My books
My booksCartLists
All 345 genres

Compliance

Text
The book in German language
Authors:, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,
From the series: C.F. Müller Wirtschaftsrecht
0
Reviews
Read preview
Mark as finished
How to read the book after purchase
Smartphone,
TabletComputer,
laptope-reader
Font:Smaller АаLarger Aa

3. Compliance-Ziele






3.1 Definition



165





Die Angemessenheit der in einem CMS enthaltenen Maßnahmen hängt von den mit dem CMS verfolgten Zielen bzw. dem Zielekanon ab; insofern besteht eine „

Definitionspflicht

“ der Geschäftsleitung. Dabei wird oftmals „

Zero Tolerance

“, d.h. die unbedingte Einhaltung von Gesetzen und Richtlinien, als zentrales Ziel gesteckt. Dieses kann nicht isoliert und losgelöst von den übrigen strategischen und operativen Unternehmenszielen verfolgt werden. So kann dieses zentrale Ziel die übrigen Unternehmensziele dergestalt beeinflussen, dass sich das Unternehmen aus bestimmten Geschäftsfeldern oder Ländern zurückzieht, weil die erfolgreiche geschäftliche Entwicklung nur unter Hinnahme von Compliance-Verstößen erreichbar erscheint. Sofern „Zero-Tolerance“ nicht das Ziel ist, müssen klare Kriterien für die anzuwendende

Toleranz

 bei Compliance-Verstößen genannt werden.



166





Des Weiteren bedeutet die Formulierung der Compliance-Ziele auch die

Festlegung

 der in das CMS einbezogenen

Teilbereiche

 sowie die Festlegung der in den Teilbereichen einzuhaltenden Regeln. Hier können – abhängig von den ins CMS einbezogenen Teilbereichen – Anforderungen auch aus exogenen Quellen kommen (Spezialgesetze wie § 52a Abs. 2 BImSchG, § 53 Abs. 2 KrW-/AbfG, § 14 Abs. 2 GwG, dem UK Bribery Act sowie aus Anforderungen von Kunden, Lieferanten oder Kapitalgebern).






3.2 Prüfung



167





Die Prüfung der Zielbeschreibung richtet sich insbesondere auf folgende Anforderungen aus:








            –





            Verständlichkeit und Praktikabilität der Ziele:

            Die Beschreibung der Ziele muss eindeutig und klar verständlich sein. Hier wird ein allgemein formuliertes Ziel wie etwa „Korruption wird im Unternehmen nicht geduldet“ nicht ausreichen. Eine unscharfe Definition der Compliance-Ziele kann sowohl zu organisatorischer Unsicherheit bei der Verantwortlichkeit der Teilbereiche als auch zu Unsicherheit bei der Prävention gegen und Sanktionierung von Verstößen sein. Von Busekist/Hein führen hierzu aus, dass der Standard selbst beim Teilbereich Antikorruptionsrecht in Tz. A3 den § 299 StGB nennt, der aber als Straftat gegen den Wettbewerb angesehen wird und damit dem Teilbereich „Wettbewerbs- und Kartellrecht“ zugeordnet werden könnte. Ebenso könnte bei einem weiten Korruptionsbegriff auch § 119 Abs. 1 Nr. 3 BetrVG in der Form der Begünstigung von Betriebsratsmitgliedern als korruptive Handlung mit den entsprechenden Konsequenzen gefasst werden, ohne dass dies der Intention des Zielsetzers entspricht. Genauso müssen

Toleranzgrenzen

 klar und eindeutig sein und dürfen keinen Spielraum für Missbrauch der Toleranz lassen oder die Ziele des CMS verwässern. Dabei wird der Prüfer berücksichtigen, dass vorhandene Spielräume bei der Durchführung von internen Kontrollen oder bei der Festsetzung von Sanktionen nicht zwingend eine Abweichung von den definierten Zielen einschl. des „Zero-Tolerance“-Ziels darstellen.









            –





            Konsistenz der dargestellten Ziele:Hier wird der Prüfer regelmäßig auf

Zielkonflikte

 der Compliance-Ziele untereinander sowie der Compliance-Ziele mit den anderen Unternehmenszielen achten.









            –





            Messbarkeit des Grades der Zielerreichung:Die Zahl der Verstöße ist an sich kein Gradmesser für die Erreichung von Compliance-Zielen. Allerdings lassen sich die zahlenmäßige Entwicklung sowie die Qualität der Anfragen im präventiven Bereich (z.B. bei Helplines) oder auch die Qualität der Verstöße gegen Compliance-Vorgaben messen. Hier wird regelmäßig eine enge Verzahnung mit der Prüfung der Anforderungen an die Compliance-Kultur erfolgen.









            –





            Abstimmbarkeit mit verfügbaren Ressourcen:Hier wird durch den Prüfer eine Plausibilisierung der Erreichbarkeit der gesteckten Compliance-Ziele mit der gegebenen Compliance-Organisation und den verfügbaren Ressourcen im zentralen und dezentralen Compliance Management sowie der internen Revision vornehmen.








168








Als

Prüfungshandlungen

 werden insbesondere Gespräche mit Management und Aufsichtsorganen, die Durchsicht von Protokollen von Geschäftsleitungs- und Aufsichtsratssitzungen, eine Durchsicht von Berichten der Internen Revision in Hinblick auf Zielabweichungen sowie Gespräche mit Compliance-Verantwortlichen und der Leitung der Internen Revision in Hinblick auf verfügbare Ressourcen durchgeführt werden.





4. Compliance-Programm






4.1 Definition



169





Das Compliance-Programm

operationalisiert

 die nach Festlegung der Compliance-Ziele und der sie bedrohenden Compliance-Risiken

notwendigen Grundsätze und Maßnahmen

. Diese sind ausgerichtet auf die Zwecke eines CMS und sollen daher sowohl präventiv als auch aufdeckend und sanktionierend ausgestaltet sein. Zur Sicherstellung der unterbrechungsfreien Anwendung und Personenunabhängigkeit im Unternehmen sollte das Compliance Programm dokumentiert sein. Neben explizit für das CMS institutionalisierten Programmbestandteilen wie z.B. einem Hinweisgebersystem sowie Berichtswegen zur Kommunikation von Verstößen umfasst das Programm insbesondere integrierte Kontrollen, mit denen die Einhaltung der Grundsätze und die Durchführung der Maßnahmen sichergestellt werden.






4.2 Prüfung



170





Die Prüfung des Compliance-Programms bildet einen Schwerpunkt der CMS-Prüfung, da es als

Bindeglied zwischen Compliance-Zielen und Compliance-Risiken

 prozessual dafür Sorge zu tragen hat, dass die angestrebten Ziele erreicht werden. Mit der Einbindung entsprechender Maßnahmen in die Unternehmensprozesse soll sichergestellt werden, dass eine Beachtung compliance-relevanter Aspekte durchgängig erfolgt. Beispielhafte dazu implementierte Kontrollen sind dabei insb. Funktionstrennungen, Berechtigungskonzepte, Genehmigungsverfahren, Unterschriftsregelungen, Vorkehrungen zum Vermögensschutz sowie unabhängige Gegenkontrollen (4-Augen-Prinzip).

Wesentliche Bestandteile

 des Compliance-Programms sind dabei

Richtlinien

, das

Business Partner Screening

,

Hinweisgebersysteme

 und

sonstige im internen Kontrollsystem verankerte Kontrollen

 mit direktem Compliance Bezug.



171





Ein zentrales Medium innerhalb des CMS zur direkten Adressierung von Compliance Risiken stellen die unternehmensinternen

Richtlinien und Merkblätter

 dar. In ihnen kann das Verständnis von Compliance in den jeweiligen Teilbereichen sowie eine Konkretisierung und damit Operationalisierung in die täglichen Unternehmensprozesse erfolgen. In der Praxis finden sich hier in Abhängigkeit von den wesentlichen rechtlichen Teilgebieten z.B. Richtlinien für den Umgang mit Lieferanten, Kunden, Sponsorentätigkeit, Spenden, Geschenke, Entertainment, Einladungen, Provisionszahlungen, Reisen oder Exportgeschäfte. Im Rahmen der Prüfung wird sich der CMS-Prüfer neben der eigenen Würdigung (unter Zuhilfenahme juristischer Expertise) der Inhalte auf Angemessenheit auch mit Entstehung der Richtlinie beschäftigen, d.h. welchem Prozess der Entwurf und die inhaltlichen Freigabe der Dokumente unterlegen hat. Nur so kann sichergestellt werden, dass die notwendige Expertise eingeflossen ist und die Richtlinie überhaupt geeignet sein kann, die identifizierten Risiken zu adressieren. Von zentraler Bedeutung ist die Anpassung an geänderte rechtliche und tatsächliche Verhältnisse, was in der Praxis oftmals zu Unklarheiten hinsichtlich der jeweils gültigen Fassung geführt hat. Hier haben zahlreiche Unternehmen inzwischen Arbeitshilfen eingeführt, die sämtliche geltenden Richtlinien sowie ein Versionsmanagement enthalten und die den Mitarbeiten eine Schlagwortsuche ermöglichen.



172





Darüber hinaus muss gewährleistet werden, dass die Richtlinien der Zielgruppe vollumfänglich, zeitnah und in der jeweiligen

Landessprache

 zur Verfügung gestellt wurden. Zumindest jedoch sollten diese in gängigen Sprachen vorliegen (z.B. Englisch), so dass sie von den relevanten Adressaten bei weltweiten Konzernen jederzeit ohne Verlust von wichtigen Informationen verstanden und umgesetzt werden können. Auch die regelmäßige Aktualisierung (und der hier zugrunde liegende Genehmigungsprozess) der Inhalte und die sich anschließende Kommunikation muss dabei untersucht werden. Die Richtlinien können den Mitarbeitern in Papierform, per E-Mail oder auch nach entsprechender Ankündigung über ein unternehmensinternes Intranet bereitgestellt werden. Auch hierbei ist darauf zu achten, dass die Kommunikation und das jeweilige Medium und deren Ausgestaltung zielgruppengerecht sind und damit auch sichergestellt werden kann, dass die handelnden Personen erreicht werden. Nur dann kann von einer Angemessenheit ausgegangen werden.

 



173





Letztlich wird eine

Überprüfung der Wirksamkeit

 immer auch eine stichprobenartige Befragung der Zielgruppen auf Kenntnis der Inhalte der Richtlinien einschließen müssen, um würdigen zu können, ob die vom Unternehmen eingesetzten Kommunikationsformen effektiv sind. Dabei ist zentrales Merkmal der Wirksamkeit im Bezug auf Richtlinien die tatsächliche Einhaltung der hier spezifizierten Regeln und Grundsätze. Die Prüfung der Wirksamkeit wird daher ebenso eine stichprobenartige Überprüfung von Geschäftsvorfällen beinhalten, bei denen der CMS-Prüfer untersucht, inwieweit die notwendigen Prozeduren eingehalten wurden. Bei einer Richtlinie über den Einsatz von Vertriebsmittlern kann dies z.B. bedeuten, dass für eine ausgewählte Stichprobe an Provisionszahlungen die zugrundeliegenden Verträge auf Genehmigungen und Unterschriften, so wie ggf. in der Richtlinie gefordert, überprüft werden. Letztlich stellt das den ultimativen Beweis dafür da, dass die Botschaften einer angemessenen Richtlinie auch in die Unternehmensprozesse integriert und gelebt werden. In der Praxis haben sich hier auch konzernweite Fragebogenaktionen etabliert, in denen ausgewählte Mitarbeiter oder Mitarbeitergruppen hinsichtlich des Empfangs bzw. des Verständnisses der Richtlinien befragt werden. Aus den Antworten lässt sich ableiten, inwieweit die Kommunikation der Richtlinien erfolgreich vorgenommen und wesentliche Inhalte der Richtlinien bei den betroffenen Mitarbeitern aufgenommen wurden.



174








Die Überprüfung der Geschäftspartner (sog. „

Business Partner Screening

“) kann vielfältig sein und sich dabei sowohl auf Kunden also auch Lieferanten, Anbieter von Dienstleistungen, Vertriebsmittler, Distributoren, Konsortialpartner oder z.B. auch Zollagenten beziehen. Zur Sicherstellung der eigenen Compliance innerhalb der definierten Rechtsgebiete ist eine sorgfältige Prüfung derjenigen, mit denen geschäftliche Kontakte unterhalten werden, unumgänglich. Dabei ist zu unterscheiden zwischen der zunächst notwendigen inhaltlichen Bewertung des Risikos im Bezug auf einen konkreten Geschäftspartner und der darauf folgenden Durchführung einer Compliance Due Diligence.



175





Im

ersten Schritt

 wird anhand der potentiellen Geschäftsbeziehung eine Analyse vorgenommen, welches

Risikopotential

 grundsätzlich aus der Art der Transaktion resultiert. Anhand eines Kriterienkatalogs (für den Teilbereich Antikorruption z.B. geographische Aspekte, Vergütungsstruktur, Tätigkeit im öffentlichen Sektor oder Zahlungsmodalitäten) sollen jene spezifischen Partner identifiziert werden, die aufgrund ihrer individuellen Tätigkeit ein erhöhtes Compliance-Risiko aufweisen Hier kann sich der CMS-Prüfer zunächst ein Bild vom gewählten Verfahren machen und eine Würdigung vornehmen, ob die Prozesse geeignet sind, entsprechende Risiken aus den Beziehungen zu erkennen und zu bewerten. Durch stichprobenartige Überprüfung von einzelnen Geschäftspartnern kann sichergestellt werden, dass das Verfahren auch wirksam ist.



176








In einem

zweiten Schritt

 des Business Partner Screenings sind als höher risikobehaftet eingestufte Beziehungen einer Compliance Due Diligence zu unterziehen. Dies kann durch Fragebögen an den Geschäftspartner erfolgen oder auch durch eine externe Recherche mittels eines professionellen Dienstleisters. Auch hier bietet es sich im Rahmen der Prüfung an, auf der Basis von Stichproben sowohl die Risikoeinschätzung als auch die Durchführung des Verfahrens im Detail zu überprüfen. Ein ganz wesentlicher Schritt ist die Überführung der Ergebnisse aus Risikobewertung und Compliance Due Diligence in entsprechende Maßnahmen. Ein zentraler Prüfungsschritt ist hier nachzuvollziehen, ob die Ergebnisse zu den notwendigen Konsequenzen geführt haben (z.B. die Ablehnung einer Lieferbeziehung).



177








Zum einen dienen diese Analysen der Reduktion und Adressierung der eigenen Risiken (z.B. im Falle der passiven Korruption nach erfolgter Beschäftigung mit neuen Lieferanten). Zum anderen muss berücksichtigt werden, dass ein Fehlverhalten von Geschäftspartner häufig auch zugerechnet wird und mindestens

Reputationsschäden

 hervorrufen kann. Zu den Grundpflichten im Rahmen des Business Partner Screenings gehören regelmäßig die vollständige Dokumentation von Geschäftsbeziehungen über schriftliche Verträge ohne Nebenabreden, die in einem sorgfältigen Vertragsmanagement nachgehalten werden. Dabei ist für Rahmenverträge darauf zu achten, dass diese nach erfolgter Aktualisierung den Parteien wieder zugänglich gemacht werden und diesen bekannt sind.



178








Für neue Geschäftspartner muss sich der Prüfer davon überzeugen, dass relevante

Hintergrundrecherchen

 angestrebt werden um auszuschließen, dass mit Partnern eine Geschäftsbeziehung eingegangen wird, die z.B. in der Vergangenheit in einem der relevanten Teilbereiche durch Verstöße bekannt geworden sind. Dieser Prozess sollte in klaren Verfahrensanweisungen dokumentiert sein und bei den verantwortlichen Mitarbeitern geschult werden. In einigen Jurisdiktionen sind solche Hintergrundrecherchen unter bestimmten Umständen verpflichtend eingeführt worden, so etwa durch den UK Bribery Act oder zuletzt durch das nach seinem Initiator benannte französische Anti-Korruptionsgesetz „Sapin II.“



179








Ein weiteres wesentliches Element stellt das

Hinweisgebersystem

 (auch „

whistleblower system

“ genannt) dar. Bei der Prüfung der Angemessenheit und Wirksamkeit eines solchen Systems muss sich der CMS-Prüfer mit dem Prozess, den jeweiligen Verantwortlichkeiten, der Ausgestaltung bzw. der Werkzeuge sowie letztlich der Qualität der handelnden Personen auseinandersetzen. Für die Effektivität des Hinweisgebersystems ist dabei von grundlegender Bedeutung, dass die Kommunikationskanäle allen Mitarbeitern zur Verfügung stehen und diese auch bekannt gemacht werden.



180





Wie bei allen Prozessen ist auch hier insbesondere bei

internationalen Konzernen

 darauf zu achten, ob sowohl die Kommunikation der Kontaktinformationen des Hinweisgebersystems (d.h. Telefonnummer und E-ail-Adressen) sowie auch die die Kommunikation mit dem Hinweisempfänger selber

in allen relevanten Fremdsprachen

 angeboten wird. Eine rein zweisprachige Institution (deutsch/englisch) kann nicht als ausreichend erachtet werden, da damit eine Vielzahl potentieller Hinweisgeber weltweit ausgeschlossen wird. Auch hier kann durch eine entsprechende stichprobenartige Befragung von Mitarbeitern festgestellt werden, inwieweit die

Kontaktinformationen bekannt

 sind. Die hier aufgezeigten Bedingungen eines wirksamen Hinweisgebersystems hinsichtlich der Bekanntmachung und Sprache gelten analog auch für den Fall, wenn Unternehmen das Hinweisgebersystem auch für Dritte wie z.B. Lieferanten und Kunden öffnen. Ebenso kann es hier sinnvoll sein, eine Befragung vorzunehmen.





5. Compliance-Organisation






5.1 Definition



181





Die zentrale Aufgabe der Compliance-Organisation besteht darin,

Rollen und Verantwortlichkeiten

 (z.B. Beauftragte und Gremien) zu definieren sowie eine

Aufbau- und Ablauforganisation

 als integralen Bestandteil der Unternehmensorganisation zu implementieren. Dazu muss die Unternehmensleitung ausreichende Ressourcen zur Verfügung stellen, um eine Wirksamkeit des CMS zu ermöglichen. Hier ist zu beachten, dass das CMS stets integraler Bestandteil der

Corporate Governance

 (d.h. etwa des internen Kontrollsystems bzw. des Risikomanagementsystems) des Unternehmens ist. Unter die Compliance Organisation fällt damit auch die Festlegung der hierarchischen Stellung bzw. der organisatorischen Einordnung sowie der eingerichteten Berichtslinien.





5.2 Prüfung



182





Die Prüfung der Compliance Organisation umfasst im Wesentlichen die Aufbau- und Ablauforganisation sowie die personelle und sachliche Ressourcenausstattung.



183








Im Rahmen der Prüfung der Aufbau- und Ablauforganisation beschäftigt sich der CMS-Prüfer mit den zugewiesenen Rollen und Verantwortlichkeiten, der Integration in die bestehende Unternehmensorganisation sowie den Berichtswegen und –pflichten sowohl auf Ebene der Muttergesellschaft als auch, im Konzern, mit der lokalen Umsetzung in den Tochtergesellschaften. Dabei kann grundsätzlich unterschieden werden in eine eigenständig in die bestehenden Corporate Governance-Strukturen eingebettete Compliance-Organisation sowie eine Umsetzung der Anforderungen durch eine

Matrixorganisation

.



184





Bei der Matrixorganisation werden im Gegensatz zu einer autonomen Compliance-Abteilung relevante Aufgaben auf die

Fachabteilungen

 (z.B. Rechtsabteilung, Revision, Personalabteilung, Einkauf) und hier auf die

sog. Compliance-Verantwortlichen übertragen

. Den Vorteilen einer Matrix-Organisation, die im Wesentlichen in einer hohen Flexibilität, geringem finanziellen und personellem Ressourcenbedarf sowie einer Beibehaltung von Zuständigkeiten und grundlegenden Organisationsstrukturen besteht, steht in der Praxis in der Regel ein hoh