Dass Unternehmen über ein Compliance Management System verfügen müssen, ist heute weitgehend unumstritten. Entscheidend in diesem Kontext ist die Frage nach Art und Umfang der Compliance-Funktion.
Grundsätzlich sind die Ziele einer Compliance-Funktion in einem Unternehmen klar definiert: zum einen sollen Compliance-Verstöße (aus dem Unternehmen heraus) verhindert werden, um Schäden (materielle Schäden sowie Reputationsschäden) vom Unternehmen abzuwenden. Zum anderen soll durch die Compliance-Funktion auch die persönliche – straf- und zivilrechtliche Haftung des Managements minimiert, wenn nicht gar verhindert werden.
Seit das Thema Compliance eine hohe mediale Aufmerksamkeit erlangt und zahlreiche Unternehmensskandale verstärkt in das Bewusstsein der zunehmend kritischen Öffentlichkeit gelangt sind, wird die Frage des Aufbaus und der Implementierung von Compliance Management Systemen (CMS) auch in den Kreisen diskutiert, die sich bisher nicht angesprochen fühlten.
Risikolandschaft und Risikostrategie
In jedem Unternehmen – unabhängig von Branche, Produkten und Geschäftsmodell – bestehen Risiken, die sich realisieren und damit Schäden für das Unternehmen verursachen können. Im Zuge der Globalisierung und Internationalisierung sind die regulatorischen Anforderungen gestiegen. Manche Branchen sind hier besonders betroffen. Beispielhaft sei die energiewirtschaftliche Branche genannt, die im Zusammenhang der signifikanten Marktveränderungen mit einer Flut neuer Gesetze zu kämpfen hat. Aber auch die Regelungswut innerhalb von Unternehmen, speziell in Konzernen, nimmt stetig zu, so dass auch vermehrt interne Richtlinien zu beachten sind.
Mit der zunehmenden Anzahl von Regelungen steigt die Gefahr, auch unwissentlichgegen gesetzliche, normative und interne Vorgaben zu verstoßen. Der vorsätzliche Verstoß bleibt hiervon unberührt.
Nicht jedes Risiko hat bei seiner Verwirklichung kritische oder existentielle Folgen. Vor diesem Hintergrund sind die Bestimmung der Risikolandschaft und der Risikostrategie eine wesentliche Grundlage für die künftige Ausprägung des Compliance Management Systems. In einem ersten Schritt sind die Risiken zu identifizieren; hieraus ergibt sich die Risikolandschaft (welche Risiken bestehen in welchem geschäftlichen Kontext). In einem zweiten Schritt erfolgt die Bewertung der Risiken mit Quantifizierung möglicher Schäden und Einschätzung der Eintrittswahrscheinlichkeit. In einem dritten Schritt werden die Risiken priorisiert und einer strategischen Handhabung zugeordnet (in der Regel unterscheidet man bei der Risikostrategie zwischen Risikovermeidung, Risikominimierung, Risikotransfer und Risikoübernahme). Geringe Risiken werden häufig vom Unternehmen selbst getragen, während Risiken mit hohen Schäden auf Dritte transferiert werden (z.B. Versicherung). Bei nicht übertragbaren Risiken versucht das Unternehmen, diese durch geeignete Maßnahmen zu minimieren oder gar zu vermeiden.
Verpflichtung zum Aufbau einer Compliance-Funktion
Jeder Manager ist gut beraten, sein Unternehmen – und sich selbst – gegen Risiken aus Compliance-Verstößen abzusichern. Das geschieht in der Regel durch ein spezifisches Risikomanagementsystem (CMS). In wieweit besteht jedoch die Verpflichtung, eine solche Compliance-Funktion aufzubauen?
Die Meinung hierüber ist alles andere als einheitlich. Explizite gesetzliche Verpflichtungen gibt es nur in Einzelfällen, wie etwa § 33 WpHG[1] und § 25a KWG[2]. Die genannten Bestimmungen fordern ausdrücklich die Einführung von Compliance-Funktionen, wobei hier Unternehmen betroffen sind, die Wertpapierdienstleistungen bzw. Finanzdienstleistungen erbringen.
Befürworter gehen davon aus, dass eine generelle Verpflichtung zur Einführung einer Compliance-Funktion besteht. Diese ergibt sich aus einer gesamtheitlichen Betrachtung bestehender gesetzlicher Bestimmungen wie §§ 76, 91 II, 93 I AktG bzw. §§ 35, 41, 43, 85 GmbHG (gesetzlich normierte Leitungsfunktion des Managements)[3].
Auch aus den Bestimmungen des OWiG (§§ 3, 9, 130 OWiG) lässt sich eine Verpflichtung zur Einführung einer Compliance-Funktion ableiten[4].
Schließlich fordert der Deutsche Corporate Governance Kodex (DCGK), dass der Vorstand für die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien zu sorgen und auf deren Beachtung durch die Konzernunternehmen hinzuwirken habe[5].
Kritiker teilen diese Meinung nicht. Hauptargument ist, dass es – bis auf die zuvor genannten Bestimmungen des WpHG und KWG sowie ergänzend die Bestimmung des § 64a VAG[6] – keine expliziten gesetzlichen Regelungen gibt. Hätte der Gesetzgeber gewollt, dass Compliance-Funktionen, in welcher Art auch immer, verpflichtend sind, so hätte er dies in einschlägigen gesetzlichen Regelungen aufgenommen.
Auch die Auslegung des AktG und GmbHG dahingehend, hieraus die Verpflichtung zur Implementierung einer Compliance-Funktion abzuleiten, wird als überzogen angesehen.
Schließlich wird auch der DCGK als Rechtsgrundlage abgelehnt, da dieser Empfehlungscharakter habe und damit keine Rechtsverbindlichkeit gegeben sei. Außerdem gilt dieser ausschließlich für börsennotierte Aktiengesellschaften und berücksichtige damit alle anderen Unternehmen nicht.
Alle genannten Argumente haben ihre Richtigkeit und ihre Berechtigung. Dennoch verlieren sie vor der Frage, ob Mitglieder des Managements sich dem Risiko der zivil- und strafrechtlichen Haftung aufgrund von fehlendem Compliance-Management aussetzen wollen, ihre Wirkung.
Das Compliance Management System muss zum Unternehmen passen
Bei dieser Frage gilt zunächst die simple Feststellung: es gibt keine spezifischen gesetzlichen oder normativen Vorgaben für ein Compliance Management System. Insoweit steht es jeder Unternehmensleitung grundsätzlich frei, die funktionalen und organisatorischen Strukturen für die Compliance-Funktion in ihrem Unternehmen frei zu wählen. Ungeachtet dessen gibt es eine Reihe von Aspekten, deren Berücksichtigung hilfreich beim Aufbau des CMS ist und die – direkt und indirekt – Implikationen auf die Ausgestaltung des CMS haben können. Schließlich bindet eine solche Funktion Personal- und Sachressourcen und stellt damit einen nicht unerheblichen Kostenfaktor dar.
Die Compliance-Funktion kann ihre gewünschte Wirkung nur dann effektiv entfalten, wenn sie als Management System in die Gesamt-Unternehmensorganisation integriert ist. Es gilt also, ein für das jeweilige Unternehmen passendes System zu installieren. Dies erfordert mindestens:
- Personelle Zuordnung
Für das Thema Compliance ist eine personelle Zuordnung vorzunehmen, d.h. einzelnen Personen ist die diesbezügliche Verantwortung zu übertragen. Bei kleinen Unternehmen kann diese in Personalunion mit anderen Funktionen (z.B. Controlling) erfolgen, große Unternehmen beschäftigen hierfür eigene Compliance-Officer. Auch ein Outsourcing an einen spezialisierten Berater ist denkbar. - Organisatorische Verankerung
Die Compliance-Funktion muss organisatorisch im Unternehmen verankert sein. Auch dieser Aspekt hängt von Größe und Struktur des Unternehmens ab: von der Stabsstelle bis zur eigenen Compliance-Abteilung sind alle Varianten in der Praxis vertreten. Wie auch immer die organisatorische Verankerung erfolgt, wichtig ist, dass die Compliance-Funktion keine Insellösung darstellt. Es ist unbedingt darauf zu achten, dass eine enge Verzahnung mit anderen Managementsystemen (Qualitätsmanagement, Risikomanagement etc.) besteht. - Aufgabenfestlegung
Die Festlegung der Aufgaben der Compliance-Funktion hat zwei Dimensionen. Zum einen sind die konkreten operativen Aufgaben zu beschreiben (z.B. Beratung der Geschäftsleitung sowie anderer Stellen im Unternehmen, Entwicklung und Umsetzung interner Regelwerke, Schulung der Mitarbeiter sowie die Kontrolle und Aufdeckung von Compliance-Verstößen). Zum anderen ist darauf zu achten, dass die Aufgaben der Compliance-Funktion geeignet sind, die Erfüllung der Pflichten der Unternehmensleitung (Organisations-, Kontroll- und Untersuchungspflichten) sicherzustellen – schließlich handelt es sich um die Delegation von Aufsichtsaufgaben und das in diesem Kontext relevante Zusammenspiel von Delegationsakt, Auswahlentscheidung und Überwachung des Delegierten. - Überwachung, Kontrolle und Berichtswesen
Eine Compliance-Funktion bedarf der Überwachung und Kontrolle. Dies geschieht in der Regel durch ein Berichtswesen, in dessen erweiterten Rahmen auch die Durchführung von internen und externen Prüfungen gehört.
Das CMS muss individuell auf das Unternehmen zugeschnitten sein, dessen spezifische Anforderungen und Belange sowie dessen individuelle Risikolandschaft berücksichtigen. Insoweit ist es unabdingbar, vor dem Auf- oder Ausbau eines CMS eine sorgfältige Analyse der entscheidenden Parameter durchzuführen.
[1] In § 33 Wertpapierhandelsgesetz (WpHG) hat der Gesetzgeber den Wertpapierhandelsunternehmen besondere Organisationspflichten auferlegt (Einrichtung einer unabhängigen Compliance-Funktion)
[2] § 25a KWG (Kreditwesengesetz): Ein Institut muss über eine ordnungsgemäße Geschäftsorganisation verfügen, die die Einhaltung der vom Institut zu beachtenden gesetzlichen Bestimmungen und der betriebswirtschaftlichen Notwendigkeiten gewährleistet (Auszug)
[3] § 91 Abs. 2 AktG (Aktiengesetz) z.B. schreibt vor, dass der Vorstand geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten hat. Entsprechendes gilt für die GmbH.
[4] Nach § 9 OWiG (Ordnungswidrigkeitengesetz) wird den unmittelbar handelnden Personen die „Inhaberschaft“ des Unternehmens i.S.d. OWiG zugerechnet. In der Praxis trifft damit die Haftung für ein Organisationsverschulden nach dem OWiG nicht das Unternehmen selbst, sondern die Leitungsebene.
[5] Nr. 4.1.3 DCGK (Deutscher Corporate Governance Code)
[6] § 64 VAG (Versicherungsaufsichtsgesetz) ist hier ohne Relevanz
Der 2. Blogbeitrag wird sich mit der Unternehmenspraxis und den daraus folgenden Anforderungen auseinandersetzen.
Über den Autor
Eckart Achauer, Studium der Rechtswissenschaften und Betriebswirtschaftslehre, postgraduales Aufbaustudium zum Master of Business Administration (MBA). Berufsbegleitende Fortbildungen zum European Quality Manager (DGQ), zum Mediator mit Spezialisierung auf Wirtschaftsmediation sowie zum Certified Compliance Manager (TÜV).
Er war rund 10 Jahre in der internationalen Versicherungswirtschaft im Management eines Schweizer Versicherungskonzerns in verschiedenen Funktionen (Schadenabteilung, Vertrieb, Assistance) tätig, bevor er 1997 in die Management- und Unternehmensberatung wechselte.
Als Berater und Geschäftsführer verschiedener Beratungsgesellschaften hat sich Herr Achauer thematisch auf die Organisations- und Prozessoptimierung sowie auf den Aufbau und die Implementierung von Managementsystemen – Qualitätsmanagement, Risiko- und Compliance Management – spezialisiert.
Bei Senator Executive Search Partners betreut Herr Achauer den Bereich Compliance Management. Im Rahmen von Compliance Audits analysiert er deren organisatorische „Compliance Fitness“, er sensibilisiert und schult das Management, Führungskräfte und Mitarbeiter und unterstützt die Unternehmen bei Aufbau und Implementierung individueller Compliance Management Systeme. Dabei berücksichtigt er stets die spezifische Risikosituation der Unternehmen. Durch seine langjährige Erfahrung als Führungskraft und Berater ist er mit den unternehmerischen Herausforderungen aus der Praxis bestens vertraut.