Compliance-Management-Systeme

Die zunehmende Relevanz von Compliance wurde in den USA spätestens durch die Bilanzskandale bei ENRON und WorldCom erkannt, hingegen gilt als entsprechende Wendemarke für Deutschland die 2006 aufgedeckte Korruptionsaffäre bei Siemens. Seitdem ist Compliance für viele Unternehmen ein aktuelles Thema geblieben, denn die Konsequenzen von "Non-Compliance" sind für Unternehmen, ihre Führungskräfte und Mitarbeiter häufig gravierend und manchmal sogar existenzbedrohend. Nicht nur mit Blick auf den Abgasskandal war auch beim VW-Konzern bis vor wenigen Jahren das "Bekenntnis zur Compliance auf Oberster Führungsebene" offensichtlich nur ein Lippenbekenntnis mit desaströsen Folgen für die Entwicklung dieses Konzerns. Und nicht zuletzt zeigte der "Fall Wirecard" anschaulich, wie die mangelhafte Verbindung zwischen schwachen unternehmensinternen Compliance- und Kontrollsystemen, unternehmensexternen Prüfungen und einer unzureichenden Aufsicht einen großen Betrug ermöglicht haben.

Hingegen kann wirksame Compliance, verstanden als das Einhalten von Normen und Regelungen entlang der gesamten Wertschöpfungskette, das Unternehmen und seine Stakeholder schützen, das Image des Unternehmens wahren sowie zum Halten und Gewinnen guter Mitarbeiter beitragen. Ein Compliance-Management (CM), das auf ein effektives Compliance-Management-System (CMS) zurückgreifen kann, wird zunehmend zum Erfolgsfaktor einer wertorientierten Unternehmensführung. Vor diesem Hintergrund gibt es ein zunehmendes Interesse insbesondere in der unternehmerischen Praxis an den verschiedenen Herangehensweisen und Modellen eines CMS. An dieses Informationsbedürfnis knüpft das vorliegende Werk mit der Zielsetzung an, Praktikern aus dem Compliance-Bereich von Großunternehmen und dem Mittelstand sowie von sonstigen Organisationen einen Austausch ihrer Erfahrungen und Lösungsansätze bei der erfolgreichen Umsetzung eines CMS, angelehnt an die Grundelemente des IDW PS 980 (IDW-Prüfungsstandard 980 "Grundsätze ordnungsmäßiger Prüfung von Compliance Management Systemen") sowie an die Empfehlungen der (früheren) ISO 19600 bzw. an die Anforderungen der seit Mitte 2021 geltenden ISO 37301, anzubieten.

Das Buch gliedert sich in zehn Kapitel:

• Kapitel 1 widmet sich der Compliance-Kultur als Grundlage eines erfolgreichen CMS. "Sie wird vor allem geprägt durch die Grundeinstellungen und Verhaltensweisen des Managements sowie durch die Rolle des Aufsichtsorgans ("tone at the top"). Die Compliance-Kultur beeinflusst die Bedeutung, welche die Mitarbeiter des Unternehmens der Beachtung von Regeln beimessen und damit die Bereitschaft zu regelkonformem Verhalten." Es werden insbesondere die verschiedenen Unternehmenskulturen vorgestellt, die Schritte zur Entwicklung einer Compliance-Kultur beschrieben und Praxisprobleme der Compliance-Kultur diskutiert. Dabei fehlt auch nicht der Hinweis, dass der Aspekt der Compliance-Kultur in Unternehmen unabhängig von deren rechtlichen Ausgestaltung oder Größe oft unterschätzt wird.
• Kapitel 2 befasst sich mit der zentralen Rolle, welche der Festlegung von Compliance-Zielen, einschließlich deren Verknüpfung mit den Unternehmenszielen, beim Aufbau und der Steuerung von CMS zukommt. In diesem Kontext wird auch auf mögliche Zielkonflikte sowie auf Sanktionen bei Abweichungen bzw. auf Belohnungen bei Zielerreichung eingegangen.
• Kapitel 3 geht von der Überlegung aus, dass sich ein leistungsfähiges CMS auch auf das Management von Compliance-Risiken stützt. Deshalb wird zuerst das Basiswissen bzw. das Fundament eines Risikomanagements vermittelt. Danach werden vor allem die systematische Identifikation, Priorisierung, Bewertung, Steuerung, Überwachung und Berichterstattung der Compliance-Risiken thematisiert und mögliche Verbindungen zwischen dem CMS und dem (klassischen) Risikomanagement-System aufgezeigt.
• Kapitel 4 setzt sich mit dem Compliance-Programm auseinander. Darunter sind sämtliche Maßnahmen zu verstehen, die im Rahmen eines CM eines Unternehmens aufgesetzt und ausgeführt werden. Je nach Unternehmensspezifika bzw. Schwerpunktsetzung der Compliance-Ziele und der Ergebnisse der Risikoanalyse beziehen sich die Maßnahmen auf unterschiedliche rechtliche Themenbereiche und sonstige Vorgaben. Des Weiteren werden auch Beispiele für die praktische Einführung von Compliance-Maßnahmen und Konzepte im Rahmen eines Compliance-Programms vorgestellt. In diesem Zusammenhang wird auch auf die Möglichkeiten für die Einrichtung einer Whistleblowing-Stelle eingegangen, welche von IT-basierten Lösungen bis hin zum externen Ansprechpartner, etwa einem Ombudsmann, reichen. Abschließend werden die Top-Five der "Compliance-Sünden", die ein CMS selbst zu einem Compliance-Risiko werden lassen, diskutiert.
• Kapitel 5 konzentriert sich auf die Compliance-Organisation. Dabei geht es sowohl um Aspekte bzw. Varianten der Zuordnung und des Aufbaus der Compliance-Organisation als auch um Auswahlkriterien für die Compliance Officer und um entsprechende unternehmensinterne Regelungswerke. Untersucht werden auch die mit der Einführung und Weiterentwicklung der Compliance-Organisation verbundenen besonderen Herausforderungen, ergänzt um die Zurverfügungstellung von Praxisbeispielen an Hilfsmitteln und Mustern in deutscher und englischer Fassung.
• Kapitel 6 behandelt die Compliance-Kommunikation und setzt sich dabei auch insbesondere mit den Chancen und Risiken der Digitalisierung auseinander. Die bloße Existenz von Gesetzen und die Bekanntmachung von (internen) Regeln reicht schließlich zu deren Befolgung nicht aus. "Zu komplex sind Regeln des Kartellrechts oder der internationalen Antikorruptionsgesetze. Haben dort und in anderen Bereichen selbst erfahrene Rechtsspezialisten Probleme, sind die Mitarbeiter schnell in einer kompletten Überforderungssituation. Eine solche Überforderung führt dann häufig zu einer Nichtbeachtung oder Fehlinterpretation der gemachten, internen Vorgaben." Deshalb wird ausführlich auf die wichtigsten Fragen der Kommunikation eingegangen, und zwar in Anlehnung an die zeitlichen Phasen der Kommunikation. In der Phase 1 (erster Rollout) geht es u.a. um Erstinformationen zur Einführung von Compliance an alle Mitarbeiter, um Präsenzschulungen und den Aufbau eines Compliance-Intranetauftritts, um die frühzeitige Einbindung wichtiger Entscheidungsträger und um das persönliche Beratungs- und Informationsangebot des Compliance-Officers. In der Phase 2 (Sensibilisierungsphase) werden die Mitarbeiter innerhalb der einzelnen Risikobereiche mit tiefergehenden Einzelheiten, etwa mittels spezifischen Präsenzschulungen und Compliance-E-Learning, vertraut gemacht und sogar auf die Kommunikation bei Eintritt eines Krisenfalls (z.B. bei Ermittlungen durch die Staatsanwaltschaft) vorbereitet. In der Phase 3 (Verstetigungsphase) muss das trainierte Wissen erhalten und um aktuelle Entwicklungen erweitert werden.
• Kapitel 7 beinhaltet Handlungsempfehlungen zur Überwachung und Verbesserung eines CMS, das sich stetig ändernden Anforderungen des Gesetzgebers oder zusätzlichen Herausforderungen, etwa bei neuen Geschäftsmodellen und den damit verbundenen potenziellen und tatsächlich bestehenden Risiken, anpassen muss. Von den Autoren wird in diesem Zusammenhang deutlich unterstrichen, dass eine besondere Rolle der Unternehmensleitung aufgrund ihrer generellen Sorgfalts- und Aufsichtspflicht zufällt.
• Kapitel 8 – 10 befassen sich mit einem Rückblick und Ausblick auf die Entwicklung der Compliance sowie vor allem mit übergreifenden Erkenntnissen über die Hindernisse und Erfolgsfaktoren für CMS aus Sicht von Wissenschaft, Praxis, Beratung und Wirtschaftsprüfung.

Alles in allem überzeugt das von renommierten Compliance-Experten aus der Schweiz, Deutschland und Österreich herausgegebene und verfasste Werk durch den gelungenen Mix aus wissenschaftlich fundierter, systematischer Bearbeitung der CMS-Materie einerseits und gut verständlicher, praxiserprobter Anleitung für die Implementierung und den Umgang mit CMS andererseits. Die vorliegende 3. Auflage berücksichtigt die neuesten Entwicklungen insbesondere in der Rechtsprechung und Gesetzgebung sowie die Implikationen der Digitalisierung auf die CMS. Zusätzlich wird der Fokus von Deutschland auf die Schweiz und Österreich erweitert. Damit kann dieses Werk zahlreiche Anregungen und Impulse zum Umgang mit CMS liefern und die tägliche Compliance-Arbeit in den sog. DACH-Staaten umfassend unterstützen.