Wie
viel Compliance Management verträgt ein Unternehmen?
Dass
Unternehmen über ein Compliance Management System verfügen
müssen, ist heute weitgehend unumstritten. Entscheidend in
diesem Kontext ist die Frage nach Art und Umfang der
Compliance-Funktion.
Grundsätzlich sind
die Ziele einer Compliance-Funktion in einem Unternehmen
klar definiert: zum einen sollen Compliance-Verstöße (aus
dem Unternehmen heraus) verhindert werden, um Schäden
(materielle Schäden sowie Reputationsschäden) vom
Unternehmen abzuwenden. Zum anderen soll durch die
Compliance-Funktion auch die persönliche – straf- und
zivilrechtliche Haftung – des Managements minimiert, wenn
nicht gar verhindert werden.
Seit das Thema
Compliance eine hohe mediale Aufmerksamkeit erlangt und
zahlreiche Unternehmensskandale verstärkt in das Bewusstsein
der zunehmend kritischen Öffentlichkeit gelangt sind, wird
die Frage des Aufbaus und der Implementierung von Compliance
Management Systemen (CMS) auch in den Kreisen diskutiert,
die sich bisher nicht angesprochen fühlten.
Risikolandschaft und Risikostrategie
In jedem
Unternehmen – unabhängig von Branche, Produkten und
Geschäftsmodell – bestehen Risiken, die sich realisieren und
damit Schäden für das Unternehmen verursachen können. Im
Zuge der Globalisierung und Internationalisierung sind die
regulatorischen Anforderungen gestiegen. Manche Branchen
sind hier besonders betroffen. Beispielhaft sei die
energiewirtschaftliche Branche genannt, die im Zusammenhang
der signifikanten Marktveränderungen mit einer Flut neuer
Gesetze zu kämpfen hat. Aber auch die Regelungswut innerhalb
von Unternehmen, speziell in Konzernen, nimmt stetig zu, so
dass auch vermehrt interne Richtlinien zu beachten sind.
Mit der
zunehmenden Anzahl von Regelungen steigt die Gefahr, auch
unwissentlich gegen gesetzliche, normative und interne
Vorgaben zu verstoßen. Der vorsätzliche Verstoß bleibt
hiervon unberührt.
Nicht jedes Risiko
hat bei seiner Verwirklichung kritische oder existentielle
Folgen. Vor diesem Hintergrund sind die Bestimmung der
Risikolandschaft und der Risikostrategie eine wesentliche
Grundlage für die künftige Ausprägung des Compliance
Management Systems. In einem ersten Schritt sind die Risiken
zu identifizieren; hieraus ergibt sich die Risikolandschaft
(welche Risiken bestehen in welchem geschäftlichen Kontext).
In einem zweiten Schritt erfolgt die Bewertung der Risiken
mit Quantifizierung möglicher Schäden und Einschätzung der
Eintrittswahrscheinlichkeit. In einem dritten Schritt werden
die Risiken priorisiert und einer strategischen Handhabung
zugeordnet (in der Regel unterscheidet man bei der
Risikostrategie zwischen Risikovermeidung,
Risikominimierung, Risikotransfer und Risikoübernahme).
Geringe Risiken werden häufig vom Unternehmen selbst
getragen, während Risiken mit hohen Schäden entweder auf
Dritte transferiert werden (z.B. Versicherung). Bei nicht
übertragbaren Risiken versucht das Unternehmen, diese durch
geeignete Maßnahmen zu minimieren oder gar zu vermeiden.
Verpflichtung
zum Aufbau einer Compliance-Funktion
Jeder Manager ist
gut beraten, sein Unternehmen – und sich selbst – gegen
Risiken aus Compliance-Verstößen abzusichern. Das geschieht
in der Regel durch ein spezifisches Risikomanagementsystem
(CMS). In wieweit besteht jedoch die Verpflichtung, eine
solche Compliance-Funktion aufzubauen?
Die Meinung
hierüber ist alles andere als einheitlich. Explizite
gesetzliche Verpflichtungen gibt es nur in Einzelfällen, wie
etwa § 33 WpHG
und § 25a KWG.
Die genannten Bestimmungen fordern ausdrücklich die
Einführung von Compliance-Funktionen, wobei hier Unternehmen
betroffen sind, die Wertpapierdienstleistungen bzw.
Finanzdienstleistungen erbringen.
Befürworter gehen
davon aus, dass eine generelle Verpflichtung zur Einführung
einer Compliance-Funktion besteht. Diese ergibt sich aus
einer gesamtheitlichen Betrachtung bestehender gesetzlicher
Bestimmungen wie §§ 76, 91 II, 93 I AktG bzw. §§ 35, 41, 43,
85 GmbHG (gesetzlich normierte Leitungsfunktion des
Managements).
Auch aus den
Bestimmungen des OWiG (§§ 3, 9, 130 OWiG) lässt auch eine
Verpflichtung zur Einführung einer Compliance-Funktion
ableiten.
Schließlich
fordert der Deutsche Corporate Governance Code (DCGK), dass
der Vorstand für die Einhaltung der gesetzlichen
Bestimmungen und der unternehmensinternen Richtlinien zu
sorgen und auf deren Beachtung durch die Konzernunternehmen
hinzuwirken habe.
Kritiker teilen
diese Meinung nicht. Deren Hauptargument ist, dass es – bis
auf die zuvor genannten Bestimmungen des WpHG und KWG sowie
ergänzend die Bestimmung des § 64a VAG
– keine expliziten gesetzlichen Regelungen gibt. Hätte der
Gesetzgeber gewollt, dass Compliance-Funktionen, in welcher
Art auch immer, verpflichtend sind, so hätte er dies in
einschlägigen gesetzlichen Regelungen aufgenommen.
Auch die Auslegung
des AktG und GmbHG dahingehend, hieraus die Verpflichtung
zur Implementierung einer Compliance-Funktion abzuleiten,
wird als überzogen angesehen.
Schließlich wird
auch der DCGK wird als Rechtsgrundlage abgelehnt, da dieser
Empfehlungscharakter habe und damit keine
Rechtsverbindlichkeit gegeben sei. Außerdem gilt dieser
ausschließlich für börsennotierte Aktiengesellschaften und
berücksichtige damit alle anderen Unternehmen nicht.
Alle genannten
Argumente haben ihre Richtigkeit und ihre Berechtigung. Vor
dem Hintergrund der im Prinzip einfachen aber entscheidenden
Frage, ob Mitglieder des Managements sich dem Risiko
aussetzen wollen, aufgrund des Fehlens einer
Compliance-Funktion persönlich in die Verantwortung gezogen
und damit sowohl zivil- als strafrechtlich in die Haftung
genommen zu werden, verlieren die einzelnen Gründe und
Argumente, warum ein Unternehmen ein Compliance Management
System einführt, an Relevanz.
Das Compliance
Management System muss zum Unternehmen passen
Bei dieser Frage
gilt zunächst die simple Feststellung: es gibt keine
spezifischen gesetzlichen oder normativen Vorgaben für ein
Compliance Management System. Insoweit steht es jeder
Unternehmensleitung grundsätzlich frei, die funktionalen und
organisatorischen Strukturen für die Compliance-Funktion in
ihrem Unternehmen frei zu wählen. Ungeachtet dessen gibt es
eine Reihe von Aspekten, deren Berücksichtigung hilfreich
beim Aufbau des CMS ist und die – direkt und indirekt –
Implikationen auf die Ausgestaltung des CMS haben können.
Schließlich bindet eine solche Funktion Personal- und
Sachressourcen und stellt damit einen nicht unerheblichen
Kostenfaktor dar.
Die
Compliance-Funktion kann ihre gewünschte Wirkung nur dann
effektiv entfalten, wenn sie als Management System in die
Gesamt-Unternehmensorganisation integriert ist. Es gilt
also, ein für das jeweilige Unternehmen passendes System zu
installieren. Dies erfordert mindestens:
-
Personelle
Zuordnung
Für das Thema Compliance ist eine personelle Zuordnung
vorzunehmen, d.h. einzelnen Personen ist die
diesbezügliche Verantwortung zu übertragen. Bei kleinen
Unternehmen kann diese in Personalunion mit anderen
Funktionen (z.B. Controlling) erfolgen, große
Unternehmen beschäftigen hierfür eigene
Compliance-Officer. Auch ein Outsourcing an einen
spezialisierten Berater ist denkbar.
-
Organisatorische Verankerung
Die Compliance-Funktion muss organisatorisch im
Unternehmen verankert sein. Auch dieser Aspekt hängt von
Größe und Struktur des Unternehmens ab: von der
Stabsstelle bis zur eigenen Complianc-Abteilung sind
alle Varianten in der Praxis vertreten. Wie immer auch
die organisatorische Verankerung erfolgt, wichtig ist,
dass die Compliance-Funktion keine Insellösung
darstellt. Es ist unbedingt darauf zu achten, dass eine
enge Verzahnung mit anderen Managementsystemen
(Qualitätsmanagement, Risikomanagement etc.) besteht.
-
Aufgabenfestlegung
Die Festlegung der Aufgaben der Compliance-Funktion hat
zwei Dimensionen. Zum einen sind die konkreten
operativen Aufgaben zu beschreiben (z.B. Beratung der
Geschäftsleitung sowie anderer Stellen im Unternehmen,
Entwicklung und Umsetzung interner Regelwerke, Schulung
der Mitarbeiter sowie die Kontrolle und Aufdeckung von
Compliance-Verstößen). Zum anderen ist darauf zu achten,
dass die Aufgaben der Compliance-Funktion geeignet sind,
die Erfüllung der Pflichten der Unternehmensleitung
(Organisations-, Kontroll- und Untersuchungspflichten)
sicherzustellen – schließlich handelt es sich um die
Delegation von Aufsichtsaufgaben und das in diesem
Kontext relevante Zusammenspiel von Delegationsakt,
Auswahlentscheidung und Überwachung des Delegierten.
-
Überwachung, Kontrolle und Berichtswesen
Eine Compliance-Funktion bedarf der Überwachung und
Kontrolle. Dies geschieht in der Regel durch ein
Berichtswesen, in dessen erweiterten Rahmen auch die
Durchführung von internen und externen Prüfungen gehört.
Das CMS muss
individuell auf das Unternehmen zugeschnitten sein, dessen
spezifische Anforderungen und Belange sowie dessen
individuelle Risikolandschaft berücksichtigen. Insoweit ist
es unabdingbar, vor dem Auf- oder Ausbau eines CMS eine
sorgfältige Analyse der entscheidenden Parameter
durchzuführen.
Anforderungen an
die Unternehmensleitung bei der Einrichtung einer
Compliance-Funktion
Eine Frage, die in
der Unternehmenspraxis immer wieder im Raum steht, ist die
nach dem Ermessensspielraum bei Errichtung und Betrieb eines
Compliance Management Systems. Hierbei ist zwischen
gebundenen und unternehmerischen Entscheidung der
Unternehmensleitung zu unterscheiden.
Bei der Einhaltung
gesetzlicher Bestimmungen besteht kein Ermessensspielraum.
Diese sind ohne Wenn und Aber einzuhalten. Hierbei handelt
es sich um gebundene Entscheidungen.
Bei der Festlegung
und Umsetzung organisatorischer Maßnahmen dagegen besteht
durchaus ein Ermessensspielraum. Schließlich nimmt die
Unternehmensleitung meist nicht selbst die Sicherstellung
der Gesetzes- und Regelkonformität als originäre Aufgabe
wahr, sondern sie delegiert dies an einen bestimmten
Personenkreis und gibt dabei den organisatorischen Rahmen
vor. Selbst die Überwachung und Kontrolle kann an
Aufsichtspersonen delegiert werden. Insoweit handelt es sich
hierbei um originäre Führungs- und Organisationsaufgaben,
die in den Bereich der unternehmerischen Aufgaben fallen –
und für diese besteht unzweifelhaft unternehmerischer
Ermessensspielraum.
Folgende
Anforderungen bestehen bei der Einrichtung einer
Compliance-Funktion:
Bei der Haftung
für Rechtsverstöße handelt es sich nicht um eine
Gefährdungshaftung. Die Haftung trifft die
Unternehmensleitung in persona, wenn diese es unterlässt,
geeignete organisatorische Maßnahmen zu treffen. Die
Rechtsprechung
geht hier von der Pflicht der Unternehmensleitung aus, die
organisatorischen Voraussetzungen dafür zu schaffen, dass
der Beauftragte die Pflicht zur Vermeidung von
Compliance-Verstößen auch tatsächlich erfüllen kann. Dabei
steht der Pflichtumfang im Zusammenhang zu Betriebsgröße und
Betriebsstruktur. Nähere Ausführungen über das „Wie“ einer
Compliance-Organisation macht die Rechtssprechung nicht, was
den Umkehrschluss zulässt, dass sie in Aufbau und
Ausgestaltung einer Compliance-Funktion eine originäre
unternehmerische Aufgabe sieht.
Zu den
wesentlichen organisatorischen Anforderungen zählt – neben
den bereits genannten Aspekten der personellen Zuordnung,
organisatorischen Verankerung, Aufgabenfestlegung und
Kontrolle/ Überwachung – die Verzahnung mit anderen
Managementfunktionen im Unternehmen. Hierzu gehören
insbesondere das allgemeine Risikomanagement, das
Qualitätsmanagement sowie das Controlling und die Revision.
In welcher Form diese Verzahnung erfolgt, hängt vom
organisatorischen Aufbau ab; wesentlich ist jedoch, dass die
Compliance-Funktion keine isolierte „Insellösung“ darstellt.
Grundsätzlich
erfordert die eingesetzte Organisation (sowohl im Sinne des
§ 130 OWiG als auch des § 43 GmbHG) eine geeignete
Überwachung und Kontrolle der Personen, an welche die
Aufgaben der Compliance-Funktion übertragen sind. Die
stichprobenartige Kontrolle der Mitarbeiter stellt damit
eine elementare Grundfunktion der Betriebsorganisation dar.
Die Überwachungs-
und Kontrollmaßnahmen müssen jedoch praktikabel und zumutbar
sein. Wo genau die Grenzen der Praktikabilität und
Zumutbarkeit zu sehen sind, ist nicht eindeutig festgelegt.
Sie dürften jedoch dann überschritten sein, wenn die
Überwachungs- und Kontrollintensität so stark ist, dass sie
faktisch der Eigenwahrnehmung der Aufgaben des
beaufsichtigten durch die Aufsichtsperson nahe kommt. Dies
würde das Delegationsrecht von Aufgaben de facto aushebeln.
Die
Rechtssprechung
geht davon aus, dass – obgleich sich aus dem Gesetz keine
eindeutige Pflicht hierzu ableiten lässt – ein Unternehmen
dann interne Untersuchungen/ Ermittlungen aufzunehmen hat,
wenn sich konkrete Anhaltspunkte für einen Regelverstoß
ergeben, auch wenn diese Anhaltspunkte nicht das Ergebnis
der regulären, begleitenden Überwachung aus dem Aufgabenfeld
der Compliance-Funktion sind. Stellt die Compliance-Funktion
im Rahmen ihrer Regeltätigkeit Regelverstöße fest, ist eine
entsprechende Untersuchung ohne Zweifel einzuleiten, um den
Sinn und Zweck der Compliance-Funktion nicht per se in Frage
zu stellen.
Zusammenfassung
und Ausblick
Bei Aufbau,
Implementierung und Betrieb von Compliance Management
Systemen ist Augenmaß gefragt. Kostenaspekte einerseits und
die Frage der organisatorischen Verhältnismäßigkeit sowie
der internen Akzeptanz sind gewichtige Argumente dafür,
nicht das Mögliche, sondern das Notwendige im Bereich der
Compliance-Funktion zu realisieren. Das zulässige
Ausschöpfen des unternehmerischen Ermessensspielraums sollte
demnach auch an dieser Stelle erfolgen.
Dieser Spielraum
darf jedoch nicht darüber hinwegtäuschen, dass es sich bei
der Frage der Implementierung eines Compliance Management
Systems ein unternehmerisches Muss handelt, denn allein das
Fehlen einer solcher Compliance-Funktion kann bereits die
persönliche straf- und zivilrechtliche Haftung der
Unternehmensleitung begründen.
Die Beschäftigung
mit einem Compliance Management System ist vielschichtig und
erfordert eine Mehrzahl unterschiedlicher fachlicher
Disziplinen. Einerseits ist eine juristische Sichtweise
erforderlich, die jedoch – isoliert betrachtet – nicht
ausreichend ist. Regelverstöße können überall im Unternehmen
auftreten. Daher sind profunde Kenntnisse über
Organisationsstrukturen sowie über das Zusammenwirken von
Funktionen und Prozessen unabdingbar, um im Kontext der
unternehmensspezifischen Risikolandschaft die Anforderungen
an ein adäquates Compliance Management System zu
identifizieren und zu definieren, um auf dieser Grundlage
die richtigen Maßnahmen für Aufbau und Implementierung des
CMS abzuleiten und umzusetzen. Darüber hinaus sind
Kenntnisse und Erfahrungen mit anderen Managementsystemen
wie Risiko- oder Qualitätsmanagement-Systeme von Vorteil, um
die erforderliche Verzahnung der Systeme im Unternehmen
sicher zu stellen.
Über den Autor
Eckart Achauer,
Jurist, Dipl.-Betriebswirt, MBA, ist – nach langjähriger
international ausgerichteter Tätigkeit in verschiedenen
leitenden Funktionen bei einem Schweizer
Versicherungskonzern – seit Mitte der Neunziger Jahre als
Managementberater und Interimsmanager tätig.
Seine thematischen
Schwerpunkte sind Organisations- und Prozessoptimierung,
Risiko-, Qualitäts- und Projektmanagement sowie die
Sanierung/ Restrukturierung von Unternehmen. Sein
Branchenfokus liegt auf der Energiewirtschaft, dem Handel
und dem Dienstleistungssektor. Zu seinen Kunden zählen
Unternehmen des Mittelstands im In- und Ausland sowie
Dax-30-Unternehmen in Deutschland.
Im Rahmen seiner
Fortbildung hat sich Eckart Achauer zum European Quality
Manager und EFQM-Assessor qualifiziert. 2008 folgte die
Ausbildung zum Mediator mit Schwerpunkt
Wirtschaftsmediation.
Er ist
Geschäftsführer der AGAMON Consulting GmbH, Berlin. |