Der deutsche Gesetzgeber hat keine konkreten Vorgaben zu den zwingend gebotenen Bestandteilen eines CMS erlassen, doch haben sich in Wirtschaft und Literatur Modelle zur Strukturierung eines effektiven CMS entwickelt. Ein allgemein anerkannter formaler Rahmen, insbesondere durch den neu gefassten IDW PS 980 (09.2022), misst die Wirksamkeit eines Compliance-Programms an sieben Grundelemten.

image.png

Die Etablierung einer Compliance ist eine fortlaufende Aufgabe, die alle Geschäftsbereiche betrifft und die Mitwirkung aller Beschäftigten erfordert. Eine wichtige Grundvoraussetzung dafür ist, dass die Unternehmensführung die Grundsätze und das Bekenntnis zur Compliance nach dem „tone from the top“-Prinzip vorlebt.

Die sieben Grundelemente eines Compliance-Programms oder -Systems, die einen umfassenden Rahmen bieten, sind:

  1. Die Compliance-Kultur: Dies ist maßgeblich für den Erfolg vieler Compliance-Maßnahmen und befasst sich mit der Frage, inwieweit Rechtstreue und Rechtsbefolgung als Werte von allen Unternehmensangehörigen akzeptiert, geachtet und getragen werden. Die Unternehmensleitung hat hier eine Vorbildfunktion. Ein formales Bekenntnis kann durch ein „Mission Statement“ und einen „Code of Conduct“ erfolgen, der Werte und Verhaltensanforderungen verbindlich formuliert.
  2. Die Compliance-Ziele: Diese werden auf der Grundlage der allgemeinen Unternehmensziele sowie einer Analyse und Gewichtung der für das Unternehmen wichtigen Regeln festgelegt. Dies ist entscheidend, um die Bereiche abzustecken, die vom CMS gesteuert bzw. überwacht werden sollen, um Effizienz zu gewährleisten.
  3. Die Compliance-Risiken: Ein effizientes CMS erfordert die vorherige Feststellung und Beurteilung der Compliance-Risiken („Compliance-Risk-Landscaping“). Bei der Risikoanalyse können Faktoren wie Änderungen im wirtschaftlichen und rechtlichen Umfeld, Personalveränderungen, Unternehmenswachstum, neue Technologien, Geschäftsfelder, Umstrukturierungen und geografische Expansion relevant sein.
  4. Das Compliance-Programm: Basierend auf den Compliance-Zielen und der Risikoanalyse werden hier die notwendigen Maßnahmen zur Vermeidung von Compliance-Verstößen aufgestellt. Es sollte dokumentiert und auf die Besonderheiten des Unternehmens zugeschnitten sein, klare Vorgaben zu Prozessen, Freigaberegelungen, die Einbindung des Compliance-Officers und ein Schulungskonzept beinhalten. Ein wesentliches Element kann auch ein Hinweisgebersystem („whistleblowing-system“) sein, das die Meldung von Missständen an interne oder externe Stellen ermöglicht.
  5. Die Compliance-Organisation: Sie ist von zentraler Bedeutung innerhalb des CMS und legt Rollen, Verantwortlichkeiten sowie eine Aufbau- und Ablauforganisation fest. Häufig wird eine Compliance-Abteilung oder ein (Chief) Compliance-Officer eingerichtet, wobei die Unternehmensleitung stets eine Restverantwortung trägt. Die Organisation sollte auf die Prävention, Aufdeckung und Reaktion von Verstößen ausgerichtet sein und größtmögliche Unabhängigkeit, hinreichende Befugnisse und Ressourcen sowie direkten Zugang zur Unternehmensleitung gewährleisten. Aufgaben des Compliance-Officers können unter anderem die Risikoanalyse, Erstellung von Richtlinien, Durchführung von Schulungen, Beratung und Überwachung sein.
  6. Die Compliance-Kommunikation: Sie ist ebenfalls zentral und umfasst die Verlautbarung von Regeln, die Festlegung von Berichtspflichten und -wegen für vermutete Verstöße sowie die Kommunikation der Ergebnisse von Überwachungsmaßnahmen. Regelmäßige Compliance-Schulungen sind empfehlenswert, um die Mitarbeitenden zu informieren und das Thema im Arbeitsalltag zu verankern.
  7. Die Compliance-Überwachung und Verbesserung: Ein effizientes CMS sollte eine fortlaufende Überwachung beinhalten, um auf Änderungen zu reagieren und die Effektivität sicherzustellen. Dies umfasst sowohl prozessunabhängige als auch prozessintegrierte Kontrollen. Bei Schwachstellen oder Regelverstößen müssen Maßnahmen wie Nachschulungen oder arbeitsrechtliche Konsequenzen ergriffen werden, wobei eine konsequente Handhabung das Vertrauen in das CMS fördert.