Praxisgerechte Einführung von Compliance Management Systemen

PrintMailRate-it

​veröffentlicht am 5. Oktober 2017

 

Der neue Corporate Governance Kodex spricht erstmals eine Empfehlung zur Einführung eines Compliance Management Systems (CMS) aus. Die Einrichtung eines CMS ist nicht zuletzt aus Haftungsgründen auch für Geschäftsführer, Bürgermeister und andere Verantwortliche im öffentlichen Sektor dringend zu empfehlen. Die Aufgabe lässt sich mit Augenmaß und erfahrenen Partnern an der Seite praxisgerecht lösen.

 

​Auf ein dezidiertes Compliance Management System kann nicht verzichtet werden


Die Bedeutung des Begriffs „Compliance” lässt sich am ehesten mit ”Regelkonformität” übersetzen. Compliance ist erst seit wenigen Jahren auf der Management-Agenda deutscher Unternehmen angekommen. Warum braucht es Compliance, wenn sich ein Unternehmen auch schon regelkonform verhielt, noch bevor dieses Modewort aufkam? Kurz gesagt deswegen, weil Regelverstöße nie mit Sicherheit verhindert werden können. Wenn also ein Regelverstoß geschieht, macht es einen Unterschied, ob ein Mitarbeiter diesen Regelverstoß begangen hat, obwohl es ein Compliance Management System gab, oder ob ein solches System gar nicht erst existierte. Denn mit der Einrichtung eines CMS weist die Unternehmensleitung nach, dass sie das in ihrer Macht stehende unternimmt, um Compliance-Verstöße in ihrem Unternehmen zu verhindern.


Eine gesetzliche Verpflichtung dazu ergibt sich mittelbar aus § 130 OwiG i.V.m. § 30 OWiG. Aus § 13 StGB leitet sich die sogenannte Garantenstellung ab, die dazu führt, dass der gesetzliche Vertreter einer juristischen Person im Falle einer Unterlassung für eine aus dieser Organisation heraus erfolgte Straftat selbst strafrechtlich zur Verantwortung gezogen werden kann. Die Garantenstellung trifft gesetzliche Vertreter von Gebietskörperschaften und juristischen Personen des öffentlichen Rechts grundsätzlich ebenso wie Vorstände und Geschäftsführer juristischer Personen des privaten Rechts.


Die Rechtsprechung bejaht – spätestens seit dem sog. Siemens-Neubürger-Urteil aus dem Jahr 2013 – die zivilrechtliche Haftung eines Vorstandsmitglieds für den Fall eines fehlenden oder aber nicht wirksamen CMS. Im Umkehrschluss sieht beispielsweise die Finanzverwaltung im Fall einer steuerlichen Selbstanzeige in einem eingerichteten CMS auch eine Indizwirkung für die Frage, ob ein vorsätzliches oder aber ein lediglich fahrlässiges Verhalten vorliegt (Anwendungserlass des BMF vom 23. Mai 2016 zu § 153 AO, Gz. IV A3 – S 0324/15/10001). Für privatrechtliche Unternehmen mit einer Mehrheitsbeteiligung der öffentlichen Hand weisen insbesondere die Fragenkreise 2 und 6 des Fragenkatalogs nach § 53 HGrG auf die Verantwortung der Geschäftsleitung zur Einrichtung eines CMS hin.

 

Zusätzlich zu der eigentlichen Einrichtung eines CMS bietet die Möglichkeit einer externen Überprüfung des CMS die Chance, Verbesserungsmöglichkeiten bei der Ausgestaltung des CMS zu identifizieren und gleichzeitig beispielsweise die Angemessenheit des CMS belegbar zu dokumentieren. Hierfür eignet sich u.a. die Prüfung durch einen unabhängigen Wirtschaftsprüfer nach dem Prüfungsstandard 980 des IDW.

 

Aktuelle Impulse aus der Gesetzgebung und Rechtsprechung

Der Gesetzgeber hat mit dem Ende Juni 2017 in Kraft getretenen neuen Geldwäschegesetz die inhaltlichen Anforderungen an ein CMS erhöht. Für bestimmte Unternehmen entstehen mit der Einführung des neuen Transparenzregisters zusätzliche Offenlegungs- und Meldepflichten. Bei Nichtbeachtung drohen empfindliche Bußgelder. Das Transparenzregister tritt neben das Handels- und Unternehmensregister. Als auszuweisende wirtschaftlich Berechtigte gelten die hinter den Gesellschaften stehenden natürlichen Personen, die über substanzielle Kontrollmöglichkeiten verfügen (§ 3 GwG). Erstmitteilungen müssen bis zum 1. Oktober 2017 erfolgen. Bei Verstoß gegen die Angabe- und Mitteilungspflichten drohen Bußgelder in empfindlicher Höhe. Die vorgeschriebene Verpflichtung ist damit zukünftig auch Gegenstand ordnungsgemäßer Compliance, deren Umsetzung in den Verantwortungsbereich der Leitungsorgane fällt und neue Managerhaftungsthemen birgt.


Gleichzeitig setzt sich aktuell der generelle Trend in der Rechtsprechung fort, bei Bestehen eines funktionsfähigen CMS von einer haftungsreduzierenden Wirkung auszugehen. Im Rahmen eines Urteils in einem Steuerstrafverfahren, bei dem es um die Frage der Wirksamkeit einer Selbstanzeige ging, wies der BGH in einem Urteil vom 9. Mai 2017 erstmals darauf hin, dass ein effizientes Compliance Management System, das auf die Vermeidung von Rechtsverstößen ausgelegt sein muss, bußgeldmindernd berücksichtigt werden kann. Dabei kann ebenfalls eine Rolle spielen, ob das Unternehmen in der Folge der aktuell anhängigen Straftat seine Regelungen optimiert hat und die betriebsinternen Abläufe nun so gestaltet, dass vergleichbare Normverletzungen zukünftig deutlich erschwert werden. Damit findet die Sichtweise, die sich aus dem o.g. Anwendungserlass des Bundesfinanzministeriums ergibt, auch Eingang in die höchstrichterliche Rechtsprechung.

 

Von der Notwendigkeit zur Umsetzung: Einrichtung eines CMS mit Augenmaß und Praxiserfahrung

Gerade kleinere und mittlere Organisationen schrecken oft davor zurück, ein CMS einzurichten. Vermutlich assoziiert man damit einen nicht klar umrissenen und daher womöglich ausufernden Projektaufwand. Diese Befürchtung ist jedoch unbegründet. Die Einrichtung eines CMS lässt sich genauso planen, budgetieren und budgetgerecht umsetzen wie ein anderes Projekt auch. Folgende Schlüsselaktivitäten sollte man einplanen und mit angemessener Dimension (das CMS muss zur Organisation passen, nicht umgekehrt) projektieren:

 

1. Compliance-Kultur im Management zeigen und vorleben: Das nachdrückliche, persönliche und wiederholte Bekenntnis der Entscheidungsträger steht am Anfang der Projektarbeit. Es stellt den Schlüssel zu Compliance insgesamt dar und bietet außerdem den Vorteil, dass es zunächst budgetneutral ist.


2. Compliance in der Organisation verankern: Ob die operative Zuständigkeit für Compliance unmittelbar bei einem der Entscheidungsträger angesiedelt ist, ob es als Zusatzaufgabe in der bestehenden Organisation dargestellt wird oder ob eine eigene Position geschaffen wird, hängt von den individuellen Voraussetzungen, nicht zuletzt von der Branche und der Unternehmensgröße ab. Wichtig ist: Es gibt eine unternehmensweit sichtbar verankerte organisatorische Abbildung der Funktion Compliance Management.


3. Compliance-Risiken managen: Die Organisation hat sich umfassend und systematisch mit ihren Compliance-Risiken befasst und dies auch dokumentiert. Die Erstinventur der Compliance- Risiken, beispielsweise über Risikoworkshops, ist abgeschlossen, sodass alle wesentlichen Compliance-Risiken identifiziert und bewertet sind. Zu den Risiken sind jeweils Risikoverantwortliche benannt, die sich um Gegenmaßnahmen kümmern, soweit diese nicht ohnehin schon ergriffen wurden. Die laufende Aktualisierung der Compliance-Risiken (z.B. jährlich) ist klar definiert.


4. Regelabläufe vorgeben: Den Mitarbeitern ist bekannt, an wen sie sich im Falle eines ihnen bekannt werdenden Compliance- Verstoßes wenden müssen und wie sie die Organisation auf ggf. noch nicht wahrgenommene Compliance-Risiken aufmerksam machen können. Innerhalb der Compliance-Organisation ist das Compliance-Programm insgesamt beschrieben. Für die wichtigsten Aktivitäten (bspw. laufendes Management der Compliance-Risiken, Umgang mit Compliance-Verdachtsfällen) sind damit Prozesse festgelegt und auch dokumentiert.


5. Compliance-Dokumentation erstellen: Organisation, Rollen und Prozesse sind in einer Compliance-Dokumentation festgehalten. Diese ist, zumindest mit den Informationen, die potenziell jeden Mitarbeiter betreffen (z. B. „Compliance- Handbuch”), im Unternehmen bekannt gemacht.

 

6. Compliance-Regelwerk benennen: Im Kontext der Compliance-Ziele der Organisation sind für Mitarbeiter auch die wesentlichen externen Rechtsquellen sowie natürlich ebenso die compliance-relevanten internen Regelungen ersichtlich, die für die Organisation eine wesentliche Bedeutung haben, auch wenn im Einzelfall die Gefahr besteht, dass die Aufstellung nicht abschließend ist.


7. Compliance-Kommunikation leisten: Es gibt eine systematisch aufgesetzte, nachhaltige interne Kommunikation in der Organisation bzgl. Compliance. Auch für die Berichterstattung des Compliance-Verantwortlichen an die dafür definierten Stellen bzw. Organe (jährlicher Compliance-Bericht) ist eine Definition festgelegt.


Rödl & Partner begleitet zahlreiche öffentliche Unternehmen

Rödl & Partner hat bereits zahlreiche Organisationen im öffentlichen Sektor bei der Einrichtung von Compliance Management Systemen unterstützt. Dazu zählten beispielsweise Fragen zur angemessenen Einrichtung und Ausgestaltung der Compliance-Organisation, wichtige Prozesse im Bereich Compliance, Erstinventur der Compliance-Risiken, z. B. in Form von Risikoworkshops oder auch die Compliance-Kommunikation. Auch die weitergehende Unterstützung, beispielsweise in Form der Gestellung eines externen Compliance Officers, ist denkbar.

Kontakt

Contact Person Picture

Christoph Naucke

Betriebswirt (Berufsakademie), Zertifizierter Compliance Officer, Datenschutzbeauftragter DSB-TÜV, Prüfer für Interne Revisionssysteme (DIIR), Datenschutzauditor (TÜV), IT-Auditor IDW

Associate Partner

+49 911 9193 3628

Anfrage senden

Contact Person Picture

Norman Lenger-Bauchowitz, LL.M.

Mediator & Rechtsanwalt, Fachanwalt für Steuerrecht, Fachberater für Restrukturierung & Unternehmensplanung (DStV e.V.)

Partner

+49 911 9193 3713

Anfrage senden

Profil

Wir beraten Sie gern!

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu