Der "Klassiker der Compliance-Literatur" ist nun in einer dritten, überarbeiteten und erweiterten Auflage erschienen und hat dabei eine Reihe tiefgreifender Veränderungen erfahren. Die augenscheinlichste Veränderung ist direkt auf dem Cover zu erkennen: Zwei weitere Herausgeber sind hinzugekommen. Neben Christoph E. Hauschka prägen und repräsentieren die renommierten Compliance-Experten Klaus Moosmayer und Thomas Lösler das Standardwerk. Außerdem haben – ergänzend zu den 49 Autoren der zweiten Auflage – weitere 24 Autoren neue und aktualisierte und ergänzte Themen beigesteuert.
Bei der Lektüre des Inhaltsverzeichnisses fällt einem eine weitere Neuigkeit gegenüber der Vorauflage auf. Die Gliederung des Werkes folgt nun überwiegend dem Aufbau des Prüfungsstandards IDW PS 980 zur Prüfung von Compliance Management Systemen des IDW (Instituts der Wirtschaftsprüfer e. V.). Der im April 2011 veröffentlichte Prüfungsstandard konkretisiert die Anforderungen an ein allgemein anerkanntes Compliance-Management-System. Im IDW PS 980 werden insgesamt sieben Grundelemente eines CMS benannt: 1. Compliance-Kultur, 2. Compliance-Ziele, 3. Compliance-Organisation, 4. Compliance-Risiken, 5. Compliance-Programm, 6. Compliance-Kommunikation, 7. Compliance-Überwachung und Verbesserung.
Die Neuauflage ist wieder auf dem aktuellsten Stand von Rechtsprechung, Gesetzgebung und Literatur. Sie wurde um zahlreiche neue Beiträge, u.a. zur Compliance-Kultur und den -Zielen, zur Geldwäsche, Third Party Compliance, zu Neuen Medien, zum Ombudsmann und zum Compliance Monitor erweitert. Es sind zudem mehrere Beiträge im Bereich der branchenspezifischen Compliance hinzugekommen (in Verbänden, in der öffentlichen Verwaltung, im Messebereich sowie zu Lebensmittel- und Bedarfsgegenständen). Namhafte neue Autoren konnten gewonnen werden.
Ausgehend von dem Begriff "Corporate Governance", der den Ordnungsrahmen für die Leitung und Überwachung eines Unternehmens bezeichnet, wird im einführenden Kapitel der Begriff "Corporate Compliance" zunächst auf die Einhaltung, Befolgung, Übereinstimmung bestimmter Gebote begrenzt. Es wird darauf hingewiesen, dass Compliance zunächst nur verlangt, dass sich Unternehmen und Organe im Einklang mit dem geltenden Recht bewegen müssen. Bei Kapitalgesellschaften nach deutschem Recht (Gesellschaft mit beschränkter Haftung, Aktiengesellschaft, Kommanditgesellschaft auf Aktien) ist diese Verpflichtung bereits Ausfluss der allgemeinen Sorgfaltspflicht der jeweils für die Geschäftsführung verantwortlichen Manager, wonach diese alles zu tun beziehungsweise zu unterlassen haben, um Schaden von der Gesellschaft abzuwenden.
Das Ziel einer adäquaten Compliance-Organisation beinhaltet neben der Einhaltung gesetzlicher Normen jedoch auch unternehmensdefinierte Vorgaben (etwa einen "Code of Conduct"), um dadurch Haftungsansprüche oder andere Rechtsnachteile für das Unternehmen, seine Organe und Mitarbeiter zu reduzieren beziehungsweise zu vermeiden. Die Zielsetzung der Haftungsverschärfung – insbesondere resultierend aus dem anglo-amerikanischen Rechtsraum und vor dem Hintergrund diverser spektakulärer Unternehmenszusammenbrüche – verpflichtet die Unternehmen, Risikoprävention und Risikoüberwachungs- bzw. Frühwarnsysteme einzuführen.
Daher referenzieren die Herausgeber auf die Definition von Compliance aus dem Deutschen Corporate Governance Kodex: "Der Vorstand hat für die Einhaltung gesetzlicher Bestimmungen und der unternehmensinternen Richtlinien zu sorgen und wirkt auf deren Beachtung durch die Konzernunternehmen hin (Compliance)." Der Unterschied zu Corporate Governance liegt vor allem in der Perspektive. Während Corporate Governance die Sichtweise der "Regulierer" prägt, umschreibt Compliance den Blickwinkel der "Regulierten", das heißt der betroffenen Unternehmen.
Compliance verlangt daher folgerichtig die Einrichtung eines adäquaten Risikomanagements. Hauschka weist – wie bereits in den Vorauflagen des Handbuchs – in dem Kontext darauf hin, dass zwischen Compliance-Risiken und anderen Unternehmensrisiken kein prinzipieller Unterschied besteht. Corporate Compliance stellt haftungsrechtlich die Verknüpfung zum Risikomanagement her.
Corporate Compliance ist jedoch nicht ausschließlich vor dem Hintergrund der Haftungsvermeidung und Risikoreduzierung beziehungsweise -vermeidung zu betrachten. Vielmehr schafft Corporate Compliance die Möglichkeit einer Steigerung der Wettbewerbsfähigkeit des Unternehmens sowie eine Verbesserung des Unternehmensratings. Corporate Compliance kann daher – analog zum Risikomanagement – als eine wesentliche Säule einer wertorientierten Unternehmenssteuerung betrachtet werden. Daher sollte die Angst vor einer Transformation der vom Gesetzgeber aufoktroyierten Überregulierung in das Innenleben des Unternehmens unbegründet sein. Vielmehr führt eine professionelle Compliance-Organisation dazu, dass das Recht weitgehend "unsichtbar" wird und den Entscheidungsträgern eine volle Konzentration auf das operative Tagesgeschäft ermöglicht.
Das Werk – an dem in der überarbeiteten und dritten Auflage insgesamt 73 Autoren mitgewirkt haben – gliedert sich weiterhin in drei große Themenblöcke. Der erste Block befasst sich mit den Grundlagen, also der generellen Unternehmensorganisation und den rechtlichen Rahmenbedingungen. Hier findet sich das unverzichtbare Basiswissen: Allgemeine Frage, wie beispielsweise die Ziele und die Instrumente einer Compliance-Organisation, zivil- und strafrechtliche Aufsichtspflichten, Delegationsmöglichkeiten bei Organpflichten oder gesellschaftsrechtliche Problemen, werden aufgeworfen und im Detail analysiert. Der anschließende zweite Themenblock beschreibt die Grundelemente eines Compliance-Management-Systems und orientiert sich an den – bereits oben aufgeführten – sieben Strukturelementen des Standards IDW PS 980. Der abschließende dritte Themenblock befasst sich mit Branchenspezifika, etwa der branchenabhängigen Compliance-Organisation im Banken- und Wertpapierdienstleitungsbereich, in der Versicherungswirtschaft, in der Pharma- und der Chemie-Industrie oder der Abfallwirtschaft. Besonderheiten des e-commerce werden hier ebenso abgehandelt wie Gefahren der illegalen Beschäftigung am Bau. Gerade im dritten Block bleibt es nicht aus, dass die branchenspezifischen Fragestellungen eher an der Oberfläche behandelt werden. Selbstverständlich kann es nicht das Ziel des Handbuchs sein beispielsweise die besonderen Aspekte der Regulierung in der Banken- und Versicherungsbranche zu beschreiben.
Die drei Schwerpunktkapitel zum Risikomanagement (§§ 14 bis 16) werden den Risikomanagement-oder auch Compliance-Praktiker wohl eher nur sehr eingeschränkt überzeugen, da sich alle Texte auf einer theoretischen bis wenig praktikablen Ebene bewegen. Was soll der Praktiker mit der folgenden – doch eher trivialen Aussage – anfangen: "Die Zahl der Teilnehmer sollte eine bestimmte Obergrenze nicht überschreiten, andernfalls wird der Workshop ineffektiv und ineffizient." (S. 427) Außer einem Risiko-Workshop und einer Risikomatrix (die methodisch kritisch bewertet werden kann) werden keine Methoden zur Identifizierung und Bewertung von Risiken genannt, obwohl die Werkzeugkiste des (Compliance-)Risikomanagers prall mit analytischen Verfahren und Kreativitätsmethoden gefüllt sein sollte. Leider wird von vielen "Experten" immer noch nicht verstanden, dass (auch) Compliance-Risiken nicht mit einer Binomialverteilung – also einer Kombination von Eintrittswahrscheinlichkeit und Schadensausmaß – bewertet werden können (siehe Seite 432). Ein sinnvoller Weg, um ein Compliance-Risiko zu bewerten, wäre beispielsweise die Quantifizierung mit Hilfe einer Compoundfunktion. Hierbei erfolgt neben der Schätzung einer erwarteten Häufigkeit die Quantifizierung über eine stetige Szenarioverteilung (worst case, realistic case, best case).
Unverständlich ist, warum die Autoren auf das im Bereich Compliance-Risikomanagement wichtige Thema Risikoaggregation komplett verzichtet haben. Compliance-Risiken sind in der Praxis hochgradig komplex mit anderen Risiken durch vielfältige Ursache-Wirkungsbeziehungen verknüpft (siehe beispielsweise Reputationsrisiken oder strategische Risiken). Diese Abhängigkeiten werden bei der Risikoaggregation berücksichtigt. Als Ergebnis liefert die Risikoaggregation (über die Sensitivitätsanalyse) unter anderem eine Reihenfolge der wesentlichen Compliance-Risiken, die anschließend hinsichtlich Maßnahmen priorisiert werden können.
Das fast 2.000 Seiten starke Handbuch stellt hohe Anforderungen an die Leser, die über eine adäquate juristische Basisausbildung verfügen sollten. Alles in allem keine leichte Kost, die einen entspannten Abend garantiert. Die Stärke des Handbuchs liegt in der Breite und adäquaten Tiefe, in der das Thema "Corporate Compliance" dargestellt wird. Bei allen Risikomanagement-Themen fehlt leider der methodische Tiefgang. Hier hätte ein Blick auf die etablierten Werkzeuge des Risikomanagements einen echten Mehrwert für das Handbuch geliefert.
Fazit: Das von Hauschka, Moosmayer und Lösler herausgegebene Standardwerk kann aufgrund der Darstellungstiefe, der Aktualität und Relevanz des Themas nicht nur dem "Compliance-Officer" und "Chief Risk Officer" beziehungsweise Leiter Risk Management uneingeschränkt empfohlen werden. Vielmehr gehört es auf den Schreibtisch aller Führungskräfte in den Bereichen Einkauf, Vertrieb, Presse- und Öffentlichkeitsarbeit, Informationstechnologie, Revision und Personal, die sich mit Compliance-Themen beschäftigen.