Korruption kann in allen Bereichen eines Unternehmens vorkommen. Die Erfahrungen zeigen aber, dass insbesondere Einsatzbereiche mit Außenkontakten gefährdet sind, d. h. solche Bereiche, die z. B.:

• Aufträge vergeben
• über Genehmigungen etc. entscheiden
• Zuschüsse verteilen
• Kontrolltätigkeiten ausüben

Der Ombudsmann rechnet sein Tätigwerden üblicherweise im Rahmen eines Stundenhonorars ab. Je nach Umfang und konkreter Ausgestaltung seiner Tätigkeit wird für Einrichtung und Erhaltung der notwendigen Kommunikationsmöglichkeiten eine monatliche Pauschale vereinbart. Im Übrigen verursacht der Einsatz eines Ombudsmannes nur dann Kosten, wenn er tatsächlich in Anspruch genommen wird. Für Hinweisgeber entstehen keine Kosten.

Die Kommunikationswege müssen möglichst offen gestaltet werden. Jeder, der den Verdacht einer Korruption beim Unternehmen mitteilen will, kann sich daher an den Ombudsmann wenden. Es spielt keine Rolle, ob dies Mitarbeiter oder Leiter von Geschäftspartnern oder Mitarbeiter des Unternehmens selbst sind. Es ist auch gleichgültig, ob die Person selbst betroffen ist oder sich sogar selbst nicht korrekt verhalten hat. Ist dies der Fall, kann sich die Person mit dem Ombudsmann über den “Ausstieg” beraten.

Ja, solche Regeln sind sinnvoll, denn die Grauzone zwischen „kleiner Gefälligkeit“ und Korruption ist nicht einfach zu bestimmen, die Übergänge sind fließend. Nicht bei jeder Gewährung von Vorteilen muss es zu einer Gegenleistung kommen. Problematisch ist insbesondere das so genannte „Anfüttern“, d. h. die Gewährung kleinerer Geschenke – ohne dass dafür eine konkrete Gegenleistung gefordert wird – über einen längeren Zeitraum, die zur Abhängigkeit führen können. Ein Verhaltenskodex zur Annahme von Geschenken und sonstigen Vorteilen schützt daher auch die Mitarbeiterinnen und Mitarbeiter des Unternehmens und gibt ihnen die notwendige Sicherheit im alltäglichen Umgang mit derartigen Problemen.

Je nach Art, Umfang und Inhalt des Verhaltenskodex ist zu prüfen, unter welchen arbeitsrechtlichen Voraussetzungen die Einführung im Unternehmen möglich ist.

§ 91 Abs. 2 AktG enthält selbst keine weiteren Voraussetzungen für ein angemessenes Risikomanagement. In den Standards des Deutschen Instituts für Interne Revision e. V. (IIR-Revisionsstandards Nr. 2) heißt es:

„Risikomanagement ist ein nachvollziehbares, alle Unternehmensaktivitäten umfassendes Regelungssystem, das auf Basis einer definierten Risikostrategie ein systematisches und permanentes Vorgehen mit folgenden Elementen umfasst: Identifikation, Analyse, Bewertung, Steuerung, Dokumentation und Kommunikation sowie die Überwachung dieser Aktivitäten. Risikomanagement ist integraler Bestandteil der Geschäftsprozesse sowie der Planungs- und Kontrollprozesse.“

Potenzielle Risiken, die die Vermögens-, Finanz- und Ertragslage eines Unternehmens mittel- und langfristig gefährden könnten, werden mit Hilfe des Risikomanagements identifiziert, analysiert, bewertet und gesteuert.

Die wesentlichen Elemente des Risikomanagements werden in einem Risikohandbuch beschrieben, das u. a. Aussagen zu den Zielen des Risikomanagementsystems, Begriffsdefinitionen, die wesentlichen Risikofaktoren des Unternehmens und die Methoden des Risikomanagements enthält.

Corporate Governance wird meist mit „Unternehmensverfassung“ übersetzt. Hierunter versteht man den rechtlichen und tatsächlichen Rahmen für die Leitung und Überwachung eines Unternehmens. Es geht aber nicht allein um Führungsaufgaben des Managements, sondern allgemein um die Gesamtheit aller Werte und Grundsätze für eine gute und verantwortungsvolle Unternehmensführung, die sowohl für die Mitarbeiter als auch für die Unternehmensführung gelten. Corporate Governance ist zudem nach außen gerichtet und beschreibt das Verhältnis zu den relevanten Bezugsgruppen des Unternehmens, den Shareholdern und Stakeholdern.

Das KonTraG ist das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich. Es ist am 1. Mai 1998 in Kraft getreten und verpflichtet den Vorstand, für ein angemessenes Risikomanagement zu sorgen. Gemäß § 91 Abs. 2 Aktiengesetz (AktG) hat

“der Vorstand geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten …, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden”.

§ 91 Abs. 2 AktG gilt nicht nur für Aktiengesellschaften. Für andere Gesellschaftsformen fehlen zwar ausdrückliche Regelungen. Dennoch gelten auf Grund der Ausstrahlungswirkung des Aktiengesetzes vergleichbare Pflichten auch für sie. Insbesondere der Geschäftsführer einer GmbH muss ein solches Überwachungssystem einrichten.

Werden diese Pflichten verletzt, so drohen einerseits strafrechtliche Folgen (so können Bußgelder gegen das Unternehmen, aber auch Vorstand oder Geschäftsführung verhängt werden), andererseits aber auch die zivilrechtliche Inanspruchnahme für entstandene Schäden.

Risikomanagement ist ein permanenter Prozess. Das kontinuierlich zu verfolgende Ziel ist, das Unternehmen in die Lage zu versetzen, frühzeitig den Fortbestand der Gesellschaft gefährdende Entwicklungen (§ 91 Abs. 2 AktG) zu erkennen.

Risikomanagement ist zudem ein komplexer Prozess, der nachfolgend nur in seinen Grundzügen dargestellt werden kann:

Wirksames Risikomanagement setzt eine klare Unternehmenspolitik voraus. Es muss von der Unternehmensleitung als Teil der Corporate Governance gesehen werden. Sofern noch erforderlich, muss ein entsprechender Beschluss der Unternehmensleitung zur Einrichtung und laufenden Anwendung eines Risikomanagementsystems gefasst werden.

Ausgangspunkt ist sodann eine Bestandsaufnahme und Erfassung der unternehmensspezifischen Risiken (Risiko- und Schwachstellenanalyse) durch z. B. Besichtigungen, Gesprächen mit Mitarbeitern, Analyse von Schadensfällen etc. Untersuchungsgegenstand sind sowohl das Kerngeschäft als auch alle hierfür erforderlichen Unterstützungsprozesse.

Anschließend erfolgt eine Bewertung der festgestellten Risiken. Diese orientiert sich i. d. R. an der Höhe der möglichen Schäden und der Eintrittswahrscheinlichkeit. Nicht unmittelbar bezifferbare mögliche Schäden (insbesondere Imageverlust) werden qualitativ eingeschätzt.

Die so gewonnenen Erkenntnisse werden in Maßnahmen der Risikosteuerung umgesetzt, z. B. die Einführung von Funktionstrennungen, die Vereinfachung von Meldewegen oder die Begrenzung von Kompetenzen. Sind bestimmte Risiken besser versicherbar? Können Haftungsrisiken durch Regelungen in Allgemeinen Geschäftsbedingungen abbedungen oder jedenfalls reduziert werden?

Neben solchen Maßnahmen zur Verringerung der Wahrscheinlichkeit des Eintritts von Schäden bedarf es der Erstellung von Notfallplänen, die den Umgang mit sich anbahnenden oder bereits eingetretenen Schäden regeln.

Sämtliche Maßnahmen sind schließlich permanent zu hinterfragen und auf Angemessenheit und Wirksamkeit hin zu überprüfen.