Compliance

Anmerkungen

[1]

Dies gilt jedenfalls für die rechtlich verbindlichen Regelungen. Was die „lokalen Gepflogenheiten“ betrifft, sollte genau geprüft werden, ob diese sowohl dem ethischen Anspruch des Code of Conduct als auch der herrschenden Unternehmenskultur im allgemeinen entsprechen und demgemäß umgesetzt werden sollten.

[2]

Der Inhalt von Verhaltensrichtlinien ist in der Praxis sehr vielfältig. Es gibt sehr kurz gefasste Kodizes, die den Mitarbeiter lediglich darauf hinweisen, sich an alle geltenden Gesetze, Vorschriften und internen Weisungen zu halten. I.d.R. sind Verhaltensrichtlinien jedoch umfangreicher und umfassen eine Vielzahl von Verhaltensvorgaben, von der Regelung zur Annahme von Geschenken bis hin zum Verbot von Kinderarbeit oder dem Alkohol- oder Drogenkonsum während der Arbeitszeit.

[3]

Bei der Erstellung eines Code of Conduct ist stets zu berücksichtigen, dass dieser der allgemeinen Inhaltskontrolle für Standardarbeitsbedingungen nach §§ 305 ff BGB unterliegt. Danach können einzelne Bestimmungen unwirksam sein, wenn sie den Arbeitnehmer unangemessen benachteiligen und wenn sie zu allgemein formuliert sind und damit für den Arbeitnehmer nicht verständlich sind.

[4]

Teilweise wird die Einführung eines Code of Conduct für mitbestimmungspflichtig erachtet. Höchstrichterlich wurde diese Auffassung bisher zwar noch nicht bestätigt, allerdings ist zu beachten, dass Verhaltensrichtlinien Einzelbestimmungen enthalten können, die der Mitbestimmung des Betriebsrats nach dem Betriebsverfassungsgesetz unterliegen können.

[5]

Bei der elektronischen Verbreitung des Verhaltenskodex ist darauf zu achten, dass auch diejenigen Mitarbeiter ohne Zugang zu einem Computer wie Küchenpersonal oder Angestellte des Fuhrparks etc. eine Version in Papierform erhalten und von auf dem Kodex beruhenden Schulungen nicht ausgeschlossen werden.

[6]

Deshalb ist es empfehlenswert, Spezialthemen, die nur für bestimmte Personengruppen oder Geschäftsbereiche im Unternehmen relevant und von Interesse sind, in Einzelrichtlinien außerhalb des Code of Conduct zu regeln.

[7]

Man beachte auch Kodices, die Spitzenverbände für ihre Mitglieder formulieren, wie etwa den Vertriebskodex des Gesamtverbands der deutschen Versicherungswirtschaft (GDV), hierzu Steiner CCZ 2014, 50.

[8]

Vgl. Schettgen/Süße Compliance Officer, 2013, S. 196 ff.

[9]

Anonyme Meldungen sollten jedoch die Ausnahme bleiben, da sie es u.U. erschweren, allen vorgebrachten Punkten im Detail und sachgemäß nachzugehen.

[10]

Sehr empfehlenswert ist ein eigenes „Compliance-Telefon“, auf dem auch Nachrichten hinterlassen werden können, die nur der Vertrauensperson zugänglich sind.

[11]

Dies ist erfahrungsgemäß selten der Fall.

[12]

Auch dies sollte in der Richtlinie ausdrücklich erwähnt werden, da die Angst vor disziplinarischen Maßnahmen oder arbeitsrechtlichen Sanktionen häufig dazu führt, dass Mitarbeiter über Regelverstöße oder Fehlverhalten schweigen.

[13]

Dabei wird es sich i.d.R. um Quartalsberichte handeln.

[14]

Insbesondere für anonyme Meldungen empfiehlt sich die Einrichtung einer Hotline.

[15]

Falls derartige Trainingsmaßnahmen von der Geschäftsleitung aus unterschiedlichen Gründen nicht gewünscht sind, können alternativ bspw. „Compliance Updates“ in Vorstands- oder Geschäftsleitersitzungen gegeben werden.

[16]

Dazu gehören Ausführungen zur Business Judgement Rule ebenso wie zu den maßgeblichen Anspruchsgrundlagen gegen Vorstandsmitglieder und Geschäftsführer (§§ 93 Abs. 2 S. 1 AktG, 43 Abs. 2 GmbHG sowie 34 Abs. 2 S. 1 GenG).

[17]

Hauschka/Moosmayer/Lösler/Bürkle § 49 Rn. 6 ff.

[18]

Studien haben ergeben, dass etwa 35 % von Investmententscheidungen über die Faktoren Reputation und Image eines Unternehmens getroffen werden. Unternehmen mit hoher Reputation profitieren darüber hinaus durchschnittlich von einem Anstieg des Aktienkurses von 20,1 % pro Jahr, wogegen die zehn Unternehmen mit der schlechtesten Reputation einen Verfall ihrer Aktien von durchschnittlich 1,9 % pro Jahr hinnehmen mussten.

[19]

Vgl. hierzu Schierenbeck/Grüter/Kunz Management von Reputationsrisiken in Banken, Abteilung Bankmanagement und Controlling, Wirtschaftswissenschaftliches Zentrum (WWZ) der Universität Basel, Juni 2004, S. 2.

[20]

So sollte die Compliance-Abteilung einen guten Einblick in die IT eines Unternehmens haben und deshalb regelmäßig um Auskunft über neue Systeme, Outsourcing-Prozesse und Datenverarbeitungsprozesse ersuchen.

[21]

Diese Erfahrung hat die Verfasserin bspw. bei der französischen Datenschutzbehörde CNIL gemacht.

3. Kapitel Compliance-Organisation in der Praxis › A. Compliance-Programm und praktische Umsetzung › V. Compliance-Programm als dynamisches Strategieelement

V. Compliance-Programm als dynamisches Strategieelement

1. Risiko „Restrisiko“

99

Selbst die effizienteste Compliance-Struktur wird, trotz regelmäßiger Trainings, Kontrollen und sonstiger flankierender Maßnahmen, nicht dazu führen können, jegliches Restrisiko bezüglich mangelnder Compliance auszuschließen. Es wird stets Risiken geben, die aus den unterschiedlichsten Gründen nicht vorhersehbar und nicht einschätzbar sind. Dies gilt bspw. für neue Geschäftsgebiete in entfernten Ländern, für neue Technologien, bestimmte Umweltrisiken, aber nicht zuletzt auch für den Faktor Mensch. Mitarbeiter und Geschäftsführungsorgane mögen noch so oft in Compliance-Themen geschult worden sein, dennoch werden sie unter gewissen Umständen nicht das notwendige Bewusstsein für die Vermeidung oder Minimierung von Risiken aufbringen können. Das mag an persönlichen Nöten, zu großem Leistungsdruck, Zeitmangel oder schlicht an der Unfähigkeit liegen, ein Compliance-Risiko richtig einzuschätzen. Überdies gibt es natürlich auch einen kleinen Prozentsatz Unbelehrbarer oder auch Mitarbeiter mit einer gewissen kriminellen Energie. In diesen Fällen laufen Präventivmaßnahmen wie Compliance-Schulungen und sonstige Schritte zur Entwicklung und Aufrechterhaltung einer nachhaltigen Compliance-Kultur natürlich ins Leere.

100

Die Compliance-Verantwortlichen sollten stets bestrebt sein, die Optimierung des Compliance-Programms dergestalt voranzutreiben, dass es von der Geschäftsleitung und der Belegschaft als Teil des strategischen Managements begriffen wird. Diese Bestrebung und ihre damit verbundenen Vorteile für das Unternehmen sollten der Geschäftsleitung auch immer wieder verdeutlicht werden. Jegliche Neuerung einer Unternehmensstrategie sollte deshalb von Compliance begleitet und als integraler Bestandteil für künftige Entwicklungen gesehen werden. Dass diese Bemühungen von der Geschäftsleitung oft nicht erkannt oder unterstützt werden, liegt in der immer noch mangelnden Bereitschaft und Fähigkeit der ein oder anderen Unternehmensleitung, ein funktionierendes Compliance-System als strategischen Wettbewerbsvorteil und tatsächlichen Vermögenswert und nicht als Bürde zu sehen. Allerdings wachsen auch in diesem Bereich das Bewusstsein und die Erkenntnis, dass Compliance als wesentlicher Bestandteil des strategischen Managements im globalen Unternehmen nicht mehr wegzudenken ist.

2. Notfallstrategie

101

Um in Krisenfällen Schaden vom Unternehmen abzuwenden bzw. um diesen so weit wie nur möglich in Grenzen zu halten, sollten die Compliance-Verantwortlichen gemeinsam mit der Unternehmensleitung eine Reaktionsstrategie erarbeiten, die in Notfällen eingesetzt werden kann. Es muss also für den Notfall ein effektives Krisenmanagement für unvorhergesehene Ereignisse etabliert werden. Der Umgang mit den Mitarbeitern, den Behörden, insbesondere der Polizei, sowie der Öffentlichkeit und den Medien muss geplant und klar definiert werden. Hierfür sind interne Ansprechpartner zu benennen, die entsprechend geschult werden, um die möglichen Risiken zu erkennen und im Einzelfall abwägen zu können, ob und ggf. inwieweit die Verhältnismäßigkeit zwischen der notwendigen Offenheit gegenüber der Allgemeinheit einerseits und möglicher Geheimhaltungspflichten des Unternehmens andererseits gewahrt werden kann.

102

Besonders bedeutsam in diesem Zusammenhang ist die Vermeidung von möglichen Reputationsschäden für das Unternehmen. Deshalb sollte eine klare Krisenkommunikationsstrategie für den Umgang mit Unternehmensangehörigen sowie für die allgemeine Öffentlichkeit, insbesondere die Medien, festgelegt werden. Diese muss eine eindeutige Zuständigkeit für sämtliche unternehmensinternen und -externen Äußerungen enthalten: Pressemeldungen, interne Verlautbarungen, die Beauftragung von Fachgutachten, die Einschaltung von externen Beratern und Spezialisten sind von einer verantwortlichen Funktion zu beauftragen und zu gestalten. Nur durch ein derartiges striktes Reglement von Aufgaben und Zuständigkeiten kann das Reputationsrisiko minimiert und möglicher Schaden vom Unternehmen abgewendet werden.

3. Optimierbarkeit von Compliance-Systemen

103

Kein Compliance-System kann langfristig perfekt sein; dazu ändert sich das globale Umfeld zu schnell. Zudem sorgen Veränderungen in der Unternehmensstrategie, in der Investitionspolitik oder den Geschäftsbereichen für die Notwendigkeit, sowohl die Compliance-Struktur als auch das Compliance-Programm dergestalt flexibel auszugestalten, dass es kontinuierlich an veränderte Umstände angepasst werden kann. Überdies können die Ergebnisse eines Audits dazu führen, dass bisherige Bewertungsmaßstäbe und Analyseregeln überdacht werden müssen. Bei diesen Neubewertungen sollten sich die Compliance-Verantwortlichen nicht scheuen, die Hilfe sowohl interner als auch externer Spezialisten in Anspruch zu nehmen. Dies kann intern die Revision sein, die bei Prozessverbesserungen unter Umständen konkrete Hilfestellung geben kann, oder extern ein Dienstleister, der aufgrund seiner fachlichen oder technischen Kenntnisse entsprechende Hilfe leisten kann.

3. Kapitel Compliance-Organisation in der Praxis › B. Die Prüfung von Compliance Management-Systemen nach IDW PS 980

B. Die Prüfung von Compliance Management-Systemen nach IDW PS 980

3. Kapitel Compliance-Organisation in der Praxis › B. Die Prüfung von Compliance Management-Systemen nach IDW PS 980 › I. Einleitung

I. Einleitung

104

Das Institut der Wirtschaftsprüfer in Deutschland e.V. (IDW) hat mit dem am 11.3.2011 vom IDW-Hauptfachausschuss verabschiedeten Prüfungsstandard „Grundsätze ordnungsmäßiger Prüfung von Compliance Management-Systemen (IDW PS 980; nachfolgend auch „Standard“) ein breites Echo in der betriebswirtschaftlichen und juristischen Literatur hervorgerufen[1] und auch die Diskussion in den Unternehmen um ein „gutes“ Compliance Management und eine mögliche Reduktion der straf- und zivilrechtlichen Konsequenzen für Organmitglieder aus Compliance-Verfehlungen angeregt.

105

Dabei richtet sich der IDW PS 980 – wie alle IDW-Prüfungsstandards – streng genommen nur an die Mitglieder des IDW, die aus der Satzung des Vereins eine Verpflichtung zur Beachtung der Standards haben.[2] Die Rechtsnatur der Standards für Nicht-Mitglieder ist unumstritten: der IDW hat als privater Verein keinerlei direkte oder derivative Rechtssetzungskompetenz.[3] Allerdings geht die Bedeutung – gerade des IDW PS 980 – als „[…] Beitrag sachkundiger Wirtschaftsprüfer zur Formulierung allgemein umschriebener, nicht konkret bezeichneter Grundsätze […]“[4] faktisch über den gesteckten Rahmen weit hinaus. Dies lässt sich – neben der zugemessenen Sachkunde – im Wesentlichen aus zwei Gründen herleiten:

106

Aus diesen Gründen hat der IDW PS 980 inzwischen erhebliche Relevanz bekommen. Immer mehr Berater – Juristen wie Betriebswirte – und zahlreiche Unternehmen richten sich an den Grundelementen aus, die der Standard als Prüfungsgegenstand skizziert und zahlreiche Unternehmen lassen ihr Compliance Management-System bereits nach dem Standard prüfen.[7] Bei der Prüfung handelt es sich regelmäßig um eine Stichtagsaussage (Angemessenheitsprüfung) bzw. einen Bezug auf einen in der Vergangenheit liegenden Zeitraum (Wirksamkeitsprüfung). In beiden Fällen ist eine Ableitung der Angemessenheit oder eben Wirksamkeit für einen in der Zukunft liegenden Zeitraum unzulässig. Darüber hinaus ändert sich der Prüfungsgegenstand z.B. durch Akquisitionen, Personalveränderungen, neue rechtliche Risiken oder auch Geschäftsmodellanpassungen kontinuierlich. Aufgrund dieser Dynamik ist es Unternehmen anzuraten, die Prüfung nach PS 980 in regelmäßigen Abständen bzw. zusätzlich nach wesentlichen Änderungen innerhalb des Unternehmens bzw. des Unternehmensumfelds zu wiederholen. In der Praxis etabliert sich eine solche Wiederholungsprüfung mittlerweile, die aufgrund der Verwertung von Ergebnissen der Erstprüfung in aller Regel deutlich effizienter durchführbar ist als die Erstprüfung. Aufgrund der hohen Akzeptanz des IDW PS 980 und der Nachfrage seitens der Unternehmen hat das IDW 2016 Entwürfe weiterer Prüfungsstandards veröffentlicht, die sich mit weiteren Elementen der Corporate Governance beschäftigen:

Grundsätze ordnungsmäßiger Prüfung von Risikomanagementsystemen (IDW EPS 981)[8],

Grundsätze ordnungsmäßiger Prüfung des internen Kontrollsystems der Unternehmensberichterstattung (IDW EPS 982)[9],

Grundsätze ordnungsmäßiger Prüfung von Internen Revisionssystemen (IDW EPS 983).[10]

107

Der Beitrag ist in die Kernfragen „Was wird warum von wem wie geprüft?“ gegliedert.

Anmerkungen

[1]

Stellvertretend für viele: Böttcher NZG 2011, 1054 ff.; Görtz BB 2012, 178 ff.; Gelhausen/Wermelt CCZ 2010, 208 ff.; Rieder/Jerg CCZ 2010, 201ff.; Schefold ZRFC 2011, 221 ff.; Schefold ZRFC 2012, 209 ff.; Schemmel/Minkoff CCZ 2012, 49 ff.; Withus/Hein CCZ 2011, 125 ff.; von Busekist/Hein CCZ 2012, 41 ff.; von Busekist/Schlitt CCZ 2012, 86 ff.

[2]

Vgl. MünchKomm HGB/Ebke 2. Aufl. 2009, § 323 Rn. 30.

[3]

Vgl. Böttcher NZG 2011, 1054 ff.

[4]

Vgl. Böttcher NZG 2011, 1056 m.w.N.

[5]

IDW EPH 1/2016 Tz 7 f.

[6]

Vgl. BMF-Schreiben v. 23.5.2016, BStBl I 2016, 490.

[7]

Nach einer von den Verfassern zusammengetragenen Marktübersicht lässt rd. ein Drittel der DAX30-Unternehmen derzeit ihr Compliance Management-System gegen den IDW PS 980 prüfen oder hat es bereits prüfen lassen. Dazu kommen ca. 100 börsennotierte sowie – zumeist größere – mittelständische Unternehmen. Daneben ist das positive Feedback auf internationaler Ebene zu erwähnen, das von verschiedenen nationalen Standard Settern und dem IAASB sowie dem AICPA gegeben wurde.

[8]

IDW Life 5/2016, S. 344 ff.

[9]

IDW Life 8/2016, S. 645 ff.

[10]

IDW Life 8/2016, S. 678 ff.

3. Kapitel Compliance-Organisation in der Praxis › B. Die Prüfung von Compliance Management-Systemen nach IDW PS 980 › II. Was – der Prüfungsgegenstand

II. Was – der Prüfungsgegenstand

108

Der Standard definiert ein Compliance Management-System (CMS) als die Grundsätze und Maßnahmen eines Unternehmens, die auf die Sicherstellung eines regelkonformen Verhaltens des gesetzlichen Vertreters und der Mitarbeiter des Unternehmens sowie ggf. von Dritten abzielen.[1] Regelkonformes Verhalten beinhaltet dabei die Befolgung von Gesetzen und unternehmensinternen Richtlinien und folgt damit dem Compliance-Begriff des Deutschen Corporate Governance Kodex.[2] Der Standard weist eingangs auf die Verantwortung der gesetzlichen Vertreter zur Einrichtung, Ausgestaltung und Überwachung des CMS hin und stellt klar, dass hier eine unternehmerische Entscheidung vorliegt und somit ein Organisationsermessen besteht, das die unternehmensindividuellen Gegebenheiten berücksichtigen kann und soll.[3] Insofern läuft der verschiedentlich geäußerte Vorwurf einer durch den Standard postulierten „one size fits all“-Lösung a priori ins Leere.[4]

109

Von zentraler Bedeutung für den Prüfungsgegenstand, das „Was“, ist das Soll-Objekt als Prüfungsmaßstab, wobei zwischen dem juristischen Sollen (Einhaltung von Gesetzen) und dem betriebswirtschaftlichen Soll-Objekt für Prüfungszwecke zu unterscheiden ist.[5]

und erläutert diese im Anhang.[11] Die Kritik, dass der Standard durch eine willkürliche Zusammenstellung den unzutreffenden Eindruck einer „one size fits all“-Lösung erweckt, solange die sieben Elemente adressiert sind,[12] hat auch durch die Ableitung aus den anerkannten Rahmenkonzepten keinen Bestand. Darüber hinaus stellen von Busekist/Hein fest, dass sich nach einer genauen Analyse der zu § 130 Abs. 1 OWiG ergangenen Entscheidungen alle Grundelemente des Standards der „gehörigen Aufsicht“ zuordnen lassen und § 130 OWiG damit nicht nur abbilden, sondern weiter präzisieren.[13]

Der Standard stellt eingangs fest, dass der Prüfungsgegenstand nicht bzw. nicht notwendigerweise das vollständige CMS eines Unternehmens ist, sondern dass eine klare Abgrenzung des Prüfungsgegenstandes erforderlich ist. Diese Abgrenzung kann darin bestehen, dass bestimmte Unternehmensbereiche (z.B. Gesellschaften, Sparten, Regionen), Unternehmensprozesse (z.B. Einkauf, Vertrieb, F&E) oder Rechtsgebiete (z.B. Kartellrecht, Datenschutz, Antikorruptionsrecht) als Prüfungsgegenstand festgelegt werden.[14] Diese Festlegung hat elementare Bedeutung für Prüfungsaufwand und -wirkung. Je weiter der Prüfungsgegenstand gefasst wird, desto höher ist naturgemäß der Prüfungsaufwand. Allerdings kann die Prüfung auch ausschließlich in den als Prüfungsgegenstand festgelegten Bereichen ihre intendierten Wirkungen entfalten. Wie im Folgenden anhand des Prüfungsvorgehens deutlich werden wird, ist ein erheblicher Teil der Prüfungshandlungen auf den konzeptionellen Überbau für die einzelnen CMS-Teilgebiete ausgerichtet, sodass sich bei einer weiten Abgrenzung der zu prüfenden Teilgebiete des CMS Skaleneffekte ergeben.