Die Evolution Compliance

Konzeption und Etablierung einer Compliance-Organisation

Compliance beschreibt die Einhaltung gesetzlicher Regelungen und Richtlinien durch Unternehmen. Der Deutsche Corporate Governance Kodex fasst diese Vorgaben zusammen und gibt die Verantwortung des Unternehmens­vorstands für die Einhaltung gesetzlicher und unternehmensinterner Regelungen vor.

Download Whitepaper

1. Einleitung

Compliance beinhaltet eine multidisziplinäre Ausdehnung, die durch die unterschiedlichen Branchen und deren ebenso unterschiedlichen gesetzlichen Anforderungen bedingt ist. Vor diesem Hintergrund ist es von Bedeutung, Compliance als ein unternehmensweites und integriertes Organisationsmodell mit Prozessen und Instrumenten zu begreifen. Dieses Modell soll die Einhaltung gesetzlicher Bestimmungen, regulatorischer Standards sowie weiterer wesentlicher Stakeholder-Anforderungen und demnach ebenso die Konformität mit gesellschaftlichen Richtlinien, Wertevorstellungen, Moral und Ethik sicherstellen. Im Folgenden wird in Form der kurzen Skizzierung die Konzeption und Etablierung einer Compliance-Organisation beschrieben:

2. Rechtsgrundlagen

Das deutsche Recht kennt mit Ausnahme der Finanzbranche keine Gesetzesnormen, welche die Geschäftsleitung einer (Kapital)Gesellschaft zur Durchführung systematischer Compliance-Maßnahmen und zur Einrichtung einer Compliance-Organisation bzw. Funktion verpflichtet.

Mit dem neuen Prüfungsstandard 980 des Instituts deutscher Wirtschaftsprüfer (IDW PS 980) besteht nunmehr zumindest eine erste Sammlung von Anforderungen an ein Compliance-Management, die einen Überblick zu beachtender Kriterien gibt, allerdings rechtlich nicht verbindlich ist. Lediglich Empfehlungs­charakter hat der Deutsche Corporate Governance Index (DCGK), der in seiner Ziffer 4.1.3 dem Vorstand einer Kapitalgesellschaft die Beachtung geltenden Rechts (Compliance) auferlegt.

Im deutschen Gesellschaftsrecht, insbesondere im Aktienrecht, finden sich dennoch zentrale Anknüpfungspunkte für die Compliance-Diskussion. Zu nennen sind hier zunächst zwei Vorschriften, die eine Art Generalklausel für die Verhaltenspflichten des Vorstands darstellen. § 76 AktG regelt die Leitungspflicht des Vorstandes. Diese umfasst auch die in § 93 AktG geforderte Wahrung der notwendigen Sorgfalt bei der Geschäftsführung, welche auch das rechtskonforme Verhalten der Gesellschaft und seiner Mitarbeiter betreffen. Somit gilt branchenunabhängig eine Sorgfaltspflicht, die auch auf das Überwachungsorgan Aufsichtsrat ausgedehnt wird (§ 116 AktG). Um dieser Sorgfaltspflicht nachkommen zu können, bedarf es Strukturen und Prozesse, die das rechtskonforme Handeln des Unternehmens und der Mitarbeiter sicherstellen.

Je nach Geschäftsmodell besteht für diese Aufgabe jedoch eine Vielzahl von zu beachtenden Gesetzen, Richtlinien und Normen, die entsprechenden Einfluss auf die Ausgestaltung einer Compliance-Organisation haben.

Für die Finanzbranche existieren im Gegensatz zu anderen Branchen sehr detaillierte Compliance-Anforderungen. So fordert § 25a KWG von Kreditinstituten eine ordnungsgemäße Organisation zur Einhaltung der von diesen zu beachtenden gesetzlichen Bestimmungen einzurichten. Mit § 64 VAG gilt eine vergleichbare Vorschrift auch für Versicherungen. § 33 WPHG stellt für Wertpapier-Dienstleistungs­unternehmen eben solche Organisationspflichten auf.

Im Zusammenhang mit den direkten und indirekten rechtlichen Anforderungen an die Unternehmens-Compliance muss zwingend die Haftung der Unternehmensorgane betrachtet werden. Vorstände und nunmehr auch Aufsichtsräte können zivil- wie strafrechtlich haftbar gemacht werden. Verändert haben sich insbesondere die Haftungsbelange für Aufsichtsräte. Mit dem Inkrafttreten des Bilanzrechts­modernisierungs­gesetzes (BilMoG) wurde der Aufgabenbereich von Aufsichtsräten deutscher Kapitalgesellschaften weiter konkretisiert und ihnen u.a. die Pflicht auferlegt, die Wirksamkeit des Internen Kontrollsystems (IKS) und Risikomanagements zu überwachen. Sofern einzelne Mitglieder des Aufsichtsrats diese Pflicht schuldhaft vernachlässigen, können sie der Gesellschaft gegenüber zum Schadenersatz verpflichtet werden.

3. Der Scoping-Prozess

Compliance-Management kann seine volle Effektivität und Effizienz nur dann erreichen, wenn es auf die Risiken zugeschnitten ist, die mit dem Geschäftmodell des Unternehmens einhergehen. Grundlage einer geeigneten und unternehmens­spezifischen Compliance-Organisation ist daher die Identifikation der relevanten Risiken, die dem Unternehmen drohen (Scoping). Dementsprechend ist die methodische Vorgehensweise zur Identifizierung und Bewertung der Risiken im Unternehmen zu gestalten. Die identifizierten Risiken sind nach Erhebung entsprechend des unternehmens­internen Sollmaßstabes zu bewerten. Aus dieser Bewertung ergibt sich das Maßnahmenpaket, welches zur Steuerung und Kontrolle der Risiken notwendig ist. Seit Einführung des BilMoG sind im Risikomanagement immer mehr holistische Ansätze der Unternehmen zu erkennen, die Geschäfts- und Compliance-Risiken nicht mehr trennen. Der Sarbanes Oxley Act (SOX) als internationale Gesetzgebung sowie die Einführung des BilMoG in Deutschland schafften eine Abkehr davon, dass Compliance-Risiken bis dahin wenig oder bisweilen gar nicht im Fokus der Risiko-Manager standen.

4. Organisationsdesign

Das Ergebnis des Scoping-Prozesses zeigt in der Regel auf, wie komplex das Themengebiet Compliance ist und welches Ausmaß an interdisziplinären Anforderungen es an Funktionsträger stellt. Es ist ein Trend zu beobachten, Compliance nicht mehr isoliert zu betrachten, sondern konsequenterweise in Verbindung mit dem Risikomanagement zu sehen. Daraus resultiert insbesondere im Mittelstand nicht nur die Zusammenführung ineinandergreifender Prozesse, sondern auch das Design einer ressourcen­sparenden Matrix-Organisation. Vorteil der Matrix- Organisation ist, dass die notwendigen Tätigkeiten flexibel verteilt werden können und so auch für kleinere Unternehmen ein vertretbarer Aufwand entsteht. Wesentlicher Vorteil einer solchen Organisationsform ist der mögliche Rückgriff auf bereits bestehende Prozesse und Prozesseigner sowie der dahinter stehenden Aufbau- und Ablauforganisationen.

Daraus ergibt sich die Möglichkeit auf bestehende Strukturen zurückzugreifen, was den Vorteil hat, dass Compliance in Form einer Prozessvernetzung und nicht als isolierter Prozess wahrgenommen wird. Die Wahrnehmung der Bedeutung der Compliance im Unternehmen ist für die Entscheidung des Organisationsdesigns von wesentlicher Bedeutung.

5. Prävention

Compliance versteht sich als aktive Risikovorbeugung im Unternehmen. Neben vielen einzelnen organisatorischen Maßnahmen, die ein Compliance-Management voraussetzt, verlangt sie eine Compliance-Kultur, die im Unternehmen breit verankert ist und sowohl von der Geschäftsleitung als auch von der Belegschaft tatsächlich gelebt wird. Der wesentliche Präventionsaspekt besteht darin, eine solche Compliance-Kultur aufzubauen.

Diese Kultur entsteht durch die Entwicklung der intrinsischen Motivation der Mitarbeiterinnen und Mitarbeiter zu einer positiven Einstellung gegenüber den ethischen Führungs­grundsätzen des Unternehmens aufzubauen und zu erhalten. Daraus entsteht ein Wertesystem, das die Bedingungen für rechtskonformes Verhalten schafft und die Basis für ein Compliance-System darstellt. Dieses System muss dazu geeignet sein, weitgehende Immunität gegen unternehmens­schädigendes Verhalten in weitestem Sinne zu gewährleisten. Gefordert in diesem Sinne sind die Führungskräfte des Unternehmens. Die Aufgabe der Führungskräfte besteht darin, einen herausragenden Beitrag zu einer funktionierenden und nachhaltigen Compliance im Unternehmen zu leisten, indem sie auf allen Ebenen die Werte, Normen und Tugenden einer auf Prävention ausgerichteten Compliance-Kultur an ihre Mitarbeiter vermitteln und dauerhaft erhalten. Dieser Prozess ist durch eine strategisch ausgearbeitete Kommunikation zu begleiten.

Fazit

Gibt man aktuell (Stand 28.10.21) den Begriff Compliance in Google ein, erhält man über 814 Millionen Trefferanzeigen. Daran lässt sich ermessen, in welcher Quantität zu diesem Begriff Stellung bezogen wird und welche herausragende Rolle Compliance mittlerweile spielt.

Es ist die Kunst, das weite Spektrum dieses Themenfeldes so zu erfassen und umzusetzen, dass es auf das jeweilige Unternehmen und dessen individueller Kultur zugeschnitten ist. Unabdingbar dafür ist es, die Identifizierung sämtlicher Risiken des Geschäftsmodells auf allen Ebenen und diese im Rahmen eines unternehmensinternen Sollmaßstabes zu bewerten. Die Risikobewältigung erfolgt durch eingeleitete Gegenmaßnahmen, die wiederum im Rahmen eines funktionierenden internen Kontrollsystems (IKS) durch das Management kontrolliert werden. Wesentlich dabei ist der Wirksamkeitsnachweis. Dieser soll die Effektivität der Kontrolle sowie der Gegenmaßnahmen darstellen und belegen. Einen hohen Anteil an einer funktionierenden Compliance hat die Führung des Unternehmens. Compliance wird immer eine Herausforderung bleiben. Die rechtlichen Rahmenbedingungen werden sich branchenunabhängig sowohl national als auch international stetig weiterentwickeln und ebenso stetig Anpassungen an die Compliance-Organisation erforderlich machen.

Download

Konzeption und Etablierung eines Compliance-Managementsystems. Näheres zur Funktion und Herangehensweise entnehmen Sie unserem Whitepaper.

Ihre Anfrage zu antares RiMIS® Compliance

vielen Dank für Ihr Interesse an unserer etablierten Softwarelösung für Compliance-Risikomanagement - antares RiMIS® Compliance.

Die Lösung zeichnet sich durch vielfältige Einsatz-, individuelle Gestaltungsmöglichkeiten und einfache Benutzerführung aus. Weitere Funktionen und Merkmale entnehmen Sie unserem Whitepaper.

Haben Sie Fragen zu antares RiMIS® Compliance oder zum Unternehmen? Zögern Sie nicht und kontaktieren Sie uns unter der Rufnummer 07331/3076-0 oder per E-Mail unter info@antares-is.de. Wir melden uns umgehend bei Ihnen.

Newsletter abonnieren

Abonnieren Sie unseren vierteljährlichen Newsletter und bleiben Sie immer auf dem neuesten Stand.

* Pflichtfeld