen, sodass die Compliance-Beauftragten einen umfassenden Überblick über alle Meldungen erhalten. Es ist sehr wichtig, dass die Meldungen anonym bleiben, damit die Mitarbeiter mehr Vertrauen haben, mutmaßliche korruptionsgefährdende Verhaltensweisen in allen Bereichen des Unternehmens zu melden.
Zudem ist es notwendig, diese Vorwürfe als „hohes Risiko“ oder „geringes Risiko“ einzustufen, um die Schwere des Vorwurfs und die Dringlichkeit der Reaktion zu erfassen. Ein Fallbearbeitungssystem sollte dem Compliance-Beauftragten dabei helfen, diese Unterschiede schnell und korrekt zu analysieren.
Fallmanagementsysteme sollten es den Ermittlern zudem ermöglichen, jedes „auslösende Ereignis“ zu erfassen, das den Fall in eine neue Richtung lenken könnte. Tatsächlich müssen alle Beweise gesammelt und in einer zentralen Akte dokumentiert werden. Im Idealfall sollte das Fallmanagementsystem einen Bericht über die Phasen des Falls, den Verlauf der Maßnahmen und das Ergebnis erstellen. Das Unternehmen muss über eine vollständige Akte des Falls verfügen, die von jeder Behörde eingesehen werden kann, die den Fall nachverfolgen möchte, falls der ursprüngliche Beschwerdeführer die Aufsichtsbehörden einschaltet.
Sobald die erforderlichen Untersuchungen abgeschlossen sind, muss jemand die notwendigen Maßnahmen vorschlagen und diese anschließend umsetzen. Die Einleitung disziplinarischer Maßnahmen auf der Grundlage dieser Empfehlung muss sich nach den am Arbeitsplatz geltenden Richtlinien, den Verfahrensgarantien für die betroffenen Mitarbeiter sowie danach richten, welche Führungskräfte in bestimmten Angelegenheiten Entscheidungsbefugnis haben.
XIV. Berichte und Überwachung
Ein umfassendes Compliance-Programm kann nur dann effizient sein, wenn es auf geeigneten Berichts- und Überwachungssystemen basiert.
Das größte Risiko für Compliance-Beauftragte (und alle Führungskräfte) besteht darin, nicht zu verstehen, was im Unternehmen tatsächlich vor sich geht.
Ein solides Meldesystem muss dem Compliance-Beauftragten einen umfassenden Überblick über die Aktivitäten verschaffen. Ein gutes Compliance-Programm erfasst so viele Daten wie möglich und stellt diese Informationen präzise und aussagekräftig zusammen.
Sobald das Berichtsmaterial erstellt ist, muss es den zuständigen Führungskräften zur Prüfung vorgelegt werden. Sobald dieser Prozess der Datenkonsolidierung etabliert ist, lassen sich die allgemeinen Tendenzen der Compliance-Aktivitäten überwachen und etwaige Mängel erkennen und beheben.
Ebenso kann die Überwachung auf verschiedene Weise erfolgen. Die Herausforderung besteht jedoch darin, die identifizierten Risiken (beispielsweise Risiken durch Dritte), denen das Unternehmen ausgesetzt ist, zu verstehen, die Daten zu verarbeiten, die dieses Risiko beschreiben oder quantifizieren, und diesen Prozess dann so zu erweitern, dass alle Überwachungsdaten einbezogen werden können, sodass das Compliance-Team mehr Zeit mit der Analyse der Daten verbringen kann, anstatt diese erst aufbereiten zu müssen.
Ein klares und ordnungsgemäßes Eskalationssystem ermöglicht die schnelle Meldung von Verstößen. Ein effizientes Eskalationsverfahren leitet die Anliegen gegebenenfalls an den Compliance-Beauftragten und andere Führungskräfte weiter. Mit anderen Worten: Ein effizientes Eskalationsverfahren leitet ein „Risikogeschehen“ (einen Vorwurf wegen Fehlverhaltens, einen besorgniserregenden Datentrend, einen konkreten Vorfall wie beispielsweise eine Datenschutzverletzung) an diejenigen im Unternehmen weiter, deren Aufgabe es ist, auf ein solches Ereignis zu reagieren.
XV. Schlussfolgerung
Wir haben zwei Haftungsrisiken festgestellt, die sich auf die Unternehmen auswirken können, sowie die Art und Weise, wie sie davon betroffen sein könnten; daher muss das Unternehmen heutzutage die geltenden Rechtsvorschriften einhalten und selbst Maßnahmen ergreifen, um Verhaltensweisen zu verhindern und zu mindern, die dem Unternehmen zugerechnet werden könnten. Daher ist es in diesem Zusammenhang wichtig, über interne Kontrollmechanismen in Form von Richtlinien und Verhaltenskodizes zu verfügen.
Wie bereits erwähnt, gibt es kein einheitliches Modell für Compliance-Programme, das für alle Unternehmen gleichermaßen geeignet ist. Es ist wichtig, die wesentlichen Bestandteile eines solchen Programms zu verstehen und jeden Aspekt an die spezifischen Bedürfnisse des Unternehmens anzupassen. Wenn das Compliance-Team eine strategischere Position einnehmen kann, wird es weniger als Kriseninterventionsteam, sondern vielmehr als wichtiger Geschäftspartner wahrgenommen.
Kontakt
Für weitere Informationen zu diesem Thema wenden Sie sich bitte an eines der folgenden Mitglieder der BGBG:
Miguel Gallardo Guerra
Samuel Uziel Rivero Prado
Mario Arturo Preciado Alonso
mpreciado@bgbg.mx
[1]Ministerium für Regierungsangelegenheiten (12. Juli 2017). Programm zum Modell für Unternehmensintegrität [PDF-Datei]. Abgerufen unter https://www.gob.mx/cms/uploads/attachment/file/272749/Modelo_de_Programa_de_Integridad_Empresarial.pdf