Compliance Management-Systeme

© Fotolia / sdecoret

Gesetzliche Grundlage und Bedeutung 

Die Einhaltung von Gesetzen, Richtlinien, Verordnungen, vertraglichen Pflichten und unternehmensinternen Leitlinien ist neben der Verfolgung von Good Practice-Standards von besonderer Bedeutung für einen nachhaltigen Unternehmenserfolg. Compliance als integraler Bestandteil der Corporate Governance bedeutet aufgrund der steigenden rechtlichen Anforderungen, der erhöhten Sensibilität der Öffentlichkeit sowie der strafrechtlichen Verfolgung von Compliance-Verstößen eine verstärkte Herausforderung für Verantwortungsträger in Unternehmen.

Das deutsche Recht sieht bis heute keine faktische Verpflichtung zur Implementierung von Compliance Management-Systemen für Unternehmen vor, die nicht den Mindestanforderungen an das Risikomanagement (MaRisk) oder den Mindestanforderungen an die Compliance-Funktion (MaComp) unterliegen. Jedoch lässt sich eine mittelbare Verpflichtung durch die den gesetzlichen Vertretern von Unternehmen obliegende allgemeine Legalitätsverantwortung herleiten, die die Einhaltung rechtlicher Vorgaben zwingend vorschreibt. Diese ergibt sich insbesondere aus dem Aktiengesetz (nachfolgend AktG), dem GmbH-Gesetz (nachfolgend GmbHG) oder dem Gesetz über Ordnungswidrigkeiten (nachfolgend OWiG) wie folgt:

Gemäß § 91 Abs. 2 AktG hat der Vorstand geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. Weiter legen §§ 76, 93 AktG und auch § 43 GmbHG fest, dass die Unternehmensleitung zur Abwendung vermeidbarer Schäden von der Gesellschaft verpflichtet ist. Darüber hinaus ist gemäß § 107 Abs. 3 Satz 2 AktG eine Überwachung der Wirksamkeit des Rechnungslegungsprozesses, des internen Kontrollsystems, des Risikomanagementsystems, der internen Revision sowie der Abschlussprüfung vorgesehen. Diese nicht abschließende Aufzählung wird durch § 130 OWiG ergänzt, der festlegt, dass sich die gesetzlichen Vertreter eines Unternehmens, die Aufsichtsmaßnahmen unterlassen, die erforderlich sind, um Zuwiderhandlungen zu verhindern, ordnungswidrig verhalten.

Die Erfüllung der dargestellten Compliance-Anforderungen obliegt im Grundsatz stets den gesetzlichen Vertretern und dem Aufsichtsorgan. Diese Verantwortung lässt sich auch nicht durch eine Auslagerung delegieren.

Unternehmen, die nicht die Anforderungen der MaRisk oder MaComp erfüllen müssen, gehören regelmäßig der Industrie-, Handels- und Dienstleistungsbranche an. Für diese gibt der Prüfungsstandard des Instituts der Wirtschaftsprüfer IDW PS 980 ein Rahmenwerk zur Einhaltung von rechtlichen Vorgaben sowie Selbstverpflichtungen im Rahmen eines unternehmensspezifischen Compliance Management-Systems vor. Darüber hinaus erfolgt hierdurch sowohl eine Dokumentation der eigenen Compliance-Standards als auch die Formulierung von Compliance-Anforderungen an die Geschäftspartner.

Begriffsbestimmungen

Die vorherrschende Definition von Compliance umfasst zum einen die Einhaltung rechtlicher Vorgaben sowie die Vorhaltung von Vorkehrungen zum Entgegenwirken von Risiken, die sich aus der Nichteinhaltung dieser Vorgaben ergeben können. Darüber hinaus berücksichtigt Compliance auch die Einhaltung unternehmensinterner Regelungen und Selbstverpflichtungen sowie Fragestellungen der Unternehmensethik und Nachhaltigkeit.

Die Gesamtheit der zur Einhaltung rechtlicher Vorgaben sowie unternehmensinterner Regelungen definierten Grundsätze und Maßnahmen, die auf Grundlage der von den gesetzlichen Vertretern definierten Ziele festgelegt werden, wird als Compliance Management-System bezeichnet.

Die definierten Grundsätze und Maßnahmen zielen auf die Sicherstellung eines regelkonformen Verhaltens der gesetzlichen Vertreter und der Mitarbeiter des Unternehmens sowie ggf. Dritter ab und sollen auf die Verhinderung von Compliance-Verstößen hinwirken. Die Struktur und der Aufbau eines Compliance Management-Systems im Sinne des IDW PS 980 werden in den nachfolgenden Ausführungen dargestellt.

Grundelemente eines Compliance Management-Systems nach IDW PS 980

1. Compliance-Kultur

Die Compliance-Kultur stellt die Grundlage für die Angemessenheit und Wirksamkeit des Compliance Management-Systems dar. Sie wird vor allem durch die Grundeinstellungen und Verhaltensweisen der gesetzlichen Vertreter des Unternehmens sowie durch die Rolle des Aufsichtsorgans („Tone at the Top”) geprägt. Die Compliance-Kultur beeinflusst die Bedeutung, die die Mitarbeiter des Unternehmens der Beachtung von Regeln beimessen und damit die Bereitschaft zu regelkonformem Verhalten.

2. Compliance-Ziele

Die gesetzlichen Vertreter legen auf Grundlage der allgemeinen Unternehmensziele sowie einer Analyse und Gewichtung der für das Unternehmen bedeutsamen Regeln die Ziele fest, die mit dem Compliance Management-System erreicht werden sollen. Insbesondere umfasst dies auch die Festlegung der relevanten Teilbereiche und der einzuhaltenden Regeln. Die Compliance-Ziele stellen die Grundlage für die Beurteilung von Compliance-Risiken dar.

3. Compliance-Risiken

Unter Berücksichtigung der Compliance-Ziele werden die Compliance-Risiken festgestellt, die Verstöße gegen einzuhaltende Regeln und damit eine Verfehlung der Compliance-Ziele zur Folge haben können. Hierzu ist ein Verfahren zur systematischen Risikoerkennung und –berichterstattung zu implementieren. Die festgestellten Risiken werden im Rahmen eines Risk Assessments im Hinblick auf Eintrittswahrscheinlichkeit und mögliche Auswirkungen (z.B. Schadenshöhe) analysiert.

4. Compliance-Organisation

Das Management regelt die Funktionen, Rollen, Verantwortlichkeiten sowie die Aufbau- und Ablauforganisation im Rahmen des Compliance Management-Systems als integraler Bestandteil der Unternehmensorganisation und stellt die für ein wirksames Compliance Management-System notwendigen Ressourcen zur Verfügung.

5. Compliance-Programm

Basierend auf der Beurteilung der Compliance-Risiken werden Grundsätze und Maßnahmen eingeführt, die auf die Begrenzung der Compliance-Risiken und damit auf die Vermeidung von Compliance-Verstößen ausgerichtet sind. Das Compliance-Programm umfasst auch die bei festgestellten Compliance-Verstößen zu ergreifenden Maßnahmen und ist angemessen zu dokumentieren.

6. Compliance-Kommunikation

Die jeweils betroffenen Mitarbeiter und ggf. Dritte werden sodann über das Compliance-Programm sowie die festgelegten Verantwortlichkeiten informiert, damit sie ihre Aufgaben im Compliance Management-System ausreichend verstehen und sachgerecht erfüllen können. Berichtswege im Unternehmen werden definiert und festgelegt.

7. Compliance-Überwachung und Verbesserung

Naturgemäß ist es mit der bloßen Errichtung eines Compliance Management-Systems nicht getan – dies muss vielmehr fortwährend überwacht und ggf. an aktuelle Entwicklungen angepasst werden. Voraussetzung für die Überwachung und Verbesserung ist eine ausreichende Dokumentation des Compliance Management-Systems. Werden im Rahmen der Überwachung systemische Schwachstellen oder Compliance-Verstöße identifiziert, sind diese an die gesetzlichen Vertreter des Unternehmens zu berichten. Die gesetzlichen Vertreter sind für die Durchsetzung des Compliance Management-Systems sowie die Beseitigung der Mängel und die Verbesserung des Systems verantwortlich.

Individualisierung des Compliance Management-Systems

Diese sieben Grundelemente sind nicht als starre Anforderungskriterien oder Messgrößen zu verstehen, sondern als Rahmenkonzept, welches dem Unternehmen gewisse Handlungs- und Gestaltungsspielräume belässt, um das Compliance Management-System speziell auf die unternehmensspezifischen Anforderungen auszurichten. Zudem stehen die genannten Grundelemente in Wechselwirkung zueinander. Ein Compliance Management-System sollte demnach unter Berücksichtigung des vorgegebenen Rahmenkonzeptes individuell und bedarfsgerecht an die Unternehmensbedürfnisse im konkreten Einzelfall angepasst werden.

Hierbei gilt es, die Rechtsform und Größe des Unternehmens, die Art der Geschäftsaktivitäten und deren Risikogehalt sowie weitere unternehmensspezifische Besonderheiten zu berücksichtigten. Darüber hinaus ist die Bestimmung der relevanten Teilbereiche des Compliance Management-Systems ein wichtiger Parameter für dessen Angemessenheit und Wirksamkeit. Neben der Korruptionsvermeidung über die Beachtung zollrechtlicher Vorgaben können der Datenschutz, die Verhinderung von Geldwäsche, Terrorismusfinanzierung und sonstigen strafbaren Handlungen, das Kartell- und Wettbewerbsrecht, aber auch rechtliche Bestimmungen zum Umweltschutz wichtige Teilbereiche des Compliance Management-Systems sein.

Diese bedarfsgerechte Individualisierung ist zur Vermeidung von Compliance-Verstößen und sonstigen Verfehlungen sowie zur Reduzierung von Vermögens- und Reputationsrisiken durch Verletzung rechtlicher Vorgaben, erforderlich.

Zur Sicherstellung der Einhaltung der für das Unternehmen relevanten gesetzlichen Vorgaben sowie der von den gesetzlichen Vertretern festgelegten internen Regelungen sind im Rahmen des unternehmensspezifischen Compliance-Management-Systems angemessene und wirksame Grundsätze und Verfahren festzulegen. Diese zielen auf ein verantwortungsvolles und gesetzeskonformes Verhalten der gesetzlichen Vertreter und Mitarbeiter des Unternehmens, insbesondere gegenüber der Öffentlichkeit, Umwelt, Geschäftspartner sowie Kunden und sonstigen Interessengruppen wie z.B. Stake- und Shareholdern des Unternehmens, ab. Die angemessene und wirksame Ausgestaltung des Compliance Management-Systems ist unter Berücksichtigung der Unternehmenswerte regelmäßig zu überprüfen.

Obwohl eine individuelle Ausrichtung des Compliance Management-Systems erforderlich ist, haben sich in den letzten Jahren Standards etabliert, die einer Vielzahl von Systemen zugrunde liegen. Diese umfassen insbesondere die nachfolgenden Punkte:

  • Identifizierung und Systematisierung von Compliance-Anforderungen und -Risiken,
  • Festlegung von Compliance-Standards in Form eines Code of Conduct und sonstiger Richtlinien,
  • Festlegung von Zuständigkeiten und Funktionen im Rahmen des Compliance Management-Systems,
  • Information und Schulung der Mitarbeiter als Präventivmaßnahmen,
  • Einrichtung von Kontrollhandlungen zur Überwachung der Einhaltung von Compliance-Anforderungen,
  • Implementierung eines standardisierten Prozesses zum Umgang mit Compliance-Verstößen,
  • Regelmäßige Berichterstattung der Compliance-Verantwortlichen an die gesetzlichen Vertreter und den Aufsichtsrat des Unternehmens. 

Fazit

Die gesetzlichen Vertreter und Aufsichtsorgane von Unternehmen sollten der gesteigerten Bedeutung, die der Erfüllung von Compliance-Standards und -Anforderungen zukommt, durch die Vorhaltung entsprechender Sicherungssysteme Rechnung tragen. Die Implementierung eines Compliance Management-Systems unterstützt die gesetzlichen Vertreter von Unternehmen bei der Wahrnehmung dieser Verantwortung.

Relevante Risiken werden durch ein angemessenes und wirksames Compliance Management-System frühzeitig erkannt und an geeignete Stellen berichtet, sodass diesen rechtzeitig begegnet werden kann, um negative Auswirkungen für das Unternehmen zu verhindern. Compliance sollte nicht nur als notwendige regulatorische Anforderung gesehen werden, sondern auch als Möglichkeit, das Vertrauen in die Integrität und Seriosität des Unternehmens zu fördern und somit die Reputation des Unternehmens nachhaltig zu verbessern.

(Kristin Kramer, Fachreferentin Compliance und Geldwäscheprävention, Creditreform Compliance Services GmbH)

© 2019 Creditreform Compliance Services GmbH

Allgemeines Kontaktformular

allgemeineskontaktformular

Kontaktdaten
Kontakt