Harvard Law hebt eine Grundsatzentscheidung des Delaware Chancery Court hervor, die vor etwa 25 Jahren gefällt wurde. Diese hatte großen Einfluss darauf, dass ein Vorstand treuhänderisch dazu verpflichtet ist, ein wirksames Corporate-Compliance-Programm einzurichten. Der Vorstand muss auch die Aufsicht über das Programm führen und über dessen Inhalt und Funktionsweise auf dem Laufenden bleiben.

Wie aber können Vorstände die Compliance-Programme der Organisation im Blick behalten, wenn sie mit wachsenden Risiken wie Cybersicherheit, Unternehmenskultur und sozialer Verantwortung konfrontiert sind? Wie können sie sicherstellen, dass Compliance-Verstöße oder Skandale rasch abgemildert und entsprechende Korrekturmaßnahmen ergriffen werden?

Die Verantwortung für Risiken delegieren, jedoch einen praktischen Ansatz beibehalten

Selbstverständlich ist der Vorstand nicht der direkte „Eigner“ der möglichen Risiken, jedoch gehört die Risikoüberwachung zu seinen wichtigsten Aufgaben. Laut dem kürzlich erschienenen Deloitte Board Practices Report ist das Delegieren der Verantwortung für Risiken durch den Vorstand eine übliche Unternehmenspraxis. Obwohl Vorstände diese Verantwortung also weitergeben, ist es unerlässlich, dass sie einen praktischen Ansatz beibehalten. Wird dies versäumt, ist sowohl der Vorstand als auch die Organisation potenziellen Ungenauigkeiten und Inkonsistenzen im Management und der Berichterstattung über bestehende Risiken ausgesetzt. Dies macht den Vorstand verwundbar für Compliance-Verstöße, mögliche Bußgelder und schlimmstenfalls für organisatorische Fehler.

Wie können Vorstände also die Forderung nach dem Delegieren der Risiken mit der Notwendigkeit, die Aufsicht angemessen zu gewährleisten, miteinander in Einklang bringen? Dies lässt sich mithilfe folgender Aspekte erreichen:

• Eindeutige Ergebnisse im Hinblick auf das Risikomanagement ausarbeiten und kommunizieren
• Gemeinsame Methodik und Instrumente für die regelmäßige Berichterstattung über das Risikomanagement einführen
• Weiterbildung sowohl für Mitarbeiter als auch den Vorstand, um in Sachen Risiken und Compliance auf dem Laufenden zu bleiben
• Ausschüsse oder einzelne Risikoeigner mit regelmäßiger Berichterstattung über bestehende Risiken bei Vorstandssitzungen beauftragen
• Die wirklich schwierigen Fragen tatsächlich stellen.

Notwendigkeit einer konsistenten und zugänglichen Berichterstattung über Corporate Compliance in Echtzeit

Wenn verschiedene Ausschüsse oder Einzelpersonen mit der Überwachung von Teilen eines gesamten Compliance-Programms des Unternehmens betraut werden, müssen die Vorstände ebenfalls eine konsistente und klare Art der Kommunikation festlegen.

Dies sollte derart erfolgen, dass dem Vorstand Folgendes möglich ist:

• Zugriff auf Echtzeit-Berichte und Metriken
• Einheitlichkeit bei Layout, Darstellung der Metriken und beim Stil der Berichterstellung
• Unmittelbare Verständlichkeit der Informationen durch die Möglichkeit, zusätzliche Kommentare einzufügen
• Bereitstellen von Nachweisen, dass die Risiken von den beauftragten Personen oder Ausschüssen überwacht und verwaltet werden
• Anzeigen von Detailinformationen zu Ergebnissen, Kontrollen oder Risiken, wenn einzelne Sachverhalte genauer betrachtet werden müssen.

An diesem Punkt kann eine einzige, einheitliche Software-Plattform wie HighBond einen Mehrwert schaffen. Sind die Mitarbeiter zugeordnet und die Prozesse definiert, besteht die Aufgabe darin, die verschiedenen Teams oder Ausschüsse miteinander zu verbinden und die Risikokennzahlen in einer zentralen Anlaufstelle für das Reporting zusammenzuführen. HighBond ermöglicht die Erstellung eines „Storyboards“ auf Vorstandsebene, das sowohl Risiken als auch Chancen beleuchtet und es den Vorstandsmitgliedern und dem Management ermöglicht, Details zu Ausreißern zu beleuchten und so herauszufinden, was sich hinter diesen verbirgt. Auf diese Weise wird die Compliance-Haltung des Unternehmens schnell kommuniziert und ist leicht verständlich.

Wenn Probleme auftreten, ist der Vorstand auch dafür verantwortlich, dass diese Fragen gründlich und unabhängig untersucht werden. In der Lage zu sein, ein bestimmtes Thema unmittelbar aufzurufen und Detailinformationen zu erhalten, ist also entscheidend.

Kontrollmechanismen einführen statt „nur“ mit gutem Beispiel vorangehen

Die Welt entwickelt sich ständig weiter, ebenso wie die auftretenden Geschäftsrisiken und die Art und Weise, wie Vorstände ihnen begegnen müssen. Die American Bar Association hat kürzlich empfohlen, dass Vorstände nicht mehr einfach nur mit gutem Beispiel vorangehen, sondern stattdessen auf Kontrollmechanismen setzen sollten.

Die Vereinigung argumentiert, dass „ein substanzielles System von Kontrolle und Gegenkontrolle die Rollen, Verantwortlichkeiten und Beziehungen zwischen den Schlüsselelementen und Akteuren in den Führungs-, Kontroll- und Aufsichtsgremien eines Unternehmens berücksichtigt.“ Wie sich bereits in einer Reihe von Fällen gezeigt hat, führt ein Mangel an effektiver Aufsicht zu Situationen, in denen Fehlverhalten begünstigt wird. Führungskräfte können das Gefühl haben, dass sie tun könnten, was ihnen beliebt. Im Januar 2020 gab es bei Google für das Stichwort „Fehlverhalten von CEOs“ ca. eine Million Suchergebnisse – alles wahre Geschichten über das Scheitern des Prinzips „Mit gutem Beispiel vorangehen“, darunter Smith & Wesson, Best Buy und Nissan, um nur einige zu nennen.

Bei der Einführung und Umsetzung von Kontrollmechanismen sollten Vorstände die Initiative ergreifen. Es handelt sich hierbei nicht um einen Publikumssport. Effektives Delegieren des Risikomanagements bei gleichzeitiger regelmäßiger Berichterstattung über bestehende Risiken sind greifbare, klar definierte Aktivitäten, die einen Einfluss haben auf das weitaus weniger verbindliche Prinzip des „Vorangehens mit gutem Beispiel“.

Drei Schritte für Vorstände

Mit den folgenden drei praktischen Maßnahmen können Aufsichtsgremien das Compliance-Programm eines Unternehmens in den Griff bekommen:

• Die Verantwortung für Risiken delegieren, jedoch einen praktischen Ansatz beibehalten
• Eine konsistente und zugängliche Berichterstattung in Echtzeit fordern
• Kontrollmechanismen einführen statt „nur“ mit gutem Beispiel vorangehen

Mit dem Umsetzen dieser Schritte – in Abstimmung mit der IT-Abteilung – erhalten Vorstände die relevanten Informationen für das Überprüfen, Identifizieren und Nachverfolgen von Problemen, bevor diese ernsthafte Schwierigkeiten nach sich ziehen. Dies trägt auch dazu bei, einen offenen und effektiven Dialog darüber zu führen, wie die Organisation mit Risiken umgeht und eine tiefere Ebene der Rechenschaftspflicht für alle Risikoeigner schafft.

Wenn in Ihrer Organisation die Mitarbeiter und Prozesse eingerichtet sind, liegt der nächste logische Schritt in der Einführung der entsprechenden Software. An diesem Punkt kommen wir ins Spiel. Erfahren Sie mehr über unsere ComplianceBond-Lösung.