Compliance
Aus ControllingWiki
Inhaltsverzeichnis
- 1 Zusammenfassung
- 2 Begriffserläuterung
- 3 Compliance als Sorgfaltspflicht der Geschäftsleitung
- 4 Ziel eines Compliance-Management-Systems (CMS)
- 5 Wesentliche Compliance-Themen eines CMS
- 6 Die drei Kernfunktionen eines CMS
- 7 Anforderungen an ein funktionierendes CMS
- 8 Fazit
- 9 Literatur
- 10 Ersteinstellende Autoren
Zusammenfassung
Das Thema Compliance hat insbesondere aufgrund größerer Korruptions- und Kartellrechtsskandale in der jüngeren Vergangenheit an Brisanz gewonnen und ist für jedes Unternehmen – unabhängig von der Größe und Komplexität – von Bedeutung.
Begriffserläuterung
Der Begriff Compliance stammt aus dem Angloamerikanischen. Das englische Verbum „to comply [with]“ bedeutet u. a. „einhalten“, „befolgen“, „sich nach etwas richten“, aber auch „sich unterwerfen“, „sich schicken“, „sich fügen“ und „nachgeben“. Im Unternehmens- und Organisationsbereich bedeutet Compliance somit die Befolgung der Gesetze und regulatorischen Anforderungen, der Organisationsgrundsätze, interner Kodizes und Richtlinien, der Prinzipien einer guten Unternehmens- bzw. Organisationsführung (Good Governance) sowie allgemein akzeptierter ethischer Normen (Grüninger, 2014).
Compliance als Sorgfaltspflicht der Geschäftsleitung
Die Vorstandsmitglieder einer Aktiengesellschaft haben bei ihrer Geschäftsführung die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden (§93 Abs. 1 S. 1 AktG). Für den Geschäftsführer einer GmbH wird nach §43 Abs. 1 GmbHG für seine Pflichterfüllung der gleiche Maßstab bzgl. der Sorgfalt angelegt. Welche konkreten einzelnen Sorgfaltspflichten nun allerdings dem Vorstand/Geschäftsführer obliegen, regelt das Gesetz nur unzureichend. Insoweit ist vor allem auf die Rechtsprechung zurückzugreifen. Die sogenannte Legalitätspflicht der Geschäftsleitung verlangt von dieser dafür Sorge zu tragen, dass sich die Gesellschaft in ihren Außenbeziehungen rechtmäßig verhält, d.h. sämtliche Rechtsvorschriften einhält, die das Unternehmen als Rechtssubjekt treffen (hierzu zählen z.B. die Vorschriften des Zivil- und Wirtschaftsrechts, namentlich des Bilanz-, Kartell- und Wettbewerbsrechts, die Vorschriften des Arbeits-, Sozial- und Steuerrechts, die Regelungen des Verwaltungsrechts sowie die Bestimmungen des Straf- und Ordnungswidrigkeitsrechts) (vgl. BGHZ 129, 236, Fleischer, 2010).
Um dieser Legalitätspflicht gerecht zu werden, wird die Geschäftsleitung eines Unternehmens schwerlich umhin kommen, ein Compliance-Management-System (CMS) im Unternehmen zu errichten, welches die Begehung von Gesetzesverstößen durch Mitarbeiter der Gesellschaft verhindern bzw. aufdecken soll.
Ziel eines Compliance-Management-Systems (CMS)
Ein CMS dient damit der Sicherstellung von Compliance im Unternehmen durch geeignete Maßnahmen, mit dem Ziel der Herstellung und Erhaltung einer integren und regeltreuen Unternehmensführung. Für Unternehmen besteht jedoch die Schwierigkeit in der Beantwortung der Frage nach dem konkreten „Wie“ bzgl. der erforderlichen Compliance-Maßnahmen. Es stellt sich hierbei insbesondere die Frage, wann die Geschäftsleitung ihrer Sorgfaltspflicht im Rahmen eines CMS Genüge getan hat.
Den Risikofaktor Mensch wird es immer geben. Es dürfte auf der Hand liegen, dass selbst das sorgfältigste und umfassendste CMS nicht in der Lage sein wird, sämtliche möglichen Verstöße durch Mitarbeiter gegen Recht und Gesetz zu verhindern. Ein solches CMS darf von einem Unternehmen auch nicht erwartet werden. Diesen Umstand berücksichtigen z.B. auch die US Sentencing Guidelines. Bei diesen handelt es sich um Richtlinien, die in den USA von Richtern bei der Festsetzung des Strafmaßes verwendet werden. Die US Sentencing Guidelines, die bereits im Jahre 1991 geschaffen wurden und damit wohl als der älteste CMS-Standard gelten, fordern, dass Unternehmen mittels eines „Effective Compliance and Ethics Program” in der Lage sind, strafbares Verhalten (criminal conduct) zu vermeiden (prevent), aufzudecken (detect) und bei Vorliegen von strafbarem Verhalten angemessen zu reagieren (respond appropriately). Hierbei ist von Bedeutung, dass es bei einem Unternehmen im Falle von Verstößen zu einer Verringerung des Strafmaßes führen kann, wenn das Unternehmen entsprechend Kapitel 8 der USSG ein solches Programm zur Verhinderung und Aufdeckung von Gesetzesverstößen (also ein Compliance-Programm) vorweisen kann.
Wesentliche Compliance-Themen eines CMS
Von einem CMS werden vor allem die Themen wie Korruptionsbekämpfung und Fairness im Wettbewerb (insbesondere Kartellrecht) adressiert, die aufgrund zahlreicher Fälle in diesen Bereichen im Fokus der öffentlichen Debatte stehen. Dass diese Themen die Unternehmen umtreiben belegt eine aktuelle Studie der zufolge 75 % der befragten mittelständischen Unternehmen angaben, dass die Vermeidung von Bestechung ein relevantes Thema im Bereich Compliance ist (Grüninger/Schöttl/Quintus, 2014). Wettbewerbsdelikte hielten 68 % für relevant. Aber auch, Themen wie Umweltschutz, Menschenrechte, Arbeit- und Sozialstandards (Social Compliance) spielen bei den Unternehmen eine Rolle. So äußerten 65 % der befragten Unternehmen, dass Arbeits- und Sozialstandards relevante Compliance-Themen seien, bezüglich des Umweltschutzes konstatierten dies immerhin noch 48 % der Unternehmen (Grünin-ger/Schöttl/Quintus, 2014). Themen wie Produktsicherheit, IT-Compliance, Marken- und Patentrechtsschutz und Financial Accounting, Reporting & Taxes hingegen werden in der Praxis überwiegend von anderen Fachabteilungen wahrgenommen.
Die grün markierten Themen werden üblicherweise von einer Compliance-Abteilung betreut, während die grauen Compliance-Themenfelder von anderen Funktionen in Unternehmen betreut werden.
Die drei Kernfunktionen eines CMS
Um seine Ziele zu erreichen, hat ein CMS drei Funktionen zu erfüllen: An erster Stelle steht die Vermeidung von Fehlverhalten und die Förderung integren Verhaltens im Unternehmen (Präventionsfunktion, „Prevent“). Präventionsmaßnahmen stellen beispielsweise die Erstellung interner Richtlinien für die Mitarbeiter dar, die festlegen, welche Handlungen gewünscht, gefordert oder unzulässig sind sowie diesbezügliche Schulungs- und Sensibilisierungsmaßnahmen. Zweitens umfasst ein CMS Maßnahmen zur Aufdeckung von Fehlverhalten (Aufdeckungsfunktion, „Detect“), z.B. durch die Implementierung von Überwachungs- und Kontrollmaßnahmen. Und drittens erfordert ein CMS eine reaktive Komponente, die eine angemessene Sanktion entdeckter Compliance-Verstöße beinhaltet (arbeitsrechtliche Sanktionen wie Abmahnung und Kündigung, strafrechtliche Sanktion wie Erstattung von Strafanzeige gegen den Mitarbeiter und schließlich zivilrechtliche Sanktionen wie z.B. die Geltendmachung von Schadensersatzansprüchen der Gesellschaft gegen den Mitarbeiter) und einen (kontinuierlichen) Verbesserungsprozess anstößt (Reaktionsfunktion, „Respond“).
Anforderungen an ein funktionierendes CMS
Aus den Anforderungen relevanter Gesetze sowie verschiedener anerkannter einschlägiger Standards im Bereich Compliance und Integrity Management (z.B. Prüfungsstandard PS 980 des Instituts der Wirtschaftsprüfer (IDW PS 980); Red Book der Open Compliance and Ethics Group (OCEG); US Sentencing Guidelines; Guidance des britischen Justizministeriums zum UK Bribery Act; ComplianceProgramMonitor des Zentrum für Wirtschaftsethik) lassen sich verschiedene zentrale Aspekte eines funktionsfähigen CMS identifizieren und zu den folgenden Elementen verdichten, die ein CMS umfassen muss, damit es die ihm zugewiesenen Funktionen der Prävention, Aufdeckung und Reaktion erfüllen kann:
- Risikoidentifikation und -bewertung
- Compliance-Organisation und Governance-System
- Verhaltensgrundsätze und -richtlinien
- Geschäftspartnerprüfung
- Compliance-Kommunikation und Schulung
- Integration in HR-Prozesse
- Überwachungs- und Kontrollmaßnahmen
- Führung und Unternehmenskultur
In der nachfolgenden Abbildung 2 sind zu jedem dieser Elemente die Zielsetzungen aufgeführt, die jeweils mit dem einzelnen CMS-Element verfolgt werden.
Für die Unternehmen stellt sich hierbei die wesentliche Frage, welche Compliance-Maßnahmen und Strukturen tatsächlich im Unternehmen notwendig sind, um die Zielsetzungen der einzelnen CMS-Elemente zur erfüllen und damit ein wirksames Compliance Management sicherzustellen? Gibt es bestimmte Voraussetzungen, die Einfluss darauf nehmen, wie umfangreich eine Compliance-Organisation für ein bestimmtes Unternehmen auszugestalten ist? Denn in der Unternehmenslandschaft findet sich eine große Bandbreite an Ausgestaltungen von Compliance-Organisationen, die von relativ „schlanken“ Strukturen (d.h. dass z.B. Auf-gaben im Bereich des Compliance-Managements durch Führungskräfte und Mitarbeiter zusätzlich zu bestehenden Rollen und Verantwortlichkeiten übernommen werden) bis hin zu umfassend angelegten Compliance-Strukturen in Großunternehmen und Konzernen reichen, in deren unternehmensweiter Compliance-Organisation eine Vielzahl von Mitarbeitern tätig sind.
Im Rahmen des vom Bundesministerium für Bildung und Forschung geförderten Forschungsprojektes „Leitlinien für das Management von Organisations- und Aufsichtspflichten“ hat das Konstanz Institut für Corporate Governance (KICG) der Hochschule Konstanz für Unternehmen unterschiedlicher Größe und Compliance-Komplexität insgesamt vier Leitlinien erstellt, die zu jedem dieser Elemente sowohl die Zielsetzungen beschreiben, die jeweils mit dem einzelnen CMS-Element verfolgt werden, als auch spezifische Handlungsemp-fehlungen enthalten, mit welchen Compliance-Maßnahmen sich diese Ziele erreichen lassen. Begleitet werden die vier Leitlinien von einer übergeordneten Guidance und einem Annex (Grüninger/Jantz/Schweikert/Steinmeyer, 2014b)
Fazit
Ein CMS kann dann als funktionierend angesehen werden, wenn im Unternehmen einerseits die angeführten acht CMS-Elemente umgesetzt sind und andererseits die implementierten CMS-Maßnahmen und -Instrumente geeignet sind, die Zielsetzung des jeweiligen entsprechenden Elements zu erreichen und von den Mitarbeitern auch tatsächlich gelebt werden.
Literatur
Fleischer, H., in: Spindler, Stilz (Hrsg.), Aktiengesetz, Band 1, 2. Auflage, 2010, §93 Rn.23.
Grüninger S., Werteorientiertes Compliance-Management-System, in: Wieland, Steinmeyer, Grüninger (Hrsg.), Handbuch Compliance-Management – Konzeptionelle Grundlagen, praktische Erfolgsfaktoren, globale Herausforderungen, 2. Auflage, 2014, S.41.
Grüninger, S./ Jantz, M./ Schweikert, C. & Steinmeyer, R., Compliance-Komplexitätsstufen und Anforderungen an ein funktionsfähiges Compliance-Management-System verschiedener Unternehmenstypen, in: Wieland, Steinmeyer, Grüninger (Hrsg.), Handbuch Compliance-Management – Konzeptionelle Grundlagen, praktische Erfolgsfaktoren, globale Herausforde-rungen, 2. Auflage, 2014a, S.120-121.
Grüninger, S./ Jantz, M./ Schweikert, C. & Steinmeyer, R., in: Grüninger/Konstanz Institut für Corporate Governance (Hrsg.), Empfehlungen für die Ausgestaltung und Beurteilung von Compliance-Management-Systemen. KICG CMS-Guidance zu den Leitlinien 1 bis 4 für das Management von Organisations- und Aufsichtspflichten, KICG CMS-Leitlinie 1 für Unter-nehmen bis zu 250 Mitarbeitern , KICG CMS-Leitlinie 2 für Unternehmen mit 250 bis 3.000 Mitarbeitern, KICG CMS-Leitlinie 3 für Unternehmen mit 3.000 bis 20.000 Mitarbeitern, KICG CMS-Leitlinie 4 für Unternehmen mit mehr als 20.000 Mitarbeitern, KICG CMS-Annex – Spezifische Anforderungen und Risikotreiber für die Ausgestaltung von Complian-ce-Management-Systemen., 2014 (abrufbar unter: [1]).
Grüninger, S./ Schöttl, L. & Quintus, S., Compliance im Mittelstand. Eine Studie des Center for Business Compliance & Integrity, 2014, S. 25.
Ersteinstellende Autoren
Prof. Dr. Stephan Grüninger ([2], +49 7531 206-251)
Rechtsanwalt Maximilian Jantz ([3], +49 7541 372673)