Tax Compliance

3. Fazit

73

Die vorstehenden Ausführungen verdeutlichen, dass das Risikofrüherkennungssystem Elemente des Risikomanagementsystems aufweist. Der Fokus – insbesondere bei der Risikoerkennung und der Risikoanalyse – liegt dabei jedoch auf der Früherkennung bestandsgefährdender Risiken und Entwicklungen. Da das allgemeine Risikomanagement die Erfassung und Analyse sämtlicher Unternehmensrisiken umfasst, stellt das Risikofrüherkennungssystem somit einen speziellen Ausschnitt bzw. Teilaspekt des Risikomanagementsystems dar.

V. Compliance Management System (CMS)

1. Vorbemerkung und Begriffsbestimmung

74

Bevor auf die Konzeption eines CMS anhand Darstellung der derzeit in Deutschland anerkannten Best-Practice-Rahmenwerke eingegangen wird, erfolgt zunächst eine kurze Einführung der Begriffe Compliance Management und Compliance Management System. Unter Compliance Management wird u.a. die Sicherstellung und Förderung der Einhaltung von Gesetzen und Unternehmens- bzw. Konzernrichtlinien durch geeignete Maßnahmen verstanden.[98] Des Weiteren werden Prozesse, welche die durch die Organisation anzuwendenden Regeln, wie z.B. Gesetze, Richtlinien oder Verträge, identifizieren und den Compliance-Status beurteilen sollen, vom Begriff Compliance Management umfasst. Gegenstand des Compliance Managements ist dabei u.a. die Bewertung der Risiken und Kosten von Non-Compliance und deren Vergleich mit den zum Erreichen von Compliance notwendigen Kosten sowie die auf dieser Basis vorzunehmende Priorisierung und Durchführung notwendiger, korrigierender Maßnahmen.[99]

75

Aufbauend auf dem Verständnis des Begriffs Compliance Management definiert der Prüfungsstandard 980 des IDW[100] ein Compliance Management System als die auf der Grundlage der von den gesetzlichen Vertretern festgelegten Ziele eingeführten Grundsätze und Maßnahmen eines Unternehmens, die auf die Sicherstellung eines regelkonformen Verhaltens der gesetzlichen Vertreter und der Mitarbeiter des Unternehmens sowie ggf. von Dritten abzielen. Ziel eines Compliance Management Systems ist folglich die Einhaltung bestimmter Regeln und die Verhinderung wesentlicher Regelverstöße. Dabei kann ein CMS auf abgegrenzte Teilbereiche, wie z.B. Geschäftsbereiche, Unternehmensprozesse (wie z.B. Einkauf oder Vertrieb) oder bestimmte Rechtsgebiete (wie z.B. Steuern oder Kartellrecht), ausgerichtet werden.[101] Der ISO-Standard 19600[102] definiert das CMS als Gesamtheit interagierender Elemente einer Organisation, um Richtlinien, Ziele und Prozesse zu etablieren, welche das Erreichen der festgelegten Ziele gewährleisten sollen. Dabei ist eine Ausrichtung des CMS auf eine oder mehrere Bereiche bzw. Funktionen der Organisation möglich. Zudem sind Organisationsstrukturen, Rollen und Verantwortlichkeiten Regelungsbereiche des CMS.[103] Einer kurzen und prägnanten Definition folgend werden im CMS organisatorische Vorkehrungen gesehen, mittels derer die Begehung von Gesetzesverstößen durch Mitarbeiter der Gesellschaft verhindert werden sollen.[104]

76

Zusammenfassend kann auf Basis der vorstehenden Begriffsbestimmungen festgestellt werden, dass das Compliance Management und das Compliance Management System die notwendigen Maßnahmen, Instrumente und Prozesse liefern sollen, um die Einhaltung von externen und internen Regeln zu gewährleisten.

77

In Deutschland haben sich zwei Rahmenwerke für Compliance Management Systeme als Best Practice-Standard etabliert. Zum einen handelt es sich dabei um den IDW Prüfungsstandard 980, welcher eine umfangreiche Darstellung der Grundelemente eines CMS enthält, und zum anderen um den ISO-Standard 19600, der auf eine weltweite Anwendbarkeit abzielt. Nachfolgend sollen die Konzepte beider Standards dargelegt werden, um ein Verständnis für den Aufbau und die Struktur eines CMS zu erhalten.

2. Sollkonzept CMS gem. IDW Prüfungsstandard 980

a) Hintergrund

78

Der durch den Hauptfachausschuss (HFA) des IDW am 11.03.2011 verabschiedete IDW PS 980 regelt primär den Inhalt freiwilliger Prüfungen von Compliance Management Systemen und zeigt die Berufsauffassung auf, nach der Wirtschaftsprüfer diese Aufträge durchführen sollen. Demzufolge sind insbesondere Vorgaben und Erläuterungen zu Gegenstand, Ziel und Umfang der Prüfung sowie zu konkreten Prüfungsanforderungen (wie z.B. Prüfungsplanung, Prüfungshandlungen oder Dokumentationspflichten des Wirtschaftsprüfers) Gegenstand des Standards.[105] Da der Standard darüber hinaus jedoch auch Compliance-spezifische Begriffsbestimmungen sowie die Definition und Darstellung der Grundelemente eines CMS enthält, hat er sich national zu einem Best Practice-Rahmenwerk für Compliance Management Systeme entwickelt. Als Benchmark für das theoretische Soll-Konzept von Compliance Management Systemen besitzt der Standard daher in der Unternehmenspraxis insbesondere bei der Entwicklung und Implementierung eines CMS eine hohe Relevanz.

b) Grundelemente eines CMS

79

Dem Sollkonzept des IDW PS 980 folgend, sollte ein CMS aus den sieben Grundelementen Compliance-Kultur, Compliance-Ziele, Compliance-Risiken, Compliance-Programm, Compliance-Organisation, Compliance-Kommunikation sowie Compliance-Überwachung und Verbesserung bestehen. Typischerweise stehen diese Grundelemente in Wechselwirkung zueinander. Die von der Unternehmensleitung festgelegten Compliance-Ziele, die Unternehmensgröße sowie die Komplexität (Art und Umfang) der Geschäftstätigkeit sind maßgebliche Bestimmungsgrößen für die konkrete Ausgestaltung des CMS und der einzelnen Grundelemente.[106]

80

Die Grundlage für die Angemessenheit und Wirksamkeit eines CMS ist die Compliance-Kultur. Einen maßgeblichen Einfluss auf die Compliance-Kultur haben insbesondere die Grundeinstellung und Verhaltensweisen der Unternehmensleitung und des Aufsichtsorgans (sog. „tone at the top“). Kennzeichen einer günstigen Compliance-Kultur sind beispielsweise ein hoher Stellenwert der Regelkonformität sowie ein von Personen und Hierarchien unabhängiger Sanktionsmechanismus. Eine günstige Compliance-Kultur soll eine höhere Akzeptanz der relevanten Grundsätze und Maßnahmen durch die Mitarbeiter fördern. Einflussfaktoren auf die Compliance-Kultur sind neben den Verhaltensweisen und dem Führungsstil des Managements z.B. die Regelkonformität fördernde Anreizsysteme, die Berücksichtigung von Compliance bei Personalbeurteilungen und Beförderungen oder die Art und Weise, wie das Aufsichtsorgan seine Aufgaben im Hinblick auf Risikomanagement und Compliance wahrnimmt.[107]

81

Bei der Bestimmung der Compliance-Ziele sollen die allgemeinen Unternehmensziele und die für das Unternehmen in den abgegrenzten Teilbereichen relevanten Regeln berücksichtigt werden. Dabei sind im Rahmen der Festlegung der Compliance-Ziele zu beachtende Anforderungen insbesondere die Konsistenz, die Verständlichkeit und die Praktikabilität der unterschiedlichen Ziele, die Messbarkeit des Zielerreichungsgrades sowie die Abstimmung mit den verfügbaren Ressourcen.[108]

82

Die Basis für die Entwicklung eines angemessenen Compliance-Programms stellt die Risikoanalyse dar. Die Analyse (Feststellung und Beurteilung) der Compliance-Risiken sollte auf Basis der von der Unternehmensleitung festgelegten Compliance-Ziele erfolgen. Im Rahmen der Risikoanalyse ist eine Beurteilung der identifizierten Compliance-Risiken hinsichtlich Eintrittswahrscheinlichkeit und Auswirkung vorzunehmen. Zudem sollten die grundlegenden Entscheidungen des Managements in Bezug auf den Umgang mit Risiken (Risikovermeidung, Risikoreduktion, Risikoüberwälzung oder Risikoakzeptanz) berücksichtigt werden. Zentrale Eigenschaft der Risikoanalyse ist, dass es sich um eine wiederkehrende Aufgabe innerhalb des CMS – und somit um einen Regelprozess – handelt.[109]

83

Das Compliance-Programm beinhaltet die konkreten Grundsätze und Maßnahmen, die die Einhaltung der für das Unternehmen relevanten Regeln sicherstellen sollen. Dabei werden unter Grundsätzen klare Festlegungen zur Zulässigkeit bzw. Unzulässigkeit von Aktivitäten verstanden. Maßnahmen sind konkrete Prozesse und Instrumente zum Erkennen von Risiken für Compliance-Verstöße (z.B. Hinweisgebersysteme), zur Reaktion auf die erkannten Risiken sowie zur Kommunikation und Ursachenanalyse bei Aufdeckung von Verstößen. Die Maßnahmen des Compliance-Programms umfassen zudem in das CMS integrierte Kontrollen, wie z.B. Funktionstrennungen, Berechtigungskonzepte oder Genehmigungsverfahren und Unterschriftsregelungen, unabhängige Gegenkontrollen (4-Augenprinzip) und Job-Rotationen.[110]

84

Von zentraler Bedeutung für die Compliance-Organisation ist eine klare Festlegung von Rollen und Verantwortlichkeiten. Darunter fällt insbesondere die Bestimmung eines Compliance-Beauftragten oder eines Compliance-Gremiums. Zudem sollte eine klare Festlegung der Aufgaben bzw. Kompetenzen, der hierarchischen Stellung bzw. der organisatorischen Einordnung sowie der Berichtslinien erfolgen. Ein weiteres Merkmal einer guten Compliance-Organisation ist die Bereitstellung ausreichender Ressourcen im Hinblick auf die festgelegten Compliance-Ziele und die identifizierten Compliance-Risiken. Des Weiteren sollte die Compliance-Organisation die Entwicklung organisatorischer und technischer Hilfsmittel zur Durchsetzung des Compliance-Programms, wie z.B. Handbücher, Checklisten oder IT-Tools, sicherstellen. Um die Wirksamkeit und Wirtschaftlichkeit zu gewährleisten, sollte das CMS zudem nicht als „stand-alone“-System implementiert, sondern in andere bestehende Systeme des Unternehmens, wie z.B. das Risikomanagementsystem oder das interne Kontrollsystem, integriert werden.[111]

85

Die Compliance-Kommunikation ist von zentraler Bedeutung für die Wirksamkeit des CMS. Dabei weist das Grundelement Compliance-Kommunikation drei wesentliche Aufgaben auf. Erste wesentliche Aufgabe der Compliance-Kommunikation ist die Kommunikation der in den definierten Teilbereichen von den Mitarbeitern zu beachtenden Regeln sowie des Compliance-Programms an die jeweils betroffenen Personen. Die Kenntnis der zu befolgenden Regeln ist die Voraussetzung, dass diese auch eingehalten werden können. Zweite zentrale Aufgabe der Compliance-Kommunikation ist die Festlegung der Berichtspflichten (Anlässe) und der Berichtswege für die Kommunikation der identifizierten Compliance-Risiken und festgestellter bzw. vermuteter Regelverstöße an die jeweils zuständigen Funktionen im Unternehmen. Die Sicherstellung des diesbezüglichen Informationsflusses ist für die Verhinderung vermuteter Regelverstöße und die Bewältigung festgestellter Regelverstöße von entscheidender Bedeutung. Die dritte zentrale Aufgabe stellt die Kommunikation der Ergebnisse von durchgeführten Überwachungsmaßnahmen dar. Diese Informationen sollen der Ursachenanalyse und der daraus abgeleiteten Entwicklung von Verbesserungsmaßnahmen dienen. Als Instrumente für die Vermittlung von Informationen kommen z.B. Mitarbeiterbriefe, Compliance-Handbücher oder Schulungen in Frage.[112]

86

Das Grundelement Compliance-Überwachung und Verbesserung umfasst die Durchführung von Überwachungsmaßnahmen und die Entwicklung von Verbesserungsmaßnahmen bei Hinweisen auf Schwachstellen im CMS. Für die Überwachung des CMS sollten prozessunabhängige Stellen, wie z.B. die interne Revision, verantwortlich sein. Ziel der Überwachungsmaßnahmen ist die Beurteilung, ob das CMS angemessen ausgestaltet und wirksam ist. Um eine effiziente Compliance-Überwachung zu erzielen, sollten die Zuständigkeiten festgelegt, ein Überwachungsplan entwickelt, ausreichende Ressourcen bereitgestellt und die Berichtswege bestimmt werden. Werden im Rahmen der Überwachungsmaßnahmen Schwachstellen im CMS festgestellt, so sind Verbesserungsmaßnahmen, wie z.B. eine intensivere Kommunikation des Compliance-Programms oder die Etablierung zusätzlicher Kontrollen, vorzunehmen. Führen die Überwachungsmaßnahmen zu Hinweisen auf Regelverstöße, so sind zusätzliche Maßnahmen zur Prävention von Regelverstößen in der Zukunft zu ergreifen. Hierbei kann es sich z.B. um zusätzliche Schulungsmaßnahmen oder die Berücksichtigung Compliance-relevanter Informationen bei Mitarbeiterbeurteilungen oder Entscheidungen über Beförderungen handeln. Liegen gravierende Regelverstöße vor, so sind ggf. stärkere Maßnahmen, wie z.B. die Kündigung des Arbeitsvertrags, zu treffen.[113]

87

Wie bereits einleitend dargestellt, hängt die konkrete Ausgestaltung des CMS maßgeblich von den von der Unternehmensleitung festgelegten Compliance-Zielen, der Unternehmensgröße sowie der Komplexität (Art und Umfang) der Geschäftstätigkeit ab.[114] Im Hinblick auf die einzelnen Grundelemente des CMS bedeutet dies, dass sämtliche Elemente auf einem Mindeststandard vorhanden sein sollten, der Grad der Ausgestaltung jedes einzelnen Elementes jedoch in Abhängigkeit der individuellen Gegebenheiten der Unternehmen sehr unterschiedlich ausfallen kann.

c) CMS-Beschreibung

88

Die CMS-Beschreibung ist die zentrale Dokumentation des vorhandenen CMS und soll eine konsistente Anwendung und personenunabhängige Funktion des CMS gewährleisten. Daher sollte die CMS-Beschreibung inhaltlich die Konzeption des CMS sowie seine Grundsätze und Maßnahmen darstellen. Gegenstand der Beschreibung sollten insbesondere sämtliche Grundelemente des CMS sein.[115] Dabei sind verallgemeinernde oder irreführende Darstellungen in der CMS-Beschreibung zu vermeiden und die allgemein anerkannten Berichtsgrundsätze der Vollständigkeit (Wesentlichkeit und Relevanz), der Verlässlichkeit (Richtigkeit, Nachvollziehbarkeit, Konsistenz und Widerspruchsfreiheit) sowie der Klarheit und der Übersichtlichkeit zu beachten. Daneben soll die CMS-Beschreibung die Sicht der Unternehmensleitung wiedergeben und aufzeigen, ob das CMS als angemessen und wirksam angesehen wird.[116] Aufgrund der in ihr enthaltenen Aussagen über das CMS, welche wiederum Gegenstand einer CMS-Prüfung gem. IDW PS 980 sind, ist die CMS-Beschreibung die Voraussetzung und Basis für eine Prüfung des CMS gem. IDW PS 980.[117]

3. Sollkonzept CMS gem. ISO 19600: Compliance management systems – Guidelines

a) Hintergrund

89

Der im Dezember 2014 veröffentlichte ISO-Standard 19600 stellt aufgrund der multinationalen Zusammensetzung des Standardsetzers ISO das erste internationale Rahmenwerk für Compliance Management Systeme dar. Ziel des ISO 19600 ist es, sämtlichen Arten von Organisationen als Benchmark bei der Entwicklung, Implementierung, Aufrechterhaltung und Verbesserung von Compliance Management Systemen zu dienen. Das Fundament des Standards bilden die Prinzipien guter Governance: Verhältnismäßigkeit, Transparenz und Nachhaltigkeit. Maßgeblich für den Grad der Anwendung des Standards ist die Größe, Struktur, Art und Komplexität der jeweiligen Organisation.[118]

b) Grundlagen bei der Implementierung eines Compliance Management Systems

90

Erster Schritt im Rahmen der Implementierung eines CMS in einer Organisation ist die Bestimmung des Umfangs und des Anwendungsbereiches des CMS. Zu diesem Zweck sind zunächst die internen und externen Compliance-Themen und Risiken sowie die betroffenen Interessengruppen zu identifizieren. Bei der Analyse der internen Compliance-Themen sind insbesondere interne Vorschriften, Prozesse, Verfahren, Ressourcen sowie die Geschäftsstrategie zu berücksichtigen. Bei der Analyse der externen Compliance-Themen sollten regulatorische Vorschriften, Gesetze, soziale und kulturelle Aspekte sowie die wirtschaftlichen Rahmenbedingungen beachtet werden. Auf Basis der aus der Analyse gewonnenen Erkenntnisse sind sodann die Grenzen und der Geltungsbereich des CMS festzulegen. Dabei sollte das CMS die Werte, Ziele, Strategie und Compliance-Risiken der jeweiligen Organisation wiederspiegeln. Wesentliche Governance-Prinzipien, die im CMS berücksichtigt werden sollten, sind der direkte Zugang der Compliance-Funktion zum Leitungsorgan, die Unabhängigkeit der Compliance-Funktion sowie die Ausstattung der Compliance-Funktion mit angemessenen Kompetenzen und ausreichenden Ressourcen.[119]

91

Aufbauend auf der Festlegung von Umfang und Anwendungsbereich des CMS hat das Management eine dem Zweck der Organisation angemessene Compliance-Richtlinie einzuführen, die ein geeignetes Rahmenwerk für die Bestimmung der Compliance-Ziele darstellen soll. Die Compliance-Richtlinie soll dazu dienen, wesentliche Eigenschaften des CMS, wie z.B. der Umfang des CMS, der Implementierungsgrad in operative Prozesse und Verfahren, der Grad der Unabhängigkeit der Compliance-Funktion, die Verantwortlichkeiten in Bezug auf die Steuerung und Berichterstattung von Compliance-Sachverhalten oder die Konsequenzen bei Regelverstößen, festzulegen und zu dokumentieren. Die Entwicklung der Richtlinie sollte unter Berücksichtigung der Besonderheiten der jeweiligen Organisation, wie z.B. spezifische internationale, regionale oder lokale Verpflichtungen, die Strategie, Werte und Ziele der Organisation oder die Struktur und das Governance-Rahmenwerk der Organisation, erfolgen. Wesentliche Eigenschaften der Compliance-Richtlinie sollten zudem ihre allgemeine Verständlichkeit, die schriftliche Dokumentation und die Verfügbarkeit für alle Mitarbeiter sein. Die Kommunikation der Richtlinie innerhalb der Organisation und ihre fortwährende Aktualisierung sind für Ihre Wirksamkeit von zentraler Bedeutung. Da die Compliance-Richtlinie als zentrales Dokument die übergeordneten Prinzipien und Zielsetzungen des CMS enthält, sollte sie durch weitere Dokumente, wie z.B. operative Richtlinien oder Verfahrens- und Prozessanweisungen, ergänzt werden.[120]

c) Handlungsschritte für die Ersteinführung sowie die Aufrechterhaltung eines bestehenden CMS

92

Das Compliance-Kommitment des Top-Managements der Organisation, der sog. „tone at the top“ ist die Basis für sämtliche Bereiche und Aktivitäten des CMS. Insbesondere für die Akzeptanz und Wirksamkeit des CMS ist die Vorbildfunktion des Top-Managements maßgebend. Dabei muss das Top-Management insbesondere die Werte der Organisation vorgeben („tone from the top“) und zugleich vorleben („tone at the top“). Daneben soll das Top-Management die Etablierung der Compliance-Richtlinie und der Compliance-Ziele sowie deren Konsistenz zu den Werten, Zielen und der Strategie der Organisation sicherstellen. Zudem soll das Top-Management die Entwicklung von Richtlinien, Verfahren und Prozessen zur Erreichung der Compliance-Ziele gewährleisten. Des Weiteren trägt das Top-Management die Verantwortung für eine Vielzahl weiterer Aufgaben im Rahmen des CMS, wie z.B. die Bereitstellung ausreichender Ressourcen sowie die Förderung eines stetigen Verbesserungsprozesses.[121]

93

Grundvoraussetzungen für ein wirksames Compliance Management sind die aktive Teilnahme und die Überwachungstätigkeit des Top-Managements. Die Verantwortung des täglichen Compliance Managements sollte – wie von vielen Organisationen in der Praxis umgesetzt – auf eine bestimmte Person, den sog. Compliance Officer (Compliance-Beauftragter), übertragen werden. Alternativ kann auch ein funktionsübergreifender Compliance-Ausschuss etabliert werden, um das Compliance Management innerhalb der Organisation zu organisieren. Neben dem Top-Management und dem Compliance Officer kommt den Managern der unterschiedlichen Ebenen der Organisation eine bedeutende Verantwortung und Rolle für das CMS innerhalb ihres jeweiligen Verantwortungsbereiches zu. Daher sollten sie mit positivem Verhalten vorangehen, die primär Compliance-Verantwortlichen unterstützen sowie innerhalb ihres Bereiches mögliche Compliance-Risiken identifizieren und adressieren. Daneben sollten sie Mitarbeiter für Compliance-Themen sensibilisieren, schulen sowie motivieren, Compliance-relevante Informationen oder Bedenken zu kommunizieren.[122]

94

Die Compliance-Funktion ist in Zusammenarbeit mit der Unternehmensleitung für das CMS verantwortlich. Sofern keine eigenständige Compliance-Stelle geschaffen wird, ist die Compliance-Funktion einer bereits bestehenden Position zuzuweisen. Der konkrete Aufgabenbereich der Compliance-Funktion umfasst u.a. die Identifizierung und Analyse von Compliance-Verpflichtungen/Risiken, die Ableitung eines Compliance-Programms (Richtlinie, Verfahren und Prozesse), die Organisation von Compliance-Schulungen, die Entwicklung und Implementierung eines Compliance Reporting, die Erstellung einer Compliance-Dokumentation, die Etablierung von Informationssystemen sowie die Steuerung von Compliance-Risiken. Bei der Besetzung der Compliance-Funktion ist insbesondere zu beachten, dass keine Interessenkonflikte bestehen. Zudem sollte die Person über die notwendige Integrität, ein Kommitment zu Compliance, die erforderliche Kompetenz, Ansehen sowie Durchsetzungs- und Kommunikationsfähigkeiten verfügen.[123]

95

Von zentraler Bedeutung innerhalb des CMS ist die Etablierung von Prozessen zur Identifikation und Bewertung der Compliance-Verpflichtungen und Compliance-Risiken. Dabei sind zunächst die für die Organisation relevanten Verpflichtungen (z.B. Gesetze, Rechtsprechung oder freiwillige Verpflichtungen) und deren Auswirkungen für die Aktivitäten, Produkte und Dienstleistungen der Organisation systematisch zu identifizieren sowie in angemessener Weise in Abhängigkeit von der Größe, Komplexität und Struktur der jeweiligen Organisation zu dokumentieren. Um eine kontinuierliche Gewährleistung guter Compliance zu erreichen, sollte ein Change Management-Prozess etabliert werden. Das bedeutet, dass Prozesse zur Identifikation von Änderungen der Compliance-Verpflichtungen und der daraus resultierenden Auswirkungen zu implementieren sind, um eine entsprechende Anpassung des Compliance-Management Systems sicherzustellen. Als solche Prozesse bzw. Instrumente zur Identifizierung von Änderungen des rechtlichen Umfelds und damit ggf. der organisationsspezifischen Compliance-Verpflichtungen können z.B. die regelmäßige Information bei Regulierungsbehörden (z.B. durch Registrierung für Informations-E-Mails, regelmäßige Beobachtung der Internetseiten oder persönliche Treffen), die Mitgliedschaft in Berufsverbänden oder die Teilnahme an Branchentreffen und Seminaren dienen.[124]

96

Auf Basis der Identifikation der organisationsspezifischen Compliance-Verpflichtungen soll die Identifikation und Bewertung der Compliance-Risiken (sog. Risikoanalyse) vorgenommen werden. Konkret sind im Rahmen der Risikoanalyse die Ursachen und Quellen von Regelverstößen (sog. Non-Compliance) zu identifizieren, das Ausmaß der Auswirkungen solcher Regelverstöße zu bestimmen sowie die Wahrscheinlichkeit für das Auftreten von Non-Compliance einzuschätzen. Der Prozess der Risikobewertung sollte insbesondere einen Vergleich des identifizierten Risikoniveaus mit der Risikoneigung der Organisation, d.h. dem Risikoniveau, das die Organisation zu akzeptieren bereit ist, umfassen. Bei der Risikobewertung handelt es sich um einen kontinuierlichen Prozess, d.h. die Risikobewertung ist in regelmäßigen Abständen sowie bei Veränderungen der Organisation oder der Rahmenbedingungen innerhalb derer sich die Organisation bewegt, wie z.B. die Einführung neuer Produkte, Wechsel der Strategie oder veränderte Marktbedingungen, zu aktualisieren.[125]

97

Aufbauend auf der Risikoanalyse sollten unter Berücksichtigung der zugrunde gelegten Governance-Prinzipien die Compliance-Risiken bestimmt werden, die innerhalb der Organisation zu adressieren sind. Dabei sind zunächst die Maßnahmen zu planen, anhand derer die Risiken gesteuert werden können, sowie festzulegen, wie diese Maßnahmen in das CMS integriert werden.[126] Neben der Bestimmung und Kommunikation der Compliance-Risiken sind auch die Compliance-Ziele für die entsprechenden Funktionen und Ebenen festzulegen. Die Compliance-Ziele sollten dabei insbesondere mit der Compliance-Strategie und der Compliance-Richtlinie in Einklang stehen, messbar sein, in die Organisation kommuniziert sowie regelmäßig überprüft und – soweit erforderlich – angepasst werden. Nach Festlegung der Compliance-Ziele sollte geplant werden, wie diese Ziele erreicht werden können. Dieser Prozess beinhaltet beispielsweise die Festlegung der zu ergreifenden Maßnahmen, der benötigten Ressourcen, der Verantwortlichkeiten sowie der Methoden, mit denen die Ergebnisse bewertet werden sollen (z.B. spezielle Compliance-Kennzahlen). Über die festgelegten Compliance-Ziele sowie die Maßnahmen zur Erreichung der Compliance-Ziele sollte eine entsprechende Dokumentation erstellt werden.[127]

98

Die Planung und Festlegung der Maßnahmen und Prozesse zur Sicherstellung der Einhaltung der Compliance-Verpflichtungen sollte zur Implementierung von Kontrollen führen. Um die Wirksamkeit zu erhöhen und die Wirtschaftlichkeit zu gewährleisten, sollten die Kontrollen – soweit möglich – in die bestehenden Unternehmensprozesse integriert werden. Bei den zu implementierenden Kontrollen handelt es sich z.B. um Genehmigungsverfahren, die Trennung von unvereinbaren Funktionen und Verantwortlichkeiten (sog. Funktionstrennung) oder automatisierte IT-Kontrollen, die z.T. bereits im Rahmen eines bestehenden internen Kontrollsystems verwendet werden. Die Effektivität der Kontrollen sollte durch eine kontinuierliche Überprüfung und Bewertung der Kontrollen sichergestellt werden. Darüber hinaus sollten Verfahren implementiert und dokumentiert werden, um die Compliance-Richtlinie umzusetzen und die Compliance-Verpflichtungen in den betrieblichen Abläufen abzubilden.[128] Hat die Organisation betriebliche Prozesse an externe Dritte ausgelagert, so sind diese einem Monitoring durch das Unternehmen zu unterwerfen, da die Auslagerung von Prozessen die Unternehmensleitung nicht von der rechtlichen Verantwortung sowie den Compliance-Verpflichtungen befreit.[129]

99

Ein weiteres Grundelement des CMS stellt der Monitoring- und Verbesserungsprozess dar. Das in der Organisation implementierte CMS sollte einem kontinuierlichen Überwachungsprozess (Monitoring) unterliegen, innerhalb dessen die Wirksamkeit und Effektivität des CMS zu überprüfen sind. Zu diesem Zweck sollte ein Monitoring-Plan erstellt werden, der festlegt, welche Bausteine, Prozesse und Maßnahmen des CMS dem Monitoring unterliegen sollen und welche Methoden für das Monitoring sowie die Bewertung und Analyse der Monitoring-Ergebnisse zu verwenden sind. Zudem sollte der Monitoring-Plan einen Zeitplan für die Durchführung und die Ergebnisanalyse enthalten. Typischerweise sollten zu den Bereichen des CMS, die einem Monitoring unterliegen, z.B. die Effektivität von Kontrollen, Schulungen oder der Verteilung der Compliance-Verantwortlichkeiten, gehören. Für die Beurteilung der Performance des CMS sind insbesondere die Fälle von Non-Compliance, nicht erreichter Compliance-Ziele sowie der Status der Compliance-Kultur zu überprüfen. Informationen können dabei von Mitarbeitern, Kunden, Lieferanten oder anderen Stakeholdern anhand verschiedener Kommunikationsprozesse, wie z.B. einem Hinweisgebersystem, Workshops oder Umfragen, gewonnen werden. Zudem können Prüfungen des CMS durch Dritte (wie z.B. interne Revision oder Wirtschaftsprüfer) zusätzliche Informationen liefern. Zum Zwecke der Bewertung des Grads der Erreichung der Compliance-Ziele sowie der Performance des CMS sollten messbare Kennzahlen (z.B. der Prozentsatz der geschulten Mitarbeiter oder die Anzahl identifizierter Fälle von Non-Compliance) entwickelt und verwendet werden.[130]

100

Die zeitgerechte und umfassende Information der Unternehmensleitung und der Compliance-Verantwortlichen über die Wirksamkeit des CMS und Fälle von Non-Compliance ist die Grundlage, um die Compliance-Risiken zu steuern bzw. im Fall von Non-Compliance Gegenmaßnahmen zu veranlassen. Diese Information sollte durch die Etablierung eines regelmäßigen Compliance Reporting erfolgen. Im Hinblick auf das Compliance Reporting sind insbesondere berichtspflichtige Sachverhalte zu definieren, die Reporting-Intervalle zu bestimmen und Prozesse zu implementieren, welche die Vollständigkeit und Richtigkeit der Informationen sicherstellen. Um die Verständlichkeit des Compliance Reporting zu verbessern, sollte es in das bestehende Unternehmens-Reporting integriert werden. Allerdings sollte für schwerwiegende Fälle von Non-Compliance eine eigenständige, außerplanmäßige Berichterstattung, die sog. Ad-hoc-Berichterstattung, etabliert werden. Sinnvolle Inhalte des regulären Compliance Reporting sind beispielsweise die Darstellung von Veränderungen bei den Compliance-Verpflichtungen, deren Auswirkungen auf die Organisation sowie die geplanten Reaktionen durch die Organisation, Informationen über Monitoring-Aktivitäten und Compliance-Audits oder die Ergebnisse der Bewertung der Performance und Effektivität des CMS.[131]

101

Zusätzlich zu den regelmäßigen Monitoring-Aktivitäten sollten auch externe Prüfungen des CMS sowie Management Reviews Bestandteil der Compliance-Überwachung sein. Gegenstand der externen Prüfungen des CMS sollte insbesondere sein, ob das CMS der durch die Unternehmensleitung festgelegten Konzeption und den Empfehlungen des internationalen Standards ISO 19600 entspricht sowie ob das CMS wirksam implementiert und aufrechterhalten wird. Gegenstand der Management Reviews sollte die anhaltende Eignung, Angemessenheit und Effektivität des CMS sein. Im Fokus der Management-Reviews sollten dabei insbesondere die fortwährende Angemessenheit der Compliance-Strategie und der bereitgestellten Ressourcen sowie die Einschätzung, inwieweit die Compliance-Ziele erreicht wurden, stehen. Die Ergebnisse sollten im Rahmen des Verbesserungsprozesses adressiert werden, um beispielsweise die Compliance-Strategie oder die Compliance-Ziele anzupassen oder Schwächen im bestehenden CMS durch korrigierende Maßnahmen abzustellen.[132]