Von Stephan Gussmann

«Prävention kostet. Gute Prävention bringt aber ein Vielfaches an Nutzen.»

Fast wöchentlich erreichen uns Meldungen, wonach Unternehmen wegen gesetzwidriger Machenschaften ins Fadenkreuz der Justiz geraten sind. Die Vorwürfe sind unterschiedlich: illegale Preisabsprachen im Baugewerbe und in der internationalen Finanzindustrie, mutmasslicher Subventionsbetrug im Transportwesen, Korruptionshandlungen im Pharma- und Logistikbereich und in der Sportindustrie. Die deliktischen Handlungen finden nicht selten grenzüberschreitend statt.

Die Gründe für diese Fehlverhalten mögen vielseitig sein und von Fall zu Fall variieren. Ein erhöhtes Risiko ist in der Regel dort auszumachen, wo Märkte besonders hart umkämpft sind, es um hohe Investitionen geht und/oder (zu) ambitiöse Zielsetzungen den geschäftlichen Erfolgsdruck steigern. Besondere Herausforderungen stellen sich den Firmen in Ländern, in denen die örtlichen Geschäftspraktiken nicht den ethischen Standards westlicher Länder entsprechen.

Solange diese Risiken einer ständigen Analyse unterzogen und daraus die richtigen Schlussfolgerungen für ein korrektes Verhalten abgeleitet werden, mag die Gefahr eines fehlbaren Verhaltens durchaus geringer sein. Doch finden diese Risikoanalysen denn auch tatsächlich statt? Und wenn ja, fliessen die Erkenntnisse wirklich ins Bewusstsein der operativen Frontabteilungen? Für sehr viel Geld werden Compliance-Programme eingeführt, interne Vorschriften und Richtlinien verfasst, Code-of-Conducts und der Tone-at-the-Top auf der Homepage publiziert. Und doch kommt es mit zunehmender Regelmässigkeit zu gravierenden Vorfällen, welche die Wirksamkeit dieser Massnahmen in Frage stellen.

Die Konsequenzen sind oft gravierend. Die Justiz beschränkt sich nicht mehr „nur“ auf die Verhängung horrender Bussen. Sie zieht vermehrt auch Firmenangestellte und Geschäftsleitungsmitglieder zur Rechenschaft und spricht durchaus auch empfindliche Gefängnisstrafen aus. Gerade im Ausland gibt es dafür bekannte Beispiele. Daneben haben die fehlbaren Firmen enorme Ermittlungs- und Aufarbeitungskosten zu tragen, Gewinnrückzahlungen zu leisten und möglicherweise sogar den Ausschluss von Märkten zu gewärtigen, was in der Summe sogar die verhängten Bussen übertreffen kann. Hinzu kommen, je nach Fall, Monitorkosten und Sammelklagen von betrogenen Geschäftspartnern, Kunden etc. und über alledem steht ein erheblicher Reputationsschaden. Für Anwälte und Berater, zu denen ich zähle, sicher gut fürs Geschäft. Für die Unternehmung ist es allerdings frustrierend, möglicherweise sogar existenzgefährdend.

Klar führen gerade die internen Compliance-Massnahmen, wie etwa die Einführung einer Whistleblower Hotline, zur Entdeckung von Fehlverhalten. Und sicher hat mancherorts auch die Einführung neuer Gesetze und Vorschriften  wesentlich dazu beigetragen, dass die Behörden heute grundsätzlich bestimmter auftreten und enger und effizienter zusammenarbeiten als noch vor einigen Jahren. All dies wirkt sich natürlich auf die Fallstatistiken aus. Das darf indes nicht darüber hinweg täuschen, dass tatsächlich widerrechtliche Handlungen begangen wurden, die erst durch den Whistleblower oder die Behörden ans Licht kamen.

Was könnte man tun? Sehr Vieles wäre die Antwort.

Leider darf man heute als Berater den Begriff „Prävention“ gegenüber dem Kunden kaum mehr verwenden. Man setzt sich leicht dem Verdacht aus, bewusst Ängste zu schüren, um zusätzliche Mandate zu generieren. Ich verwende ihn trotzdem, denn je besser man sich den Risiken stellt, desto geringer ist deren Eintretenswahrscheinlichkeit. „Hope for the best, prepare for the worst!” Dies, in einem Satz, ist echte Prävention.

Jede Verbesserung präventiver Compliance-Massnahmen sollte auf einer Schwachstellenanalyse basieren. Vertrauen ist gut, Kontrolle ist besser. Diese sollte regelmässig durchgeführt werden und vor Ort stattfinden. Das setzt lokale Kenntnisse voraus. Sie braucht nicht kompliziert aufgesetzt zu sein und sollte sich auf die praktische Überprüfung der Gesetzeskonformität von Geschäftsabläufen und -prozessen sowie auf die Umsetzung der Compliance-Vorschriften konzentrieren. Die besten Vorschriften und Bekenntnisse nützen wenig, wenn sie nicht bekannt sind und nicht (vor-)gelebt werden. Und es braucht die Bereitschaft zur Selbstkritik. Es ist immer wieder erstaunlich, welche Ergebnisse solche gezielten Analysen ermöglichen und wie sich die Schwachstellen anschliessend mit einfachen Mitteln beheben lassen. Selbstredend, dass sich damit die Risiken reduzieren. Viele Fälle hätten sich so verhindern lassen.

Aus naheliegenden Gründen sollte die Analyse von unabhängiger Seite durchgeführt werden. Die Kosten dürfen dabei nicht matchentscheidend sein. Wenn sich erst einmal die Justiz einschaltet und das Fehlverhalten publik wird, dann kann es schnell ein Vielfaches kosten.

Autor: Stephan Gussmann

Stephan Gussmann ist Inhaber der Firma RCS Risk & Compliance Services, welche Compliance- und Sicherheitsdienstleistungen erbringt. Zuvor leitete er als Jurist in führenden Managementpositionen sowohl bei Strafverfolgungs- und Sicherheitsbehörden als auch bei bedeutenden Grosskonzernen komplexe Ermittlungen. Er ist zudem ein „Certified Anti-Corruption Auditor.“ Sein Jura-Studium absolvierte er an der Universität St.Gallen.