Anregungen und Impulse für die Compliance-Arbeit

Die zunehmende Relevanz von Compliance als Verhaltenskonzept wurde in den USA spätestens durch die Bilanzskandale bei ENRON und WorldCom erkannt, hingegen gilt als entsprechende Wendemarke für Deutschland die 2006 aufgedeckte Korruptionsaffäre bei Siemens. Seitdem ist Compliance für viele Unternehmen ein aktuelles Thema geblieben, denn die Konsequenzen von „Non-Compliance“ sind für Unternehmen, ihre Führungskräfte und Mitarbeiter häufig gravierend und manchmal sogar existenzbedrohend. Nicht nur mit Blick auf den Abgasskandal war auch beim VW-Konzern bis vor wenigen Jahren das "Bekenntnis zur Compliance auf Oberster Führungsebene" offensichtlich nur ein Lippenbekenntnis mit desaströsen Folgen für die Reputation und Entwicklung des Gesamtunternehmens. Und nicht zuletzt zeigte der „Fall Wirecard“ anschaulich, wie die mangelhafte Verbindung zwischen schwachen unternehmensinternen Compliance- und Kontrollsystemen, unternehmensexternen Prüfungen und einer unzureichenden Aufsicht einen großen Betrug ermöglicht haben.

Hingegen kann wirksame Compliance – verstanden als Gesamtheit der Grundsätze und Maßnahmen zur Einhaltung von Gesetzen, Richtlinien und freiwilligen Kodizes zur Vermeidung von Regelverstößen – das Unternehmen und dessen Stakeholder schützen, sein Image wahren und seine Haftungsrisiken minimieren sowie auch zum Halten und Gewinnen guter Mitarbeiter beitragen. Ein Compliance-Management (CM), das auf ein effektives Compliance-Management-System (CMS) zurückgreifen kann, wird zunehmend zum Erfolgsfaktor einer wertorientierten Unternehmensführung. Vor diesem Hintergrund gibt es ein zunehmendes Interesse insbesondere in der unternehmerischen Praxis an den verschiedenen Herangehensweisen und Modellen eines CMS.

An dieses Informationsbedürfnis knüpft das vorliegende Werk an und richtet sich vor allem an Compliance Officer, Fachleute aus der Internen Revision und dem Risikomanagement sowie an Mitglieder von Aufsichtsräten. Es erläutert praxisnah die Umsetzung von CMS in der DACH-Region auf der Grundlage der Systematik nach IDW PS 980 mit seinen sieben Kernelementen – Kultur, Ziele, Organisation, Risiken, Programm, Kommunikation und Überwachung – ergänzt um die internationalen Standards ISO 37301 und ISO 37001.

Das Buch gliedert sich in elf Kapitel:
Kapitel 1 widmet sich der Compliance-Kultur, welche die Grundlage für die Angemessenheit und Wirksamkeit des CMS darstellt. „Sie wird vor allem geprägt durch die Grundeinstellungen und Verhaltensweisen des Managements sowie durch die Rolle des Aufsichtsorgans („tone at the top“). Die Compliance-Kultur beeinflusst die Bedeutung, welche die Mitarbeiter des Unternehmens der Beachtung von Regeln beimessen und damit die Bereitschaft zu regelkonformem Verhalten.“ Es werden insbesondere die verschiedenen Unternehmenskulturen vorgestellt und die Schritte zur Entwicklung einer Compliance-Kultur beschrieben sowie Praxisprobleme der Compliance-Kultur diskutiert. Dabei fehlt auch nicht der deutliche Hinweis, dass erfahrungsgemäß der Aspekt der Compliance-Kultur in Unternehmen unabhängig von deren rechtlichen Ausgestaltung oder Größe oft unterschätzt wird.

Kapitel 2 befasst sich mit der zentralen Rolle, welche der Festlegung von Compliance-Zielen, einschließlich deren Verknüpfung mit den Unternehmenszielen, beim Aufbau und der Steuerung eines CMS zukommt. In diesem Kontext wird auch auf mögliche Zielkonflikte sowie auf Sanktionen bei Abweichungen bzw. auf Belohnungen bei Zielerreichung eingegangen. Bedeutsam ist auch, dass die Compliance-Beauftragten bei der Verfolgung von Compliance-Zielen über genügend Kompetenzen verfügen müssen, „um potenzielle Konflikte stets zugunsten einer Einhaltung der externen und internen Compliance-Vorgaben zu lösen.“

Kapitel 3 geht von der Überlegung aus, dass sich ein leistungsfähiges CMS auch auf das Management von Compliance-Risiken stützt. Deshalb wird zuerst das Basiswissen bzw. das Fundament eines Risikomanagements vermittelt. Danach werden vor allem die systematische Identifikation, Priorisierung, Bewertung, Steuerung, Überwachung und Berichterstattung der Compliance-Risiken thematisiert und mögliche Verbindungen zwischen dem CMS und dem (klassischen) Risikomanagement-System aufgezeigt.

Kapitel 4 setzt sich mit dem Compliance-Programm auseinander. Darunter sind sämtliche Maßnahmen zu verstehen, die im Rahmen eines CM eines Unternehmens aufgesetzt und ausgeführt werden. Je nach Unternehmensspezifika bzw. Schwerpunktsetzung der Compliance-Ziele und der Ergebnisse der Risikoanalyse beziehen sich die Maßnahmen auf unterschiedliche rechtliche Themenbereiche und sonstige Vorgaben. Im Mittelpunkt stehen die Programme, welche sich mit präventiven, aufdeckenden und reaktiven Maßnahmen befassen. Dabei geht es u. a. um Programme zur Vorbeugung von Bestechung, Korruption und Kartellrechtsverstößen aber auch um interne Kontrollsysteme zur entsprechenden Aufdeckung solcher Verstöße. Zusätzlich werden wertvolle Praxistipps zur Ausgestaltung des sog. „Hinweisgeberverfahrens“ und zu regelmäßigen Compliance-Audits sowie zu anlassbezogenen Sonderuntersuchungen und Sanktionen angeboten. Zudem wird deutlich unterstrichen, dass alle diese Programme und Maßnahmen einer fortlaufenden Anpassung bedürfen, „um neue oder veränderte Anforderungen ebenso wie Erkenntnisse aus der eigenen Compliance-Arbeit angemessen zu reflektieren.“

Kapitel 5 konzentriert sich auf die Compliance-Organisation. In diesem Zusammenhang stehen sowohl die Aspekte bzw. Varianten der Zuordnung und des Aufbaus der Compliance-Organisation als auch die Auswahlkriterien für die Compliance Officer und die entsprechenden unternehmensinternen Regelungswerke im Mittelpunkt der Betrachtungen. Untersucht werden zudem die mit der Einführung und Weiterentwicklung der Compliance-Organisation verbundenen besonderen Herausforderungen. Abschließend werden Praxisbeispiele zu Hilfsmitteln und Mustern, etwa für Compliance-Richtlinien und -Erklärungen sowie für Code of Conduct und Ernennungsschreiben für einen Compliance-Officer, in deutscher und englischer Fassung angeboten.

Kapitel 6 behandelt die Compliance-Kommunikation und damit einen der wichtigsten Bausteine eines funktionierenden CMS. Dadurch wird die Grundlage für die haftungsvermeidende Sensibilisierung der Mitarbeiter, Führungskräfte und Organe geschaffen. Die bloße Existenz von Gesetzen und die Bekanntmachung von (internen) Regeln reicht schließlich zu deren Befolgung nicht aus. „Zu komplex sind Regeln des Kartellrechts oder der internationalen Antikorruptionsgesetze. Haben dort und in anderen Bereichen selbst erfahrene Rechtsspezialisten Probleme, sind die Mitarbeiter schnell in einer kompletten Überforderungssituation. Eine solche Überforderung führt dann häufig zu einer Nichtbeachtung oder Fehlinterpretation der gemachten, internen Vorgaben.“ Deshalb wird ausführlich auf die wichtigsten Fragen der Kommunikation eingegangen und zwar in Anlehnung an die zeitlichen Phasen der Kommunikation. In der Phase 1 (erster Rollout) geht es um Erstinformationen zur Einführung von Compliance an alle Mitarbeiter, um Präsenzschulungen und den Aufbau eines Compliance-Intranetauftritts, um die frühzeitige Einbindung wichtiger Entscheidungsträger sowie um das persönliche Beratungs- und Informationsangebot des Compliance-Officers. In der Phase 2 (Sensibilisierungsphase) werden die Mitarbeiter innerhalb der einzelnen Risikobereiche mit tiefergehenden Einzelheiten, etwa mittels Präsenzschulungen und Compliance-E-Learning, vertraut gemacht und sogar auf die Kommunikation bei Eintritt eines Krisenfalls (z. B. bei Ermittlungen durch die Staatsanwaltschaft) vorbereitet. In der Phase 3 (Verstetigungsphase) muss das trainierte Wissen erhalten und um aktuelle Entwicklungen erweitert werden.

Kapitel 7 beinhaltet Handlungsempfehlungen zur Überwachung und Verbesserung eines CMS, das sich stetig ändernden Anforderungen des Gesetzgebers oder zusätzlichen Herausforderungen, etwa bei neuen Geschäftsmodellen und den damit verbundenen potenziellen und tatsächlich bestehenden Risiken, anpassen muss. Von den Autoren wird in diesem Zusammenhang deutlich unterstrichen, dass dabei der Unternehmensleitung eine besondere Rolle aufgrund ihrer generellen Sorgfalts- und Aufsichtspflicht zufällt.

Kapitel 8 widmet sich der anhaltenden Bedeutung eines Compliance-Management-Systems für eine erfolgreiche Unternehmensführung. Zusätzlich werden die Anforderungen an ein effektives CMS aus Sicht der Rechtswissenschaft und Praxis thematisiert sowie die Rolle von Compliance-Standards am Beispiel des IDW PS 980 in der Neufassung von 2022 erörtert. Den entsprechenden Kriterien und Grundelementen werden sodann diejenigen Anforderungen gegenübergestellt, welche das amerikanische Department of Justice (DOJ) zur Bewertung von CMS entwickelt hat.

Kapitel 9 und 10 befassen sich mit einem Rückblick und Ausblick auf die Entwicklung der Compliance. Dabei werden Erkenntnisse aus den letzten 20 Jahren der Compliance-Entwicklung diskutiert und die Nützlichkeit eines Prüfungsstandards oder anderer, untergesetzlicher Vorgaben für den Compliance-Officer und das Unternehmen diskutiert. Zudem werden Aspekte der erweiterten Compliance, etwa im Zusammenhang mit dem Lieferkettensorgfaltspflichtengesetz (LkSG) oder der Corporate Social Reporting Directive (CSRD), erörtert.

Kapitel 11 setzt sich mit den spezifischen Voraussetzungen und Vorschriften der Compliance in der Schweiz auseinander. Hierzu werden die schweizerischen Rechtsgrundlagen für ein CMS, insbesondere die Oberleitungs- und Oberaufsichtspflicht des Verwaltungsrats, dargelegt. Danach folgt ein Überblick über die wichtigsten Schweizer Rechtsvorschriften zu ausgewählten Compliance-Risiken (u. a. Korruption, Wettbewerb, Geldwäscherei, Terrorismusfinanzierung, Wirtschaftssanktionen und Datenschutz) und es werden die Folgen sowie Haftungsrisiken bei Compliance-Verstößen näher betrachtet.

Alles in allem überzeugt das von renommierten Compliance-Experten unter der Federführung von Karl-Christian Bay (WP, RA, LL.M., Gründer der BAY GmbH Wirtschaftsprüfungsgesellschaft Rechtsanwaltsgesellschaft sowie Gründungsmitglied des DICO e.V. / Deutsches Institut für Compliance) und Katharina Hastenrath (ehemalige CCO und heute Professorin für Compliance und Governance an der Züricher Hochschule für Angewandte Wissenschaften) herausgegebene und verfasste Werk durch den gelungenen Mix aus wissenschaftlich fundierter, systematischer Bearbeitung der CMS-Materie einerseits und gut verständlicher, praxiserprobter Anleitung für die Implementierung und den Umgang mit CMS andererseits. Die vorliegende 4. Auflage berücksichtigt die neuesten Entwicklungen insbesondere in der Rechtsprechung und Gesetzgebung (etwa zum LkSG und zum HinSchG, aber auch zur Omnibus-I-Verordnung sowie zu den EU-Vorgaben im Rahmen des Green Deals und zu CSRD und CSDD) sowie die Erfahrungen mit den Chancen bzw. Risiken der Digitalisierung und Künstlichen Intelligenz im Hinblick auf die CMS. Damit kann dieses Werk zahlreiche Anregungen, Impulse und Best Practices zum Umgang mit CMS liefern sowie die tägliche Compliance-Arbeit in der DACH-Region umfassend unterstützen.