Verifizierung von Hinweisen
Hinweisgebersysteme – Der 7-Schritte-Ansatz
- Verifizierung von Hinweisen
- 1. Annahme von Hinweisen
- 2. Erstbewertung
- 3. Plausibilisierung
- 4. Identifikation und Sicherung von Beweisen
- 5. Untersuchung
- 6. Analyse
- 7. Abschlussbericht & Lesson Learned
- Fazit
Verifizierung von Hinweisen
In den letzten Jahren sind durch verschiedene neue Gesetzgebungen die Einrichtung eines Hinweisgebersystems zunehmend wichtiger für Unternehmen geworden. Neben der EU-Hinweisgeberrichtlinie beinhaltet beispielsweise das Lieferkettensorgfaltspflichtengesetz die Einrichtung eines Beschwerdeverfahrens.
Der Umgang mit den im Unternehmen auflaufenden Hinweisen stellt viele vor eine große Herausforderung. Mit diesem Artikel möchten wir Ihnen die Bearbeitung von Hinweisen dahingehend erleichtern, dass wir einen in der Praxis bewährten 7-stufigen Musterprozess abbilden.
Jede Bearbeitung von Hinweisen haben ihre eigenen organisatorischen und rechtlichen Besonderheiten. Dieser Artikel soll Ihnen als Anregung dienen, einen auf Ihr Unternehmen angepassten Prozessdesign zu implementieren.
1. Annahme von Hinweisen
Neben der Einrichtung von verschiedenen Meldekanälen (E-Mail, Telefon, Post, persönliches Gespräch) und der Benennung von den zuständigen Mitarbeitern für die Bearbeitung der Hinweise, ist selbstverständlich auch die Einhaltung der DSGVO und die Vorgaben der EU-Hinweisgeberrichtlinie notwendig.
Unabhängig von der Quelle oder ob ein Hinweis anonym oder unter Nennung des Namens erfolgte, sind alle Hinweise anzunehmen, zu prüfen und nachvollziehbar zu erfassen. Neben einer täglichen Kontrolle, ob Hinweise eingegangen sind, ist eine Eingangsbestätigung an den Hinweisgeber notwendig. Ausgenommen sind von der Eingangsbestätigung lediglich anonyme Hinweise, bei denen keine Bestätigung mangels Kontaktdaten möglich ist, etwa bei anonymen Briefen oder E-Mails. Diese Anforderungen werden beispielsweise von unserem Hinweisgebersystem alle automatisch erfüllt.
In jedem Fall zu vermeiden sind:
- Beschränkungen des Hinweiseingangs
- Den Hinweisgeber zur Offenlegung seiner Identität aufzufordern
- Eine intransparente Kommunikation bzgl. der bereitgestellten Meldekanäle
2. Erstbewertung
Im zweiten Schritt widmet man sich einem Plausibilitätscheck. Sie identifizieren dabei alle in Betracht kommenden Regelverstöße und leiten weitere Schritte – wie beispielsweise die Einbeziehung eines anderen Fachbereiches – ein. Die wesentliche Frage hier ist: Ist der Hinweis so konkret und stichhaltig beschrieben, dass er valide zu sein scheint?
Die Aufarbeitung von Hinweisen, insbesondere dann, wenn es zu einer forensischen Untersuchung kommt, kann aufwändig werden und das ist besonders dann ärgerlich, wenn sich der Hinweis im Nachhinein als schlicht erfunden herausstellt.
Darum sind Systeme gut, die auch ohne Offenlegung der Identität des Hinweisgebers einen Austausch ermöglichen. In unserem Hinweisgebersystem können Sie nicht nur Nachrichten, sondern auch beispielsweise Dateien austauschen, um Hinweise besser einschätzen zu können. Da Hinweisgeber in aller Regel keine Profis für Compliance sind, bedarf es einer Expertise auf der anderen Seite des Bildschirms, die das durch gezieltes Nachfragen ausgleichen kann.
Im Rahmen der Erstbewertung sind zu vermeiden:
- Ein vorschnelles Verwerfen von Hinweisen, weil diese als „abstrus“ oder nicht gerechtfertigt erscheinen
- Vorschnelles Handeln wie eine Vorwegnahme der Einschätzung oder eine nicht abgestimmte Untersuchung
3. Plausibilisierung
Ziel der Plausibilisierung ist es, neutral und objektiv den Sachverhalt zu bewerten. Kommen Sie dabei zu dem Ergebnis, dass sich der Sachverhalt wie im Hinweis geschildert zugetragen haben kann, geht es im nächsten Schritt an die Identifikation und Sicherung von ersten Beweisen. Das kann, je nach geschildertem Sachverhalt, durchaus aufwändig werden. Zur Plausibilisierung bieten sich die bekannten W-Fragen (wer/wie/wann/was/wo) in Kombination mit der Betrachtung der aus dem ersten Schritt identifizierten Regelverstöße an. Was Sie in der Phase der Plausibilisierung unbedingt vermeiden müssen:
- Anfragen an betroffene Personen und insbesondere den Verdächtigen (m/w/d) zu stellen.
- Den Kreis der Personen zu groß zu ziehen, die sich mit dem Vorfall beschäftigen; es gilt das ‚need to know‘-Prinzip, also nur diejenigen, die unbedingt einbezogen werden müssen, sind einzubeziehen.
4. Identifikation und Sicherung von Beweisen
Der Prozessschritt der Identifikation und Sicherung von Beweisen ist elementar für die nachgelagerte Untersuchung. Ziel dieses Prozessschrittes ist es, von Beginn an eine Beweissicherungskette zu etablieren. Wie detailliert die Beweissicherung ausfällt, ist mit davon abhängig, ob es sich beispielsweise um einen internen Verstoß oder eine Straftat handelt. Auch die Eintrittswahrscheinlichkeit von Rechtsstreitigkeiten sollten Sie hier nicht unberücksichtigt lassen.
Nach einer Identifizierung des betroffenen Personenkreises und der wesentlich relevanten Datenquellen wird ein die Datensicherung durchgeführt. Auch hier ist eine nachvollziehbare Dokumentation wichtig und hinsichtlich der Beweissicherungskette oftmals entscheiden für mögliche Folgemaßnahmen.
- Insbesondere Beweissicherung aus IT-Systemen heraus (E-Mails, Dokumente, Datenbankinhalte) sollte Fachleuten vorbehalten bleiben, damit die Beweise gerichtssicher sind.
- Auch in diesem Prozessschritt ist eine Vorwarnung der betroffenen Personen unbedingt zu vermeiden.
5. Untersuchung
Bevor es an die eigentliche Untersuchung des Sachverhaltes geht, ist es unerlässlich, dass der Untersuchungsauftrag eindeutig durch das Top-Management definiert wird. Neben dem Untersuchungsgegenstand werden die Ansprechpartner, die Methoden, die zu berücksichtigenden Datenquellen, ein Zeitplan und die Einbindung von anderen Fachbereichen festgelegt.
Zu den Untersuchungsmethoden zählen die Sicherstellung und Sichtung von physischen und elektronischen Daten, Hintergrundrecherchen und die Führung von Interviews. Prüfen Sie vor Beginn der Untersuchung, ob es eventuell rechtliche Einschränkungen gibt. Diese sollten insbesondere bei ausländischen Beteiligungsgesellschaft nicht unterschätzt werden. Im Rahmen der Untersuchung sollten Sie auf jeden Fall vermeiden:
- Zu exzessiv Daten zu erheben. Dies erhöht den Arbeitsaufwand und verursacht Kosten, wenn ggf. externe Dienstleister dafür in Anspruch genommen werden.
- Sich ohne rechtliche Absicherung beispielsweise Zutritt zu Räumlichkeiten zu verschaffen oder einen Spind zu durchsuchen. Sie machen sich selbst strafbar und die so gewonnenen Beweise sind nicht gerichtsverwertbar.
- Bei der Datenauswertung auch private Daten zu sichten
- Tatverdächtige vor Zeugen zu befragen oder Untersuchungsergebnisse preis zu geben.
6. Analyse
Die durch die Untersuchung erlangten Ergebnisse werden nun analysiert. Ergibt die durchgeführte Untersuchung einen Verstoß gegen gesetzliche Vorschriften, ist unternehmensintern zu klären, ob und in welchem Umfang es geboten ist, diese den Behörden zu melden. Darüber hinaus werden häufig personelle, prozessuale und andere Maßnahmen wie Korrekturen von Gewinn- und Verlustrechnung oder der Bilanz nötig, um fehlerhaft dargestellte Geschäftsvorfälle zu korrigieren. In diesem sehr wichtigen Schritt ist es unbedingt zu vermeiden:
- Das Untersuchungsergebnis von Dritten beeinflussen zu lassen
- Die Abschlussbewertung / Analyse durchzuführen, bevor alle Ergebnisse vorliegen
- Maßnahmen zu ergreifen, ehe die Prüfung abgeschlossen ist
7. Abschlussbericht & Lesson Learned
Zum Ende einer internen Untersuchung steht – auch zur Erfüllung der Dokumentationspflicht – ein Abschlussbericht. Bei einem Bericht, der Strafverfolgungsbehörden übergeben werden soll, empfiehlt es sich, einen forensischen Bericht anzufertigen. Bei allen anderen Compliance-Vorfällen kann der Bericht als Präsentation oder auch als Summary der Untersuchungsergebnisse abgebildet werden.
Empfehlenswert ist, in dem Abschlussbericht eine Analyse der Gründe für den untersuchten Compliance-Vorfall aufzunehmen und entsprechende Empfehlungen auszusprechen, die zukünftig die identifizierten Risiken zur Vermeidung von Verstößen sicherstellen.
Die sich daraus ergebenden Maßnahmen reichen von organisatorischen bis rechtlichen Maßnahmen. Die gewonnenen Erkenntnisse können beispielsweise auch bei Schulungen oder in eine Anpassung der Risiko-Analyse einfließen. Es ist zu vermeiden,
- Keine angemessenen Schlussfolgerungen zu ziehen und damit notwendige Korrekturen auch im internen Kontrollsystem zu unterlassen
- Die Maßnahmenumsetzung nicht zu überwachen und damit sicherzustellen, dass sie auch wirksam sind.
Fazit
Die Bearbeitung von eingehenden Hinweisen stellt an Unternehmen eine nicht zu unterschätzende Herausforderung. Neben der Vielzahl an zu berücksichtigenden rechtlichen Vorgaben bedarf es Fachkompetenz und Fingerspitzengefühl.