Bereits in 2011 wurde durch das Institut der deutschen Wirtschaftsprüfer ein Standard für Compliance-Management-Systeme (CMS) aufgestellt.
Der Standard IDW PS 980 gliedert sich in 7 Grundelemente, die die Anforderungen an ein Compliance-Management-System begründen, sowie die Grundlagen der Prüfung darstellen.
1. Compliance Kultur
Die Compliance-Kultur bildet die Grundlage für die Verhaltensweisen des Managements eines Unternehmens und ist damit auch Basis für die Prüfung der Angemessenheit und Wirksamtkeit eines CMS.
2. Compliance - Ziele
Bei den Compliancen-Zielen ist klar festzulegen, welche wesentlichen Ziele mit dem CMS erreicht werden sollen. Hierbei sollte das CMS eine klare Strukur enthalten, so dass innerhalb der Teilstruktur auch insoweit eine Prüfung erfolgen kann, ob die entsprechenden Ziele eingehalten wurden.
3. Compliance - Risiken
Im Rahmen des CMS bedarf es einer klaren Analyse des Unternehmens und damit im Zusammenhang einer Identifikation der Risiken in einem Unternehmen, die es dann zu bewerten gilt.
4. Compliance - Programm
Auf der Grundlage der Identifikation und Bewertung der Risiken erfolgt dann die Auf- stellung von Grundsätzen und Maßnahmen zur Risikominimierung.
5. Compliance - Organisation
Die Organisation der Compliance dient der Festlegung der Rollen und Verantwortlichkei- ten. Dies dient sowohl dem Aufbau der Organisation, als auch der Ablaufplanung zur lau- fenden Überprüfung der Wirksamkeit der Compliance Maßnahmen.
6. Compliance - Kommunikation
Innerhalb der Kommunikation über die Compliance des Unternehmens sind Mitarbeiter und, soweit diese von der Compliance betroffen sind auch Dritte (dies könnte z.B. der Steuerberater oder Firmenanwalt sein), über das Compliance Programm zu informieren. Hierbei werden die Beteiligten über ihre Rolle innerhalb des CMS informiert und die Verantwortlichkeiten festgelegt.
Für identifzierte Risiken wird zudem im Rahmen der Kommunikation festgelegt, wie diese in einem festgelegten Berichtsweg dokumentiert und den Verwantwortlichkeiten zugeleitet werden. Gleiches gilt für den Umgang mit eingehenden Hinweisen.
7. Compliance - Überwachung / - Verbesserung
Das Compliance System setzt letztlich eine Überwachung voraus. Diese dient der stän- digen Prüfung, ob das Programm, sowie die dazugehörige Organisation und die Kommunikation angemessen und wirksam sind (Reporting).
Grundlage der Überwachung ist eine ausreichende Dokumentation; Ziel der Überwachung ist die ständige Verbesserung des CMS.
Die Einführung von Compliance in Ihrem Unternehmen erfordert eine Bewertung von Compliance-Risiken. Hierbei erfolgt eine Analyse der Arbeitsabläufe in Ihrem Unternehmen, um die Gefahrenpotentiale zu erkennen.
In der Folge wird, in enger Abstimmung mit Ihnen, ein auf die Bedürfnisse und die Besonderheiten Ihres Unternehmens abgestimmtes Compliance-Management-System eingeführt. Durch die Identifikation der Risiken, können so die Gefahren erkannt und mini-miert werden.
Durch die Pflege des Systems, sowie aufgrund klarer Vorgaben an Ihre Mitarbeiter und entsprechende Schulungen, wird die Compliance auch zum Schutz Ihrer Mitarbeiter.
Die International Organization for Standardization (ISO) hat am 15.12.2014 für Compliance-Management-Systeme einen neuen Standard veröffentlicht, zur Vereinheitlichung der Rahmenbedingungen zur Compliance Organisation.
Auch der Normenausschuss des Deutschen Instituts für Normung hat sich im Januar 2015 entschlossen, die ISO 19600 als deutsche Norm zu übernehmen. Dieser Standard ist dann nach dem IDW PS 980 des Instituts der Wirtschaftsprüfer der zweite Standard für Compliance-Management-Systeme.
Zentrales Element von Compliance-Management-Systemen ist hiernach die Rechtskonformität. Hierbei beinhaltet der Begriff der Rechtskonformität nach diesem Standard mehr als die klassischen Inhalte wie Verhaltenskodex, Korruption und Geschenke, sowie Vermeidung von Interessenkonflikten und Diskriminierung. Danach bedeutet Rechtskonformität nunmehr, dass sämtliche strafrechtlichen oder bußgeldrechtlichen Verbote zu beachten sind. Der Arbeitsbereich der Compliance-Beratung erstreckt sich daher aus der Sicht unseres TEAMS vielmehr auf präventive Beratungsthemen wie Datenschutz und Informationssicherheit, Geldwäscheprävention, Arbeitsschutz und Arbeitssicherheit, aber auch Umweltschutz und Themen der Außenwirtschaft, Exportkontrolle etc.
Nach diesem Standard bekommt auch das ethische Verhalten stärkere Bedeutung in Compliance-Management-Systemen.
Die ethische Thematik, also Integrität und Redlichkeit unabhängig von gesetzlichen Normierungen, ist wesentlicher Bestandteil des ISO 19600:2014.
Im Rahmen der organisatorischen Umsetzung des internationalen Standards, ist entscheidend, wie die gesetzlichen Rahmenbedingungen aussehen, innerhalb derer in einem Unternehmen ein CMS aufzubauen ist. Hierbei versteht es sich von selbst, dass Änderungen dieser Rahmenbedingungen auch eine Anpassung des CMS erforderlich machen.
Unabhängig davon, ob der Gesetzesentwurf aus Nordrhein-Westfalen für ein eigenständiges Unternehmens- und Verbandsstrafrecht oder der Gegenvorschlag der Wirtschaft und Fachverbände, stattdessen im bestehenden Sanktionensystem des Ordnungswidrigkeitenrechts Anpassungen vorzunehmen, soweit dies erforderlich ist, künftig zum Tragen kommen wird, ist davon auszugehen, dass das Bestehen eines wirksamen CMS zur Minderung der Haftung führend wird, bzw. geeignet sein dürfte, den Vorsatz auszuschließen.
Der ISO-Standard 19600 ist gerade mal ein Jahr existent, da arbeitet eine international besetzte Expertenkommission bereits an einem weiteren Standard, der als ISO 37001 voraussichtlich Ende 2016 veröffentlicht wird.
Während die ISO 19600 als Handlungsempfehlung ausgestaltet ist, soll die neue Norm über den Empfehlungscharakter hinausgehen und geeignet sein, dass die Einhaltung im Rahmen einer Zertifizierung überprüft werden kann.
Ein solches Zertifikat wird für den Anwender sicherlich mit einem erheblichen Imagegewinn verbunden sein und insbesondere bei global operierenden Unternehmen, die über internationale Lieferantenbeziehungen verfügen, oder an ausländischen Ausschreibungen teilnehmen, wichtig sein.
Inhaltlich soll sich der neue Standard stärker mit der Korruptionsbekämpfung befassen, so dass der Anwender für sein Unternehmen eine Antikorruptionsrichtlinie benötigt, die in Anbetracht der Erweiterung des § 299 StGB wohl durchdacht sein sollte. Darüber hinaus bedarf es einer entsprechenden Analyse des Unternehmens, um die korruptionsrelevanten und gefahrgeneigten Bereiche festzustellen und einer entsprechenden Schulung sowohl der Firmenleitung, als auch der Mitarbeiter.