Compliance ist die betriebswirtschaftliche und rechtswissenschaftliche Umschreibung für die Regeltreue (auch Regelkonformität) von Unternehmen, also die Einhaltung von Gesetzen, Richtlinien und freiwilligen Kodizes. Die Gesamtheit der Grundsätze und Maßnahmen eines Unternehmens zur Einhaltung bestimmter Regeln und damit zur Vermeidung von Regelverstößen wird als „Compliance Management System“ bezeichnet (in Deutschland IDW PS 980 Tz.6 von der „Regierungskommission Deutscher Corporate Governance Kodex“).
Definition Bearbeiten
Der Deutsche Corporate Governance Kodex (DCGK) definiert Compliance als die in der Verantwortung des Vorstands liegende Einhaltung der gesetzlichen Bestimmungen und unternehmensinternen Richtlinien.
„Der Begriff Compliance steht für die Einhaltung von gesetzlichen Bestimmungen, regulatorischer Standards und Erfüllung weiterer, wesentlicher und in der Regel vom Unternehmen selbst gesetzter ethischer Standards und Anforderungen.“
Bei Kreditinstituten steht insbesondere die Einhaltung der Vorschriften aus dem Wertpapierhandelsgesetz im Fokus.
Regeltreue als Anforderung an Unternehmen Bearbeiten
Die Notwendigkeit zur Einhaltung gesetzlicher Regelungen durch Unternehmen ergibt sich aus dem Grundsatz, dass Gesetze – auch durch juristische Personen – einzuhalten sind. Unternehmen und Unternehmensverantwortliche sind über die Paragraphen §§ 9, 30 und 130 des Gesetzes über Ordnungswidrigkeiten (OWiG) gefordert, dafür Sorge zu tragen, dass aus dem Unternehmen heraus keine Gesetzesverstöße erfolgen. Werden entsprechende Organisations- und Aufsichtsmaßnahmen nicht ergriffen, können Unternehmensleitung und auch das Unternehmen selbst zu Strafen verurteilt werden, wenn es aus dem Unternehmen zu Gesetzesverstößen gekommen ist. Macht sich somit ein Mitarbeiter des Unternehmens durch Korruption strafbar, so drohen dem Unternehmen nicht nur zivilrechtliche Klagen des Geschäftspartners, dessen Mitarbeiter bestochen wurden. Vielmehr muss auch das Unternehmen damit rechnen, dass gegen das Unternehmen oder gegen die Unternehmensleitung ein Ordnungswidrigkeitenverfahren eingeleitet wird, weil den Organisations- und Aufsichtspflichten nicht nachgekommen wurde.
Eine Sanktionierung nach §§ 130, 30 OWiG ist nicht zwingend nur auf das Einzelunternehmen beschränkt, sondern kann sich im Einzelfall auch gegen die Konzernobergesellschaft richten, obwohl die Bestechungshandlung (oder eine sonstige strafbewehrte Zuwiderhandlung) in der Sphäre der Tochtergesellschaft stattfindet. Daneben regeln eine Vielzahl von gesetzlichen Vorschriften unmittelbare Pflichten und Verantwortungen des Unternehmens, die dieses einzuhalten hat und bei deren Nichteinhaltung dem Unternehmen unter Umständen empfindliche Strafzahlungen drohen (z. B. aus Kartellverstößen). Eine Pflicht zur Sicherstellung der Regeltreue ergibt sich somit auch aus §§ 91, 93 AktG – sowie § 43 GmbHG zur Abwendung von wirtschaftlichen Schaden vom Unternehmen.
Die (Stand: 2011) weltweit strengsten Anforderungen an konkrete Compliancemaßnahmen in Unternehmen enthält das britische Anti-Korruptions-Gesetz Bribery Act 2010.
Folgen von Regelbrüchen Bearbeiten
Die Nichteinhaltung von Regeln kann zu Unternehmensstrafen, Bußgeldern, Gewinnabschöpfung oder dem Verfall des durch den Gesetzesverstoß erzielten Gewinns führen. Diese direkten Verluste werden durch zusätzliche externe und interne Kosten für Verfahren, Schadenersatzansprüche und Rückabwicklungen erhöht.
Compliancekultur Bearbeiten
Als Compliancekultur werden die Grundeinstellungen und Verhaltensweisen, die von der Unternehmensleitung vermittelt werden, bezeichnet. Die Compliancekultur soll allen Unternehmensbeteiligten sowie auch Kunden und Lieferanten des Unternehmens die Bedeutung vermitteln, die das Unternehmen der Beachtung von Regeln beimisst, und damit bei allen Beteiligten die Bereitschaft zu regelkonformem Verhalten fördern. Compliancekultur wird häufig als Basis des CMS bezeichnet. Vielfach wird die Compliancekultur in besonderen Richtlinien oder Verhaltenskodizes (z. B.: „Mission Statement“ oder „Code of Conduct“) festgehalten und auch im Intranet- oder Internet-Auftritt des Unternehmens veröffentlicht.
Eine wirksame Compliancekultur erfordert aber neben solchen „offiziellen“ Kommunikationen vor allem eine Spiegelung der Grundsätze im tatsächlichen Handeln und Auftreten aller Unternehmensverantwortlichen auf allen Managementebenen. Werte können nur glaubhaft vermittelt werden, wenn diese auch erkennbar von den Vermittelnden selbst gelebt werden.
Konkrete Regeln z. B. zur Vermeidung von Korruption und Kartellabsprachen, dem Einhalten von Vorgaben bezüglich Datenschutz und Gleichbehandlung, der Beachtung von Vorschriften zu Produktsicherheit und Arbeitsschutz, werden manchmal als Teil der Compliancekultur betrachtet, zählen aber eher zum konkreten Complianceprogramm. Gleiches gilt für Regelstrukturen wie z. B. Hotlines (Whistleblowing Hotline), die unternehmensintern oder bei externen Ansprechpartnern eingerichtet sind, und bei denen Regelverstöße gemeldet werden können.
Ziele Bearbeiten
Risikominimierung, Effizienzsteigerung und Effektivitätssteigerung sind die vorrangigen Ziele von Compliance. Die Abbildung verdeutlicht in diesem Zusammenhang die betriebswirtschaftlichen Effekte des strategischen Einsatzes von Compliancemaßnahmen.
Complianceprozesse Bearbeiten
Für die Durchführung der betrieblichen Complianceaktivitäten ist die Etablierung von Geschäftsprozessen erforderlich. Es handelt sich bei diesen Prozessen um Supportprozess, d. h. die Complianceprozesse beziehen sich auf die Unterstützung und risikoorientierte Steuerung der originären Geschäftsprozesse im Unternehmen.
Zertifizierung des Compliancemanagementsystems Bearbeiten
Der „Standard für Compliance Management Systeme“ (TR CMS 101:2011) richtet sich an Organisationen wie Unternehmen, Behörden und Nichtregierungsorganisationen (NGOs) und beschreibt die Elemente, die ein funktionsfähiges und wirksames Compliancemanagementsystem ausmachen. Er wurde vom TÜV Rheinland veröffentlicht und 2015 durch die neue Fassung „Standard für Compliance-Management-Systeme“ (TR CMS 101:2015) abgelöst und um den Compliance-Leitfaden (TR CMS 100:2015) ergänzt. Er zeigt auf, welche nachprüfbaren Maßnahmen zu treffen sind, um eine Complianceorganisation systematisch einzurichten, aufrechtzuerhalten, zu überwachen und ständig zu verbessern. Dies dient dem Ziel, alle relevanten Complianceanforderungen erreichen zu können. Der Standard TR CMS 101:2011 dient damit zugleich als Maßstab für die Zertifizierung eines bestehenden Compliancemanagementsystems. Er verlangt nicht das Schaffen bestimmter Strukturen oder Funktionen für das Erfüllen von Compliance, sondern fordert lediglich eine systematische Herangehensweise und die Umsetzung bestimmter (Mindest-)Elemente. Nach dem Standard müssen Compliancemanagementsysteme nicht einheitlich ausgestaltet sein, sondern können ausdrücklich den Besonderheiten der Organisation – wie Größe, Struktur, Aktivitäten, Produkte, spezifische Risiken etc. – Rechnung tragen. Organisationen haben damit ein hohes Maß an Flexibilität bei der Umsetzung ihres Compliancemanagementsystems.
Vergleichbar mit den Standards für Qualitätsmanagementsysteme (ISO 9001:2008) oder für Risikomanagementsysteme (ONR 49001:2004), enthält der Standard TR CMS 101:2011 Aussagen über das Festlegen von Complianceverantwortlichkeiten, die Bereitstellung von Ressourcen, die Durchführung von Audits und über die Notwendigkeit der kontinuierlichen Verbesserung. Darüber hinaus führt er die spezifischen Merkmale auf, die ein wirksames und von Einzelpersonen unabhängiges Compliancemanagementsystem aufweisen muss. Im Sinne einer ganzheitlichen Sichtweise von Compliance berücksichtigt der Standard auch die Aspekte „Organisationskultur“ und „Kommunikation“.
Der Standard TR CMS 101:2011 ist gegliedert in:
Durch seinen organisationsübergreifenden und systematischen Ansatz ist es möglich, das Compliancemanagementsystem einer Organisation durch einen unabhängigen Dritten anhand des Standards TR CMS 101:2011 zertifizieren zu lassen. Die Zertifizierung findet typischerweise in zwei Stufen statt:
- Stufe 1 des Zertifizierungsaudits klärt die Zertifizierungsfähigkeit. Dabei erfolgt eine Prüfung, ob die Zertifizierungsvoraussetzungen grundsätzlich gegeben sind, das heißt, ob das Compliancemanagementsystem und seine Elemente dokumentiert sind (sog. „Dokumentenaudit“), ob ein Complianceverantwortlicher benannt wurde und ob Systembewertungen durch das Management vorgenommen wurden.
- In Stufe 2 des Zertifizierungsaudits findet die Überprüfung aller Elemente eines Compliancemanagementsystems auf Basis von Stichproben statt. Die Auditoren verfassen anschließend einen Bericht über das durchgeführte Audit. Im Falle eines positiven Befundes erteilt die Zertifizierungsstelle des Zertifizierers auf Empfehlung der Auditoren das Zertifikat. Dieses hat eine Gültigkeitsdauer von drei Jahren. Während dieses Zeitraums finden jährliche Überwachungsaudits statt.
Im Rahmen eines Voraudits kann optional vorab die Zertifizierbarkeit getestet werden. Häufig empfehlen sich auch vorgelagerte „Complianceselfassessments“, die von der Organisation selbst durchgeführt werden können und die von Dienstleistern angeboten werden.
Prüfung von Compliancemanagementsystemen Bearbeiten
Der Prüfungsstandard zur ordnungsmäßigen Durchführung der Prüfung von Compliancemanagementsystemen des Institut der Wirtschaftsprüfer Deutschlands e. V. legt die berufsständische Auffassung der deutschen Wirtschaftsprüfer fest, welche Anforderungen an Annahme, Planung und Durchführung von solchen Prüfungen zu stellen sind. Darüber hinaus definiert der Standard auch erstmals allgemeingültige strukturelle Anforderungen an ein CMS, ohne dabei konkrete Maßnahmen oder Prozesse einzufordern.
Siehe auch Bearbeiten
Literatur Bearbeiten
- Stefan Behringer (Hrsg.): Compliance kompakt – BestPractice im Compliance-Management, Erich Schmidt Verlag, Berlin 2010, ISBN 978-3-503-12076-5.
- Oliver Böhm/Hilmar Siebert/Lothar Weiler/Jan Wilimzig: Compliance und Unternehmenstransaktionen in Wolfgang Lück (Hrsg.): Jahrbuch für Wirtschaftsprüfung, Interne Revision und Unternehmensberatung 2012, Oldenbourg Verlag, München 2012, ISBN 978-3-486-71357-2.
- Jens Claussen: Compliance- oder Integrity-Management – Maßnahmen gegen Korruption in Unternehmen, Metropolis Verlag, Marburg 2011, ISBN 978-3-89518-871-8.
- Helmut Görling/Cornelia Inderst/Britta Bannenberg: Compliance – Aufbau, Management, Risikobereiche, C.F. Müller, Heidelberg 2010, ISBN 978-3-8114-3648-0.
- Christoph E. Hauschka: Corporate Compliance – Handbuch der Haftungsvermeidung im Unternehmen. Verlag C. H. Beck, München 2007, ISBN 978-3-406-54708-9.
- Daniel G. Meister: Corporate Governance und Compliance-Management für Versicherungsunternehmen – Vor dem Hintergrund der Umsetzung von Solvency II, 2007, ISBN 978-3-8364-3383-9.
- Klaus Moosmayer: Compliance -Praxisleitfaden für Unternehmen, Verlag C.H. Beck, München 2010, ISBN 978-3-406-54708-9.
- Mark Pieth: Anti-Korruptions-Compliance : Praxisleitfaden für Unternehmen, Dike, Zürich 2011, ISBN 978-3-03751-365-1.
- Gregor Thüsing: Arbeitnehmerdatenschutz und Compliance. Verlag C.H. Beck, München 2010, ISBN 978-3-406-60497-3.
- Josef Wieland/Roland Steinmeyer/Stephan Grüninger: Handbuch Compliance-Management. Konzeptionelle Grundlagen, praktische Erfolgsfaktoren, globale Herausforderungen, 2. Auflage 2015, Erich Schmidt Verlag, ISBN 978-3-503-15679-5.
- Ines Zenke, Ralf Schäfer, Holger Brocke, Risikomanagement, Organisation, Compliance für Unternehmer, de Gruyter Verlag, Berlin 2015, ISBN 978-3-11-035463-8.
- Zenke, Ines/Schäfer, Ralf/Brocke, Holger (Hrsg.): Corporate Governance, Risikomanagement, Organisation, Compliance für Unternehmer (2. Aufl.). De Gruyter, Berlin 2020, ISBN 978-3-11-066779-0.
Einzelnachweise Bearbeiten
- Nicola Ohrtmann, Rolf Stober: Compliance: Handbuch für die öffentliche Verwaltung. Kohlhammer Verlag, 2015, ISBN 978-3-17-028791-4 (google.de [abgerufen am 7. Juni 2018]).
- Institut der Wirtschaftsprüfer in Deutschland Prüfungsstandard 980 Grundsätze ordnungsmäßiger Prüfung von Compliance Management Systemen Quelle: WPg Supplement 2/2011, S. 78 ff., FN-IDW 4/2011, S. 203 ff.ml
- Bundesministerium der Justiz und für Verbraucherschutz: Bekanntmachung des Deutschen Corporate Governance Kodex in der Fassung vom 24. Juni 2014, (BAnz AT 30.09.2014 B1, 4.1.3).
- ↑ Compliance – ein Thema mit vielen Facetten. In: Umwelt Magazin. Heft 7/8 2011, Seite 50.
- OLG München (3. Strafsenat), Beschluss vom 23. September 2014 – Az. 3 Ws 599/14, 3 Ws 600/14 mit Verweis auf Caracas: Verantwortlichkeit in internationalen Konzernstrukturen nach § 130 OWiG – Am Beispiel der im Ausland straflosen Bestechung im geschäftlichen Verkehr, Nomos Verlag, Baden-Baden 2014, ISBN 978-3-8487-0992-2.
- Jörg Tüllner: (Memento vom 12. April 2013 im Internet Archive) pwc Deutschland, 2011.
- PDF bei www.tuv.com.
- Broschüre erhältlich bei TÜV Media GmbH, www.tuev-media.de.