Compliance

3. Compliance-Ziele

3.1 Definition

165

Die Angemessenheit der in einem CMS enthaltenen Maßnahmen hängt von den mit dem CMS verfolgten Zielen bzw. dem Zielekanon ab; insofern besteht eine „Definitionspflicht“ der Geschäftsleitung.[23] Dabei wird oftmals „Zero Tolerance“, d.h. die unbedingte Einhaltung von Gesetzen und Richtlinien, als zentrales Ziel gesteckt. Dieses kann nicht isoliert und losgelöst von den übrigen strategischen und operativen Unternehmenszielen verfolgt werden. So kann dieses zentrale Ziel die übrigen Unternehmensziele dergestalt beeinflussen, dass sich das Unternehmen aus bestimmten Geschäftsfeldern oder Ländern zurückzieht, weil die erfolgreiche geschäftliche Entwicklung nur unter Hinnahme von Compliance-Verstößen erreichbar erscheint.[24] Sofern „Zero-Tolerance“ nicht das Ziel ist, müssen klare Kriterien für die anzuwendende Toleranz bei Compliance-Verstößen genannt werden.[25]

166

Des Weiteren bedeutet die Formulierung der Compliance-Ziele auch die Festlegung der in das CMS einbezogenen Teilbereiche sowie die Festlegung der in den Teilbereichen einzuhaltenden Regeln.[26] Hier können – abhängig von den ins CMS einbezogenen Teilbereichen – Anforderungen auch aus exogenen Quellen kommen (Spezialgesetze wie § 52a Abs. 2 BImSchG, § 53 Abs. 2 KrW-/AbfG, § 14 Abs. 2 GwG,[27] dem UK Bribery Act sowie aus Anforderungen von Kunden, Lieferanten oder Kapitalgebern[28]).

3.2 Prüfung

167

Die Prüfung der Zielbeschreibung richtet sich insbesondere auf folgende Anforderungen aus:[29]

168

Als Prüfungshandlungen werden insbesondere Gespräche mit Management und Aufsichtsorganen, die Durchsicht von Protokollen von Geschäftsleitungs- und Aufsichtsratssitzungen, eine Durchsicht von Berichten der Internen Revision in Hinblick auf Zielabweichungen sowie Gespräche mit Compliance-Verantwortlichen und der Leitung der Internen Revision in Hinblick auf verfügbare Ressourcen durchgeführt werden.

4. Compliance-Programm

4.1 Definition

169

Das Compliance-Programm operationalisiert die nach Festlegung der Compliance-Ziele und der sie bedrohenden Compliance-Risiken notwendigen Grundsätze und Maßnahmen. Diese sind ausgerichtet auf die Zwecke eines CMS und sollen daher sowohl präventiv als auch aufdeckend und sanktionierend ausgestaltet sein. Zur Sicherstellung der unterbrechungsfreien Anwendung und Personenunabhängigkeit im Unternehmen sollte das Compliance Programm dokumentiert sein.[32] Neben explizit für das CMS institutionalisierten Programmbestandteilen wie z.B. einem Hinweisgebersystem sowie Berichtswegen zur Kommunikation von Verstößen umfasst das Programm insbesondere integrierte Kontrollen, mit denen die Einhaltung der Grundsätze und die Durchführung der Maßnahmen sichergestellt werden.

4.2 Prüfung

170

Die Prüfung des Compliance-Programms bildet einen Schwerpunkt der CMS-Prüfung, da es als Bindeglied zwischen Compliance-Zielen und Compliance-Risiken prozessual dafür Sorge zu tragen hat, dass die angestrebten Ziele erreicht werden. Mit der Einbindung entsprechender Maßnahmen in die Unternehmensprozesse soll sichergestellt werden, dass eine Beachtung compliance-relevanter Aspekte durchgängig erfolgt. Beispielhafte dazu implementierte Kontrollen sind dabei insb. Funktionstrennungen, Berechtigungskonzepte, Genehmigungsverfahren, Unterschriftsregelungen, Vorkehrungen zum Vermögensschutz sowie unabhängige Gegenkontrollen (4-Augen-Prinzip).[33] Wesentliche Bestandteile des Compliance-Programms sind dabei Richtlinien, das Business Partner Screening, Hinweisgebersysteme und sonstige im internen Kontrollsystem verankerte Kontrollen mit direktem Compliance Bezug.

171

Ein zentrales Medium innerhalb des CMS zur direkten Adressierung von Compliance Risiken stellen die unternehmensinternen Richtlinien und Merkblätter dar. In ihnen kann das Verständnis von Compliance in den jeweiligen Teilbereichen sowie eine Konkretisierung und damit Operationalisierung in die täglichen Unternehmensprozesse erfolgen. In der Praxis finden sich hier in Abhängigkeit von den wesentlichen rechtlichen Teilgebieten z.B. Richtlinien für den Umgang mit Lieferanten, Kunden, Sponsorentätigkeit, Spenden, Geschenke, Entertainment, Einladungen, Provisionszahlungen, Reisen oder Exportgeschäfte. Im Rahmen der Prüfung wird sich der CMS-Prüfer neben der eigenen Würdigung (unter Zuhilfenahme juristischer Expertise) der Inhalte auf Angemessenheit auch mit Entstehung der Richtlinie beschäftigen, d.h. welchem Prozess der Entwurf und die inhaltlichen Freigabe der Dokumente unterlegen hat. Nur so kann sichergestellt werden, dass die notwendige Expertise eingeflossen ist und die Richtlinie überhaupt geeignet sein kann, die identifizierten Risiken zu adressieren. Von zentraler Bedeutung ist die Anpassung an geänderte rechtliche und tatsächliche Verhältnisse, was in der Praxis oftmals zu Unklarheiten hinsichtlich der jeweils gültigen Fassung geführt hat. Hier haben zahlreiche Unternehmen inzwischen Arbeitshilfen eingeführt, die sämtliche geltenden Richtlinien sowie ein Versionsmanagement enthalten und die den Mitarbeiten eine Schlagwortsuche ermöglichen.

172

Darüber hinaus muss gewährleistet werden, dass die Richtlinien der Zielgruppe vollumfänglich, zeitnah und in der jeweiligen Landessprache zur Verfügung gestellt wurden. Zumindest jedoch sollten diese in gängigen Sprachen vorliegen (z.B. Englisch), so dass sie von den relevanten Adressaten bei weltweiten Konzernen jederzeit ohne Verlust von wichtigen Informationen verstanden und umgesetzt werden können. Auch die regelmäßige Aktualisierung (und der hier zugrunde liegende Genehmigungsprozess) der Inhalte und die sich anschließende Kommunikation muss dabei untersucht werden. Die Richtlinien können den Mitarbeitern in Papierform, per E-Mail oder auch nach entsprechender Ankündigung über ein unternehmensinternes Intranet bereitgestellt werden. Auch hierbei ist darauf zu achten, dass die Kommunikation und das jeweilige Medium und deren Ausgestaltung zielgruppengerecht sind und damit auch sichergestellt werden kann, dass die handelnden Personen erreicht werden. Nur dann kann von einer Angemessenheit ausgegangen werden.

173

Letztlich wird eine Überprüfung der Wirksamkeit immer auch eine stichprobenartige Befragung der Zielgruppen auf Kenntnis der Inhalte der Richtlinien einschließen müssen, um würdigen zu können, ob die vom Unternehmen eingesetzten Kommunikationsformen effektiv sind. Dabei ist zentrales Merkmal der Wirksamkeit im Bezug auf Richtlinien die tatsächliche Einhaltung der hier spezifizierten Regeln und Grundsätze. Die Prüfung der Wirksamkeit wird daher ebenso eine stichprobenartige Überprüfung von Geschäftsvorfällen beinhalten, bei denen der CMS-Prüfer untersucht, inwieweit die notwendigen Prozeduren eingehalten wurden. Bei einer Richtlinie über den Einsatz von Vertriebsmittlern kann dies z.B. bedeuten, dass für eine ausgewählte Stichprobe an Provisionszahlungen die zugrundeliegenden Verträge auf Genehmigungen und Unterschriften, so wie ggf. in der Richtlinie gefordert, überprüft werden. Letztlich stellt das den ultimativen Beweis dafür da, dass die Botschaften einer angemessenen Richtlinie auch in die Unternehmensprozesse integriert und gelebt werden. In der Praxis haben sich hier auch konzernweite Fragebogenaktionen etabliert, in denen ausgewählte Mitarbeiter oder Mitarbeitergruppen hinsichtlich des Empfangs bzw. des Verständnisses der Richtlinien befragt werden. Aus den Antworten lässt sich ableiten, inwieweit die Kommunikation der Richtlinien erfolgreich vorgenommen und wesentliche Inhalte der Richtlinien bei den betroffenen Mitarbeitern aufgenommen wurden.

174

Die Überprüfung der Geschäftspartner (sog. „Business Partner Screening“) kann vielfältig sein und sich dabei sowohl auf Kunden also auch Lieferanten, Anbieter von Dienstleistungen, Vertriebsmittler, Distributoren, Konsortialpartner oder z.B. auch Zollagenten beziehen. Zur Sicherstellung der eigenen Compliance innerhalb der definierten Rechtsgebiete ist eine sorgfältige Prüfung derjenigen, mit denen geschäftliche Kontakte unterhalten werden, unumgänglich. Dabei ist zu unterscheiden zwischen der zunächst notwendigen inhaltlichen Bewertung des Risikos im Bezug auf einen konkreten Geschäftspartner und der darauf folgenden Durchführung einer Compliance Due Diligence.[34]

175

Im ersten Schritt wird anhand der potentiellen Geschäftsbeziehung eine Analyse vorgenommen, welches Risikopotential grundsätzlich aus der Art der Transaktion resultiert. Anhand eines Kriterienkatalogs (für den Teilbereich Antikorruption z.B. geographische Aspekte, Vergütungsstruktur, Tätigkeit im öffentlichen Sektor oder Zahlungsmodalitäten) sollen jene spezifischen Partner identifiziert werden, die aufgrund ihrer individuellen Tätigkeit ein erhöhtes Compliance-Risiko aufweisen Hier kann sich der CMS-Prüfer zunächst ein Bild vom gewählten Verfahren machen und eine Würdigung vornehmen, ob die Prozesse geeignet sind, entsprechende Risiken aus den Beziehungen zu erkennen und zu bewerten. Durch stichprobenartige Überprüfung von einzelnen Geschäftspartnern kann sichergestellt werden, dass das Verfahren auch wirksam ist.

176

In einem zweiten Schritt des Business Partner Screenings sind als höher risikobehaftet eingestufte Beziehungen einer Compliance Due Diligence zu unterziehen. Dies kann durch Fragebögen an den Geschäftspartner erfolgen oder auch durch eine externe Recherche mittels eines professionellen Dienstleisters. Auch hier bietet es sich im Rahmen der Prüfung an, auf der Basis von Stichproben sowohl die Risikoeinschätzung als auch die Durchführung des Verfahrens im Detail zu überprüfen. Ein ganz wesentlicher Schritt ist die Überführung der Ergebnisse aus Risikobewertung und Compliance Due Diligence in entsprechende Maßnahmen. Ein zentraler Prüfungsschritt ist hier nachzuvollziehen, ob die Ergebnisse zu den notwendigen Konsequenzen geführt haben (z.B. die Ablehnung einer Lieferbeziehung).

177

Zum einen dienen diese Analysen der Reduktion und Adressierung der eigenen Risiken (z.B. im Falle der passiven Korruption nach erfolgter Beschäftigung mit neuen Lieferanten). Zum anderen muss berücksichtigt werden, dass ein Fehlverhalten von Geschäftspartner häufig auch zugerechnet wird und mindestens Reputationsschäden hervorrufen kann. Zu den Grundpflichten im Rahmen des Business Partner Screenings gehören regelmäßig die vollständige Dokumentation von Geschäftsbeziehungen über schriftliche Verträge ohne Nebenabreden, die in einem sorgfältigen Vertragsmanagement nachgehalten werden. Dabei ist für Rahmenverträge darauf zu achten, dass diese nach erfolgter Aktualisierung den Parteien wieder zugänglich gemacht werden und diesen bekannt sind.

178

Für neue Geschäftspartner muss sich der Prüfer davon überzeugen, dass relevante Hintergrundrecherchen angestrebt werden um auszuschließen, dass mit Partnern eine Geschäftsbeziehung eingegangen wird, die z.B. in der Vergangenheit in einem der relevanten Teilbereiche durch Verstöße bekannt geworden sind. Dieser Prozess sollte in klaren Verfahrensanweisungen dokumentiert sein und bei den verantwortlichen Mitarbeitern geschult werden. In einigen Jurisdiktionen sind solche Hintergrundrecherchen unter bestimmten Umständen verpflichtend eingeführt worden, so etwa durch den UK Bribery Act oder zuletzt durch das nach seinem Initiator benannte französische Anti-Korruptionsgesetz „Sapin II.“

179

Ein weiteres wesentliches Element stellt das Hinweisgebersystem (auch „whistleblower system“ genannt) dar. Bei der Prüfung der Angemessenheit und Wirksamkeit eines solchen Systems muss sich der CMS-Prüfer mit dem Prozess, den jeweiligen Verantwortlichkeiten, der Ausgestaltung bzw. der Werkzeuge sowie letztlich der Qualität der handelnden Personen auseinandersetzen. Für die Effektivität des Hinweisgebersystems ist dabei von grundlegender Bedeutung, dass die Kommunikationskanäle allen Mitarbeitern zur Verfügung stehen und diese auch bekannt gemacht werden.

180

Wie bei allen Prozessen ist auch hier insbesondere bei internationalen Konzernen darauf zu achten, ob sowohl die Kommunikation der Kontaktinformationen des Hinweisgebersystems (d.h. Telefonnummer und E-ail-Adressen) sowie auch die die Kommunikation mit dem Hinweisempfänger selber in allen relevanten Fremdsprachen angeboten wird. Eine rein zweisprachige Institution (deutsch/englisch) kann nicht als ausreichend erachtet werden, da damit eine Vielzahl potentieller Hinweisgeber weltweit ausgeschlossen wird. Auch hier kann durch eine entsprechende stichprobenartige Befragung von Mitarbeitern festgestellt werden, inwieweit die Kontaktinformationen bekannt sind. Die hier aufgezeigten Bedingungen eines wirksamen Hinweisgebersystems hinsichtlich der Bekanntmachung und Sprache gelten analog auch für den Fall, wenn Unternehmen das Hinweisgebersystem auch für Dritte wie z.B. Lieferanten und Kunden öffnen. Ebenso kann es hier sinnvoll sein, eine Befragung vorzunehmen.

5. Compliance-Organisation

5.1 Definition

181

Die zentrale Aufgabe der Compliance-Organisation besteht darin, Rollen und Verantwortlichkeiten (z.B. Beauftragte und Gremien) zu definieren sowie eine Aufbau- und Ablauforganisation als integralen Bestandteil der Unternehmensorganisation zu implementieren. Dazu muss die Unternehmensleitung ausreichende Ressourcen zur Verfügung stellen, um eine Wirksamkeit des CMS zu ermöglichen. Hier ist zu beachten, dass das CMS stets integraler Bestandteil der Corporate Governance (d.h. etwa des internen Kontrollsystems bzw. des Risikomanagementsystems) des Unternehmens ist.[35] Unter die Compliance Organisation fällt damit auch die Festlegung der hierarchischen Stellung bzw. der organisatorischen Einordnung sowie der eingerichteten Berichtslinien.

5.2 Prüfung

182

Die Prüfung der Compliance Organisation umfasst im Wesentlichen die Aufbau- und Ablauforganisation sowie die personelle und sachliche Ressourcenausstattung.

183

Im Rahmen der Prüfung der Aufbau- und Ablauforganisation beschäftigt sich der CMS-Prüfer mit den zugewiesenen Rollen und Verantwortlichkeiten, der Integration in die bestehende Unternehmensorganisation sowie den Berichtswegen und –pflichten sowohl auf Ebene der Muttergesellschaft als auch, im Konzern, mit der lokalen Umsetzung in den Tochtergesellschaften. Dabei kann grundsätzlich unterschieden werden in eine eigenständig in die bestehenden Corporate Governance-Strukturen eingebettete Compliance-Organisation sowie eine Umsetzung der Anforderungen durch eine Matrixorganisation.

184

Bei der Matrixorganisation werden im Gegensatz zu einer autonomen Compliance-Abteilung relevante Aufgaben auf die Fachabteilungen (z.B. Rechtsabteilung, Revision, Personalabteilung, Einkauf) und hier auf die sog. Compliance-Verantwortlichen übertragen. Den Vorteilen einer Matrix-Organisation, die im Wesentlichen in einer hohen Flexibilität, geringem finanziellen und personellem Ressourcenbedarf sowie einer Beibehaltung von Zuständigkeiten und grundlegenden Organisationsstrukturen besteht, steht in der Praxis in der Regel ein hoher Abstimmungsbedarf entgegen. Zur Adressierung einer effektiven Abstimmung innerhalb der Organisation wird daher bei der Prüfung des CMS ein Schwerpunkt auf der Kommunikation, Dokumentation und Koordination liegen. Um eine zeitgerechte Entscheidungsfindung der jeweils Compliance-Verantwortlichen sicherzustellen, müssen z.B. klare Zuständigkeiten, Berichtswege, Arbeitsabläufe, Zustimmungsanforderungen sowie auch konkrete Fristen geregelt sein. Die Ausgestaltung der Matrixorganisation muss in ihren Inhalten damit dafür sorgen, dass die systemimmanenten Nachteile durch eine klar definierte und auch nachvollziehbare Ablauforganisation kompensiert werden. Nur wenn dies der Fall ist, kann überhaupt eine wirksame Compliance-Organisation vorliegen.

185

Zur weiteren Kompensation der immanenten Schwachpunkte (z.B. höherer Abstimmungsbedarf, fehlende Konzentration von Compliance Expertise) einer Compliance Matrix-Organisation richten viele Unternehmen ein sog. Compliance Committee an. Dieses hat die Aufgabe, die Gesamtverantwortung für die operativen Prozesse innerhalb des Compliance Management Systems zu übernehmen und wird in der Regel durch den Chief Compliance Officer (CCO) geleitet. Als Mitglieder werden aus den einbezogenen Fachbereichen Compliance-Verantwortliche benannt, die damit die schnittstellenübergreifende Koordination der relevanten Prozesse und Maßnahmen über die Fachbereichsgrenzen hinaus sicherstellen. Darüber hinaus wird ein solches Compliance Committee in der Praxis regelmäßig ergänzt um weitere Unternehmensvertreter, in deren Bereichen compliance-relevante Berührungspunkte existieren.

186

Ob ein solches Compliance Committee wirksam arbeitet, lässt sich für den CMS-Prüfer daran festmachen, ob die wesentlichen Funktionen erfüllt werden. Darunter fallen hauptsächlich die Koordinationsfunktion (z.B. die Abdeckung sämtlicher Elemente eines Compliance Management Systems), die Kommunikationsfunktion (z.B. die Berichterstattung über compliance-relevante Sachverhalte an die Unternehmensleitung) sowie die Dokumentationsfunktion (z.B. die Dokumentation von Verfahrensanweisungen wie Richtlinien und Merkblättern). Das Compliance Committee sollte dabei direkt an die Unternehmensleitung berichten, um eine organisatorische Unabhängigkeit sicherzustellen. Das Compliance Committee muss auch prozessual festlegen, wie Unstimmigkeiten bei der Auseinandersetzung mit präventiven, aufdeckenden und sanktionierenden Maßnahmen in einer festgelegten Berichtslinie eskaliert werden. Insbesondere für den sensiblen Compliance Bereich ist wichtig, dass bestimmte Entscheidungen und Vorgänge nicht ausschließlich durch den Leiter des Compliance Committees entschieden werden können.

187

Die notwendige Ausstattung, das Budget und sonstige Ressourcen der Compliance-Organisation hängen von Art und Umfang der im Rahmen der Konzeption getroffenen Entscheidungen maßgeblich ab. Für eine wirksame Organisation müssen insbesondere Personal, IT und Räumlichkeiten eingerichtet werden. Darüber werden Kosten für Schulungen, Fortbildungen, Reisekosten und Sitzungen anfallen, die in einem angemessenen Budget berücksichtigt sein müssen.

Beim Personal ist durch den CMS-Prüfer neben der reinen quantitativen Besetzung, d.h. der Größe der Abteilung bzw. der Anzahl der hier eingesetzten Mitarbeiter insbesondere auch darauf zu achten, dass die Verantwortlichen über ausreichende Expertise und Erfahrung mit Compliance Management-Systemen verfügen. In diesem Zusammenhang ist sowohl eine Analyse der beruflichen und fachlichen Qualifikation notwendig als auch zu hinterfragen, inwieweit durch Schulungen sichergestellt ist, dass die Mitarbeiter fortlaufend trainiert und so auch über neue Entwicklungen informiert werden.