Diese Elemente sollte Ihr Compliance-Management-System aufweisen

Thomas Malik

Senior Legal Counsel & Compliance Officer, Novo Nordisk Pharma GmbH

Kapitel

Diese Elemente sollte Ihr Compliance-Management-System aufweisen
Bewertungskriterien des DOJ für die Effektivitätsbeurteilung von CMS – Konzept
Bewertungskriterien des DOJ für die Effektivitätsbeurteilung von CMS – Umsetzung und Funktion

Diese Elemente sollte Ihr Compliance-Management-System aufweisen — Bild: Haufe Online Redaktion Die Implementierung eines Compliance-Management-Systems sollte gut geplant werden.

Hier erhalten Sie einen Überblick über die wesentlichen Elemente eines Compliance-Management-Systems.

Gesetzliche Vorgaben zu CMS

Ausdrücklich ist die Pflicht zur Einführung eines CMS in Deutschland bisher nur für Unternehmen der Finanz- und Versicherungsbranche gesetzlich geregelt. Für börsennotierte Unternehmen ergibt sich eine rechtlich unverbindliche Empfehlung zur Einrichtung einer Compliance-Organisation aus Ziffer 4.1.3 des Deutschen Corporate Governance Kodex (DCGK). Dieser gibt jedoch lediglich einen allgemeinen Rahmen für die Einrichtung von CMS vor, in dem er fordert, dass ein CMS „angemessen“ und „an der Risikolage“ des Unternehmens ausgerichtet sein soll.

Mit detaillierten Vorgaben, wie ein CMS ausgestaltet sein soll, hat sich der deutsche Gesetzgeber bis dato also zurückgehalten. Immerhin hat der Bundesgerichtshof in seinem Urteil v. 9.5.2017 jedoch festgestellt, dass bei der Bußgeldbemessung sowohl die Existenz eines CMS, als auch die das CMS betreffenden Optimierungsmaßnahmen, welche nach Einleitung eines staatlichen Sanktionsverfahrens ergriffen wurden, zu berücksichtigen sind. Dies dürfte weitere Anreize für Unternehmen zur Implementierung eines CMS zwecks Haftungsminimierung bzw. Haftungsvermeidung geschaffen haben.

Ausländische Rechtsordnungen gehen da schon weiter und geben in Bezug auf die Ausgestaltung von CMS konkretere Empfehlungen. So können z.B. die im „Resource Guide to the U.S. Foreign Corrupt Practices Act“ enthaltenen „Hallmarks of Effective Compliance Programs“, die „Evaluation of Corporate Compliance Programs“ oder die in der „UK Bribery Act 2010 Guidance“ aufgeführten „six principles“ auch deutschen Unternehmen wertvolle Orientierung bieten, worauf es der Justiz bei der Bewertung von Compliance Programmen ankommt.

Compliance-Elemente im Einzelnen

1. Compliance-Risikoanalyse als Ausgangspunkt

Ausgangspunkt für den Aufbau eines jeden CMS sollte stets eine Compliance-Risikoanalyse sein um die unternehmensindividuellen Risikofelder zu ermitteln. Das Ergebnis der Risikoanalyse bestimmt den Fokus und den Umfang des einzuführenden CMS. Relevante Faktoren hierfür sind u.a.:

Größe und Struktur des Unternehmens,
Regionen, in denen das Unternehmen tätig ist,
Branche in dem das Unternehmen tätig ist,
sich verändernde gesetzliche Anforderungen,
Compliance Vorkommnisse in der Vergangenheit.

2. Festlegung des individuellen Compliance-Programms

Aus den Ergebnissen der Risikoanalyse ist sodann das unternehmensindividuelle Compliance-Programm abzuleiten. Dies umfasst die nachfolgend aufgezählten, wesentlichen Eckpfeiler eines CMS.

3. Einrichtung einer Compliance-Organisation

Zur Umsetzung des Compliance-Programms muss zunächst eine Compliance-Organisation eingerichtet werden. Das heißt, die Compliance Verantwortlichkeit muss personell festgelegt werden. Grundsätzlich ist Sicherstellung der Compliance „Chefsache“ und liegt in der Gesamtverantwortung der Geschäftsleitung. Denn Vorstand oder Geschäftsführer ist verpflichtet, das Unternehmen so zu organisieren, dass sämtliche Rechtsvorschriften eingehalten werden. Im Fall der schuldhaften Verletzung dieser Pflichten droht der Geschäftsleitung eine Haftung unter dem Gesichtspunkt des Organisationsverschuldens.

Jedoch kann die Geschäftsleitung die Compliance-Verantwortlichkeit an geeignete, insbesondere sachgerecht ausgewählte Mitarbeiter, delegieren. Wichtig ist hierbei, dass die Mitarbeiter oder Abteilungen, an die die Compliance-Verantwortlichkeit delegiert werden soll, mit den nötigen Mitteln zur ordnungsgemäßen Aufgabenerfüllung ausgestattet werden (z.B. eigene Mitarbeiter, administrative Unterstützung, Budget für externe Berater, Fortbildungen oder Literatur), damit die erforderliche Fachkompetenz zur Wahrnehmung von Compliance-Aufgaben gewährleistet ist.

4. Erstellung von Compliance-Richtlinien

Anschließend sollte der Fokus zunächst auf der Erstellung fundamentaler Compliance-Richtlinien liegen. Absolute Muss-Richtlinien sind

eine Compliance-Management-Richtlinie, in der die wesentlichen Prozesse des CMS (z.B. Compliance-Funktionen, Hinweisgeberstelle, Berichtsstruktur) niedergelegt sind;
ein für alle Mitarbeiter verbindlicher Verhaltenskodex, in dem idealerweise anhand von anschaulichen Fallbeispielen die wichtigsten Compliance-Grundsätze des Unternehmens und die an die Mitarbeiter gestellten Erwartungen in verständlicher Sprache adressiert sind;
ein Lieferantenkodex, in dem die Compliance-Erwartungen an Lieferanten des Unternehmens beschrieben sind

Praxistipp: Bei der Erarbeitung von Compliance-Richtlinien ist es sehr hilfreich, sich an bereits veröffentlichten Compliance-Richtlinien anderer Unternehmen der gleichen Branche oder Industrie zu orientieren.

Je nach Risikoprofil und Reifegrad des CMS kann später die Einführung weiterer Richtlinien sinnvoll sein, z.B. solche, die die im Verhaltenskodex niedergelegten Grundsätze weiter präzisieren, wie etwa eine Antikorruptionsrichtlinie.

5. Compliance-Schulungskonzept

Unabdingbares Element eines jeden CMS sind zielgruppengerechte Compliance-Schulungen für alle Mitarbeiter. Deren Inhalte sollten sich an den unterschiedlichen Schulungsbedürfnissen der Mitarbeiterschaft orientieren. Für die breite Masse der Mitarbeiterschaft können solche Schulungen als E-Learning durchgeführt werden. Hierbei genügt es, die E-Learning-Inhalte auf die elementarsten Compliance-Themen (z.B. Umgang mit Geschenken und Einladungen, Antikorruption, Kartellrecht, Umgang mit Interessenkonflikten, Schutz vertraulicher Unternehmensinformationen, etc.) zu beschränken. Führungskräfte sollten idealerweise im Rahmen von Präsenzschulungen geschult werden, um sie bei ihrer Führungsaufgabe und Vorbildfunktion in Sachen Compliance optimal zu unterstützen. Darüber hinaus sollten die aus Compliance-Sicht besonders sensiblen Fachbereiche eines Unternehmens identifiziert werden (z.B. Einkauf, Vertrieb, Finanzabteilung) und ggf. mit fachbereichsspezifischen Compliance-Schulungen versehen werden.

Compliance-Schulungen – unabhängig ob als E-Learning oder Präsenzschulung angeboten – sollten als Pflichtschulungen in regelmäßigen Abständen wiederholt werden. Hierbei ist je nach Risikoprofil ein Wiederholungsturnus von einem Jahr bis zwei Jahren zu empfehlen. Zudem ist es unverzichtbar sämtliche absolvierte Compliance-Schulungen mit Unterschrift und Datum des geschulten Mitarbeiters zu dokumentieren um im Ernstfall Behörden einen Schulungsnachweis vorlegen zu können.

Praxistipp: Bei der inhaltlichen Ausgestaltung von Compliance-Schulungen haben Unternehmen sehr weite Entscheidungsfreiräume. Um den Minimalanforderungen gerecht zu werden, empfiehlt es sich in Schulungen praktische Fallsituationen zu diskutieren. Ferner sollten Mitarbeitern die Kontaktdaten eines Compliance Helpdesk und/oder einer Whistleblowing-Hotline kommuniziert werden.

Hinweis: In unserem kostenlosen Whitepaper zum Download erhalten Sie ausführliche Informationen wie Sie mit dem richtigen Trainingskonzept Mitarbeiter nachhaltig für Compliance sensibilisieren.

6. Einrichtung eines Hinweisgebersystems

Unverzichtbar ist zudem die Einrichtung einer Kontaktstelle, an die Compliance-Beobachtungen gemeldet oder Compliance relevante Fragen gestellt werden können. Hier macht es Sinn, sowohl ein Compliance Helpdesk als interne Kontaktstelle als auch eine Whistleblowing Hotline, die die Möglichkeit anonymer Meldungen bietet (z.B. über einen Rechtsanwalt als externen Ombudsmann oder über elektronische Hinweisgebersysteme), einzurichten. Wichtig ist bei diesem Angebot, Personen, die Beobachtungen melden oder sich an internen Ermittlungen beteiligen, absolute Vertraulichkeit und Schutz vor Repressalien anderer zuzusichern.

7. Compliance-Geschäftspartnerprüfungen

Weiteres wesentliches Element eines CMS ist die Einführung von Prozessen zur risikobasierten Geschäftspartnerprüfung. Denn auch über Geschäftspartner können Unternehmen signifikante Compliance-Haftungs-Risiken entstehen. Insbesondere Vertriebsmittler (z.B. Handelsvertreter) oder Berater, die das Unternehmen gegenüber Behörden oder (potentiellen) Kunden vertreten, müssen daher einer Compliance-Geschäftspartnerprüfung unterzogen werden. Aus dem Prüfungsergebnis sind dann die richtigen Schlüsse in Bezug auf das Ob und Wie der (Compliance-gerechten) Zusammenarbeit mit dem jeweiligen Geschäftspartner abzuleiten.

8. Kommunikation/Kultur/Tone from the Top

Um die Akzeptanz für die Wichtigkeit von Compliance im Unternehmen zu stärken ist es außerdem enorm wichtig Compliance-Themen (z.B. die Einführung neuer Compliance-Richtlinien) im Unternehmen für alle Mitarbeiter verständlich zu vermitteln (z.B. über E-Learning Schulungen) und auch effektiv zu leben. Nur was von allen Mitarbeitern verstanden und gelebt wird, kann sich auf Dauer im Unternehmen auch zu einer Compliance-Kultur entwickeln. Besonders wichtig ist hierbei vor allem das Bekenntnis der Geschäftsführung und der übrigen Führungskräfte zu den Compliance-Aktivitäten des Unternehmens (sog. „Tone from the Top“) sowie deren Unterstützung der Compliance-Verantwortlichen bei der Erfüllung ihrer Aufgaben.

9. Überwachung und Verbesserung des Compliance-Management-Systems

Jedes CMS sollte kontinuierlich überprüft und optimiert werden, um dessen Wirksamkeit und Effizienz dauerhaft zu sichern. Dazu müssen geeignete Monitoring-Instrumente etabliert werden, z.B. interne oder externe Compliance-Audits und ein zuverlässiges Compliance-Berichtswesen entlang der existierenden Compliance-Berichtslinien im Unternehmen.

Zudem ist es essentiell, die Risikoanalyse regelmäßig zu wiederholen, um zu überprüfen, ob sich das Risikoprofil des Unternehmens verändert hat und das CMS entsprechend angepasst werden muss.

Fazit: Handlungsbedarf in den Unternehmen sehr unterschiedlich

Je nach individuellem Risikoprofil haben Unternehmen in puncto Compliance mehr oder weniger Handlungsbedarf und müssen mehr oder weniger schnell bei der Umsetzung eines CMS vorgehen.
Gerade Unternehmen, bei denen noch keine gravierenden Compliance Vorkommnisse aufgedeckt worden sind, und die zunächst rein präventiv ein CMS aufbauen, ist zu empfehlen, hierbei Schritt für Schritt vorzugehen und nicht zu viel auf einmal einzuführen. Je nach Risikoprofil muss die Umsetzung eines Elements auch nicht gleich mit der teuersten am Markt verfügbaren „High-End-Lösung“ umgesetzt werden. Um überhaupt mit der Etablierung eines CMS anfangen zu können, kann es am Anfang des Einführungsprozesses auch ausreichen, sich zunächst für „schlanke“ Lösungen zu entscheiden. Das CMS kann dann später weiterentwickelt werden. Denn die Einführung eines CMS gleicht einer Evolution. Hier gilt einmal mehr: „Rom wurde schließlich auch nicht an einem Tag erbaut“.

1(current)
2
3

Meistgelesene beiträge

Neueste beiträge

Dynamische Entwicklungen in Compliance und Corporate Governance

25.04.2024
Mit dem richtigen Tool zum Erfolg: Wie Unternehmen Compliance mit KI optimieren

24.04.2024
Krisenpräventionsumfrage 2023 zeigt die Herausforderungen des Krisenmanagements

17.04.2024
Compliance als Grundstein der Unternehmenskultur

10.04.2024
DIHK-Umfrage sieht Datenschutzgrundverordnung als Bürokratietreiber

03.04.2024
Europaweite Datenschutzaktion zum Auskunftsrecht der Datenschutzgrundverordnung

27.03.2024
Datenschutzbehörden führen automatisierte Prüfungen von Cookie-Bannern durch

26.03.2024
Mitarbeiterkontrollen durch den Arbeitgeber – Was ist unter welchen Voraussetzungen erlaubt?

12.03.2024
Wann muss eine öffentliche Ausschreibung erfolgen?

05.03.2024
Wie Unternehmen mit dem richtigen Tool ihr Potenzial maximieren

21.02.2024