Compliance ist ein notwendiger Bestandteil guter Unternehmensführung. Eine fehlende oder ineffiziente Kontrolle kann Haftung und Reputationsschäden nach sich ziehen. Das bloße Vorhandensein eines Compliance-Beauftragten ist dabei keineswegs ausreichend. Vielmehr muss Compliance gelebt werden und auf die Gesamtheit der unternehmenseigenen Prozesse abgestimmt sein. Ein integriertes Compliance Management System ermöglicht es, die Vielfalt an bestehenden Standards und Managementsystemen wirkungsvoll zu verknüpfen.

Was ist ein Compliance Management System: Definition

Compliance bedeutet regelgetreues bzw. pflichtgemäßes Verhalten im Sinne der Legalitätspflicht. Diese Legalitätspflicht versteht sich im Hinblick auf externe Regeln, d.h. auf allgemein verbindliche Regeln, wie Gesetze und Rechtsprechungen, jedoch auch im Hinblick auf interne Regeln, d.h. selbsterlegte Vorgaben, wie unternehmensspezifische Verhaltensregelungen, Gesellschafterbeschlüsse oder Anstellungsverträge.

Compliance soll zum einen helfen, durch Prophylaxe den Eintritt von Pflichtverletzungen, Schadens- und Haftungsfällen zu vermeiden. Zum anderen sollen eingetretene Pflichtverstöße frühzeitig erkannt und bewertet werden, damit angemessen darauf reagiert werden kann.

Entsprechend umfasst Compliance idealerweise alle relevanten Prozessfelder eines Unternehmens / einer Organisation.

Für Managementsysteme finden sich mangels Legaldefinitionen unterschiedliche Bezeichnungen und Erklärungen: ERP (Enterprise Resources Planning) -System, IMS (Integriertes Management System), Führungssystem, etc.

Ein Managementsystem besteht aus formell vorgegebenen, überwiegend standardisierten Grundsätzen und Komponenten, wie Aufbau- und Ablauforganisation, mit dem Zweck, eine Organisation bei Zielsetzung und Planung, Steuerung und Überwachung zur Erreichung zwingender und fakultativ gesetzter Ziele zu unterstützen.

Vor diesem Hintergrund lässt sich ein Compliance Management System als „Aufbau- und Ablauforganisation einer Institution mit interagierenden Komponenten und dem Ziel der Sicherstellung von Pflichtenkonformität im Hinblick auf externe und interne verbindliche Vorgaben“ definieren.

Compliance Management System Guidelines

Für das Thema „Compliance Management System“ empfiehlt es sich, ein unternehmens- und prozessbezogenes (Einkauf / Vertrieb / Personal / etc.) „Rechtskataster“ anzulegen, welches den maßgeblichen rechtlichen Rahmen darstellt.

Geschäftsleitung und sonstige Verantwortliche müssen die jeweiligen, von ihr betreuten Prozessfelder an aktuellen Anforderungen aus Gesetzgebung und Rechtsprechung, sowie dem „Anerkannten Stand von Wissenschaft und Praxis“ ausrichten. Dies ist mittels der gängigen Standards möglich.

Zu wichtigen Tools und Methoden im Bereich Compliance-Management gehören z.B. die Plan/Do/Check/Act-Methode (P/D/C/A), Prozessmanagement-Methode, Risikomanagement-Methode, Delegations-Methode.

Nach der Entscheidung vom BGH am 09.05.2017 kann ein effektives und auf die Vermeidung von Rechtsverstößen ausgelegtes Compliance-Programm sich mindernd auf die Bußgeldbemessung nach § 30 OWiG auswirken.

Die „Legalitätspflicht“ der Geschäftsleitung und die Anforderungen an einen „gewissenhaften“ Geschäftsführer, Vorstand, Aufsichtsrat, gem. §§ 43 GmbHG, 93, 116 AktG, 347 HGB bilden eine allgemeine Rechtsgrundlage für Compliance.

Weiterhin lässt sich Compliance unter die Pflicht nach § 130 OWiG „Vorsorge gegen Pflichtverstöße zu treffen“ subsumieren.

Standard für Compliance Management System iso 19600

Neben den gesetzlichen Regelungen / Pflichten befassen sich zusätzlich eine Reihe von Managementsystemen und Standards mit den Grundsätzen regelgetreuen Verhaltens. Beispielhaft seien folgende Regelungen genannt:

  • Risikomanagement: ISO 31000:2009, ONR 49000:2014, COSO II:2004, IDW PS 340:2000 (Risikofrüherkennungssystem)
  • Compliance-Management: IDW PS 980:2011, ISO 19600:2014, ONR 192050:2013, US Sentencing Guidelines: 2010, ISO 37001:2014 (Draft) (Anti-Korruptions-Management)
  • Internes Steuerungs- und Überwachungssystem: (ISÜS): COSO I:2013 (Internal Control-Integrated Framework)