Worum geht es bei einem Compliance-Management-System (CMS)?
Verstöße gegen Gesetze oder regulatorische Vorgaben können für Unternehmen drastische Konsequenzen haben. Neben empfindlichen Strafen – gegen Mitarbeiter, aber auch das Unternehmen selbst – drohen Schadensersatzansprüche, Verlust von Aufträgen, Reputationsschäden oder Kursverluste. Durch Aufbau eines wirksamen Compliance-Management-Systems (CMS) kommt die Unternehmensleitung ihrer Aufgabe nach, unternehmensinterne Regeln zu Einhaltung von Recht und Gesetz zu etablieren.
Was sind Kernbestandteile eines effektiven Compliance-Management-Systems?
Ein Compliance-Management-System besteht aus drei Grundpfeilern:
- Prävention
- Detektion
- Reaktion
Auf der ersten Ebene geht es um die Vermeidung von Verstößen gegen als verbindlich erachtete „Spielregeln“, seien es Gesetze oder unternehmensinterne Vorschriften. Die wichtigsten Vorschriften in ihrem jeweiligen Bereich müssen die Mitarbeiter verinnerlicht haben. Teil der Umsetzung eines Compliance-Management-Systems sind daher auch regelmäßige Schulungen. Außerdem müssen Mitarbeiter bei offenen Fragen einen Ansprechpartner haben, damit sie im Einzelfall sich beraten lassen können, ob sie bestimmte Handlungen vornehmen dürfen oder nicht.
Auf der zweiten Ebene geht es um die Entdeckung von spezifischen Risiken und Verstößen. Dies geschieht durch eine unternehmensspezifische Risikoanalyse. Die Aufdeckung von Verstößen kann auf verschiedenen Kanälen erfolgen: beispielsweise Hinweise von Mitarbeitern, stichprobenartige Kontrollen, regelmäßige Audits oder anlassbezogene unternehmensinterne Untersuchungen. Werden Verstöße früh erkannt, lassen sich oft negative Folgen für das Unternehmen weitgehend eingrenzen.
Schließlich geht es auf der dritten Ebene um die angemessene Reaktion in Fällen, in denen ein Fehlverhalten entdeckt wurde. Im Grundsatz gilt, dass ein Compliance-Management-System nur glaubhaft ist, wenn auf Verstöße eine angemessene Reaktion erfolgt. Dabei geht es zum einem um den internen Umgang. Also beispielsweise um arbeitsrechtliche Konsequenzen gegen den Mitarbeiter, der sich falsch verhalten hat. Zum anderen kann aber auch der externe Umgang mit staatlichen Behörden dabei eine Rolle spielen.
Ist Compliance immer „Chefsache“?
Zu der Bedeutung von Compliance-Pflichten als Teil der Legalitätspflicht hat das Landgericht München in der Siemens/Neubürger-Entscheidung grundlegend ausgeführt, dass die Implementierung eines Compliance-Systems und die Überprüfung seiner Wirksamkeit zum Pflichtenkatalog der Geschäftsleitung zählen und bereits „eine Delegation dieser zentralen Aufgaben des aktienrechtlichen Organs „Vorstand“ auf unterhalb dieser Ebene angesiedelte Mitarbeiter eine Pflichtverletzung darstellt“ (LG München I, NZG 2014, 345, 348).
Wesentliche Grundentscheidungen zur Compliance-Organisation dürfen damit als Kernbereich der Leitungsaufgabe nicht von der Geschäftsleitung delegiert werden. Soweit eine vertikale Delegation der detaillierten Ausgestaltung des Compliance-Systems erfolgt, bleibt der Vorstand bzw. die Geschäftsführung verpflichtet, das eingerichtete Compliance Programm zu überwachen und die damit befassten Mitarbeiter sorgfältig auszuwählen und zu überwachen.
Wie wichtig es für Geschäftsleiter ist, sich mit Compliance auseinanderzusetzen, hat sich in jüngerer Vergangenheit beispielsweise im „Fall Bilfinger“ gezeigt: Dort hat der Aufsichtsrat den früheren Vorständen „Pflichtverletzungen im Zusammenhang mit der Implementierung eines ordnungsgemäßen Compliance-Management-Systems“ vorgeworfen. Der Rechtsstreit wurde mittlerweile durch einen Vergleich beendet (siehe hier).
Ab welcher Unternehmensgröße ist die Etablierung einer Compliance-Struktur ratsam?
Die Zeiten, in denen Compliance nur etwas für ganz große Unternehmen ist, sind vorbei. Heutzutage ist auch der Mittelstand zunehmend mit einer unübersichtlichen Vielzahl von Rechtsvorschriften und Vorgaben von Geschäftspartnern konfrontiert. Daher müssen auch kleinere und mittlere Unternehmen Compliance als Thema sehr ernst nehmen.
Eine Faustformel, ab welcher Mitarbeiteranzahl oder ab welchem Umsatz die Etablierung einer Compliance-Struktur ratsam ist, gibt es jedoch nicht. Entscheidend ist auch, welchen konkreten Risiken das Unternehmen aufgrund seiner Geschäftstätigkeit ausgesetzt ist. Bei der Compliance gibt es kein „one size fits all“: Das Compliance-Programm muss zum Unternehmen passen. Nur maßgeschneiderte, auf die konkrete Geschäftstätigkeit ausgerichtete Compliance-Programme können effektiv mit Leben gefüllt und praktiziert werden.
Im Übrigen gilt, dass gute Compliance-Management-Systeme sich durch Prägnanz und gute Übersicht auszeichnen. Wenn der Fokus auf den wirklich wichtigen Dinge liegt, können auch kleinere Unternehmen relativ günstig ein effizientes Compliance-Management-System etablieren.