Nachdem wir uns im 1. Teil unserer Compliance-Reihe mit dem Begriff „Compliance“ auseinandergesetzt haben, widmen wir uns im 2. Teil unserer Reihe der Implementierung und Ausgestaltung von Compliance-Management-Systemen.
Die Einrichtung eines Compliance-Management-Systems liegt grundsätzlich im Ermessen und der unternehmerischen Verantwortung der Geschäftsführung eines Unternehmens. Ein funktionierendes Compliance-Management-System sollte dabei aber auch im Interesse der Geschäftsleitung liegen, da sich der Nachweis einer ordnungsgemäßen Compliance-Struktur im Einzelfall bei Pflichtverstößen durchaus haftungs- oder strafmildernd auswirken kann. Darüber hinaus wird ein wirksames Compliance-Management-System im Unternehmen zunehmend auch von eigenen Kunden und Lieferanten eingefordert und die Einhaltung bestimmter Standards zum Teil sogar durch entsprechende Vertragsbestimmungen abgesichert.
Es bestehen vielfältige Möglichkeiten der inhaltlichen Ausgestaltung eines Compliance-Management-Systems. Umfang und Qualität der Ausgestaltung sollten sich insbesondere an der Größe und Komplexität der unternehmensinternen Strukturen, aber auch an den Risikopotenzialen der vom Unternehmen erschlossenen Geschäftsfelder und Märkte orientieren. Als Anhaltspunkte für die Einrichtung eines Compliance-Management-Systems können etwa die ISO 37301 und der IDW PS 980 dienen. Die ISO 37301 ist ein weltweit gültiger Standard und enthält Richtlinien für die Einführung und Ausgestaltung eines Compliance-Management-Systems. Beim IDW PS 980 handelt es sich um einen Standard des Instituts der Wirtschaftsprüfer e.V. (IDW) zur Einrichtung und Prüfung von Compliance-Management-Systemen.
Um ein praxisgerechtes Compliance-Management-System einzurichten, sollten insbesondere die folgenden Grundelemente berücksichtigt werden:
Die Einführung eines Compliance-Management-Systems erfordert zunächst die Durchführung einer Risikoanalyse. Diese ist eine unabdingbare Grundvoraussetzung, um ein maßgeschneidertes Compliance-Management-System erstmals im Unternehmen zu integrieren, aber auch um mögliche Lücken im bestehenden System zu analysieren und diesen Risiken zu begegnen. Sie sollte eine systematische Bestandsaufnahme der Compliance-Risiken in Abhängigkeit von der Größe, der internen Struktur, dem Geschäftsfeld sowie den Geschäftspartnern des Unternehmens enthalten. Für die Durchführung einer Risikoanalyse bieten sich in der Praxis z.B. Interviews mit Entscheidungsträgern, aber auch regelmäßige Mitarbeiterbefragungen mittels anonymisierter Verfahren an. Die Risikoanalyse schafft insoweit die Entscheidungsgrundlage für die Ausübung des unternehmerischen Ermessens im Hinblick auf die konkrete Ausgestaltung des Compliance-Management-Systems.
In einem zweiten Schritt ist auf Basis der Erkenntnisse aus der Risikoanalyse das individuelle Compliance-Management-System zu konzipieren und im Unternehmen zu implementieren. Wesentlicher Bestandteil eines Compliance-Management-Systems ist die Festlegung der personellen Verantwortlichkeiten im Unternehmen. Zwar ist die Geschäftsleitung im Rahmen der Legalitätspflicht verpflichtet, ein Compliance-Management-System einzuführen und im Unternehmen Organisationsstrukturen zu schaffen, die die Einhaltung aller Rechtsvorschriften sicherstellen. Die Geschäftsleitung kann die Compliance-Verantwortung aber auch an geeignete Mitarbeiter delegieren. Darüber hinaus sollte ein Compliance-Management-System wesentliche interne Compliance-Richtlinien, Kontrollstrukturen zur Prüfung von Risiken aus Geschäftsbeziehungen sowie ein internes Hinweisgeberschutzsystem enthalten. Zudem ist es wichtig, dass das Compliance-Management-System von der Geschäftsleitung überzeugend und glaubwürdig kommuniziert und vorgelebt wird („tone from the top“). Nur so kann eine nachhaltige Implementierung des Compliance-Management-Systems im gesamten Unternehmen gewährleistet werden.
- An die erfolgreiche Einführung eines Compliance-Management-Systems schließt sich die Kontrolle und Überwachung der geschaffenen Compliance-Strukturen an. Dies setzt die Schaffung entsprechender Überwachungsmechanismen voraus, um eine kontinuierliche Überprüfung der Wirksamkeit und Effizienz des Compliance-Management-Systems sicherzustellen. Im Rahmen der Konzeption des Compliance-Management-Systems sollte daher bereits an die Einrichtung eines internen Überwachungssystems und Berichtswesens gedacht werden. Das eingeführte Compliance-Management-System hat nur dann einen Mehrwert, wenn es fortlaufend überwacht und optimiert wird. Auch die regelmäßige Durchführung von Risikoanalysen kann dazu beitragen, das Compliance-Management-System gegebenenfalls an die Unternehmensstrukturen anzupassen und stetig zu verbessern.
Unsere auf Compliance spezialisierten Anwältinnen/Anwälte stehen Ihnen bei der Gestaltung und Implementierung eines internen Compliance-Management-Systems und für weitere Fragen selbstverständlich jederzeit gerne zur Verfügung.
