Uncategorized

Checkliste zur Überprüfung eines Compliance-Management-Systems

Durch einige größere Skandale in den vergangenen Jahren rückt das Thema Compliance zunehmend in den Fokus der Themen, die den Vorstand und den Aufsichtsrat beschäftigen. Durch die Ausweitung der Vorschriften und Gesetze, aber auch selbst auferlegten Kodizes der Unternehmen, bedarf es der Anpassung in der Unternehmenspraxis. Vor allem große Unternehmen haben immer öfter eine eigene Compliance-Abteilung, die sich speziell mit diesen Themen beschäftigt. Der vorliegende Beitrag legt zunächst die Bedeutung eines Compliance-Management-Systems für Unternehmen dar. Neben den Gründen, warum dieses regelmäßig überprüft werden sollte, werden anschließend Merkmale eines solchen Systems detailliert dargelegt.

 

Wieso Unternehmen ein Compliance-Management-System benötigen

Der Bereich der Compliance umfasst alle Maßnahmen eines Unternehmens die durchgeführt werden, damit das Unternehmen alle geltenden Gesetze aber auch alle sonstigen Vorschriften einhält. Dazu zählt beispielsweise auch der Deutsche Corporate Governance Kodex. Da die Compliance alle Bereiche des Unternehmens betrifft, wird die Einhaltung der Compliance-Vorschriften in der Praxis häufig dezentral geprüft. Dies kann zu einer uneinheitlichen Ausübung der Regelungen führen. Die Implementierung eines Compliance-Management-Systems kann diese Problematik vermeiden.

Bei der Einführung eines Compliance-Management-Systems sind die Besonderheiten des Unternehmens zu beachten. Dazu zählen nicht nur die Branche sowie die Unternehmensgröße, sondern auch die Konzernstruktur, der Internationalisierungsgrad aber auch die Börsennotierung.

 

Warum regelmäßige Prüfungen wichtig sind

Es gibt diverse Gründe, warum ein Compliance-Management-System regelmäßig geprüft werden sollte. Durch den ständigen Wandel, dem ein Unternehmen unterworfen wird, muss auch das Compliance-Management-System immer wieder überarbeitet und damit auch überprüft werden.

Auch der Vorstand eines Unternehmens hat ein Interesse an der Überprüfung des Compliance-Management-Systems, da er dadurch sein Haftungsrisiko mindern kann oder aber auch bei einer erstmaligen Implementierung die Effektivität des Systems auf den Prüfstand stellen lassen kann. Der Deutsche Corporate Governance Kodex empfiehlt zudem die regelmäßige Überprüfung der Wirksamkeit des internen Kontrollsystems im Unternehmen. Dazu zählt mitunter auch die Überwachung des Compliance-Management-Systems bezüglich seiner Angemessenheit sowie seiner Funktionsfähigkeit.

Insbesondere nach einem erheblichen Compliance-Verstoß im Unternehmen ist eine Überprüfung des eingerichteten internen Kontrollsystems empfehlenswert. In diesem Fall kann dadurch beispielsweise für Investoren und andere Stakeholder transparent dargelegt werden, dass das Unternehmen bei Fehlverhalten dieses künftig verhindern möchte. Zur Vermeidung eines öffentlichkeitswirksamen Compliance-Verstoßes sollte bereits als Präventionsmaßnahme das Compliance-Management-System auf den Prüfstand gestellt werden. Denn die Meldungen in der Presse können sich auch mittel- bzw. langfristig negativ auf die Reputation des Unternehmens auswirken.

 

Merkmale eines Compliance-Management-Systems

Die Ermittlung der konkreten Risikofelder sollte Bestandteil jedes Compliance-Management-Systems sein. Die Einhaltung geltender rechtlicher, moralischer, aber auch ethischer Regelungen ist für jedes Unternehmen von großer Bedeutung. Bei der Analyse der Risiken für Unternehmen müssen beispielsweise die Absatzmärkte, Geschäftsfelder sowie die Organisationsstruktur des Konzerns Berücksichtigung finden. Aus dem Bereich der Märkte kann sich beispielsweise ein Risikofeld durch Geschäftstätigkeiten in Risikoländern sowie der Sprachen- bzw. Kulturvielfalt ergeben. Sowohl unterschiedliche Gesetze als auch unterschiedliche ethische Standards bergen mögliche Risiken für Unternehmen.

Ein Compliance-Management-System kann nicht alle bestehenden Risiken erfassen. Vielmehr liegt die Zielsetzung darin, die Schwerpunkte auf die wesentlichen Risiken für die relevanten Bereiche des Unternehmens zu erfassen. Bei der Festlegung der relevanten Risiken muss zudem berücksichtigt werden, ob diese bereits in einer anderen Abteilung des Unternehmens gemanagt werden. So können Doppelstrukturen vermieden werden.

Bei der Implementierung eines Risikomanagementsystems spielen für die Risiken die Eintrittswahrscheinlichkeit des Risikos und die Höhe eines möglichen Schadens eine entscheidende Rolle. Zudem sollten frühere Verstöße gegen das Compliance-System miteinbezogen werden. Es muss abschließend detailliert analysiert werden, welche Maßnahmen zur Risikominimierung ergriffen werden sollen.

Es gibt beispielsweise die folgenden Risikofelder, aus denen die für das Unternehmen wesentlichen herausgearbeitet werden sollten:

  • Steuern
  • Arbeitsrecht
  • Arbeitssicherheit
  • Strafrecht
  • Umweltschutz
  • Zollvorschriften
  • Produkthaftung
  • Datenschutz

 

Die Aufgaben der Compliance-Teams sind heutzutage sehr umfangreich. Daher sollte zur Überprüfung des Compliance-Management-Systems analysiert werden, ob das Team ausreichend ausgestattet ist. Bei der Organisation der Compliance im Unternehmen gibt es verschiedene Möglichkeiten. Es kann entweder eine eigene Stabstelle in Form einer eigenen Compliance-Abteilung eingerichtet werden. Alternativ kann das Thema an die bestehende Rechtsabteilung oder die Revision gegeben werden. Mit zunehmender Unternehmensgröße wird es jedoch schwierig, das Thema Compliance an die Revisionsabteilung anzudocken.

Unabhängig davon, welche der Möglichkeiten der Compliance-Organisation angewendet wird: Die genaue Festlegung der Zuständigkeitsbereiche ist für alle Beteiligten wichtig. Nur so können auch im Falle eines Verstoßes die vorgesehenen Maßnahmen ergriffen werden. Compliance-Verstöße müssen dann an den Aufsichtsrat berichtet werden, wenn ein oder mehrere Vorstände des Unternehmens ein Teil des Problems sind. Abgesehen davon sollte der Vorstand dem Aufsichtsrat regelmäßig Bericht erstatten über die Compliance im Unternehmen.

Die Einrichtung einer Whistleblower-Hotline wird zunehmend diskutiert. Bisher gibt es für die Einrichtung einer entsprechenden Hotline oder aber die Ernennung eines Ombudsmanns in Deutschland noch keine Pflicht wie dies in den USA der Fall ist. Die Holtine nimmt anonyme Meldungen zu Verstößen gegen die Compliance-Vorschriften des Unternehmens entgegen. Wichtig für eine erfolgreiche Einführung einer Hinweisgeber-Hotline im Unternehmen ist, dass diese das Vertrauen der Mitarbeiter genießt. Andernfalls können dadurch Compliance-Verstöße weder aufgedeckt noch geahndet werden.

Als Aufsichtsorgan muss der Aufsichtsrat nicht nur den Vorstand, sondern auch das Compliance-System des Unternehmens überwachen. Zudem sollte auch der Aufsichtsrat für Compliance im eigenen Gremium sorgen. Ihm obliegt nicht nur die nachträgliche, sondern auch die präventive Kontrollpflicht des Vorstandes. Bei Compliance-Verstößen in der Vergangenheit muss der Aufsichtsrat prüfen, ob der Vorstand sich rechtmäßig verhalten hat. Dazu muss geprüft werden, ob der Vorstand seiner Pflicht nachgekommen ist, sowie die Entscheidung im Interesse des Unternehmens getroffen hat, wie dies seine Aufgabe ist.

Der Vorstand hat die Pflicht, ein Compliance-System einzurichten und zu überwachen. Die Aufgabe des Aufsichtsrates ist es daher auch, diese Pflichterfüllung zu kontrollieren. Wie das Compliance-System ausgestaltet ist, liegt jedoch nicht im Zuständigkeitsbereich des Aufsichtsrates. Diese Entscheidung obliegt dem Vorstand des Unternehmens. Anders als im One-Tier-System ist die Leitung und die Kontrolle im Two-Tier-System strikt getrennt zwischen Vorstand und Aufsichtsrat.

Bei der Überprüfung des Compliance-Systems kann der Aufsichtsrat auf externe Dienstleister zurückgreifen. So kann beispielsweise der mit der Abschlussprüfung betraute Wirtschaftsprüfer auch damit beauftragt werden.

VORGESTELLTE BLOGS