Wie wir werten

Ein wichtiges Dokument ist der unternehmenseigene Verhaltenskodex. Er enthält Vorschriften für die Mitarbeiter des Unternehmens und dokumentiert nach außen, welche Erwartungshaltung das Unternehmen an seine Mitarbeiter stellt. Folgendes haben wir überprüft:

Werden die wichtigen Themen abgedeckt (zumindest angesprochen), also u.a. Regeltreue, wettbewerbskonformes Verhalten, Korruptionsvermeidung (einschließlich Regelungen zu Geschenken, Spenden), vollständige Dokumentation von Geschäftsvorfällen, Vermeidung von Interessenskonflikten, Umgang mit Geschäftspartnern, Schutz des Unternehmensvermögens, Datenschutz, Insiderregeln, Geldwäsche, Handelskontrollen, einschließlich Corporate Social Responsibility Zielen?

Wie umfangreich ist der Code of Conduct, wie alt, wer verantwortet ihn, gibt es einen tone from the top? Ist er in weitere (internationale) Richtlinien eingebettet? Wie bestimmt sind die Vorgaben, wie verständlich? Schließlich wird auch die Implementierung des Code of Conduct im Unternehmen angeschaut, die Durchführung von Schulungen, das Hinweissystem (Whistleblower), die Aufklärung von Verstößen, Sanktionen bei Verletzungen, regelmäßige Kontrolle der Einhaltung u.v.a.

Börsennotierte Gesellschaften müssen gem. § 161 AktG jährlich erklären, dass den Empfehlungen der „Regierungskommission Deutscher Corporate Governance Kodex" entsprochen wurde, welche Empfehlungen nicht angewendet wurden bzw. werden und warum nicht. Wir haben daraus die für Compliance relevanten Punkte ausgewählt und nur Abweichungen mit Punktabzügen bewertet. Allerdings kann eine gut begründete Abweichung dazu führen, dass weniger oder gar kein Punkt abgezogen wird.

Das „Herzstück" der Transparenz-Prüfung ist das CMS. In dieser Kategorie schauen sich die Jurymitglieder die Ausgestaltung des CMS an und wie die Unternehmen ihre Compliance nach außen hin darstellen. Hat das Unternehmen Compliance-Ziele formuliert und erscheinen diese im Vergleich zur Risikolage angemessen?

Wird die Compliance Risikoanalyse regelmäßig erneuert? Was ist dazu zu erfahren? Welche Rollen, Strukturen, Befugnisse und Zuständigkeiten weist die Compliance-Organisation zu? Gibt es einen Chief Compliance Officer, was erfahren wir über ihn und berichtet er direkt an den Vorstand? Wird die Wirksamkeit von Compliance-Maßnahmen überwacht und regelmäßig überprüft?

Sind einzelne Maßnahmen der Bewertung und Kontrolle von Risiken aufeinander abgestimmt, etwa durch ein internes Risikomanagement (§ 91 Abs. 2 AktG), Compliance-Risikoanalyse, Internes Kontrollsystem, Aufgaben der Innenrevision?

In den letzten Jahren ist die Lieferkette von Unternehmen ins Blickfeld geraten, einmal durch die kritische Öffentlichkeit, zum anderen auch durch die Gesetzgebung und Rechtsprechung. Ein Unternehmen, das hohe Maßstäbe an Lieferanten anlegt und die Einhaltung dieser Vorgaben durchsetzt und überprüft, vermindert damit das Risiko, Teil eines Lieferantenskandals zu werden. Es hat dann auch allen Grund, den Reifegrad seines Lieferantenkodex nach außen zu dokumentieren. In die Bewertung der Jury flossen folgende Fragen ein: Wie aktuell ist der Lieferantenkodex, basiert er auf internationalen Richtlinien wie dem UN Global Compact etc.? Welche Themen werden abgedeckt, ist er in verschiedenen Sprachen verfügbar? Wie bestimmt sind die Vorgaben? Welche Überwachungsmaßnahmen werden praktiziert? Gibt es ein Whistleblower Hinweissystem? Wie sehen die Vorgaben für Sublieferanten aus? Welche Konsequenzen im Falle eines Verstoßes zieht das Unternehmen?

Fünftens bewerten wir, wie offen und transparent die Unternehmen im Umgang mit eigenen Problemfällen sind. Ausgehend von den Themen, mit denen Unternehmen in der öffentlichen Kritik stehen oder leicht stehen könnten, haben wir untersucht, ob und wie die Unternehmen dazu Stellung beziehen. Was erfährt der Investor auf den Unternehmens-Homepages über diese Risiken (Auffindbarkeit, Verständlichkeit etc.) und erscheinen die Stellungnahmen darüber angemessen? Wie geht das Unternehmen mit seinen Hotspot-Themen um?

Als letzte Kategorie beschäftigen wir uns mit der Darstellung der Compliance-Risiken der Unternehmen im Risikobericht. In dieser Kategorie betrachten wir drei Aspekte: Werden Compliance-Risiken allgemein angegeben? Wurde das allgemeine Risiko eines Compliance-Verstoßes bewertet? Werden Einzelrisiken aufgelistet?