Teaser zu Compliance

Compliance und Compliance Management-Systeme

Auch wenn die Einhaltung gesetzlicher und regulatorischer Verpflichtungen als Selbstverständlichkeit erscheint, stellt sie in der Praxis angesichts zahlreicher Regelungen, die Unternehmen im deutschen, europäischen und internationalen Umfeld einhalten müssen, eine Herausforderung dar. Daher gehört die Beschäftigung mit Compliance mittlerweile bei vielen deutschen Unternehmen zu einem wichtigen Bestandteil der Corporate Governance. Insbesondere der Aufbau eines ganzheitlichen Compliance Managements und dessen organisatorische Eingliederung in das Unternehmen bestimmen die Diskussion.

Begriffsdefinition
Für den Begriff "Compliance" existiert keine Legaldefinition. Mittlerweile versteht man darunter nicht nur Regelungen zur Vermeidung von Vermögensdelikten und Korruption, sondern auch die Einhaltung aller Gesetze, Verordnungen und Richtlinien sowie von vertraglichen Verpflichtungen und freiwillig eingegangenen Selbstverpflichtungen. Compliance ist eine umfassende Aufgabe, die alle Bereiche eines Konzerns betrifft und sich auf alle Bereiche und Prozesse und allen Hierarchiestufen hinweg über auswirkt.

Bedeutung von Compliance und Folgen von Non-Compliance
In der Vergangenheit haben Rechtsverstöße einzelner Unternehmen öffentliche Kritik hervorgerufen und Imageschäden sowie hohe Kosten für die Aufklärung verursacht. Von Behörden und Gerichten wurden außerdem hohe Bußgelder und Geldstrafen gegen Unternehmen verhängt, und das nicht nur im Bereich des Wettbewerbs- und Kartellrechts. Compliance-Vorfälle haben häufig auch personelle Konsequenzen an der Unternehmensspitze nach sich gezogen. Die obersten Leitungs- und Überwachungsebenen wurden zudem auch persönlich in Haftungsfälle verwickelt.

Rechtliche Verankerung
Im deutschen Recht existieren keine Vorgaben, die die Einrichtung eines Compliance Management-Systems zwingend voraussetzen. Durch das Bilanzrechtsmodernisierungsgesetz (BilMoG) wurden allerdings die Überwachungsaufgaben des Aufsichtsrats konkretisiert. Sie umfassen die Überwachung der Wirksamkeit des Risikomanagements, der Internen Kontrollen und der Internen Revision. Zu einem wirksamen und effektiven Risikomanagement gehört dabei auch ein effizienter und standardisierter Umgang mit denjenigen Risiken, die mit Compliance-Verstößen verbunden sind.

Darüber hinaus greift der Deutsche Corporate Governance Kodex (DCGK) das Thema Compliance explizit auf. So hat nach Tz. 4.1.3 DCGK der Vorstand für die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien zu sorgen und auf deren Beachtung durch die Konzernunternehmen hinzuwirken. Zudem soll er den Aufsichtsrat regelmäßig, zeitnah und umfassend über alle für das Unternehmen relevanten Fragen der Compliance informieren (Tz. 3.4 DCGK). Dem Aufsichtsrat und dem Prüfungsausschuss wird ebenfalls empfohlen, sich mit Fragen der Compliance zu befassen (Tz. 5.3.2 DCGK). Auch wenn sich der Kodex mit seinen Empfehlungen in erster Linie an börsennotierte Aktiengesellschaften wendet, gelten die darin festgeschriebenen Prinzipien als allgemeine "Good Practice".

Compliance Management-System
Ziel eines Compliance Management-Systems ist es, dass sich Organmitglieder, Führungskräfte und Mitarbeiter rechtskonform und entsprechend den Unternehmenswerten verhalten. Dadurch sollen Rechtsverstöße und ihre negativen Folgen für das Unternehmen zumindest weitestgehend reduziert werden.

Das Compliance Management-System muss auf die individuellen Besonderheiten und Bedürfnisse jedes einzelnen Unternehmens angepasst werden. Dennoch haben sich in der Praxis gewisse Elemente herausgebildet, die einer Vielzahl von Systemen zugrunde liegen:

  • Identifizierung und Systematisierung von Compliance-Pflichten und -Risiken
  • Festlegung von Compliance-Standards in Form von Verhaltenskodizes und sonstigen Richtlinien
  • Information und Schulung der Mitarbeiter als Präventivmaßnahmen
  • Einrichtung von Kontrollen und Überwachung der Einhaltung von Compliance-Vorgaben
  • Etablierung eines standardisierten Umgangs mit Compliance-Verstößen (inklusive Maßnahmen zur Schadensbegrenzung und Verbesserung für die Zukunft)
  • Regelmäßige Berichterstattung an Vorstand und Aufsichtsrat beziehungsweise an einen eventuell eingesetzten Prüfungsausschuss