Ein Compliance-Management-System („CMS“) ist in seiner Form und Ausprägung im Gesetz nicht näher bestimmt. Um die Bewertung bzw. Beurteilung eines solchen Systems zu beurteilen, braucht es aber einen Maßstab, der ganz nebenbei beim Aufbau und der Konzeption eines solchen Systems natürlich hilfreich sein kann.
Der Begriff des Compliance-Management-Systems soll im Folgenden wie folgt verstanden werden: „Ein Compliance-Management-System umfasst die seitens der verantwortlichen Leitung getroffenen Maßnahmen, die die Einhaltung von bestimmten Regeln sicherstellen sollen. Es umfasst auch solche Maßnahmen, die wesentliche Verstöße aufdecken und verhindern.“
Die einzuhaltenden Regeln können interne (z.B. Verfahrensanweisungen) oder externe Regeln (z.B. Gesetze) sein. Ein Compliance-Management-System kann sich auf bestimmte Regeln fokussieren und muss nicht allumfassend sein. Darüber hinaus kann es auf bestimmte Organisationseinheiten oder Teilbereiche einer Organisation bezogen sein.
Im Prüfungsstandard 980 des IdW „Grundsätze ordnungsmäßiger Prüfung von Compliance-Management-Systemen“ sind die notwendigen Elemente eines solchen Systems, die selbstverständlich zueinander in Wechselwirkung stehen, dargestellt und definieren nicht nur aus prüferischer Sicht die Beurteilungsgrundlage, sondern geben damit natürlich auch eine nützliche Hilfestellung bei der Gestaltung und Implementierung solcher Systeme.
Im Folgenden werden die laut PS 980 erforderlichen Grundelemente eines CMS dargestellt und mit eigenen Erläuterungen ergänzt:
Compliance-Kultur
Die Compliance-Kultur wird im Wesentlichen durch die Unternehmensleitung und das Management geprägt. Der sogenannte „tone at the top“ hat entscheidenden Einfluss auf die Wahrnehmung der Mitglieder einer Organisation im Hinblick auf das Thema Compliance. Wird das Thema offenkundig und erkennbar seitens des Managements nicht ernst genommen und Regelbruch nicht sanktioniert (gleich, auf welcher Hierarchieebene), dann ist eine hinreichende Akzeptanz kaum zu erwarten.
Compliance-Ziele und ‑Scope
Ein CMS bezieht soll bestimmte Ziele erreichen, die vom verantwortlichen Management zu definieren sind. Ebenso ist zu definieren, welche Teile der Organisation vom CMS erfasst werden und welche Regeln im Fokus stehen. Diese Festlegungen korrespondieren mit den Risiken, die für die Einhaltung der entsprechenden Regeln bestehen und beziehen sich auf Regeln, die es je nach Einzelfall ebenfalls zu definieren gilt (s.u.).
Compliance-Organisation
Ein CMS wird durch eine zugehörige Organisation definiert und umgesetzt. Hierzu ist es erforderlich, die Definition von Rollen und Verantwortlichkeiten sowie der Aufbau- und Ablauforganisation vorzunehmen. Entsprechende Ressourcen sind erforderlich, um die Wirksamkeit zu gewährleisten.
Compliance-Risiken
Im Rahmen eines CMS werden die Risiken für die Erreichung der Ziele (s.o.) identifiziert und Maßnahmen zu deren angemessener Behandlung getroffen. Hierzu ist i.d.R. eine systematische Identifizierung und Beurteilung (Quantitativ und/oder Qualitativ) erforderlich.
Compliance-Programm
Das Compliance-Programm umfasst die Grundsätze und Maßnahmen, die die Begrenzung von Compliance-Risiken (und damit Regelverstöße) vermeiden sollen. Hierzu gehören auch die zu treffenden Maßnahmen bei festgestellten Verstößen.
Darunter sind Maßnahmen zu verstehen, wie beispielsweise Richtlinien und Verfahrensanweisungen („Policies & Procedures“) sowie Verhaltenskodizes („Code of Conduct“), die grundsätzliche Reglungen treffen. Abhängig von den Zielen/Scope umfasst das Programm das interne Kontrollsystem, die Möglichkeit zur Meldung von Verstößen („Whistleblower-Hotline“) und weitere Motivationsfaktoren, die auf die Einhaltung von Regeln hinwirken (z.B. Bonus/Malus-Regeln, die bestimmte Verhaltensweisen der handelnden Personen fördern).
Das Compliance-Programm ist in der praktischen Umsetzung sicher der Kern bei der Einrichtung eines CMS, wobei in vielen Organisationen bereits eine Reihe von Maßnahmen bereits besteht, deren konzeptionelle Zusammenführung bislang jedoch nicht erfolgt ist.
Compliance-Kommunikation
Um eine erfolgreiche Implementierung des CMS sicherzustellen, ist eine sachgerechte Kommunikation an die betroffenen Personen (innerhalb und ggf. außerhalb der Organisation) erforderlich. Nur so können die im CMS und insbesondere im Compliance-Programm definierten Maßnahmen und Vorgehensweisen wirksam umgesetzt werden.
Compliance-Überwachung und ‑Verbesserung
Um eine dauerhafte Eignung des Systems sicherzustellen und eventuelle Schwächen aufdecken zu können, erfolgt die Überwachung des CMS und die Umsetzung von identifiziertem Handlungsbedarf zu dessen Verbesserung. In der Praxis wird dies häufig durch eine interne Revision abgebildet, jedoch gibt es ggf. auch andere Informationsquellen zur Identifikation von Verbesserungsmöglichkeiten.
Organisationen, die ein CMS implementieren möchten, sollten sicherstellen, dass diese Elemente berücksichtigt werden. Hierbei gibt es keine Anforderungen an die Art und Weise, wie dies geschieht und es erscheint wichtig, dass eine Berücksichtigung der individuellen Umstände und der Kultur einer Organisation erfolgt. Hierzu siehe auch diesen Beitrag.
Um nachweisen zu können, dass im Einzelfall die erforderlichen Maßnahmen auch tatsächlich getroffen wurden, ist eine umfassende Dokumentation unabdingbar. Dies ist nicht nur erforderlich, um eine unabhängige Prüfung vornehmen lassen zu können, sondern auch der Nachweis, dass das verantwortliche Management seiner Sorgfaltspflicht nachgekommen ist. Zwar besteht keine gesetzliche Verpflichtung zur Einrichtung eines CMS, wesentliche Elemente eines solchen Systems (wie zum Beispiel ein internes Kontrollsystem) liegen jedoch durchaus im Verantwortungsbereich der Unternehmensleitung (sei es aus generellen Sorgfaltspflichten oder durch explizite gesetzliche Anforderungen).