Content

2 Compliance Management – theoretische Grundlagen in:

Daniel Ternes

Compliance Management, page 27 - 90

Relevanz und Ausgestaltung bei nicht börsennotierten Unternehmen

1. Edition 2018, ISBN print: 978-3-8288-4237-3, ISBN online: 978-3-8288-7131-1, https://doi.org/10.5771/9783828871311-27

Series: Wissenschaftliche Beiträge aus dem Tectum Verlag: Wirtschaftswissenschaften, vol. 88

Tectum, Baden-Baden
Bibliographic information
Compliance Management – theoretische Grundlagen Einordnung von Compliance Management in die Corporate Governance Prinzipal-Agenten-Theorie Die Prinzipal-Agenten-Theorie bzw. der Prinzipal-Agent-Ansatz114 bildet das theoretische Fundament der Corporate Governance, in dem sie die der Corporate Governance zugrunde liegende Problematik wissenschaftlich herleitet. Die Prinzipal- Agenten-Theorie betrachtet die Beziehung zwischen dem Prinzipal (Auftraggeber) und dem Agenten (Auftragnehmer). Dabei beauftragt der Prinzipal den Agenten, eine spezifische Aufgabe durchzuführen. Diese Auftragsbeziehung wird durch zwei Formen asymmetrisch verteilter Informationen geprägt: „hidden information“ und „hidden action“. Bei der hidden information-Problematik bestehen auf Seiten des Prinzipals bereits vor Vertragsabschluss Informationsdefizite über exogene Parameter bzw. den exogen gegebenen Typen des Agenten, wie z.B. die Risikoneigung des Agenten oder sein Talent bzw. sein Leistungspotential. Bei der hidden action-Problematik bestehen Informationsdefizite des Prinzipals hinsichtlich endogener Handlungen des Agenten nach Vertragsabschluss. Die hidden action-Theorie besagt, dass der Agent nach Abschluss des Vertrags nicht mehr im besten Interesse des Prinzipals handelt, sondern aufgrund asymmetrisch verteilter Informationen durch seine Handlungen („hidden action“) – die der Prinzipal nicht beobachten bzw. kontrollieren kann – vielmehr seine eigenen Interessen bzw. Ziele verfolgt („hidden intention“). Insbesondere kann es für den Agenten sinnvoll sein, nach Vertragsschluss seine Anstrengungen zu reduzieren bzw. weniger verantwortungsvoll zu handeln (sog. „moral hazard“). Dieses opportunistische Verhalten des Agenten – z.B. in Form einer Verminderung des Arbeitseinsatzes, einer Unterschlagung der eingesetzten monetären Mittel des Prinzipals oder dem sog. „empire-building“115 – läuft den Interessen des Prinzipals zuwider.116 2 2.1 2.1.1 114 Eine Definition des Begriffs Prinzipal-Agenten-Theorie ist online abrufbar unter http://wirtschaftslexikon.gabler.de/Definition/prinzipal-agent-theorie.html., zuletzt aufgerufen am 08.10.2016. 115 Unter „empire-building” wird verstanden, wenn die Interessen des Managements an dem externen Wachstum eines Unternehmens in den Vordergrund gestellt werden. Motive des Managements können z.B. (1) die Erhöhung der eigenen Bezüge, (2) die Verminderung der Übernahmewahrscheinlichkeit und folglich die Erhöhung der Arbeitsplatzsicherheit oder (3) die Eröffnung neuer Aufstiegsmöglichkeiten bzw. das Streben nach Prestige sein (vgl. http://wirtschaftslexikon.gabler.de/ Definition/unternehmenskonzentration.html, zuletzt aufgerufen am 09.10.2016). 116 Vgl. Goergen, International Corporate Governance, 2012, S. 7; Jensen/Meckling, Theory of the firm: Managerial behavior, agency costs and ownership structure, 1976, S. 308-309; Shleifer/Vishny, A survey of Corporate Governance, 1997, S. 740-743; Tirole, Corporate Governance, 2001, S. 1; Kräkel, Organisation und Management, 2015, S. 19-22; Wöhe, Einführung in die allgemeine Betriebswirtschaftslehre, 2008, S. 31-32. 27 Eine notwendige Voraussetzung für das Auftreten dieses opportunistischen Verhaltens ist die Existenz asymmetrischer Informationen. Unter asymmetrischen Informationen werden Situationen verstanden, in denen eine der Vertragsparteien über mehr Informationen in Bezug auf den Vertragsgegenstand verfügt als der andere Vertragspartner.117 In Konstellationen, wo der Agent vom Prinzipal beauftragt wird, eine spezifische Aufgabe auszuführen oder sich in einer bestimmten Art und Weise zu verhalten, besitzt typischerweise der Agent über mehr Informationen als der Prinzipal. Im Fall des Nichterreichens des gewünschten Ergebnisses kennt der Agent den Grund hierfür, während der Prinzipal i.d.R. nicht weiß, ob es an der mangelnden Eignung („hidden information“) oder dem mangelnden Einsatz des Agenten („hidden action“) oder äußeren Einflussfaktoren liegt. Die Existenz asymmetrischer Informationen begünstigt somit opportunistisches Verhalten durch den Agenten.118 Jensen/Meckling119 übertragen diese Prinzipal-Agenten-Beziehung auf die Fragestellung der Trennung von Eigentum und Kontrolle.120 Diese Trennung von Eigentum und Kontrolle ist eine Begleiterscheinung des Größenwachstums von Unternehmen. Startet man die Betrachtung bei einem kleinen eigentümergeführten Unternehmen, in dem der Eigentümer eigenständig das Geschäft betreibt, so existieren aufgrund der Identität von Eigentümer (Prinzipal) und Manager (Agent) bzw. Eigentum (Prinzipal) und Kontrolle (Agent) keine Interessenkonflikte. Entscheidet sich der Unternehmer dafür, seinen Arbeitseinsatz zu erhöhen, so landet der erzielte Mehrgewinn in voller Höhe bei ihm. Das bedeutet, dass in dieser Konstellation ein perfekter Anreiz für den Eigentümerunternehmer existiert. Mit fortschreitendem Größenwachstum des Unternehmens wird es für den Unternehmer jedoch immer schwieriger werden, das für das Wachstum benötigte Kapital aufzubringen. Daher wird er dazu übergehen, externes Kapital auf dem Kapitalmarkt aufzunehmen. Eine Folge der Aufnahme von externem Kapital ist die Änderung der Anreize für den Unternehmer. Eine Erhöhung seines Arbeitseinsatzes führt nun nicht mehr dazu, dass er den erzielten Mehrgewinn in voller Höhe vereinnahmen kann. Vielmehr steht ein Teil des erzielten Mehrgewinns den neuen Anteilseignern zu. Das führt dazu, dass der Anreiz für den Unternehmer geringer wird und er folglich weniger geneigt ist, seinen Arbeitseinsatz zu erhöhen. Je größer das Unternehmen wird, desto stärker wird typischerweise die Trennung von Eigentum und Kontrolle werden. Ab einem gewissen Zeitpunkt bzw. einer gewissen Größe wird der Unternehmer das Management des Unternehmens teilweise oder vollständig abgeben und auf professionelle Manager, die nur einen geringen bzw. gar keinen Anteil an dem Unternehmen halten, übertragen. Das führt zu der Konstellati- 117 Vgl. Kräkel (2015), S. 19-20. 118 Vgl. Goergen (2012), S. 8; Kräkel (2015), S. 19-22; Wöhe (2008), S. 32, 69; Tirole (2001), S. 1-2. 119 Vgl. Jensen/Meckling, Theory of the firm: Managerial behavior, agency costs and ownership structure, 1976. 120 Anstelle der Betrachtung der Trennung von Eigentum (Prinzipal) und Kontrolle (Agent) findet man in der betriebswirtschaftlichen Literatur alternativ die Betrachtung der Trennung von Finanzen/ Investoren (Prinzipal) und Management (Agent). Es wird damit grds. die gleiche Problematik beschrieben. Die Untersuchung des Problems wird dabei jedoch um den Einfluss von Fremdkapitalgeber erweitert (vgl. z.B. Shleifer/Vishny (1997), S. 740-741; Tirole (2001), S. 1). 2 Compliance Management – theoretische Grundlagen 28 on, die insbesondere in großen Unternehmen anzutreffen ist. Auf der einen Seite gibt es die Manager, die die erforderlichen Kenntnisse und Fähigkeiten besitzen, das Unternehmen zu leiten. Diesen fehlt typischerweise jedoch das für die Geschäftstätigkeit benötigte Kapital. Auf der anderen Seite gibt es die Eigentümer, die über das benötigte Kapital verfügen, jedoch nicht die notwendigen Kenntnisse und Fähigkeiten zur Führung des Unternehmens besitzen. Das führt dazu, dass die Manager, die das tägliche Geschäft betreiben, über die tatsächliche Kontrolle im Unternehmen verfügen, während die Aktionäre das Eigentum an dem Unternehmen besitzen. Somit ist diese Konstellation geprägt durch eine Trennung von Eigentum und Kontrolle.121 Eine bedeutende Grundannahme in dem Modell von Jensen/Meckling bei der Betrachtung der Trennung von Eigentum und Kontrolle ist die Existenz asymmetrischer Informationen. Das bedeutet, dass ein schlecht informierter Prinzipal einen Agenten mit Spezialwissen beauftragt, sein Unternehmen zu führen. In einem Umfeld asymmetrischer Informationen wird sich der Agent nach der Beauftragung dazu entscheiden, das Unternehmen nach seinen eigenen Interessen anstatt den Interessen des Prinzipals zu leiten. Dieses Prinzipal-Agenten-Problem bzw. Agency-Problem verursacht die sog. Agency-Kosten122. Die gesamten Agency-Kosten setzen sich aus drei verschiedenen Kostenarten zusammen. Als erstes sind die Kontrollkosten des Prinzipals zu nennen. Aufgrund der Informationsasymmetrie muss der Prinzipal die Leistung des Agenten überwachen und versuchen, das Verhalten des Agenten zu beeinflussen, um ungewollte Handlungen zu vermeiden. Daneben existieren die sog. „bonding costs“. Diese Kosten entstehen beim Agenten, da er dem Prinzipal glaubwürdig signalisieren muss, dass er die Geschäfte nach dessen bestem Interesse führt. Eine Möglichkeit der Signalisierung stellt z.B. ein Anteilserwerb durch den Agenten dar. Die dritte Komponente der Agency-Kosten ist der sog. Residualverlust („residual loss“). Hierbei handelt es sich um die Verluste, die dem Prinzipal dadurch entstehen, dass der Agent nicht die Entscheidungen trifft, die den Unternehmenswert maximieren.123 Neben diesen Agency-Kosten, die aus dem klassischen Prinzipal-Agenten-Problem – der Beziehung Eigentümer zu Manager – resultieren, existieren weitere Agency-Probleme, die Kosten verursachen können. Zunächst wäre die Beziehung zwischen Eigen- und Fremdkapitalgebern zu nennen. In Situationen, in denen Unternehmen über wenig Eigenkapital verfügen (z.B. in finanziellen Notlagen), kann es für die Eigenkapitalgeber sinnvoll sein, hochriskante Projekte mit hoher Rendite einzugehen. Im Fall des Scheiterns ist der Großteil der entstandenen Kosten durch die Fremdkapitalgeber zu tragen. Sind die Projekte erfolgreich und führen zu hohen Liquiditätszuflüssen, werden v.a. die Eigenkapitalgeber profitieren. Das ist darauf zurückzuführen, dass die Forderungen der Fremdkapitalgeber i.d.R. durch den Kapitaleinsatz und die festgelegten Zinsen wertmäßig nach oben hin begrenzt sind. Die Forderungen der Ei- 121 Vgl. Goergen (2012), S. 8-9; Jensen/Meckling (1976), S. 309, 312-313; Kräkel (2015), S. 275-279, 283. 122 Vgl. Kräkel (2015), S. 40. 123 Vgl. Goergen (2012), S. 9; Jensen/Meckling (1976), S. 309-310; Kräkel (2015), S. 40, 279. 2.1 Einordnung von Compliance Management in die Corporate Governance 29 genkapitalgeber sind demgegenüber nach oben hin grundsätzlich ohne Limit. Jensen/ Meckling folgern daraus, dass es für Unternehmen eine optimale Kapitalstruktur gibt, welche die Agency-Kosten minimiert und den Firmenwert maximiert.124 Ein weiteres Agency-Problem kann durch die Existenz großer, dominierender Eigentümer bzw. Aktionäre entstehen. Diese Großeigentümer/-aktionäre haben oftmals die Möglichkeit, den Entscheidungsprozess der Manager zu beeinflussen und somit faktisch die Kontrolle im Unternehmen auszuüben. Dies kann dazu führen, dass die ursprüngliche Agency-Problematik – resultierend aus dem Verhältnis Manager zu Eigentümer – durch die Agency-Problematik aus dem Verhältnis der kontrollierenden Großeigentümer/-aktionäre zu den Minderheitseigentümern/-aktionären abgelöst wird. Die Großeigentümer/-aktionäre können ihren Einfluss auf das Management dazu nutzen, die Minderheitsaktionäre auszubeuten. Mögliche Instrumente sind z.B. das sog. „tunnelling“, Gewinnverschiebungen durch Verrechnungspreise, Vetternwirtschaft oder interne Machtkämpfe. Während unter „tunnelling“ das Transferieren von Vermögensgegenständen zu Lasten der Minderheitsaktionäre verstanden wird, können über das Instrument Verrechnungspreise Dienstleistungen der Großaktionäre gegenüber dem Unternehmen zu überhöhten Preisen abgerechnet und so die Gewinne verschoben werden. Der Begriff Vetternwirtschaft umfasst z.B. die Vergabe von Führungspositionen im Unternehmen an nahe stehende Personen (z.B. Familienmitglieder) lediglich aufgrund der persönlichen Beziehung und ohne Berücksichtigung der Kompetenz. Interne Machtkämpfe können zu unnötigen Kosten und somit zu Gewinnminderungen zu Lasten der Minderheitsaktionäre führen.125 Als ein Instrument zur Abmilderung oder Vermeidung des Prinzipal-Agenten- Problems in Form opportunistischen Verhaltens wurden die sog. vollständigen Verträge entwickelt. Dabei handelt es sich um Verträge, die genau spezifizieren, wie sich die Agenten in jeder zukünftigen Situation zu verhalten haben und die zudem die Verteilung der Gewinne für jede mögliche Situation regeln. Es zeigte sich jedoch, dass es im realen Geschäftsleben nahezu unmöglich ist, vollständige Verträge zu schließen. Zum einen ist es unmöglich, alle zukünftigen Umstände zu berücksichtigen und zum anderen würden diese Verträge zu komplex und umfangreich werden. Zudem wäre es zu schwierig, die Einhaltung der Verträge zu überwachen und ihre Umsetzung durchzusetzen. Folglich existieren in der realen Geschäftswelt lediglich sog. „unvollständige Verträge“, die dem Agenten Spielraum für opportunistisches Verhalten lassen.126 Die daraus resultierenden vorstehend dargestellten Agency-Kosten können durch die Überwachung des Managements reduziert werden. Eine effektive Kontrolle erfordert dabei zum einen die Existenz eines Kontrollanreizes bzw. einer Kontrollmotivation und zum anderen das Bestehen von Kontroll- und Disziplinierungsmöglichkeiten.127 124 Vgl. Goergen (2012), S. 12-13; Jensen/Meckling (1976), S. 333-334, 342. 125 Vgl. ebda. S. 13-16; Shleifer/Vishny (1997), S. 758-760. 126 Vgl. ebda. S. 7-8; Wöhe (2008), S. 69; Shleifer/Vishny (1997), S. 741. 127 Vgl. Kräkel (2015), S. 279, 287-288; Jensen/Meckling (1976), S. 312-313, 323-328; Tirole (2001), S. 5, 8-10. 2 Compliance Management – theoretische Grundlagen 30 Ein potentieller Akteur der Managementkontrolle sind die Anteilseigner von Unternehmen. Über das Instrument der Hauptversammlung bzw. der Gesellschafterversammlung können sie verschiedene Kontroll- und Disziplinierungsmöglichkeiten ausüben (z.B. Entlastung oder Verweigerung der Entlastung des Vorstands bzw. der Geschäftsführung; Kapitalerhöhungen bzw. Herabsetzungen; Bestellung des Vorstands bzw. der Geschäftsführung). Bei den Anteilseignern sollte grundsätzlich ein hoher Kontrollanreiz gegeben sein, da sie am Gewinn des Unternehmens partizipieren. Ist die Eigentümerstruktur jedoch geprägt von vielen kleinen Anteilseignern, kann sowohl der Kontrollanreiz als auch die Kontrollmöglichkeit nur schwach ausgeprägt sein. Kleine Anteilseigner werden in der Regel nur einen schwachen Einfluss auf die Entscheidungen haben. Zudem partizipieren sie nur in geringem Umfang am Gewinn. Als Folge dessen wäre eine rationale Strategie für kleine Anteilseigner, sich als Trittbrettfahrer zu verhalten und von den Kontrollaktivitäten anderer Akteure zu profitieren, da die eigenen Opportunitätskosten verhältnismäßig hoch sind (sog. „free rider problem“).128 Anders gelagert ist die Situation jedoch bei der Existenz großer Anteilseigner. Aufgrund der Höhe ihrer Kapitalbeteiligung erleiden sie bei Fehlverhalten des Managements einen absolut höheren Verlust als kleine Anteilseigner, was zu einem höheren Kontrollanreiz bzw. einer höheren Kontrollmotivation führen sollte. Zudem besitzen sie aufgrund ihrer hohen Ausstattung an Stimmrechten über einen signifikanten Einfluss, so dass sie die im Rahmen der Haupt- bzw. Gesellschafterversammlung gegebenen Kontroll- und Disziplinierungsmöglichkeiten entsprechend beeinflussen bzw. ausüben können. Zudem verfügen die großen Gesellschafter oftmals über Sitze im Kontrollgremium, so dass sie über dieses Organ weitere Kontroll- und Disziplinierungsmöglichkeiten sowie entsprechende Instrumente besitzen (z.B. Festlegung der Entlohnung der Unternehmensleitung).129 Ein weiterer potentieller Akteur der Managerkontrolle ist das Kontrollorgan Aufsichtsrat. Betrachtet man die Kontrollanreize des Aufsichtsrats muss man zwischen der Gruppe der Arbeitnehmervertreter und der Gruppe der Kapitalvertreter differenzieren. Für die Gruppe der Arbeitnehmervertreter ist von einem nicht unerheblichen Kontrollanreiz auszugehen, da ihr Hauptvermögen – ihr betriebsspezifisches Humankapital – durch ein Fehlverhalten des Topmanagements gefährdet würde. Einschränkend ist jedoch zu nennen, dass sofern Gewerkschaftsvertreter als Arbeitnehmervertreter fungieren, keine Abhängigkeitsbeziehung vom Unternehmen besteht und eine eigenständige Prinzipal-Agenten-Beziehung mit den entsprechenden Problemstellungen zwischen den Gewerkschaftsfunktionären und den Arbeitnehmern (Belegschaft) existiert. Zudem stimmen die Interessen der Arbeitnehmer nicht vollständig mit den Interessen der Anteilseigner überein. Während für die Anteilseigner die Unternehmenswertmaximierung das oberste Ziel darstellt, könnten für die Arbeitnehmervertreter auch positive Umverteilungseffekte zu Lasten der Anteilseigner, wie z.B. Investitionen mit Konsumcharakter, von Interesse sein. Im Hinblick auf die Gruppe der Kapitalvertreter im Aufsichtsrat ist von nur eingeschränkten Kontrollanreizen auszu- 128 Vgl. Kräkel (2015), S. 299; Shleifer/Vishny (1997), S. 741; Tirole (2001), S. 5, 8-10. 129 Vgl. ebda. S. 299-301; Shleifer/Vishny (1997), S. 753-755. 2.1 Einordnung von Compliance Management in die Corporate Governance 31 gehen. Dies wird damit begründet, dass zum einen die Aufsichtsratsvergütung oftmals nicht erfolgsabhängig ist und zum anderen die rechtliche Haftung für verletzte Aufsichtspflichten nur begrenzt existiert. Dagegen können sich jedoch Kontrollanreize durch den drohenden Verlust des Aufsichtsratsmandats bei Verlust des Vertrauens der Anteilseigner ergeben. Gehören Bankenvertreter zu der Gruppe der Kapitalvertreter können sich Kontrollanreize auch durch ein bestehendes Eigen- und/oder Fremdkapitalengagement der Banken und dem drohenden Schaden bei Fehlverhalten des Topmanagements ergeben. Hinsichtlich der Kontroll- und Disziplinierungsmöglichkeiten des Aufsichtsrats ist festzustellen, dass diese formal stark ausgeprägt sind. So verfügt der Aufsichtsrat aufgrund der möglichen Existenz zustimmungspflichtiger Geschäfte, dem Recht zur Bestellung und Entlassung des Vorstands sowie dem Recht zur Festlegung der Entlohnung des Vorstands (insbesondere der Wahl anreizkompatibler Entlohnungselemente) über erhebliche Kontroll- und Disziplinierungsmöglichkeiten.130 Neben dem Monitoring bzw. der Überwachung/Kontrolle ist eine weitere in der betriebswirtschaftlichen Literatur umfangreich diskutierte Möglichkeit, die Agency- Problematik zu lösen bzw. die Agency-Kosten zu reduzieren, das Setzen von monetären und nicht-monetären Anreizen („incentives“) für den Agenten. Hierunter fallen z.B. erfolgsabhängige Vergütungsvereinbarungen (monetärer Anreiz) oder positive Karriereaussichten (nicht-monetärer Anreiz).131 Da diese Handlungsoption für den weiteren Fortgang der Arbeit von untergeordneter Bedeutung ist, wird nachfolgend auf eine detaillierte Darstellung verzichtet. Zusammenfassend kann festgehalten werden, dass auf Basis der vorstehend dargestellten verschiedenartigen Agency-Probleme die Aufgabe der Corporate Governance ist, einen Ordnungsrahmen zu schaffen, der den beteiligten Akteuren möglichst wenig Spielraum und Motivation für opportunistisches Verhalten bietet und die bestehenden Informationsasymmetrien vermindert. Dadurch soll eine effiziente Unternehmensführung und Kontrolle der Unternehmensführung gewährleistet werden.132 Begriffsbestimmung Corporate Governance Im vorangehenden Kapitel 2.1.1 wurde die der Corporate Governance zugrunde liegende betriebswirtschaftliche Theorie skizziert. Für den Begriff Corporate Governance gibt es jedoch kein einheitliches Verständnis. Vielmehr existiert national und international eine Vielzahl von Definitionen. Dabei kann man zwischen den ökonomisch und juristisch geprägten Definitionen unterscheiden. Während die ökonomisch geprägten Definitionen auf den Zielen von Unternehmen und deren Errei- 2.1.2 130 Vgl. Kräkel (2015), S. 293-295. 131 Vgl. Shleifer/Vishny (1997), S. 744-745; Tirole (2001), S. 5, 25-28. 132 Vgl. Wöhe (2008), S. 68-69. 2 Compliance Management – theoretische Grundlagen 32 chung basieren, liegt der Fokus der juristisch geprägten Definitionen auf den rechtlichen Rahmenbedingungen von Unternehmen. Basis der ökonomisch geprägten Definitionen ist zumeist die Frage nach der zentralen Zielstellung eines Unternehmens. In Bezug auf diese Frage gibt es keine allgemeingültige Auffassung, vielmehr wird die Antwort von einer Vielzahl von Faktoren, wie z.B. der Kultur und politischen Orientierung des jeweiligen Sitzlandes des Unternehmens oder dem jeweiligen Rechtssystem, beeinflusst.133 Eine erste Definition des Begriffs Corporate Governance liefern Shleifer/Vishny134. Ihre Definition basiert auf der Annahme, dass das Ziel eines Unternehmens die Maximierung der Rendite der Kapitalgeber des Unternehmens ist. Zudem unterstellen Shleifer/Vishny, dass die Investitionen der Kapitalgeber in das Unternehmen typischerweise sog. „sunk funds“ sind. Das bedeutet, dass sofern das Unternehmen aufgrund unrentabler Investitionen bzw. Projekte in Schwierigkeiten gerät oder die Manager das Kapital veruntreuen, die Kapitalgeber ihr Geld verlieren. Die anderen Stakeholder, wie. z.B. Mitarbeiter, Lieferanten oder Kunden, können dagegen das Unternehmen verlassen, ohne ihre Investitionen (z.B. die Arbeitskraft als Humankapital des Mitarbeiters) zu verlieren. Daher sind die Kapitalgeber die verbleibenden Risikoträger. Auf Basis dieser Annahmen definieren Shleifer/Vishny Corporate Governance als die Art und Weise, in der Kapitalgeber von Unternehmen sich eine Rendite auf ihre Investition absichern.135 Eine weitere Definition für den Begriff Corporate Governance liefern Goergen/ Renneboog136. Im Gegensatz zur Definition von Shleifer/Vishny basiert diese auf der Prämisse, dass das Ziel eines Unternehmens die Maximierung des Nutzens sämtlicher Stakeholder des Unternehmens ist. Gemäß ihrer Definition ist ein Corporate Governance System die Kombination von Mechanismen zur Sicherstellung, dass das Management (Agent) das Unternehmen zum Nutzen eines oder mehrerer Stakeholder (Prinzipal) führt. Derartige Stakeholder können Aktionäre, Kreditgeber, Lieferanten, Kunden, Mitarbeiter und andere Beteiligte, mit denen das Unternehmen Geschäftsbeziehungen unterhält, umfassen.137 Die Definition von Goergen/Renneboog ist somit umfassender als die Definition von Shleifer/Vishny. Eine weitere Definition von Corporate Governance, die nicht die Zielsetzungen der Unternehmen, sondern vielmehr die Existenz von Interessenkonflikten zwischen den verschiedenen Stakeholdern in den Mittelpunkt stellt, liefert Goergen138. Goergen zufolge beschäftigt sich Corporate Governance mit den Interessenkonflikten zwischen den Kapitalgebern und den Managern, den Aktionären und den Stakeholdern sowie den verschiedenen Gruppen von Aktionären (vorzugsweise zwischen den 133 Vgl. Goergen (2012), S. 4. 134 Vgl. Shleifer/Vishny (1997), S. 737ff. 135 Vgl. Shleifer/Vishny (1997), S. 737-738, 740-741; Goergen (2012), S. 4. 136 Vgl. Goergen, M./Renneboog, L. (2006), Corporate Governance and shareholder value, in: Lowe/ Leiringer, Commercial Management of Projects: Defining the Discipline, Blackwell Publishing, S. 100-131. 137 Vgl. Goergen (2012), S. 4. 138 Vgl. ebda. S. 6. 2.1 Einordnung von Compliance Management in die Corporate Governance 33 Großaktionären und den Minderheitsaktionären) und der Vermeidung oder Entschärfung dieser Interessenkonflikte.139 Eine juristisch geprägte Definition von Corporate Governance liefert der Cadbury Report140. Demnach ist Corporate Governance das System, mit dem Unternehmen geleitet und kontrolliert werden.141 Dabei soll gute Corporate Governance dem Management innerhalb eines Rahmens effektiver Verantwortung und Rechenschaft die Freiheit geben, ihr Unternehmen fortzuentwickeln.142 In eine ähnliche Richtung zielt die Definition von v. Werder143. Corporate Governance wird durch v. Werder als rechtlicher und faktischer Ordnungsrahmen für die Leitung und Überwachung eines Unternehmens definiert. Die Definition basiert auf der Prinzipal-Agenten-Theorie, d.h. der Annahme der Existenz unvollständiger Verträge und differierender Interessen, die den Stakeholdern Motive und Gelegenheit zu opportunistischem Verhalten geben. Das Ziel der Corporate Governance ist es, durch das Setzen eines adäquaten rechtlichen und faktischen Ordnungsrahmens, die Spielräume und Motivation für opportunistisches Verhalten einzuschränken bzw. abzuschwächen. 144 Die Definition des Begriffs Corporate Governance der OECD145 basiert ebenfalls auf der Existenz unterschiedlicher Interessen der Stakeholder sowie der Möglichkeit opportunistischen Verhaltens. Gemäß der OECD-Definition umfasst Corporate Governance das Geflecht der Beziehungen zwischen dem Management eines Unternehmens, seinem Leitungs- und Kontrollgremium, seinen Aktionären sowie anderen Stakeholdern. Corporate Governance bildet den Rahmen, innerhalb dessen die Ziele eines Unternehmens gesetzt und die Mittel zur Erreichung dieser Ziele und zur Überwachung des Unternehmenserfolgs bestimmt werden.146 Corporate Governance soll das Marktvertrauen und die Integrität des Geschäftsverkehrs stärken und damit den Unternehmen den Zugang zu Kapital erleichtern sowie einen Beitrag zur ökonomischen Effizienz, nachhaltigem Wachstum und finanzieller Stabilität leisten.147 Dabei umfasst ein Corporate Governance System v.a. Rechtsvorschriften, Verordnungen, Selbstregulierung, freiwillige Selbstverpflichtungen und Geschäftsgepflogenheiten, die durch die jeweiligen länderspezifischen Umstände, Historie und Traditionen beeinflusst werden.148 139 Vgl. Goergen (2012), S. 6. 140 The Committee on the Financial Aspects of Corporate Governance and Gee and Co. Ltd., Report of the Committee on the Financial Aspects of Corporate Governance (Cadbury Report), 1992. 141 Vgl. Cadbury Report (1992), Tz. 2.5. 142 Vgl. ebda. Tz. 1.1. 143 Vgl. v. Werder, A., in: Hommelhoff/Hopt/v. Werder: Handbuch Corporate Governance, 2. Auflage 2009, S. 4. 144 Vgl. v. Werder (2009), S. 4. 145 Vgl. Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD), G20/OECD Principles of Corporate Governance, 2015. 146 Vgl. OECD (2015), S. 9. 147 Vgl. ebda. S. 3, 9. 148 Vgl. ebda. S. 13. 2 Compliance Management – theoretische Grundlagen 34 Im nationalen Kontext drehen sich die juristisch geprägten Definitionen primär um „die Frage der Zusammenhänge zwischen Unternehmensleitung, Leitungskontrolle und Unternehmenserfolg“149. Corporate Governance umfasst die Grundsätze bzw. die Gesamtheit der Regeln der Unternehmensleitung und –überwachung. Dabei wird die Einhaltung der Corporate Governance-Regeln als Aufgabe der Geschäftsführung bzw. des Vorstands angesehen.150 Bei Aktiengesellschaften wird der Aufsichtsrat aufgrund seiner in § 111 AktG kodifizierten Überwachungsaufgaben als weiterer Adressat der Corporate Governance angesehen.151 Eine enger gefasste juristische Definition versteht unter Corporate Governance eine „„materielle Unternehmensverfassung“ als System der Kompetenzen der Organe Vorstand, Aufsichtsrat und der Hauptversammlung sowie ihr Verhältnis zueinander“152. Begriffsbestimmung Compliance, Compliance Management und Compliance Management System Wie im vorangehenden Abschnitt 2.1.2 aufgezeigt, gibt es für den Begriff Corporate Governance eine Vielzahl unterschiedlicher Definitionen. Das Verständnis in Bezug auf den Begriff Compliance ist dagegen deutlich einheitlicher. Der Begriff Compliance, der sich von dem englischen Verb „to comply with“ ableitet, was übersetzt u.a. „etwas erfüllen/einhalten/befolgen“153 bedeutet, wurde aus der angelsächsischen Rechtsterminologie in die deutsche Wirtschafts- und Rechtsterminologie übernommen.154 Daraus leitet sich als Definition für Compliance ab, dass sich Compliance damit befasst, „wie die Einhaltung der gesetzlichen Vorschriften und unternehmensinternen Richtlinien im Unternehmen sichergestellt werden kann“155.156 Das IDW verwendet in seinem Prüfungsstandard IDW PS 980 eine ähnliche Definition. Demzufolge ist unter Compliance „die Einhaltung von Regeln zu verstehen“, wobei der Begriff Regeln sowohl gesetzliche Bestimmungen als auch unternehmensinterne Richtlinien umfasst.157 Der ISO 19600 begreift Compliance als Einhaltung sämtlicher Compliance-Verpflichtungen einer Organisation, wobei unter Compliance-Verpflichtungen sowohl 2.1.3 149 Carl, P. S., in: Spahlinger/Wegen, Internationales Gesellschaftsrecht, 2005, G. Corporate Governance, 1. Begriffsbestimmung, Rn. 1495. 150 Vgl. Stephan, K. D./Tieves, J., in: Münchener Kommentar zum GmbHG, 2012, § 37 Rn. 36; Koch, J., in: Hüffer/Koch, Aktiengesetz, 12. Auflage, 2016, § 76 Rn. 37. 151 Vgl. Koch (2016), § 76 AktG Rn. 37. 152 Carl (2005), G. Corporate Governance, a) Gesellschaftsrechtliche Definition, Rn. 1497. 153 Vgl. online unter http://dict.leo.org/ende/index_de.html#/search=to%20comply%20with&search- Loc =0&resultOrder=basic&multiwordShowSingle=on&pos=0, zuletzt aufgerufen am 09.10.2016. 154 Vgl. Hauschka, C. E./Moosmayer, K./Lösler, T., in: Hauschka/Moosmayer/Lösler, Corporate Compliance, 3. Auflage 2016, S. 6 Rn. 2; Behringer, S., in: Behringer, Compliance für KMU, 2012, S. 19-20 Tz. 1.1; Withus, K.-H., Betriebswirtschaftliche Grundsätze für Compliance-Management-Systeme, 2014, S. 13 Tz. 2.2.1. 155 Hauschka/Moosmayer/Lösler (2016), S. 6 Rn. 4. 156 Vgl. Poppe, S., in: Inderst/Bannenberg/Poppe, Compliance, 2. Auflage 2013, S. 1 Rn. 1-2. 157 Vgl. IDW PS 980, S. 2 Rn. 5. 2.1 Einordnung von Compliance Management in die Corporate Governance 35 Compliance-Anforderungen als auch Compliance-Selbstverpflichtungen verstanden werden. Während letztere von der Organisation selbst bestimmt werden, sind Compliance-Anforderungen extern vorgegeben.158 Im Deutschen Corporate Governance Kodex wird Compliance als Pflicht des Vorstands definiert, „die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien“ sowohl in der Einzelgesellschaft als auch in Konzernstrukturen zu gewährleisten.159 Das vorstehend dargestellte Verständnis von Compliance ist auch bei großen deutschen Konzernen wiederzufinden. So stellt für die Siemens AG Compliance „das Einhalten von Gesetzen und eigenen Regelungen“ dar. Siemens sieht Compliance als „wesentliches Element von Integrität“, womit das Handeln in Übereinstimmung mit den im Unternehmen etablierten Werten verstanden wird.160 Für die Deutsche Telekom AG bedeutet Compliance „die Einhaltung gesetzlicher Bestimmungen, unternehmensinterner Richtlinien und ethischer Grundsätze“. Compliance wird zudem als ein Grundsatz der Geschäftstätigkeit angesehen.161 Eine vergleichbare Definition findet sich auf der Homepage der ThyssenKrupp AG. Compliance wird von dem Unternehmen als konzernweite Maßnahme zur „Einhaltung von Regeln und Gesetzen“ verstanden.162 Eine erste kurze und prägnante Definition für Compliance Management basiert auf dem vorstehend erläuterten Verständnis von Compliance. Demnach ist Compliance Management „die Sicherstellung der Compliance durch geeignete Maßnahmen“. Dabei soll Compliance Management die Einhaltung von Gesetzen und Unternehmens-/Konzernrichtlinien sicherstellen und fördern.163 Eine andere Definition versteht unter Compliance Management Prozesse, welche die durch die Organisation anzuwendenden Regeln, wie z.B. Gesetze, Richtlinien oder Verträge, identifizieren und den Compliance-Status beurteilen sollen. Zudem sollen die Risiken und Kosten von Non-Compliance bewertet und mit den Kosten, die zur Erreichung von Compliance notwendig sind, verglichen werden. Auf dieser Basis soll das Compliance Management sodann Prioritäten setzen und notwendige, korrigierende Maßnahmen ergreifen.164 Aufbauend auf den Begriffen Compliance und Compliance Management liefert der IDW PS 980 eine anerkannte Definition für den Begriff Compliance Management System. Demnach sind unter einem Compliance Management System die „auf der Grundlage der von den gesetzlichen Vertretern festgelegten Ziele […] eingeführten 158 Vgl. ISO 19600, S. 3 Tz. 3.14-3.17. 159 Vgl. DCGK, Tz. 4.1.3. 160 Vgl. online unter http://www.siemens.com/about/sustainability/de/themenfelder/compliance/ system/index. php, zuletzt aufgerufen am 09.10.2016. 161 Vgl. online unter http://www.telekom.com/konzern/konzernprofil/compliance/219358, zuletzt aufgerufen am 09.10.2016. 162 Vgl. online unter http://www.thyssenkrupp.com/de/konzern/compliance.html, zuletzt aufgerufen am 09.10.2016. 163 Vgl. Definition der ZfW Compliance Monitor GmbH, online abrufbar unter http://www.zfw-compliance-monitor.com/wissensplattform/glossar.html, zuletzt aufgerufen am 10.10.2016. 164 Vgl. Roebuck,K., GCRM - Governance, Risk and Compliance Management, 2012, S. 19. 2 Compliance Management – theoretische Grundlagen 36 Grundsätze und Maßnahmen eines Unternehmens zu verstehen, die auf die Sicherstellung eines regelkonformen Verhaltens der gesetzlichen Vertreter und der Mitarbeiter des Unternehmens sowie ggf. von Dritten abzielen“165. Ziel eines Compliance Management Systems ist somit „die Einhaltung bestimmter Regeln“ und folglich die Verhinderung wesentlicher Regelverstöße. Dabei kann sich ein CMS „auf Geschäftsbereiche, auf Unternehmensprozesse (z.B. Einkauf) oder auf bestimmte Rechtsgebiete (z.B. Kartellrecht)“, sog. abgegrenzte Teilbereiche, beziehen.166 Im ISO-Standard 19600 wird das Management System als Gesamtheit interagierender Elemente einer Organisation zur Etablierung von Richtlinien, Zielen und Prozessen zur Erreichung der festgelegten Ziele verstanden. Dabei kann das Management System auf eine oder mehrere Bereiche oder Funktionen der Organisation ausgerichtet sein. Zudem umfasst das Management System Organisationsstrukturen, Rollen und Verantwortlichkeiten.167 Eine weitere Definition sieht im Compliance Management System „organisatorische Vorkehrungen, die die Begehung von Gesetzesverstößen durch Mitarbeiter der Gesellschaft verhindern sollen“168. Zusammenfassend kann auf Basis der vorangehend aufgezeigten Definitionen festgestellt werden, dass unter Compliance primär die Einhaltung von externen und internen Regeln verstanden wird. Compliance Management bzw. Compliance Management Systeme sollen die Maßnahmen, Instrumente und Prozesse liefern, um die Einhaltung der Regeln zu gewährleisten. Fazit – Einordnung von Compliance Management in die Corporate Governance In Abschnitt 2.1.2 wurden die verschiedenen Definitionen für den Begriff Corporate Governance dargestellt. Insbesondere die juristisch geprägten Definitionen verstehen unter der Corporate Governance den rechtlichen und faktischen Ordnungsrahmen für die Leitung und Kontrolle von Unternehmen. Compliance bzw. Compliance Management wiederum steht, wie im Abschnitt 2.1.3 erläutert, für die Einhaltung von externen und internen Regeln bzw. die Gesamtheit der Maßnahmen zur Gewährleistung der Einhaltung externer und interner Regeln. Folglich ist Compliance bzw. Compliance Management ein integraler Bestandteil der Corporate Governance eines Unternehmens. Während die Corporate Governance den Rahmen für das Tätigwerden des Unternehmens liefert, soll Compliance Management dafür sorgen, dass das Unternehmen sich im Rahmen seiner Geschäftstätigkeit an die durch die Corporate Governance vorgegebenen (Spiel-)Regeln hält.169 2.1.4 165 IDW PS 980, S. 2-3 Rn. 6. 166 Vgl. IDW PS 980, S. 2-3 Rn. 6. 167 Vgl. ISO 19600, S. 2 Tz. 3.7. 168 Haas, U./Ziemons, H., in: Michalski, GmbHG, 2. Auflage 2010, § 43 Rn. 75d. 169 Vgl. Koch (2016), § 76 Rn. 37. 2.1 Einordnung von Compliance Management in die Corporate Governance 37 Gesetzliche und regulatorische Grundlagen des Compliance Managements Einführung Um ein Verständnis für die Relevanz von Compliance Management für deutsche nicht börsennotierte Unternehmen zu bekommen, ist es erforderlich, die einschlägigen gesetzlichen und regulatorischen Grundlagen zu kennen. Da Gegenstand der Studie Unternehmen mit Sitz in Deutschland sind, liegt der Fokus hierbei zunächst auf den nationalen gesetzlichen und regulatorischen Regelungen. Aufgrund der durch die Globalisierung stetig zunehmenden Bedeutung internationaler Geschäftsaktivitäten für deutsche Unternehmen, z.B. in Form von ausländischen Produktions- oder Vertriebsgesellschaften, können jedoch auch internationale Gesetze und Standards von den deutschen Unternehmen zu beachten sein. Daher werden nachfolgend neben der Darstellung der einschlägigen nationalen Regelungen auch bedeutende internationale Vorschriften zum Compliance Management erläutert. Nationale gesetzliche und regulatorische Grundlagen §§ 76, 93 AktG Die zentrale Norm für die Geschäftsleiterverantwortung stellt bei Kapitalgesellschaften in der Rechtsform der Aktiengesellschaft § 93 AktG dar. Gemäß § 93 Abs. 1 S. 1 AktG sind die Vorstandsmitglieder verpflichtet, im Rahmen ihrer Geschäftsführung die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden. Dabei basiert § 93 AktG auf § 76 Abs. 1 AktG, wonach der Vorstand die Gesellschaft unter eigener Verantwortung zu leiten hat. Zudem kodifiziert § 93 Abs. 1 S. 1 AktG die sog. Legalitätspflicht der Geschäftsleitung. Diese besagt, dass pflichtbewusstes Handeln die eigene Regeltreue der Geschäftsleitung sowie die Sorge für regelkonformes Verhalten der Mitarbeiter umfasst.170 Eigene Regeltreue bedeutet, dass der Vorstand die im Aktiengesetz, der Satzung und der Geschäftsordnung kodifizierten Organpflichten zu erfüllen und die für das Unternehmen relevanten Rechtsvorschriften des allgemeinen Zivilrechts, des Straf- und Ordnungswidrigkeitsrechts sowie des öffentlichen Rechts zu beachten hat.171 Hiervon kann auch ausländisches Recht umfasst sein, sofern dieses auf das Unternehmen anwendbar ist. Ein Ermessensspielraum besteht hinsichtlich der Einhaltung der gesetzlichen Regeln nicht.172 Die Sorge für regelkonformes Verhalten der Mitarbeiter bedeutet, dass der Vorstand für die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien zu sorgen 2.2 2.2.1 2.2.2 2.2.2.1 170 Vgl. Koch (2016), § 93 Rn. 6; Spindler, G., in: Münchener Kommentar zum Aktiengesetz, 4. Auflage 2014, § 93 Rn. 73-74; Fleischer, H., in: Spindler/Stilz, AktG, 3. Auflage 2015, § 93 Rn. 12. 171 Vgl. Fleischer (2015), § 93 Rn. 12. 172 Vgl. Mertens, H. J./Cahn, A., in: Kölner Kommentar zum Aktiengesetz, 3. Auflage 2010, § 93 Rn. 8, 10-11; Rieder, M. S./Falge, S., in: Inderst/Bannenberg/Poppe, Compliance, 2. Auflage 2013, S. 16 Rn. 4. 2 Compliance Management – theoretische Grundlagen 38 hat.173 Diese sog. Corporate Compliance gehört zur Leitungsaufgabe und zur allgemeinen Sorgfaltspflicht des Vorstands i.S.d. §§ 76 Abs. 1, 93 Abs. 1 AktG.174 Dieser Compliance-Pflicht hat der Vorstand durch geeignete organisatorische Maßnahmen und dadurch, dass er sich in geeigneter Weise von dem recht- und zweckmäßigen Verhalten der Mitarbeiter und seiner Vorstandskollegen überzeugt, nachzukommen.175 Dabei ist es grundsätzlich möglich, Compliance als Überwachungs- und Kontrollaufgabe ressortmäßig einem einzelnen Vorstandsmitglied zuzuweisen. Diese Delegation ändert jedoch nichts an der Gesamtverantwortung des Vorstands.176 Die Frage, ob die Erfüllung der Kontroll- und Überwachungspflichten des Vorstands mit der Pflicht zur Errichtung einer umfassenden institutionalisierten Compliance-Organisation einhergeht, ist weiterhin umstritten. Da jedoch Einigkeit darüber besteht, dass der Vorstand rechtswidriges Verhalten innerhalb des Unternehmens durch entsprechende organisatorische Maßnahmen zu unterbinden hat, ist weniger die Frage des „Ob“ der Compliance-Pflicht, sondern vielmehr das „Wie“ der konkreten Umsetzung strittig. Insbesondere da die §§ 76, 93 AktG lediglich Pflichten im Innenverhältnis begründen, ist hinsichtlich der Art der Umsetzung für den Vorstand von einem weiten Organisationsermessen auszugehen.177 Eine faktische Reduzierung des Organisationsermessens des Vorstands kann sich jedoch daraus ergeben, dass im Rahmen der strafrechtlichen Würdigung im Falle eines Gesetzesverstoßes, die im Unternehmen implementierten Präventionsmaßnahmen mit den Branchenstandards verglichen werden. Da standardisierte Compliance-Strukturen mittlerweile weit verbreitet sind, dürfte eine Reduzierung des Haftungsrisikos des Vorstands nur dann erfolgreich gelingen, wenn die implementierte Compliance-Organisation dem Marktstandard entspricht.178 Anerkannte Einflussfaktoren für den Grad der Ausgestaltung der Compliance-Organisation sind insbesondere die Komplexität des Unternehmens und seiner Geschäftstätigkeit, die rechtlichen Rahmenbedingungen innerhalb deren das Unternehmen tätig ist sowie die Risikosituation des Unternehmens. Folglich wird bei kleineren Unternehmen mit geringer Risikoexposition eine institutionalisierte Compliance-Organisation i.d.R. nicht gefordert werden können.179 Das Organisationsermessen des Vorstands bei der Frage zum Institutionalisierungsgrad der Compliance-Organisation – also der Frage des „Wie“ – basiert insbesondere auf der sog. „Business Judgement Rule“. Dieser Grundsatz unternehmerischen Ermessensspielraums ist im § 93 Abs. 1 S. 2 AktG kodifiziert und besagt, dass eine Pflichtverletzung eines Vorstandsmitglieds im Rahmen einer unternehmerischen Entscheidung dann nicht vorliegt, wenn das Vorstandsmitglied vernünftigerweise an- 173 Vgl. DCGK, Tz. 4.1.3.; Koch (2016), § 76 Rn. 11. 174 Vgl. Koch (2016), § 76 Rn. 12. 175 Vgl. Fleischer, H., in: Münchener Kommentar GmbH-Gesetz, 2. Auflage 2016, § 43 Rn. 142, 144; Fleischer (2015), § 93 Rn. 12; Rieder/Falge (2013), S. 16 Rn. 5; Koch (2016), § 76 Rn. 13; Bürkle, J., in: Hauschka/Moosmayer/Lösler, Corporate Compliance, 3. Auflage 2016, S. 1158 Rn. 13. 176 Vgl. Koch (2016), § 76 Rn. 12; Bürkle (2016), S. 1158-1159 Rn. 14. 177 Vgl. Koch (2016), § 76 Rn. 13-14; Fleischer (2015), § 91 Rn. 47-48; Hölters, W., in: Hölters, Aktiengesetz, 2. Auflage 2014, § 93 Rn. 92; Bürkle (2016), S. 1159 Rn. 16. 178 Vgl. Koch (2016), § 76 Rn. 15; Hölters (2014), § 93 Rn. 94; Bürkle (2016), S. 1160 Rn. 18. 179 Vgl. Koch (2016), § 76 Rn. 15-17; Fleischer (2015), § 91 Rn. 48. 2.2 Gesetzliche und regulatorische Grundlagen des Compliance Managements 39 nehmen durfte, auf der Grundlage angemessener Information zum Wohle der Gesellschaft zu handeln. Die Anwendbarkeit der Business Judgement Rule ist an einige Voraussetzungen geknüpft. Eröffnungstatbestand für die Norm des § 93 Abs. 1 S. 2 AktG ist, dass eine unternehmerische Entscheidung vorliegt. Unternehmerische Entscheidungen zeichnen sich v.a. durch Handlungsalternativen, Unsicherheit und Zukunftsbezug aus. Zudem muss es sich um rechtmäßige Entscheidungen im Rahmen des Unternehmensgegenstandes handeln. Die sog. „rechtlich gebundenen Entscheidungen“, wie z.B. allgemeine Gesetzes- und Satzungsverstöße sowie Treue- und Informationspflichten, sind folglich nicht als unternehmerische Entscheidungen einzustufen und somit von dem Anwendungsbereich der Business Judgement Rule nicht erfasst.180 Neben dem Tatbestand der unternehmerischen Entscheidung muss zudem das Kriterium Entscheidung auf Grundlage angemessener Information erfüllt sein. Hierunter ist zu verstehen, dass der Vorstand seine Entscheidungen auf der Basis sorgfältig und angemessen ermittelter Entscheidungsgrundlagen treffen soll. Dabei ist für die Bestimmung der Angemessenheit insbesondere die Art und Bedeutung der zu treffenden Entscheidung, die tatsächliche und rechtliche Möglichkeit des Informationszugangs sowie das Verhältnis von Kosten und voraussichtlichem Nutzen der zu erlangenden Informationen zu berücksichtigen. Dies führt gerade nicht zu dem Gebot bestmöglicher Information, sondern vielmehr wird die Pflicht zur gründlichen Entscheidungsvorbereitung und sachgerechten Risikoabschätzung angenommen. Als Maßstab für die Beurteilung der Angemessenheit wird grundsätzlich auf die ex ante- Sicht des Vorstandsmitglieds – also die Handelndenperspektive – abgestellt. Dabei ist ausreichend, dass das Vorstandsmitglied vernünftigerweise annehmen durfte, auf der Basis angemessener Informationen zu handeln, was zugleich eine gewisse Objektivierung impliziert.181 Weiteres Kriterium für die Anwendbarkeit der Business Judgement Rule ist, dass die unternehmerische Entscheidung zum Wohle der Gesellschaft getroffen wurde. Auch hinsichtlich dieses Merkmals gilt die ex-ante Perspektive des Vorstandsmitglieds als Prüfungsmaßstab. Analog zum Merkmal der angemessenen Information erfolgt eine gewisse Objektivierung aus der Tatsache, dass es ausreichend ist, dass der Handelnde vernünftigerweise annehmen durfte, im Unternehmensinteresse zu handeln.182 Daneben sind noch die Kriterien Freiheit von Interessenkonflikten und Gutgläubigkeit Voraussetzungen für die Anwendbarkeit der Business Judgement Rule. Freiheit von Interessenkonflikten bedeutet, dass das Vorstandsmitglied frei von Sonderinteressen und sachfremden Einflüssen handelt. Gutgläubigkeit bedeutet, dass der handelnde Vorstand im Zeitpunkt seiner Entscheidung an die Richtigkeit selbiger glaubt.183 180 Vgl. Dauner-Lieb, B., in: Henssler/Strohn, Gesellschaftsrecht, 3. Auflage 2016, § 93 AktG Rn. 20-21; Spindler (2014), § 93 Rn. 75; Fleischer (2015), § 93 Rn. 67-68. 181 Vgl. Dauner-Lieb (2016), § 93 Rn. 22; Fleischer (2015), § 93 Rn. 70-71a. 182 Vgl. Dauner-Lieb (2016), § 93 Rn. 23; Fleischer (2015), § 93 Rn. 73-75. 183 Vgl. Dauner-Lieb (2016), § 93 Rn. 24-25; Fleischer (2015), § 93 Rn. 72-72c, 76. 2 Compliance Management – theoretische Grundlagen 40 Während die Entscheidung in Bezug auf das „Ob“ der Compliance-Organisation – abgeleitet aus der Legalitäts- und Organisationspflicht des § 93 Abs. 1 S. 1 AktG – als rechtlich gebundene Entscheidung anzusehen ist, stellt die Entscheidung zum „Wie“ der Compliance-Organisation eine unternehmerische Entscheidung dar. Folglich ist hinsichtlich der Ausübung des Ermessensspielraums des Vorstands bei der Implementierung einer Compliance-Organisation bzw. eines Compliance Management Systems die im § 93 Abs. 1 S. 2 AktG kodifizierte Business Judgement Rule innerhalb der vorstehend aufgezeigten Grenzen anwendbar. Dabei kommt es den vorangehenden Ausführungen zufolge für die Frage des Grads der Ausgestaltung der Compliance-Organisation insbesondere auf die Beurteilung der Komplexität des Unternehmens und seiner Geschäftstätigkeit, der rechtlichen Rahmenbedingungen innerhalb derer das Unternehmen tätig ist sowie der Risikosituation des Unternehmens, auf Basis angemessener Informationen an. Die Anspruchsgrundlage einer Haftung des Vorstands aufgrund einer Verletzung der aus § 93 Abs. 1 AktG resultierenden Geschäftsleiterverantwortung ist in § 93 Abs. 2 AktG kodifiziert. Gemäß § 93 Abs. 2 S. 1 AktG sind Vorstandsmitglieder, die ihre Pflichten verletzen, der Gesellschaft zum Ersatz des daraus entstehenden Schadens als Gesamtschuldner verpflichtet. Sofern strittig ist, ob die Vorstandsmitglieder ihren Sorgfaltspflichten nachgekommen sind, trifft sie gemäß § 93 Abs. 2 S. 2 AktG die Beweislast. § 43 GmbHG Das Pendant zu § 93 AktG für die Rechtsform der GmbH ist § 43 GmbHG. Gemäß § 43 Abs. 1 GmbHG haben Geschäftsführer in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden. Dabei gilt als anzulegender Maßstab die Sorgfaltspflicht, die einer Person „in der verantwortlichen leitenden Stellung des Verwalters eines fremden Vermögens oder als der eines selbstständigen, treuhänderischen Verwalters fremder Vermögensinteressen in verantwortlich leitender Position184“, zukommt. Die Sorgfaltspflicht des Geschäftsführers umfasst mehrere Verhaltenspflichten. Zum einen ist die Legalitätspflicht zu nennen. Mit Legalitätspflicht wird die Pflicht des Geschäftsführers bezeichnet, sich bei seiner Geschäftsführungstätigkeit gesetzestreu zu verhalten. Dabei ist zwischen der internen und der externen Pflichtenbindung zu unterscheiden.185 Bei den internen Pflichten handelt es sich im Wesentlichen um organspezifische Rechtsvorschriften des GmbH-Gesetzes (wie z.B. die Pflicht gemäß § 41 GmbHG für eine ordnungsgemäße Buchführung der Gesellschaft zu sorgen, die Pflicht gem. § 42a Abs. 1 GmbHG zur Vorlage des Jahresabschlusses und des Lageberichts zum Zwecke der Feststellung durch die Gesellschafter oder die Kapitalerhaltungsvorschriften der §§ 30 ff. GmbHG), die Wahrung der gesellschaftsinternen 2.2.2.2 184 Zöllner, W./Noack, U., in: Baumbach/Hueck, GmbHG, 20. Auflage 2013, § 43 Rn. 9; Fleischer (2016), § 43 Rn. 10. 185 Vgl. Fleischer (2016), § 43 Rn. 21; Zöllner/Noack (2013), § 43 Rn. 17. 2.2 Gesetzliche und regulatorische Grundlagen des Compliance Managements 41 Kompetenzverteilung sowie die Bindung an den von der Satzung vorgegebenen Unternehmensgegenstand.186 Bei den externen Pflichten handelt es sich vor allem darum, durch organisatorische Vorkehrungen dafür zu sorgen, dass die auf die Gesellschaft als Rechtssubjekt anwendbaren Rechtsvorschriften eingehalten werden. Darunter fallen die vielfältigen Vorschriften des Zivil- und Wirtschaftsrechts, des Arbeits-, Sozial- und Steuerrechts, des Verwaltungsrechts sowie des Straf- und Ordnungswidrigkeitsrechts. Aufgrund der ggf. mit der Gesetzesverletzung verbundenen Nachteile für die Gesellschaft (wie z.B. Schadensersatzzahlungen, Geldbußen oder Reputationsverluste) stellt diese auch eine Pflichtverletzung im Innenverhältnis dar. Die Legalitätspflicht besteht jedoch auch dann, wenn der Gesetzesverstoß im Gesellschaftsinteresse erfolgt.187 Daneben stellt die Sorgfaltspflicht im engeren Sinne eine Verhaltenspflicht der Geschäftsführer dar.188 Diese umfasst die eigentliche Geschäftsführungsaufgabe, die darin liegt, den Zweck der Gesellschaft möglichst effektiv zu erreichen. Dies soll durch die Unternehmensorganisationspflicht der Geschäftsführer gewährleistet werden. Hierunter wird die Pflicht verstanden, ein Unternehmen in betrieblicher und personeller Hinsicht so zu organisieren, dass der Unternehmenszweck am besten verwirklicht werden kann. Dies beinhaltet u.a. die Implementierung einer Organisation und von Instrumenten zur Steuerung und Kontrolle der wirtschaftlichen und finanziellen Lage der Gesellschaft. Die konkrete Ausprägung der Unternehmensorganisationspflicht ist dabei nach Art, Größe und Risikosituation der jeweiligen Gesellschaft auszurichten, wobei für den Geschäftsführer hinsichtlich der konkreten Umsetzung ein Organisationsermessen besteht.189 Eine weitere Verhaltenspflicht der Geschäftsführer ist die aus der Legalitätspflicht abgeleitete Überwachungspflicht. Gemäß der Überwachungspflicht gehört es zum Pflichtenkreis eines Geschäftsführers, das recht- und zweckmäßige Verhalten nachgeordneter Unternehmensangehöriger und seiner Geschäftsführerkollegen sicherzustellen und sich davon zu überzeugen.190 Die Überwachung der Geschäftsführerkollegen wird als horizontale Überwachungspflicht bezeichnet und resultiert aus dem Grundsatz der Gesamtverantwortung. Dieser verlangt, auch bei Ressortaufteilung die Entwicklung in den Ressorts der Geschäftsführerkollegen fortlaufend zu überwachen. Daraus folgen wiederum eine Berichtserstattungspflicht über das eigene Ressort und ein Informationsanspruch über die Entwicklung in anderen Ressorts.191 Die Kontrolle der Mitarbeiter wird als vertikale Überwachungspflicht bezeichnet. Demzufolge ist jeder Geschäftsführer für ein gesetzestreues und sorgfältiges Verhalten der Mitarbeiter seines Ressorts verantwortlich.192 186 Vgl. Fleischer (2016), § 43 Rn. 21-29; Zöllner/Noack (2013), § 43 Rn. 17. 187 Vgl. Fleischer (2016), § 43 Rn. 30-31; Zöllner/Noack (2013), § 43 Rn. 17, 23. 188 Vgl. Fleischer (2016), § 43 Rn. 12. 189 Vgl. Zöllner/Noack (2013), § 43 Rn. 17; Fleischer (2016), § 43 Rn. 58-59. 190 Vgl. Fleischer (2016), § 43 Rn. 12; Zöllner/Noack (2013), § 43 Rn. 17. 191 Vgl. Fleischer (2016), § 43 Rn. 109; Zöllner/Noack (2013), § 43 Rn. 26, 43. 192 Vgl. Fleischer (2016), § 43 Rn. 110; Haas/Ziemons (2010), § 43 Rn. 170-171. 2 Compliance Management – theoretische Grundlagen 42 Aus der Legalitäts- und Überwachungspflicht resultiert als weitere, spezielle Verhaltenspflicht die sog. Compliance-Pflicht. Hierunter wird die Pflicht des Geschäftsführers verstanden, Gesetzesverstöße durch Mitarbeiter oder Geschäftsführerkollegen präventiv durch geeignete Maßnahmen zu vermeiden. Dies bedeutet, dass die Legalitätspflicht der Geschäftsführer verstanden als eigene Rechtstreue um die Legalitätskontrolle der weiteren Unternehmensangehörigen erweitert wird. Zur Erfüllung dieser Pflicht ist jeder Geschäftsführer angehalten, geeignete organisatorische Maßnahmen zur Gewährleistung der Einhaltung der gesetzlichen Vorschriften durch die Mitarbeiter seiner Ressorts einzurichten.193 Ob diese Compliance-Pflicht für Gesellschaften in der Rechtsform der GmbH jedoch bedeutet, eine institutionalisierte Compliance-Organisation einzurichten, ist derzeit strittig. Entscheidendes Kriterium in Bezug auf die Beurteilung, ob im konkreten Fall eine Pflicht der Geschäftsführer zur Implementierung einer Compliance-Organisation besteht sowie für den Ausgestaltungsgrad der Compliance-Organisation, ist das Risikopotential der Gesellschaft und die Zumutbarkeit der Implementierung. Bestimmungsfaktoren für das Risikopotential einer Gesellschaft sind u.a. Art, Größe, Komplexität, Branchenzugehörigkeit, Internationalität sowie in der Vergangenheit aufgetretene Missstände oder Unregelmäßigkeiten. Hinsichtlich der konkreten Ausgestaltung der Compliance-Organisation besteht ein Organisationsermessen auf Seiten der Geschäftsführer.194 Analog den im vorstehenden Kapitel 2.2.2.1 dargelegten Regelungen zu § 93 Abs. 1 S. 2 AktG ist die Rechtsfigur „Business Judgement Rule“ auch auf die konkrete Einrichtungs- und Ausgestaltungsentscheidung bei Gesellschaften in der Rechtsform einer GmbH anwendbar, wobei das Organisationsermessen ggf. durch Branchenstandards oder Vorkommnisse im Unternehmen selbst oder Unternehmen der Branche reduziert werden kann.195 Die Anspruchsgrundlage für die Haftung der Geschäftsführer einer Gesellschaft der Rechtsform GmbH aufgrund einer Verletzung der aus § 43 Abs. 1 GmbHG resultierenden Sorgfaltspflichten ist in § 43 Abs. 2 GmbHG kodifiziert. Danach haften Geschäftsführer, die ihre Obliegenheiten verletzen, der Gesellschaft gegenüber solidarisch für den entstandenen Schaden.196 § 91 Abs. 2 AktG Als gesetzliche Grundlage für die Pflicht zur Implementierung eines Compliance Management Systems wird in der Literatur vereinzelt auch § 91 Abs. 2 AktG genannt. Dem Wortlaut folgend bestimmt § 91 Abs. 2 AktG die Pflicht des Vorstands zur Einrichtung eines Überwachungssystems zur Früherkennung bestandsgefährdender Ent- 2.2.2.3 193 Vgl. Fleischer (2016), § 43 Rn. 12, 142; Zöllner/Noack (2013), § 43 Rn. 17. 194 Vgl. Fleischer (2016), § 43 Rn. 12, 142, 145-147; Zöllner/Noack (2013), § 43 Rn. 17, Haas/Ziemons (2010), § 43 Rn. 75d. 195 Vgl. Haas/Ziemons (2010), § 43 Rn. 66-72; Fleischer (2016), § 43 Rn. 147; Zöllner/Noack (2013), § 43 Rn. 17. 196 Vgl. § 43 Abs. 2 GmbHG. 2.2 Gesetzliche und regulatorische Grundlagen des Compliance Managements 43 wicklungen.197 Dabei sind unter dem Begriff Entwicklungen im Rahmen der Norm des § 91 Abs. 2 AktG unternehmensbezogene nachteilige Veränderungen und Prozesse zu verstehen. Konkret kann es sich dabei um die nachteilige Veränderung von Risikozuständen sowie Verstöße gegen Vorschriften der Rechnungslegung oder sonstige gesetzliche Vorschriften handeln. Damit eine Entwicklung als bestandsgefährdend zu qualifizieren ist, muss sie eine wesentliche Auswirkung auf die Vermögens-, Finanzund Ertragslage der Gesellschaft haben und das Insolvenzrisiko der Gesellschaft erheblich steigern oder sogar hervorrufen.198 In Teilen der Betriebswirtschaftslehre und der Prüfungspraxis wird aus § 91 Abs. 2 AktG die Verpflichtung zum Aufbau eines umfassenden Risikomanagementsystems abgeleitet. Da Gesetzesverstöße von Organmitgliedern oder Mitarbeitern bestandsgefährdende Risiken darstellen können, wird in der Norm zudem vereinzelt die Grundlage für die Pflicht des Vorstands zur Implementierung einer Compliance-Organisation gesehen. Nach der herrschenden Meinung im juristischen Schrifttum wird diese weite Auslegung der Norm jedoch verneint. Vielmehr wird eine enge Auslegung, nachdem § 91 Abs. 2 AktG den Vorstand lediglich verpflichtet, ein Früherkennungssystem für bestandsgefährdende Entwicklungen zu implementieren, präferiert. Die konkrete Ausprägung des Früherkennungssystems liegt dabei im Ermessensspielraum des Vorstands, der jedoch externe und interne Faktoren wie die Größe, Struktur und Lage des Unternehmens, das Risikopotential der relevanten Märkte und die Art des Kapitalmarktzugangs bei seiner Entscheidung zu berücksichtigen hat.199 §§ 30, 130 OWiG Die Notwendigkeit von Compliance Management wird in der Compliance-Literatur200 oftmals auch mit einem Verweis auf die §§ 30, 130 OWiG begründet, den zentralen strafrechtlichen Normen für Pflicht- bzw. Aufsichtspflichtverletzungen. Konkret wird im § 130 OWiG die Haftung für betriebsbezogene Zuwiderhandlungen Dritter bei eigener Aufsichtspflicht-verletzung geregelt. Die Haftung des Aufsichtspflichtigen kann gem. § 130 Abs. 3 S. 1 OWiG als Ordnungswidrigkeit, sofern die Pflichtverletzung mit Strafe bedroht ist, eine Geldbuße bis zu einer Million Euro betragen. Ist die Pflichtverletzung mit Geldbuße bedroht, so bestimmt sich gem. § 130 Abs. 3 S. 3 OWiG das Höchstmaß für die Ordnungswidrigkeit wegen Aufsichtspflichtverletzung nach dem für die Pflichtverletzung angedrohten Höchstmaß der Geldbuße.201 2.2.2.4 197 Vgl. § 91 Abs. 2 AktG. 198 Vgl. Dauner-Lieb (2016), § 91 Rn. 6-7; Koch (2016), § 91 Rn. 6. 199 Vgl. Dauner-Lieb (2016), § 91 Rn. 8-9; Spindler (2014), § 91 Rn. 52; Koch (2016), § 91 Rn. 8-10; Müller-Michaels, O., in: Hölters, Aktiengesetz, 2. Auflage 2014, § 91 Rn. 5-10. 200 Vgl. Pelz, C., in: Hauschka/Moosmayer/Lösler, Corporate Compliance, 3. Auflage 2016, S. 98 Rn. 2; Rieder, M. S./Falge, S., in: Inderst/Bannenberg/Poppe, Compliance, 2. Auflage 2013, S. 21 Rn. 20; Moosmayer, K., Compliance, Praxisleitfaden für Unternehmen, 3. Auflage 2015, S. 4 Rn. 10. 201 Vgl. § 130 OWiG; Pelz (2016), S. 98 Rn. 3; Rieder/Falge (2013), S. 22 Rn. 24; Müller, D., in: Behringer, Compliance für KMU, 2012, S. 54-56. 2 Compliance Management – theoretische Grundlagen 44 Dem Wortlaut des § 130 OWiG folgend begeht der Inhaber eines Betriebes oder Unternehmens eine Ordnungswidrigkeit, wenn er vorsätzlich oder fahrlässig die für die Verhinderung von Zuwiderhandlungen gegen den Inhaber treffenden Pflichten im Betrieb oder Unternehmen erforderlichen Aufsichtsmaßnahmen unterlässt, sofern die Pflichtverletzung mit Strafe oder Geldbuße bedroht ist und die Zuwiderhandlung durch gehörige Aufsicht verhindert oder wesentlich erschwert worden wäre. Die erforderlichen Aufsichtsmaßnahmen umfassen auch die Bestellung, sorgfältige Auswahl und Überwachung von Aufsichtspersonen.202 Zunächst ist festzustellen, dass die Norm des § 130 OWiG für sämtliche Rechtsformen Gültigkeit besitzt.203 Die Norm zielt entsprechend dem Wortlaut auf den Inhaber eines Betriebs oder Unternehmens und wird mit der Garantenstellung des Inhabers begründet. Der Anwendbarkeit der Norm auf sämtliche Rechtsformen wird durch die Erweiterung der möglichen Täterschaft in Bezug auf die Aufsichtspflichtverletzung Rechnung getragen. Der herrschenden Meinung folgend kann Täter auch derjenige sein, auf den die Aufsichtspflicht delegiert wurde, wie z.B. der Vertreter i.S.v. § 9 Abs. 1 OWiG oder der Betriebsleiter i.S.v. § 9 Abs. 2 S. 1 Nr. 1 OWiG.204 Die Erweiterung des potentiellen Täterkreises des § 130 OWiG durch § 9 OWiG kann dazu führen, dass aus einer Aufsichtspflichtverletzung gem. § 130 OWiG i.V.m. § 30 OWiG die Haftung des Betriebs bzw. Unternehmens resultiert. Da die Aufsichtspflichtverletzung eine betriebsbezogene Ordnungswidrigkeit i.S.d. § 30 OWiG darstellt und der Adressatenkreis des § 30 OWiG mit dem Personenkreis des § 9 OWiG weitgehend übereinstimmt, kann es – nur im Umfang der Übereinstimmung – zur Haftung des Betriebs bzw. des Unternehmens mit der Folge einer deutlichen Erhöhung des potentiellen Höchstmaßes der Geldbuße kommen.205 Daneben sind notwendige Voraussetzungen für die Anwendbarkeit des § 130 OWiG das Zusammenkommen zweier Arten von Pflichtverletzungen. Zum einen Bedarf es dem Verstoß der Aufsichtspflicht durch den Inhaber oder einer Person i.S.d. § 9 OWiG. Zum anderen muss eine Zuwiderhandlung gegen betriebs- und unternehmensbezogene Pflichten durch eine andere Person vorliegen. Während die Zuwiderhandlung für die Ahndung der Tat des Inhabers bzw. Vertreters eine objektive Bedingung darstellt, die als Mindestvoraussetzung „die rechtswidrige […] Erfüllung der objektiven und subjektiven Tatbestandsmerkmale“ einer Straf- oder Ordnungswidrigkeitsnorm verlangt, ist insbesondere das erste Kriterium, die Aufsichtspflichtverletzung, hinsichtlich der Frage der Pflicht zu Compliance Management von Interesse.206 Bewertungsmaßstab mit Blick auf die Aufsichtspflichtverletzung im Rahmen des § 130 OWiG ist, dass die zu treffenden Maßnahmen zur Verhinderung oder wesentli- 202 Vgl. § 130 Abs. 1 OWiG. 203 Vgl. Bohnert, J./Krenberger, B./Krumm, C., in: Bohnert/Krenberger/Krumm, OWiG, 4. Auflage 2016, § 130 Rn. 5. 204 Vgl. Bohnert/Krenberger/Krumm (2016), § 130 Rn. 8-12; Rogall, K., in: Karlsruher Kommentar, Ordnungswidrigkeitengesetz, 4. Auflage 2014, § 130 Rn. 1-2, 25-26, 33-35. 205 Vgl. Rogall (2014), § 130 Rn. 6; Rieder/Falge (2013), S. 21-22 Rn. 20-24. 206 Vgl. Bohnert/Krenberger/Krumm (2016), § 130 Rn. 16-27; Rogall (2014), § 130 Rn. 20, 37-40, 76-80. 2.2 Gesetzliche und regulatorische Grundlagen des Compliance Managements 45 chen Erschwerung der Zuwiderhandlung geeignet und objektiv zumutbar sein müssen. Zur Eignung bedürfen die Maßnahmen einen konkreten Regel- bzw. Pflichtenbezug, d.h. es sind keine abstrakten Maßnahmen oder ein flächendeckendes Kontrollnetz gefordert, sondern solche Maßnahmen, die mit hoher Wahrscheinlichkeit betriebsbezogene Verstöße verhindern. Hinsichtlich der Zumutbarkeit ist der Aufwand einer Maßnahme in Relation zum Risiko der jeweiligen Normverletzung zu setzen. Sind mehrere Maßnahmen gleich geeignet, so kann diejenige mit dem geringsten Aufwand gewählt werden. In § 130 OWiG wird die „gehörige Aufsicht“ als Maßstab der Aufsichtspflicht genannt. Diese umfasst insbesondere Leitungs-, Koordinations-, Organisations- und Kontrollpflichten. Konkretisiert bedeutet dies, dass der Inhaber bzw. Vertreter für die sorgfältige Auswahl der Mitarbeiter bzw. Aufsichtspersonen sowie die sachgerechte Organisation und Aufgabenverteilung zu sorgen hat. Zudem sind Verstöße zu klären und zu sanktionieren. Daneben sind die Mitarbeiter angemessen über ihre Aufgaben und Pflichten zu instruieren und aufzuklären sowie ausreichend zu überwachen. Das bedeutet jedoch nicht, dass aus § 130 OWiG die Vorgabe einer bestimmten Organisationsstruktur oder gar die unbedingte Pflicht zur Einrichtung und Vorhaltung eines Prüf- und Kontrollsystems folgt. Die Verpflichtung des Inhabers bzw. Vertreters ist vielmehr durch eine Gesamteinschätzung der Umstände des Einzelfalls zu bestimmen, wobei insbesondere das Gefährdungsmaß, die Art, Größe und Organisationsstruktur des Unternehmens, die Vielfalt und Bedeutung der zu beachtenden Vorschriften sowie die Erfahrungen der Vergangenheit als Einflussfaktoren zu berücksichtigen sind. Der herrschenden Meinung folgend kann die Vorhaltung entsprechender Systeme jedoch zu einer Enthaftung oder zumindest zu Vorteilen bei der Bußgeldbemessung führen.207 Deutscher Corporate Governance Kodex Eine zentrale regulatorische Grundlage für Compliance bzw. Compliance Management findet sich im Deutschen Corporate Governance Kodex (DCGK)208. In Textziffer 4.1.3 DCGK wird bestimmt, dass der Vorstand „für die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien zu sorgen“ und zudem „auf deren Beachtung durch die Konzernunternehmen“ hinzuwirken hat.209 Damit wird dem Vorstand die Pflicht auferlegt, organisatorische Vorkehrungen zur Einhaltung externer und interner Vorschriften zu treffen. Faktisch wird somit die Verpflichtung zur Implementierung und Aufrechterhaltung eines Compliance Management Systems begründet. Zudem wird in Textziffer 4.1.4 DCGK kodifiziert, dass der Vorstand „für ein angemessenes Risikomanagement und Risikocontrolling im Unternehmen“ zu sorgen hat.210 Als weitere Vorstandspflicht wird in Textziffer 3.4 DCGK festgelegt, dass der 2.2.2.5 207 Vgl. Bohnert/Krenberger/Krumm (2016), § 130 Rn. 16-23; Rogall (2014), § 130 Rn. 28, 37-58. 208 Regierungskommission Deutscher Corporate Governance Kodex, Deutscher Corporate Governance Kodex (DCGK), 5. Mai 2015, online abrufbar unter http://www.dcgk.de/de/kodex.html. 209 Vgl. DCGK, Tz. 4.1.3. 210 Vgl. ebda. Tz. 4.1.4. 2 Compliance Management – theoretische Grundlagen 46 Vorstand „den Aufsichtsrat regelmäßig, zeitnah und umfassend über alle für das Unternehmen relevanten Fragen [...] des Risikomanagements und der Compliance“ zu informieren hat.211 Hinsichtlich der Aufgaben des Aufsichtsrats wird in Textziffer 5.3.2 DCGK die Empfehlung gegeben, dass der Aufsichtsrat einen Prüfungsausschuss einrichten soll, der sich u.a. mit der Überwachung des internen Kontrollsystems, des Risikomanagementsystems und der Compliance befassen soll.212 Die vorstehenden Ausführungen zeigen, dass der DCGK umfangreiche Aufgaben und Pflichten für Vorstand und Aufsichtsrat im Hinblick auf Compliance Management und Risikomanagement vorsieht. Der DCGK ist nach dem „comply or explain“-Prinzip konzipiert. Das bedeutet, dass die Empfehlungen des DCGK mangels Rechtsnormcharakter keine direkte rechtliche Wirkung entfalten, sondern vielmehr müssen die Vorstände und Aufsichtsräte börsennotierter Aktiengesellschaften bzw. von Gesellschaften mit Kapitalmarktzugang i.S.d. § 161 Abs. 1 S. 2 AktG – die primärer Adressat des DCGK sind – in der sog. „Entsprechenserklärung“ gem. § 161 Abs. 1 AktG jährlich erklären, ob den Empfehlungen der Regierungskommission Deutscher Corporate Governance Kodex entsprochen wurde und wird. Im Falle von Abweichungen vom Kodex ist die Nichtanwendung einzelner Empfehlungen zu begründen. Die Empfehlungen haben somit einen „Soll-Charakter“ und stellen Best Practice-Standards dar.213 Für Gesellschaften ohne Börsennotierung bzw. Kapitalmarktzugang besteht keine dem § 161 AktG vergleichbare Rechtsvorschrift. Eine Ausstrahlungswirkung des DCGK kann sich aber auf drei Arten ergeben. Zum einen wird in der Präambel des DCGK die Beachtung des Kodex auch nicht kapitalmarktorientierten Unternehmen empfohlen.214 Daneben kann die Pflicht zur teilweisen oder vollständigen Beachtung der Kodex-Empfehlungen in die Geschäftsordnung oder den Geschäftsführer-Anstellungsvertrag aufgenommen werden, wodurch die vormals unverbindlichen Empfehlungen als interne Verhaltensregeln zum Bestandteil der Organpflicht werden. Zudem können die Empfehlungen des Kodex durch Gerichte als Maßstab bei der Auslegung der allgemeinen Sorgfaltspflicht berücksichtigt werden.215 Governance Kodex für Familienunternehmen In Anlehnung an den DCGK hat eine Initiative aus Familienunternehmern, Wissenschaftlern und Mittelstandsberatern den Governance Kodex für Familienunternehmen (GK) 216 verfasst. Der Inhalt des GK richtet sich grundsätzlich an alle Inhaber von Familienunternehmen mit dem Ziel, diese bei der Etablierung guter Governance- 2.2.2.6 211 Vgl. DCGK, Tz. 3.4. 212 Vgl. ebda. Tz. 5.3.2. 213 Vgl. § 161 Abs. 1 AktG; Goette, W., in: Münchener Kommentar zum AktG, 3. Auflage 2013, § 161 Rn. 35-36; Koch (2016), § 161 Rn. 1-3; Hölters (2014), § 161 Rn. 1-6. 214 Vgl. DCGK, Tz. 1. Präambel. 215 Vgl. Fleischer (2016), § 43 Rn. 53-54. 216 Kommission Governance Kodex für Familienunternehmen, Governance Kodex für Familienunternehmen (GK), 29. Mai 2015, online abrufbar unter http://www.kodex-fuer-familienunternehmen.de/kodex, zuletzt aufgerufen am 05.11.2016. 2.2 Gesetzliche und regulatorische Grundlagen des Compliance Managements 47 Strukturen zur erfolgreichen Unternehmensführung zu unterstützen. Dabei soll der Kodex als Prüfstein für die gemeinsame Willensbildung der Inhaber sowie Leitfaden für die Entwicklung individueller Regelungen dienen, um den langfristigen Fortbestand als Familienunternehmen zu sichern. Der GK unterscheidet zwischen Empfehlungen, die für eine gute Governance unverzichtbar sind („soll“) und Empfehlungen, von denen die Unternehmen in begründeten Ausnahmefällen abweichen können („es wird empfohlen“). Die Anwendung des GK bzw. die Beachtung der Empfehlungen basiert auf freiwilliger Basis der Unternehmen und hat somit keinen verpflichtenden Charakter.217 Im Hinblick auf Compliance bzw. Compliance Management enthält der GK eine Soll-Empfehlung für die Unternehmensführung. Gemäß Textziffer 4.1.2 GK soll die Unternehmensführung „für die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien (Compliance) sowie für ein angemessenes Chancen- und Risikomanagement im Unternehmen in Übereinstimmung mit den Werten und Zielen der Inhaber sorgen“218. Zwar geht von dem GK wie vorstehend ausgeführt keine rechtliche oder verpflichtende Wirkung aus, allerdings kann dieser ebenfalls durch Gesellschafts- oder Anstellungsvertrag zum Gegenstand von Organpflichten werden. Zudem kann der Befolgung des GK ggf. eine Indizwirkung für den Verhaltensmaßstab in Bezug auf die Sorgfaltspflichten von Geschäftsführern zukommen. Spezialgesetzliche Vorschriften § 33 WpHG Eine gesetzlich normierte Anforderung für Compliance Management bzw. eine Compliance-Funktion findet sich im § 33 WpHG wieder.219 Gemäß § 33 Abs. 1 S. 1 WpHG i.V.m. § 25a Abs. 1 KWG muss ein Wertpapierdienstleistungsunternehmen über eine ordnungsgemäße Geschäftsorganisation, die ein wirksames Risikomanagementsystem inklusive Compliance-Funktion umfasst, verfügen. Zudem müssen diese Unternehmen eine wirksame, unabhängige und dauerhafte Compliance-Funktion einrichten (§ 33 Abs. 1 S. 2 Nr. 1 WpHG), eine regelmäßige Compliance-Berichterstattung (mindestens einmal jährlich) an die Geschäftsleitung und das Aufsichtsorgan sicherstellen (§ 33 Abs. 1 S. 2 Nr. 5 WpHG) sowie die Angemessenheit und Wirksamkeit der implementierten Maßnahmen überwachen, regelmäßig bewerten und erforderliche Korrekturmaßnahmen durchführen (§ 33 Abs. 1 S. 2 Nr. 6 WpHG). Eine wichtige Erkenntnis für die spätere Analyse in Bezug auf die Ausgestaltung der Compliance Management Systeme ist, dass die Einrichtung der Compliance-Funktion gem. § 33 Abs. 1 S. 3 WpHG dem Proportionalitätsgrundsatz unterliegt. Das bedeutet, dass die Compliance-Funktion nach Art, Größe, Umfang und Risikogehalt der Geschäftstätigkeit des jeweiligen Unternehmens auszugestalten ist. Die Norm des § 33 WpHG ist als 2.2.2.7 2.2.2.7.1 217 Vgl. GK, Präambel, S. 8-9. 218 GK, Tz. 4.1.2. 219 Vgl. § 33 Abs. 1 WpHG; Poppe (2013), S. 8 Rn. 44. 2 Compliance Management – theoretische Grundlagen 48 Spezialnorm jedoch ausschließlich für Wertpapierdienstleistungsunternehmen verpflichtend. 220 Eine Präzisierung hinsichtlich Art und Umfang der aus § 33 WpHG resultierenden Compliance-Pflichten ergibt sich aus dem Rundschreiben MaComp der Bundesanstalt für Finanzdienstleistungsaufsicht 221, welches als Orientierungshilfe dienen und einen „flexiblen und praxisnahen Rahmen für die Ausgestaltung der Geschäftsorganisation des Wertpapiergeschäfts der unter die Vorschriften fallenden Unternehmen“ setzen soll.222 § 25a KWG Eine weitere gesetzliche Regelung, die eine Pflicht zum Compliance Management normiert, stellt § 25a KWG dar. Gemäß § 25a Abs. 1 S. 1 KWG muss ein Institut zum Zwecke der Einhaltung der von diesem zu beachtenden gesetzlichen Bestimmungen und der betriebswirtschaftlichen Notwendigkeiten über eine ordnungsgemäße Geschäftsorganisation verfügen.223 Die Verantwortung für die ordnungsgemäße Geschäftsorganisation, die ein angemessenes und wirksames Risikomanagement umfassen muss, obliegt gemäß § 25a Abs. 1 S. 2 KWG der Geschäftsleitung.224 Bestandteil des Risikomanagements muss ein internes Kontrollsystem sein, welches wiederum eine Compliance-Funktion zu umfassen hat.225 Die Ausgestaltung der Compliance- Funktion wird in der MaComp, die gem. AT 3.1 auch auf Kreditinstitute Anwendung findet, sowie im Abschnitt AT 4.4.2 der MaRisk226 näher konkretisiert.227 Entsprechend der Regelung des § 33 WpHG handelt es sich auch bei § 25a KWG um eine Spezialnorm, die ausschließlich für Kredit- und Finanzdienstleistungsinstitute i.S.d. § 1 KWG verpflichtend ist. 2.2.2.7.2 220 Vgl. § 33 Abs. 1 S. 3 WpHG; Wehowsky, R., in Erbs/Kohlhaas, Strafrechtliche Nebengesetze, 209. EL 2016, § 33 WpHG Rn. 1-3. 221 Vgl. Bundesanstalt für Finanzdienstleistungsaufsicht, Rundschreiben 4/2010: Mindestanforderungen an die Compliance-Funktion und die weiteren Verhaltens-, Organisations- und Transparenzpflichten nach §§ 31ff. WpHG für Wertpapierdienstleistungsunternehmen (MaComp), 16.04.2015. 222 Vgl. MaComp (2015), AT 1 Vorbemerkung 1. 223 Vgl. § 25a Abs. 1 S. 1 KWG. 224 Vgl. § 25a Abs. 1 S. 2, 3 KWG. 225 Vgl. § 25a Abs. 1 S. 3 Nr. 3c) KWG. 226 Bundesanstalt für Finanzdienstleistungsaufsicht, Rundschreiben 10/2012 (BA): Mindestanforderungen an das Risikomanagement – MaRisk, 14.12.2012. 227 Vgl. MaComp (2015), AT 3.1, BT 1; MaRisk (2012), AT 4.4.2. 2.2 Gesetzliche und regulatorische Grundlagen des Compliance Managements 49 Ausgewählte Rechtsprechung Siemens/Neubürger-Urteil Das sog. Siemens/Neubürger-Urteil228 aus dem Jahr 2013 ist richtungsweisend für die aus der Legalitätspflicht abgeleitete Organisationspflicht von Vorständen. Gegenstand des Urteils ist primär die Geltendmachung von Schadensersatzansprüchen in Höhe von € 15 Mio. zzgl. Zinsen durch die Siemens AG gegen ihren ehemaligen Finanzvorstand Heinz-Joachim Neubürger aufgrund der Verletzung von Organisations- und Aufsichtspflichten als Folge des Ende 2006 öffentlich bekannt gewordenen Korruptionsskandals.229 Konkret wurde Neubürger – wie weiteren Vorstandsmitgliedern, die jedoch einen Vergleich mit der Siemens AG abschlossen – vorgeworfen, dass er seine Verpflichtung zur Verhinderung von Bestechungen in vorwerfbarer Weise verletzt habe und daher der Gesellschaft gegenüber schadensersatzpflichtig sei. Den Hauptvorwurf stellen die mangelhafte Organisation des Compliance-Systems und die unzureichende Aufsicht über die Einhaltung der Compliance-Regeln dar.230 Dabei wird angeführt, dass Neubürger „seine Vorstandspflichten zur Sicherstellung eines rechtmäßigen Verhaltens der Gesellschaft und ihrer Mitarbeiter verletzt“ habe. Die bloße Implementierung eines Compliance-Systems befreie den Vorstand gerade nicht von seinen Kontroll- und Überwachungspflichten. Es komme vielmehr auf die tatsächliche Anwendung und Kontrolle an, hinsichtlich derer dem Beklagten eine Pflichtverletzung vorgeworfen wird. Zudem habe der Beklagte trotz Kenntnis ernsthafter Verstöße gegen Compliance-Vorschriften keine bzw. keine ausreichenden Aufklärungs- und Sanktionierungsmaßnahmen ergriffen.231 Der Beklagte bestreitet das Vorliegen einer Pflichtverletzung. Als wesentliche Argumente werden u.a. aufgeführt, dass der Beklagte keine Ressortzuständigkeit für Compliance besessen habe, seine funktionale Zuständigkeit lediglich das Erstellen von Richtlinien verlangt habe und die praktische Durchführung auf die Bereichsvorstände delegiert war. Zudem könne der Finanzvorstand eines weltweit agierenden Konzerns nicht jeden einzelnen Geschäftsvorgang selbst kennen und überprüfen.232 Das LG München I hat die Klage der Siemens AG als begründet angesehen, wonach die Gesellschaft auf Basis des § 93 Abs. 2 S. 1 AktG einen Schadensersatz in Höhe von € 15 Mio. gegenüber dem Beklagten geltend machen kann. Das Gericht hat eine Verletzung der in § 93 Abs. 1 S. 1 AktG normierten Sorgfaltspflicht durch den Beklagten bejaht.233 Die Begründung basiert auf der Legalitätspflicht von Vorständen, worunter im engen Sinne zu verstehen ist, dass ein Mitglied des Vorstands im Außen- 2.2.3 2.2.3.1 228 Vgl. LG München I, Urteil Az. 5HK O 1387/10, 5HK O 1387/10 vom 10. Dezember 2013, (Siemens /Neubürger-Urteil). 229 Vgl. Siemens/Neubürger-Urteil, Leitsätze, Tenor Rn. 1. 230 Vgl. Siemens/Neubürger-Urteil, Rn. 65. 231 Vgl. ebda. Rn. 73. 232 Vgl. ebda. Rn. 82-83. 233 Vgl. ebda. Rn 100-102. 2 Compliance Management – theoretische Grundlagen 50 verhältnis sämtliche Vorschriften einhalten muss, die das Unternehmen als Rechtssubjekt treffen, wie z.B. Vorschriften des Bilanzrechts, des Straf- und Ordnungswidrigkeitenrechts aber auch ausländische Rechtsvorschriften. Das Gericht stellt zudem klar, dass auch ein möglicher wirtschaftlicher Nutzen für das Unternehmen Gesetzesverletzungen, wie z.B. grenzüberschreitende Schmiergeldzahlungen, nicht rechtfertigt. Des Weiteren führt das Gericht aus, dass ein Vorstandsmitglied im Rahmen der Legalitätspflicht keine Gesetzesverstöße anordnen darf und zudem dafür verantwortlich ist, dass das Unternehmen über eine Organisation und Kontrolle verfügt, die solche Gesetzesverstöße verhindert. Das Gericht betont, dass ein Vorstand der Organisationspflicht nur dann genügt, wenn er bei entsprechender Gefährdungslage „eine auf Schadensprävention und Risikokontrolle angelegte Compliance-Organisation einrichtet“. Die dogmatische Ableitung dieser Pflicht aus § 91 Abs. 2 AktG oder §§ 76 Abs. 1, 93 Abs. 1 AktG ist für das Gericht unerheblich. Als maßgebliche Entscheidungsfaktoren für den Umfang der Compliance-Organisation sind die „Art, Größe und Organisation des Unternehmens, die zu beachtenden Vorschriften, die geografische Präsenz wie auch die Verdachtsfälle aus der Vergangenheit“ anzusehen.234 Übertragen auf den konkreten Fall sieht das Gericht die Pflichtverletzung durch die Einrichtung eines mangelhaften Compliance-Systems und die unzureichende Überwachung als gegeben an. Insbesondere aufgrund der wiederkehrenden Information über Verdachtsfälle von Bestechungszahlungen hätte es einer Effizienzprüfung des bestehenden Compliance-Systems bedurft, wobei entsprechende Verbesserungsmaßnahmen unterblieben sind. Zudem seien der Gesamtvorstand und der Beklagte ihrer Pflicht zur klaren, organisatorischen Zuordnung der Compliance-Verantwortung nicht nachgekommen.235 Das Gericht hebt mehrmals hervor, dass der Vorstand im Rahmen seiner Gesamtverantwortung für die Einhaltung der Legalitätspflicht zur Einrichtung eines effizienten Compliance-Systems und der Kontrolle seiner Wirksamkeit verpflichtet ist. Eine Delegation dieser zentralen Vorstandsaufgabe ist nicht möglich, sondern stellt vielmehr eine Pflichtverletzung dar.236 Für die Pflichten von Geschäftsführern und Vorständen im Hinblick auf Compliance Management kann das Siemens/Neubürger-Urteil als wegweisende Entscheidung angesehen werden. Zusammenfassend ist hervorzuheben, dass das Urteil das „Ob“ einer Compliance-Organisation als rechtlich gebundene Entscheidung im Rahmen der Legalitätspflicht wertet. In Bezug auf das „Wie“ der Ausgestaltung der Compliance-Organisation ist dem Urteil zufolge die Risikolage des jeweiligen Unternehmens, d.h. als Einzelfallentscheidung die Art, Größe und Organisation des Unternehmens, die zu beachtenden Vorschriften, die geografische Präsenz und die Verdachtsfälle der Vergangenheit, maßgebend. Zudem wird festgestellt, dass die Einrichtung eines funktionierenden Compliance-Systems im Rahmen der Legalitätspflicht zur Ge- 234 Vgl. Siemens/Neubürger-Urteil, Rn. 103. 235 Vgl. ebda. Rn. 107, 111-112. 236 Vgl. ebda. Rn. 114-115, 117. 2.2 Gesetzliche und regulatorische Grundlagen des Compliance Managements 51 samtverantwortung des Vorstands gehört, deren sich der Vorstand nicht durch Delegation entledigen kann.237 ARAG/Garmenbeck-Entscheidung Ein weiteres bedeutendes Urteil mit Bezug zum Pflichtenkreis und Ermessensspielraum von Vorstand und Geschäftsführer ist die ARAG/Garmenbeck-Entscheidung238. Zwar beschäftigt sich das Urteil primär mit der Pflicht des Aufsichtsrats zur Prüfung und Durchsetzung von Schadensersatzansprüchen gegen den Vorstand. Da der die Rechtsfrage auslösende Sachverhalt jedoch eine unternehmerische Entscheidung des Vorstands ist, beschäftigt sich das Urteil auch mit den Sorgfaltspflichten und dem Ermessensspielraum des Vorstands im Rahmen von unternehmerischen Entscheidungen. Hierzu wird festgestellt, dass dem Vorstand bei der Leitung des Unternehmens ein weiter Handlungsspielraum zuzubilligen ist. Es wird jedoch verdeutlicht, dass der Handlungsspielraum des Vorstands insofern eingegrenzt wird, als dass seine Entscheidungen sich am Unternehmenswohl zu orientieren sowie auf Basis sorgfältig ermittelter Entscheidungsgrundlagen zu erfolgen haben.239 Die ARAG/Garmenbeck-Entscheidung berücksichtigt bereits 1997 hinsichtlich des Ermessensspielraums des Vorstands bei der Leitung des Unternehmens die Idee der sog. „Business Judgement Rule“, die jedoch erst im Jahr 2005 in § 93 Abs. 1 S. 2 AktG kodifiziert wurde. In Kapitel 2.2.2.1 wurde aufgezeigt, dass es sich bei der Frage des „Wie“ der Ausgestaltung einer Compliance-Organisation um eine unternehmerische Entscheidung handelt und somit die Business Judgement Rule anwendbar ist. Insofern ist für die Frage zur Ausgestaltung einer Compliance-Organisation auch die ARAG/Garmenbeck-Entscheidung von Bedeutung und stärkt die Auffassung, dass der Vorstand bei der Art und Weise der Einrichtung seiner Compliance-Organisation über einen weiten Handlungsspielraum verfügt. Das Urteil ist zwar primär auf Aktiengesellschaften anwendbar, allerdings ist analog der Regelung des § 93 Abs. 1 S. 2 AktG eine Ausstrahlungswirkung auf andere Rechtsformen anzunehmen. Internationale Regelungen Sarbanes-Oxley Act Eine Pflicht zum Compliance Management kann sich für deutsche Unternehmen auch aus dem in 2002 in den USA erlassenen Sarbanes-Oxley Act (SOX) ergeben. Dieser wurde – wie im Kapitel 1.1 dargestellt – als Reaktion auf die großen Bilanzmanipulationsskandale in den USA mit dem Ziel eingeführt, die Zuverlässigkeit, Rich- 2.2.3.2 2.2.4 2.2.4.1 237 Vgl. Siemens/Neubürger-Urteil, Leitsätze. 238 Vgl. BGH Urteil vom 21.04.1997, II ZR 175/95 (ARAG/Garmenbeck-Entscheidung). 239 Vgl. ARAG/Garmenbeck-Entscheidung, Entscheidungsgründe II.2.b)aa). 2 Compliance Management – theoretische Grundlagen 52 tigkeit und den Umfang der Berichterstattung von Unternehmen zu verbessern, um das Vertrauen der Investoren wiederherzustellen.240 Der Sarbanes-Oxley Act ist von allen Unternehmen, die an einer amerikanischen Börse gelistet sind, deren Wertpapiere anderweitig öffentlich in den USA angeboten werden oder die aus anderen Gründen der Überwachung der amerikanischen Wertpapieraufsicht United States Securities and Exchange Commission (SEC) unterliegen und daher Finanzberichte bei dieser einreichen müssen, verpflichtend einzuhalten. In Deutschland ansässige Unternehmen können daher in den Anwendungsbereich des Sarbanes-Oxley Act fallen, wenn sie die vorgenannten Kriterien erfüllen, also entweder an einer amerikanischen Börse gelistet sind, im Freiverkehr gehandelt werden oder anderweitig der SEC-Aufsicht unterliegen. Ferner fallen zudem in Deutschland ansässige Tochter- oder Enkelgesellschaften eines dem SOX unterliegenden Mutterunternehmens selbst in den Anwendungsbereich. Zudem kann sich eine faktische Verpflichtung zur Beachtung der Regelungen des SOX für in Deutschland ansässige mittelständische Unternehmen ergeben, die Geschäftspartner eines dem SOX unterliegenden Unternehmens sind.241 Wesentliche Organisationspflichten ergeben sich durch Section 404 SOX. In Sec. 404 SOX wird festgelegt, dass jeder Jahresgeschäftsbericht von Unternehmen einen Bericht über das interne Kontrollsystem enthalten muss, in dem die Verantwortlichkeit des Managements für die Implementierung und Aufrechterhaltung angemessener interner Kontrollen und Prozesse für die Finanzberichterstattung sowie die Ergebnisse der jährlichen Bewertung deren Effektivität dargestellt werden. Zudem muss der Prüfungsbericht des Abschlussprüfers eine Einschätzung und ein Testat über die Effektivitätsbeurteilung des Managements hinsichtlich des implementierten internen Kontrollsystems enthalten. Diese Berichterstattungspflicht führt folglich zur Verpflichtung des Managements, ein entsprechendes internes Kontrollsystem zu implementieren und aufrechtzuerhalten.242 Weitere Organisationspflichten sind die in Sec. 301 SOX normierte Pflicht zur Einführung eines unabhängigen Audit Committees sowie die Pflicht zur Implementierung eines Hinweisgebersystems für die Mitarbeiter, dessen Adressat das Audit Committee ist.243 Foreign Corrupt Practices Act Deutsche Unternehmen können zudem dem US-amerikanischen Anti-Korruptionsgesetz, dem Foreign Corrupt Practices Act (FCPA)244, unterliegen. Der wesentliche Regelungsinhalt des FCPA ist das Verbot der Bestechung ausländischer Amtsträger 2.2.4.2 240 Vgl. Rieder/Falge (2013), S. 26 Rn 39. 241 Vgl. Passarge, M., in: Behringer, Compliance für KMU, 2012, S. 84 Tz. 3.1.1; Rieder/Falge (2013), S. 26 Rn. 38, 41. 242 Vgl. SOX (2002), Sec. 404; Rieder/Falge (2013), S. 26 Rn. 39; Passarge (2012), S. 84 Tz. 3.1.1. 243 Vgl. SOX (2002), Sec. 301; Rieder/Falge (2013), S. 27 Rn. 40; Passarge (2012), S. 84 Tz. 3.1.1. 244 Vgl. The Foreign Corrupt Practices Act (FCPA), United States Code, Title 15, Chapter 2B, 10. November 1998. 2.2 Gesetzliche und regulatorische Grundlagen des Compliance Managements 53 zum Zwecke der Erlangung eines unangemessenen Vorteils. Eine Anwendbarkeit auf deutsche Unternehmen ist mittelbar durch ein in den USA ansässiges Tochterunternehmen oder eine in den USA ansässige Niederlassung möglich, für die unmittelbar die Regelungen für inländische Unternehmen einschlägig sind.245 Daneben können aber auch die in Deutschland ansässigen Unternehmen unmittelbar in den Anwendungsbereich des FCPA fallen, sofern sie im Rahmen ihrer Geschäftsaktivitäten in den USA strafrechtlich relevante Handlungen vornehmen.246 Dabei wird der Adressatenkreis des FCPA in Bezug auf im Ausland ansässige Unternehmen sehr weit gefasst, so dass diese auf zwei Arten in den Anwendungsbereich des FCPA gelangen können. Zum einen unterliegen dem FCPA ausländische Unternehmen, deren Mitarbeiter auf US-Territorium Bestechungshandlungen vornehmen oder fördern. Zum anderen kann der Anwendungsbereich des FCPA auch durch sonstige Handlungen innerhalb der USA, wie z.B. die Nutzung US-amerikanischer Postdienste (z.B. Versand einer Bestechungs-Email) oder sonstiger Mittel und Einrichtungen (z.B. Überweisung von Bestechungsgeldern mittels einer in den USA ansässigen Bank), eröffnet werden.247 Verstöße gegen den FCPA können für natürliche Personen mit Geldstrafe bis zu $ 5 Mio. und/oder einer Haftstrafe bis zu 20 Jahren bestraft werden. Für Unternehmen können Verstöße gegen den FCPA eine Geldstrafe von bis zu $ 25 Mio. zur Folge haben.248 Zur Prävention korruptiver Handlungen verlangt der FCPA die Einführung und Aufrechterhaltung eines internen Kontrollsystems. Dieses soll u.a. sicherstellen, dass sämtliche Transaktionen mit Genehmigung durch die Geschäftsleitung ausgeführt werden und die Transaktionen entsprechend der allgemein anerkannten gesetzlichen Bilanzierungs-vorschriften in der Buchhaltung erfasst werden. Die Einführung effektiver interner Kontrollsysteme bzw. Compliance-Programme kann strafreduzierende Wirkung entfalten. Konkrete Anforderungen an diese Systeme sind im FCPA nicht geregelt, sondern finden sich in den US Federal Sentencing Guidelines249.250 US Federal Sentencing Guidelines Die US Federal Sentencing Guidelines (USSG) sind die Rechtsgrundlage der Strafzumessung für Unternehmen bei Straftaten, die unter den FCPA fallen. In § 8 USSG wird die Strafzumessung für Unternehmen detailliert geregelt. Sofern – wie im vorangehenden Kapitel 2.2.4.2 für den FCPA erläutert – deutsche Unternehmen in den Anwendungsbereich US-amerikanischen Rechts kommen und gegen dieses verstoßen, erfolgt die Strafzumessung über die USSG. Zugrunde liegende Idee ist, dass das Un- 2.2.4.3 245 Vgl. FCPA, § 78dd-2; Passarge (2012), S. 84-85 Tz. 3.1.2. 246 Vgl. FCPA, § 78dd-3; Passarge (2012), S. 84-85 Tz. 3.1.2. 247 Vgl. FCPA, § 78dd-3 (a); Passarge (2012), S. 84-86 Tz. 3.1.2; Withus (2014), S. 19-20. 248 Vgl. FCPA, § 78ff. (a); Passarge (2012), S. 84-85 Tz. 3.1.2. 249 United States Sentencing Commission, Guidelines Manual (USSG), 1. November 2015, online abrufbar unter http://www.ussc.gov/guidelines/2015-guidelines-manual, zuletzt aufgerufen am 05.11.2016. 250 Vgl. FCPA, § 78m (b)(2)(B); Passarge (2012), S. 86 Tz. 3.1.3. 2 Compliance Management – theoretische Grundlagen 54 ternehmen den verursachten Schaden wiedergutmachen soll, weshalb sich die Strafhöhe an der Schwere der Tat orientiert. Die konkrete Strafhöhe ergibt sich dabei als das Maximum aus (1) dem über eine Schadenstabelle abgeleiteten Betrag, (2) der Höhe des durch den Gesetzesverstoß erlangten Vorteils oder (3) der Höhe des verursachten Schadens.251 Für Zwecke der Bestimmung der Geldstrafe mittels Schadenstabelle wird ein Scoring durchgeführt. Dieses Scoring umfasst die Einschätzung von sechs Faktoren, wobei sich die vier Faktoren (1) Beteiligung an einer oder Duldung einer strafbaren Handlung, (2) Vorgeschichte des Unternehmens, (3) Verletzung einer gerichtlichen Anordnung und (4) Behinderung der Justiz strafverschärfend auswirken (Addition von Scoring-Punkten). Die beiden Faktoren (5) Vorhandensein eines effektiven Compliance- und Ethik-Programms sowie (6) Selbstanzeige, Kooperation mit den Ermittlungsbehörden oder Übernahme der Verantwortung wirken sich dagegen strafmindernd aus (Subtraktion von Scoring-Punkten).252 In § 8 USSG ist somit explizit festgelegt, dass die Implementierung und Aufrechterhaltung eines effizienten Compliance-Programms zu einer Reduzierung des Strafmaßes führt. Aufgrund dieser strafmindernden Wirkung sind in § 8 B 2.1. USSG konkrete Vorgaben bezüglich der Inhalte und Umsetzung eines effektiven Compliance- und Ethik-Programms aufgeführt. Wesentliche Grundlagen des Compliance- Systems sind die angemessene Sorgfalt und eine Unternehmenskultur, die ethisches Verhalten und ein Bekenntnis zur Einhaltung von Gesetzen fördert. Daneben werden, neben weiteren Vorgaben, als wesentliche Bausteine des Compliance-Systems die Verankerung im ganzen Unternehmen durch Etablierung von Verhaltensstandards und Richtlinien, die klare Vorgabe von Verantwortlichkeiten und Bereitstellung angemessener Ressourcen, die Durchführung regelmäßiger Compliance-Risikobewertungen, die Schulung der Mitarbeiter, die Sanktionierung von Verstößen, die regelmäßige Evaluation und Kontrolle der Implementierung und Effektivität des Compliance-Systems sowie die stetige Weiterentwicklung und Verbesserung des Compliance-Systems festgelegt.253 Deutschen Unternehmen, die im Anwendungsbereich US-amerikanischer Gesetze tätig werden, ist folglich anzuraten, ein Compliance-System zu implementieren und aufrechtzuerhalten, dass den Anforderungen des USSG entspricht. UK Bribery Act Neben den vorstehend erläuterten US-amerikanischen Regelungen, die auf in Deutschland ansässige Unternehmen einen Einfluss hinsichtlich der Notwendigkeit der Implementierung von Compliance Management Systemen bzw. internen Kon- 2.2.4.4 251 Vgl. USSG, § 8 C 2.4.; Rieder/Falge (2013), S. 25 Rn. 31-32. 252 Vgl. USSG, § 8 C 2.5(a)-(g); Rieder/Falge (2013), S. 25 Rn. 32-33; Hauschka/Moosmayer/Lösler (2016), S. 24-25 Rn. 74. 253 Vgl. USSG, § 8 B. 2.1.; Hauschka/Moosmayer/Lösler (2016), S. 25-26 Rn. 75-76; Rieder/Falge (2013), S. 25 Rn. 35; Passarge (2012), S. 86-87 Tz. 3.1.3. 2.2 Gesetzliche und regulatorische Grundlagen des Compliance Managements 55 trollsystemen entfalten können, stellt auch der UK Bribery Act (UKBA) eine bedeutende internationale Regelung mit dem Ziel der Korruptionsbekämpfung dar.254 Der UKBA weist – analog dem FCPA – einen sehr weiten Anwendungsbereich auf. Für die Einbeziehung in den Anwendungsbereich des UKBA ist es bereits ausreichend, dass ein Unternehmen in irgendeiner Form in Großbritannien geschäftlich tätig ist. Das bedeutet für in Deutschland ansässige Unternehmen, dass sie die Vorschriften des UKBA zu beachten haben, sofern sie Geschäftsbeziehungen nach Großbritannien unterhalten.255 In Abschnitt 7 des UKBA wird die strafrechtliche Verantwortlichkeit von Unternehmen für das Fehlverhalten von mit dem Unternehmen assoziierten Personen geregelt. Demnach wird ein Unternehmen als für ein strafbares Vergehen schuldig angesehen und haftbar gemacht, wenn eine mit ihm assoziierte Person eine andere Person besticht, um für das Unternehmen ein Geschäft oder einen geschäftlichen Vorteil zu erlangen oder beizubehalten.256 Als assoziierte Person gelten dabei Personen, die Leistungen für das Unternehmen erbringen. Dabei kann es sich um Agenten, Berater oder Mitarbeiter des Unternehmens handeln.257 Verstöße gegen die Regelungen des UKBA können Freiheitsstrafen von bis zu zehn Jahren oder Geldstrafen als Folge haben, wobei es für die Geldstrafen keine Obergrenze gibt.258 Für Unternehmen eröffnet § 7 Abs. 2 UKBA jedoch die Möglichkeit, sich der Haftung zu entziehen bzw. der Strafreduzierung, sofern das Unternehmen adäquate Prozesse bzw. Maßnahmen zur Korruptionsvermeidung implementiert hat. Eine Konkretisierung der zu einer Enthaftung des Unternehmens gemäß § 7 Abs. 2 UKBA erforderlichen Maßnahmen bzw. der Anforderungen an ein effektives Compliance Management System sind in einem vom britischen Justizministerium (Ministry of Justice) im März 2011 veröffentlichten Leitfaden zum UKBA dargelegt.259 Demzufolge hat sich ein effektives Compliance-System an sechs Grundprinzipien zu orientieren. Prinzip 1 betont den Proportionalitätsgrundsatz, wonach sich die etablierten Prozesse und Maßnahmen am Risikoprofil des jeweiligen Unternehmens ausrichten sollen. Bestimmungsfaktoren sind die Art, Größe und Komplexität des Unternehmens. Prinzip 2 fordert das Kommitment der Unternehmensführung, die eine Unternehmenskultur vorleben soll, in welcher Korruption nicht geduldet wird. 254 Vgl. Hauschka/Moosmayer/Lösler (2016), S. 28 Rn. 80; Rieder/Falge (2013), S. 27 Rn. 42. 255 Vgl. UK Bribery Act (2010), § 7 (1), (5); Passarge (2012), S. 87-88 Tz. 3.2; Rieder/Falge (2013), S. 27 Rn. 42; Hauschka/Moosmayer/Lösler (2016), S. 28 Rn. 80. 256 Vgl. UKBA (2010), § 7 (1); Passarge (2012), S. 88 Tz. 3.3.3; Rieder/Falge (2013), S. 27 Rn. 42; Hauschka/ Moosmayer/Lösler (2016), S. 28-29 Rn. 80. 257 Vgl. UKBA (2010), § 8; Passarge (2012), S. 88 Tz. 3.3.3; Hauschka/Moosmayer/Lösler (2016), S. 28-29 Rn. 80. 258 Vgl. UKBA (2010), § 11; Passarge (2012), S. 87- 88 Tz. 3.2; Hauschka/Moosmayer/Lösler (2016), S. 28-29 Rn. 80. 259 Vgl. UKBA (2010), § 7 (2); The Bribery Act 2010 – Guidance about procedures which relevant commercial organisations can put into place to prevent persons associated with them from bribing (The Bribery Act 2010 – Guidance), U.K. Ministry of Justice, März 2011, online abrufbar unter https:// www.gov.uk/government/publications/bribery-act-2010-guidance, zuletzt aufgerufen am 05.11.2016; Rieder/Falge (2013), S. 27-28 Rn. 43; Hauschka/Moosmayer/Lösler (2016), S. 28-29 Rn. 80. 2 Compliance Management – theoretische Grundlagen 56 Die kontinuierliche Analyse und Bewertung der internen und externen Unternehmensrisiken stellt ein weiteres Grundprinzip (Prinzip 3) dar. Als viertes Prinzip ist die Etablierung von Prozessen, die eine sorgfältige Auswahl und Überwachung der Geschäftspartner sicherstellt, aufgeführt. Prinzip 5 fordert die Kommunikation und Schulung der Antikorruptionsstrategie und Maßnahmen gegenüber den Mitarbeitern. Die stetige Überwachung und Weiterentwicklung des Compliance-Systems wird durch Prinzip 6 gefordert.260 Zusammenfassend kann festgestellt werden, dass der UK Bribery Act in Deutschland ansässige Unternehmen nicht zur Einführung und Aufrechterhaltung eines Compliance Management Systems verpflichtet. Allerdings können deutsche Unternehmen, die aufgrund ihrer Geschäftstätigkeit in den Anwendungsbereich des UKBA fallen, gemäß § 7 Abs. 2 UKBA durch ein effektives Compliance Management System eine Enthaftung bzw. Strafreduzierung für den Fall eines unter den UKBA einzuordnenden Compliance-Verstoßes erreichen.261 Theoretische Sollkonzepte für die Ausgestaltung von Compliance Management und Compliance Management Systemen Darstellung theoretischer Rahmenwerke IDW Prüfungsstandard: Grundsätze ordnungsmäßiger Prüfung von Compliance Management Systemen (IDW PS 980) Einordnung Mit dem am 11.03.2011 durch den Hauptfachausschuss (HFA) des IDW verabschiedeten Prüfungsstandard IDW PS 980 verdeutlicht das IDW primär den Inhalt freiwilliger Prüfungen von Compliance Management Systemen (CMS) und legt zudem die Berufsauffassung, nach der Wirtschaftsprüfer unter Beachtung des Prinzips der Eigenverantwortlichkeit solche Aufträge durchführen sollen, dar.262 Folglich enthält der Standard insbesondere Vorgaben und Erläuterungen zu Gegenstand, Ziel und Umfang der Prüfung eines CMS sowie zu konkreten Prüfungsanforderungen (wie z.B. Prüfungsplanung, Prüfungshandlungen oder Dokumentationspflichten des Wirtschaftsprüfers). Neben diesen prüfungsspezifischen Ausführungen enthält der Standard jedoch auch Compliance-spezifische Begriffsbestimmungen sowie die Definition und Darstellung der Grundelemente eines CMS.263 Mangels alternativer Rahmenwerke hat sich der IDW PS 980 dadurch – zumindest national – zu einem Bench- 2.3 2.3.1 2.3.1.1 2.3.1.1.1 260 Vgl. The Bribery Act 2010 – Guidance, S. 20-31; Passarge (2012), S. 88-89 Tz. 3.3.3; Rieder/Falge (2013), S. 27-28 Rn. 43; Hauschka/Moosmayer/Lösler (2016), S. 28-29 Rn. 80. 261 Vgl. Hauschka/Moosmayer/Lösler (2016), S. 29 Rn. 81. 262 Vgl. Institut der Wirtschaftsprüfer e.V., IDW Prüfungsstandard: Grundsätze ordnungsmäßiger Prüfung von Compliance Management Systemen (IDW PS 980), Stand: 11.03.2011, S. 2 Rn. 1. 263 Vgl. IDW PS 980, S. 2-3 Rn. 5-11, S. 5 Rn. 23, S. 17-21 Rn. A14-A20. 2.3 Theoretische Sollkonzepte für die Ausgestaltung von Compliance Management und Compliance Management Systemen 57 mark für das theoretische Sollkonzept von Compliance Management Systemen entwickelt und besitzt in der Unternehmenspraxis insbesondere beim Aufbau und der Implementierung eines CMS eine hohe Relevanz. Darstellung der Grundelemente eines CMS Gemäß IDW PS 980 soll die Konzeption eines CMS die sieben Grundelemente Compliance-Kultur, Compliance-Ziele, Compliance-Risiken, Compliance-Programm, Compliance-Organisation, Compliance-Kommunikation sowie Compliance-Überwachung/-Verbesserung umfassen. Diese Grundelemente weisen typischerweise Wechselwirkungen zueinander auf. Die konkrete Ausgestaltung des CMS und der Grundelemente ist dabei abhängig von den festgelegten Compliance-Zielen, der Unternehmensgröße sowie von der Komplexität (Art und Umfang) der Geschäftstätigkeit des jeweiligen Unternehmens.264 Die Compliance-Kultur ist die Basis für die Angemessenheit und Wirksamkeit eines CMS. Sie wird maßgeblich durch die Grundeinstellung und Verhaltensweise der Unternehmensführung und des Aufsichtsorgans geprägt (sog. „tone at the top“). Eine günstige Compliance-Kultur, die sich durch einen hohen Stellenwert der Regelkonformität sowie einem von Personen und Hierarchien unabhängigen Sanktionsmechanismus auszeichnet, soll zu einer höheren Akzeptanz der relevanten Grundsätze und Maßnahmen durch die Mitarbeiter führen. Neben den Verhaltensweisen und dem Führungsstil des Managements sind z.B. die Regelkonformität fördernde Anreizsysteme, die Berücksichtigung von Compliance-Aspekten bei Personalbeurteilungen und Beförderungen oder die Personalpolitik des Unternehmens im Hinblick auf Kompetenz und Erfahrung der Mitarbeiter die Compliance-Kultur beeinflussende Faktoren.265 Die Compliance-Ziele sollen unter Berücksichtigung der allgemeinen Unternehmensziele und der für das Unternehmen in den abgrenzbaren Teilbereichen relevanten Regeln bestimmt werden. Dabei sollten insbesondere die Konsistenz, Verständlichkeit und Praktikabilität der unterschiedlichen Ziele, die Messbarkeit des Zielerreichungsgrads sowie die verfügbaren Ressourcen bei der Festlegung der Compliance- Ziele Beachtung finden.266 Auf Basis der festgelegten Compliance-Ziele soll eine Analyse (Feststellung und Beurteilung) der Compliance-Risiken erfolgen. Die Risikoanalyse ist wiederum die Basis für die Entwicklung eines angemessenen Compliance-Programms. Die Risikoanalyse, die die Beurteilung der identifizierten Compliance-Risiken hinsichtlich Eintrittswahrscheinlichkeit und Auswirkung umfasst, sollte die verschiedenen Optionen des Managements hinsichtlich des Umgangs mit Risiken (Risikovermeidung, Risikoreduktion, Risikoüberwälzung oder Risikoakzeptanz) berücksichtigen. Bei der Risikoanalyse handelt es sich um eine wiederkehrende Aufgabe im Rahmen eines CMS.267 2.3.1.1.2 264 Vgl. IDW PS 980, S. 5 Rn. 23. 265 Vgl. ebda. S. 5 Rn. 23, S. 17 Rn. A14. 266 Vgl. ebda. S. 5 Rn. 23, S. 18 Rn. A15. 267 Vgl. ebda. S. 5 Rn. 23, S. 18-19 Rn. A16. 2 Compliance Management – theoretische Grundlagen 58 Das Compliance-Programm umfasst die konkreten Grundsätze und Maßnahmen, die zur Einhaltung der für das Unternehmen relevanten Regeln führen sollen. Dabei stellen die Grundsätze klare Festlegungen zur Zulässigkeit bzw. Unzulässigkeit von Aktivitäten dar. Die Maßnahmen beinhalten konkrete Prozesse und Instrumente zum Erkennen von Risiken für Compliance-Verstöße (z.B. Hinweisgebersysteme), zur Reaktion auf die erkannten Risiken sowie zur Kommunikation und Ursachenanalyse im Fall der Aufdeckung von Verstößen. Zudem zählen zu den Maßnahmen des Compliance-Programms in das CMS integrierte Kontrollen, wie z.B. Funktionstrennung, Berechtigungskonzepte, Genehmigungsverfahren oder Unterschriftsregelungen. 268 Die Compliance-Organisation sollte durch eine klare Festlegung von Rollen und Verantwortlichkeiten gekennzeichnet sein. Das bedeutet, dass ein Compliance-Beauftragter oder ein Compliance-Gremium zu bestimmen und deren Aufgaben, Kompetenzen sowie hierarchische Stellung bzw. organisatorische Einordnung klar festzulegen ist. Daneben sind für die Compliance-Organisation insbesondere die Bereitstellung ausreichender Ressourcen im Hinblick auf die Compliance-Ziele und die Compliance-Risiken sowie die Entwicklung organisatorischer und technischer Hilfsmittel zur Durchsetzung des Compliance-Programms, wie z.B. Handbücher, Checklisten oder IT-Tools, erforderlich. Zudem soll das CMS nicht als „stand-alone“-System implementiert, sondern in andere bestehende Managementsysteme des Unternehmens, wie z.B. das Risikomanagementsystem oder das interne Kontrollsystem, integriert werden.269 Ein wesentlicher Baustein der Compliance-Kommunikation ist die Kommunikation der in den definierten Teilbereichen zu beachtenden Regeln sowie des implementierten Compliance-Programms. Daneben umfasst die Compliance-Kommunikation zudem die Festlegung der Berichtspflichten (Anlässe) und der Berichtswege für die Kommunikation der Compliance-Risiken, festgestellter bzw. vermuteter Regelverstö- ße sowie der Ergebnisse von Überwachungsmaßnahmen zwecks Ursachenanalyse und Entwicklung von Optimierungs-maßnahmen. Instrumente der Compliance-Kommunikation sind z.B. Mitarbeiterbriefe, Compliance-Handbücher oder Schulungen.270 Das siebte Grundelement eines CMS – die Compliance-Überwachung/-Verbesserung – steht für die Durchführung von Überwachungsmaßnahmen und die Entwicklung von Optimierungsmaßnahmen bei Hinweisen von Schwachstellen im CMS. Die Überwachung des CMS sollte durch prozessunabhängige Stellen, wie z.B. die interne Revision, durchgeführt werden und untersuchen, ob das CMS angemessen ausgestaltet und wirksam ist. Zentrale Aspekte der Compliance-Überwachung sind dabei z.B. die Festlegung der Zuständigkeiten, die Entwicklung eines Überwachungsplans, die Bereitstellung ausreichender Ressourcen oder die Bestimmung der Berichtswege. Bei festgestellten Schwachstellen des CMS sollen Optimierungsmaßnahmen, wie z.B. eine intensivere Kommunikation des Compliance-Programms oder zusätzliche Kontrollen, vorgenommen werden. Bei Hinweisen auf Regelverstöße müssen zusätzliche 268 Vgl. IDW PS 980, S. 5 Rn. 23, S. 19 Rn. A17. 269 Vgl. ebda. S. 5 Rn. 23, S. 19-20 Rn. A18. 270 Vgl. ebda. S. 5 Rn. 23, S. 20 Rn. A19. 2.3 Theoretische Sollkonzepte für die Ausgestaltung von Compliance Management und Compliance Management Systemen 59 Maßnahmen zur zukünftigen Prävention, wie z.B. zusätzliche Schulungsmaßnahmen oder die Berücksichtigung bei Mitarbeiterbeurteilungen oder Beförderungen, getroffen werden. Im Fall gravierender Regelverstöße sollten stärkere Maßnahmen, wie z.B. die Kündigung des Arbeitsvertrags, als Option möglich sein.271 CMS-Beschreibung Zwecks Gewährleistung einer konsistenten Anwendung und personenunabhängigen Funktion des CMS sollen Unternehmen eine CMS-Beschreibung erstellen.272 Inhalt der CMS-Beschreibung sind die Konzeption des CMS, seine Grundsätze und Maßnahmen.273 Dabei sollen insbesondere sämtliche Grundelemente des CMS dargestellt werden.274 Da Gegenstand der Prüfung eines CMS die in der CMS-Beschreibung enthaltenen Aussagen über das CMS sind, ist die Existenz einer CMS-Beschreibung somit die Voraussetzung und Basis für eine freiwillige Prüfung des CMS gemäß IDW PS 980.275 Fazit Der IDW PS 980 stellt die sieben Grundelemente eines Compliance Management Systems dar, welche z.T. in Wechselbeziehung zueinander stehen. Dabei kommt der Compliance-Kultur eine besondere Bedeutung zu, da diese die Basis für die Akzeptanz und Wirksamkeit des CMS darstellt. Die Compliance-Kultur wird dabei maßgeblich geprägt durch das Verhalten der Führungskräfte („tone at the top“). Zudem verdeutlicht der IDW PS 980, dass das CMS auf Basis eines Monitoring- und Verbesserungsprozesses fortlaufend weiterentwickelt werden soll. ISO 19600: Compliance management systems – Guidelines Einordnung Der ISO-Standard 19600276 wurde im Dezember 2014 durch die ISO (International Organization for Standardization)277 veröffentlicht. Aufgrund der multinationalen Zusammensetzung des Standardsetzers stellt der ISO 19600 das erste internationale Rahmenwerk für Compliance Management Systeme dar und soll sämtlichen Arten 2.3.1.1.3 2.3.1.1.4 2.3.1.2 2.3.1.2.1 271 Vgl. IDW PS 980, S. 5 Rn. 23, S. 20-21 Rn. A20. 272 Vgl. ebda. S. 3 Rn. 13. 273 Vgl. ebda. S. 16 Rn. A8. 274 Vgl. ebda. S. 3 Rn. 7, 11. 275 Vgl. ebda. S. 3 Rn. 12. 276 International Organization for Standardization, ISO 19600: Compliance management systems – Guidelines (ISO 19600), 1. Auflage, 15. Dezember 2014. 277 Die ISO (International Organization for Standardization) ist eine internationale Vereinigung von Normungsorganisationen, die internationale Standards für verschiedene Bereiche der Wirtschaft entwickelt und veröffentlicht. Die ISO besteht derzeit aus nationalen Organisationen von 163 Mitgliedsländern (vgl. online unter http://www.iso.org/iso/home/about.htm, zuletzt aufgerufen am 05.11.2016). 2 Compliance Management – theoretische Grundlagen 60 von Organisationen als Benchmark bei der Entwicklung, Implementierung, Aufrechterhaltung und Verbesserung von Compliance Management Systemen dienen. Der Standard basiert auf den Prinzipien guter Governance: Verhältnismäßigkeit, Transparenz und Nachhaltigkeit. Dabei ist er darauf ausgerichtet, Organisationen als Leitfaden bei der Etablierung eines CMS oder bei der Verbesserung eines vorhandenen CMS zu dienen. Dies erfolgt insbesondere durch das Aufzeigen empfohlener Verfahrensweisen. Der Grad der Anwendung des Standards ist abhängig von der Größe, Struktur, Art und Komplexität der jeweiligen Organisation.278 Vorgehensweise bei Ersteinführung eines Compliance Management Systems Soll ein CMS in einer Organisation erstmalig implementiert werden, so sind zunächst der Umfang und der Anwendungsbereich des CMS festzulegen. Hierfür ist es erforderlich, externe und interne Compliance-Themen und Compliance-Risiken sowie die betroffenen Interessengruppen zu identifizieren. Bei der Analyse interner Compliance-Themen sind insbesondere interne Vorschriften, Prozesse, Verfahren, Ressourcen oder auch die Geschäftsstrategie zu berücksichtigen. Die Analyse der externen Compliance-Themen sollte regulatorische Vorschriften, Gesetze, soziale und kulturelle Aspekte sowie die wirtschaftlichen Rahmenbedingungen beachten. Auf Basis dieser Analyse sind dann die Grenzen und der Geltungsbereich des CMS festzulegen. Dabei ist zu beachten, dass das CMS die Werte, Ziele, Strategie und Compliance-Risiken der jeweiligen Organisation widerspiegelt. In Bezug auf die Compliance-Funktion sollten die Governance-Prinzipien beachtet werden, d.h. ein direkter Zugang zum Leitungsorgan, Unabhängigkeit sowie angemessene Autorität und ausreichend Ressourcen.279 Nach Festlegung von Umfang und Anwendungsbereich soll das Management eine Compliance-Richtlinie einführen, die dem Zweck der Organisation angemessen ist und ein geeignetes Rahmenwerk für die Bestimmung von Compliance-Zielen darstellt. Dabei sollen in der Compliance-Richtlinie wesentliche Eigenschaften des CMS, wie z.B. der Umfang, der Implementierungsgrad operativer Prozesse und Verfahren, der Grad der Unabhängigkeit der Compliance-Funktion, die Verantwortlichkeiten hinsichtlich der Steuerung und Berichterstattung von Compliance-Sachverhalten oder die Folgen bei Compliance-Verstößen, formuliert werden. Bei der Entwicklung der Richtlinie sollten die Besonderheiten der jeweiligen Organisation, wie z.B. spezifische internationale, regionale oder lokale Verpflichtungen, die Strategie, Werte und Ziele der Organisation, die Struktur und das Governance-Rahmenwerk der Organisation sowie das Risikoprofil der Organisation, berücksichtigt werden. Wichtig ist zudem, dass die Compliance-Richtlinie allgemein verständlich, schriftlich dokumentiert und für jeden Mitarbeiter verfügbar ist. Zudem sollte die Richtlinie innerhalb der Organisation kommuniziert und regelmäßig aktualisiert werden. Die Compliance- Richtlinie enthält die übergeordneten Prinzipien und Zielsetzungen des CMS und 2.3.1.2.2 278 Vgl. ISO 19600, S. v (Introduction) und S. 1 Tz. 1. 279 Vgl. ebda. S. 5-6 Tz. 4.1 bis 4.4. 2.3 Theoretische Sollkonzepte für die Ausgestaltung von Compliance Management und Compliance Management Systemen 61 sollte deshalb durch weitere Dokumente, wie z.B. operative Richtlinien, Verfahrensund Prozessanweisungen, ergänzt werden.280 Handlungsschritte bei Ersteinführung sowie bei Aufrechterhaltung eines bestehenden CMS Neben den Vorgaben und Grundsätzen, die bei Ersteinführung eines CMS zu beachten sind, legt der ISO 19600 zudem Handlungsempfehlungen und Grundsätze fest, die sowohl bei der Ersteinführung als auch bei einem bereits bestehenden CMS beachtet werden sollten. Zentraler Baustein für sämtliche Bereiche und Aktivitäten des CMS ist hierbei das Compliance-Kommitment des Top-Managements der Organisation, der sog. „tone at the top“. Für die Akzeptanz und Effektivität des CMS ist die Vorbildfunktion des Top-Managements von besonderer Bedeutung. Das bedeutet, dass das Top-Management insbesondere die zentralen Werte der Organisation vorgeben und vorleben, die Etablierung der Compliance-Richtlinie und der Compliance-Ziele und deren Konsistenz zu den Werten, Zielen und der Strategie der Organisation sowie die Entwicklung von Richtlinien, Verfahren und Prozessen zur Erreichung der Compliance-Ziele gewährleisten soll. Daneben kommt dem Top-Management eine Vielzahl weiterer Aufgaben im Rahmen des CMS zu, wie z.B. die Bereitstellung ausreichender Ressourcen sowie die Förderung eines stetigen Verbesserungsprozesses.281 Die aktive Teilnahme und Überwachungstätigkeit des Top-Managements sind Grundvoraus-setzungen für ein effektives CMS. Für die täglichen Tätigkeiten des Compliance Managements übertragen viele Organisationen die Verantwortung auf eine bestimmte Person, den Compliance-Officer. Zusätzlich etablieren manche Organisationen einen funktionsübergreifenden Ausschuss, das sog. Compliance Committee, um das Compliance Management innerhalb der Organisation zu koordinieren. Daneben kommen den Managern der unterschiedlichen Ebenen Verantwortlichkeiten und Rollen für das CMS innerhalb ihres jeweiligen Zuständigkeitsbereiches zu. Das bedeutet, dass diese mit positivem Verhalten vorangehen, mit den primär Compliance-Verantwortlichen kooperieren und diese unterstützen sowie innerhalb ihres Bereiches Compliance-Risiken identifizieren und adressieren sollen. 282 Unabhängig von der Tatsache, ob die Compliance-Funktion eigenständig ist oder einer bereits bestehenden Position zugewiesen wird, sollte sie für die Umsetzung des CMS verantwortlich sein. Dies beinhaltet u.a. die Identifikation und Bewertung von Compliance-Verpflichtungen und Compliance-Risiken sowie die Festlegung der Reaktion auf diese Risiken, die Ableitung eines entsprechenden Compliance-Programms (Richtlinien, Verfahren und Prozesse) auf Basis der Risikoanalyse, die Organisation von Compliance-Schulungen, die Entwicklung und Implementierung eines Compliance-Reportings, die Erstellung einer Compliance-Dokumentation sowie die Ent- 2.3.1.2.3 280 Vgl. ISO 19600, S. 9-10 Tz. 5.2.1 und 5.2.2. 281 Vgl. ebda. S. 8 Tz. 5.1. 282 Vgl. ebda. S. 10 Tz. 5.3.2 und S. 12-13 Tz. 5.3.5. 2 Compliance Management – theoretische Grundlagen 62 wicklung und Implementierung von Prozessen zur Kommunikation von Compliancerelevanten Sachverhalten und vermuteten Compliance-Verstößen (z.B. Hinweisgebersystem). Wichtige Eigenschaften für die Auswahl und Besetzung der Compliance- Funktion sind u.a. Integrität und ein Kommitment zu Compliance, Kompetenz, Ansehen und Durchsetzungsfähigkeit sowie Kommunikationsfähigkeiten. Zudem muss der Inhaber der Compliance-Funktion frei von Interessenskonflikten sein.283 Ein zentraler Prozess innerhalb des CMS ist die Identifikation der Compliance- Verpflichtungen. Zunächst sollten die für die Organisation relevanten Verpflichtungen (z.B. Gesetze, Rechtsprechung oder freiwillige Verpflichtungen) und deren Auswirkungen auf die Aktivitäten, Produkte und Dienstleistungen der Organisation systematisch identifiziert werden. Die relevanten Compliance-Verpflichtungen sollten zudem in angemessener Weise je nach Größe, Komplexität und Struktur der Organisation dokumentiert werden.284 Um eine kontinuierliche Regeltreue zu gewährleisten, sollten Prozesse implementiert werden, die Änderungen der Compliance-Verpflichtungen und ihrer Auswirkungen identifizieren sowie sicherstellen, dass das Compliance Management entsprechend angepasst wird.285 Aufbauend auf der Identifikation der organisationsspezifischen Verpflichtungen sollte die Identifikation und Bewertung der Compliance-Risiken erfolgen. Die Risikoanalyse sollte die Untersuchung der Gründe und Quellen von möglichen Compliance-Verstößen, deren Auswirkung sowie der Wahrscheinlichkeit für das Auftreten von Compliance-Fällen umfassen. Dabei sollte im Rahmen der Risikobewertung u.a. ein Abgleich des identifizierten Risikolevels mit dem Risikoniveau, das die Organisation zu akzeptieren bereit ist, durchgeführt werden. Die Risikobewertung ist in regelmäßigen Abständen oder bei Veränderungen der Organisation oder der Rahmenbedingungen, wie z.B. der Einführung neuer Produkte, einem Wechsel der Strategie oder veränderten Marktbedingungen, zu aktualisieren.286 Auf Basis der Risikoanalyse und unter Berücksichtigung der zugrunde gelegten Governance-Prinzipien sollten die Compliance-Risiken bestimmt werden, die innerhalb der Organisation zu adressieren sind. Dabei sollten die Maßnahmen geplant werden, anhand derer die Risiken gesteuert werden können. Zudem ist festzulegen, wie diese Maßnahmen in das CMS integriert werden.287 Einhergehend mit der Implementierung des Compliance-Programms (Maßnahmen) sind auch die Compliance- Ziele auf den relevanten Funktionen und Managementebenen zu adressieren. Dabei ist u.a. darauf zu achten, dass diese mit der Compliance-Richtlinie in Einklang stehen, messbar sind und – wie die Compliance-Risiken – kommuniziert werden. Im Rahmen der Planung, wie diese Ziele erreicht werden können, ist festzulegen, welche Maßnahmen ergriffen, welche Ressourcen benötigt und wie die Ergebnisse bewertet werden. Zudem sollten die Verantwortlichkeiten bestimmt werden.288 283 Vgl. ISO 19600, S. 12 Tz. 5.3.4. 284 Vgl. ebda. S. 6 Tz. 4.5.1. 285 Vgl. ebda. S. 6-7 Tz. 4.5.2. 286 Vgl. ebda. S. 7 Tz. 4.6. 287 Vgl. ebda. S. 13 Tz. 6.1. 288 Vgl. ebda. S. 14 Tz. 6.2. 2.3 Theoretische Sollkonzepte für die Ausgestaltung von Compliance Management und Compliance Management Systemen 63 Nach Festlegung und Planung der Maßnahmen und Prozesse sollten Kontrollen implementiert werden, um die Einhaltung der Compliance-Verpflichtungen zu gewährleisten. Soweit möglich sollten die Kontrollen in die bestehenden Unternehmensprozesse integriert werden. Beispiele für solche Kontrollen sind z.B. Genehmigungsverfahren oder die Trennung von unvereinbaren Funktionen und Verantwortlichkeiten. Um die Effektivität der Kontrollen sicherzustellen, sollten diese einer kontinuierlichen Überprüfung und Bewertung unterzogen werden. Des Weiteren sollten Verfahren implementiert und dokumentiert werden, um die Compliance-Richtlinie umzusetzen und die Compliance-Verpflichtungen in den betrieblichen Abläufen abzubilden.289 Sofern betriebliche Prozesse an externe Dritte ausgelagert sind, sollten diese einem Monitoring durch das Unternehmen unterliegen, da eine Auslagerung die Unternehmensleitung nicht von der Compliance-Verantwortung entlastet.290 Einen wesentlichen Baustein des CMS stellen zudem das Monitoring und der Verbesserungsprozess dar. Das etablierte CMS sollte einem kontinuierlichen Monitoring unterliegen, um die Performance und Effektivität des CMS zu überprüfen. Hierfür sollte in einem Monitoring-Plan festgelegt werden, welche Bereiche des CMS dem Monitoring unterliegen und welche Methoden für das Monitoring sowie die Bewertung und Analyse der Monitoring-Ergebnisse verwendet werden. Typische Bereiche des CMS, die einem Monitoring unterliegen sollten, sind z.B. die Effektivität von Kontrollen, Schulungen oder die Festlegung der Compliance-Verantwortlichkeiten. Um die Performance des CMS zu beurteilen, sind insbesondere die Fälle von Non- Compliance, nicht erreichte Compliance-Ziele sowie der Status der Compliance-Kultur zu überprüfen.291 Informationen können dabei von Mitarbeitern, Kunden, Lieferanten oder anderen Stakeholdern über verschiedene Informationskanäle, wie z.B. Hinweisgebersysteme, Workshops oder Umfragen, stammen.292 Um den Grad der Erreichung der Compliance-Ziele sowie die Performance des CMS bewerten zu können, sollten messbare Kennzahlen entwickelt und verwendet werden.293 Um die zeitgerechte und umfassende Information der Unternehmensführung und der Compliance-Verantwortlichen über die Wirksamkeit des CMS und Fälle von Non-Compliance zu gewährleisten, ist ein regelmäßiges bzw. planmäßiges Compliance-Reporting zu etablieren. Zu diesem Zweck sind z.B. berichtspflichtige Sachverhalte zu definieren, die Reporting-Intervalle zu bestimmen und Prozesse zu implementieren, um die Vollständigkeit und Richtigkeit der Informationen sicherzustellen. Das Compliance-Reporting sollte in das bestehende Unternehmens-Reporting integriert werden. Lediglich für schwerwiegende Fälle von Non-Compliance sollten eigenständige Berichte erstellt werden. Neben dem planmäßigen Reporting sollte zudem eine Ad-hoc-Berichterstattung für akute Fälle von Non-Compliance etabliert werden. Mögliche Inhalte des planmäßigen Compliance-Reportings sind beispielsweise Veränderungen der Compliance-Verpflichtungen, deren Auswirkungen auf das 289 Vgl. ISO 19600, S. 19-20 Tz. 8.2. 290 Vgl. ebda. S. 20 Tz. 8.3. 291 Vgl. ebda. S. 21 Tz. 9.1.1 und 9.1.2. 292 Vgl. ebda. S. 22 Tz. 9.1.3 und 9.1.4. 293 Vgl. ebda. S. 23 Tz. 9.1.6. 2 Compliance Management – theoretische Grundlagen 64 Unternehmen und die geplanten Reaktionen, Informationen über Monitoring-Aktivitäten oder die Bewertung der Performance und Effektivität des CMS.294 Neben den Monitoring-Aktivitäten sollte die Organisation auch regelmäßig externe Prüfungen des CMS sowie Management-Reviews durchführen. Dabei soll im Rahmen der Audits überprüft werden, ob das CMS der durch die Unternehmensleitung festgelegten Konzeption sowie den Anforderungen des ISO 19600 entspricht sowie wirksam implementiert und aufrechterhalten wird. Die Management-Reviews sollten ihren Fokus u.a. darauf legen, ob die Compliance-Richtlinie und die bereitgestellten Ressourcen noch angemessen sind und inwieweit die Compliance-Ziele erreicht wurden. Die Ergebnisse sollten dann im Rahmen des Verbesserungsprozesses adressiert werden, wie z.B. die Notwendigkeit von Anpassungen der Compliance- Richtlinie, der Compliance-Ziele oder Schwächen im bestehenden CMS.295 Treten Fälle von Non-Compliance in der Organisation auf, so müssen zunächst Kontroll- und Korrekturhandlungen vorgenommen und/oder die Konsequenzen bewältigt werden. Auf die akute Krisenbewältigung sollte sodann die Analyse der Ursachen des Compliance-Verstoßes folgen, um die Notwendigkeit für Anpassungen des CMS zu ermitteln.296 Zum Zwecke der Bewältigung von Compliance-Fällen sollte ein Eskalationsprozess implementiert werden, der genau festlegt, wem, wie und wann Compliance-Fälle zu berichten sind.297 Die Erkenntnisse aus dem Compliance-Reporting, den Monitoring-Aktivitäten, den Audits und Management-Reviews sowie den Ursachenanalysen bei aufgetretenen Compliance-Fällen sollten für die kontinuierliche Verbesserung des CMS genutzt werden. Ziel sollte die Verbesserung der Eignung, Angemessenheit und Effektivität des CMS sein.298 Fazit Zusammenfassend ist festzuhalten, dass der ISO 19600 grundlegende Prinzipien, Bausteine und Handlungsempfehlungen für die Entwicklung, Implementierung und Aufrechterhaltung eines Compliance Management Systems vorgibt. Dabei wird insbesondere die hohe Bedeutung der Compliance-Kultur, geprägt durch das Compliance- Kommitment der Führungskräfte einer Organisation („tone at the top“), der Risikoanalyse bestehend aus Risikoidentifikation und Bewertung, der Kommunikation und Schulung von Compliance-Themen sowie des fortwährenden Monitoring- und Verbesserungsprozesses betont. Zudem ist die richtige Besetzung der Compliance-Funktion sowie deren adäquate hierarchische Einordnung und Ressourcenausstattung ein maßgeblicher Einflussfaktor für ein wirksames und effektives Compliance Management. 2.3.1.2.4 294 Vgl. ISO 19600, S. 23-24 Tz. 9.1.7 und 9.1.8. 295 Vgl. ebda. S. 25 Tz. 9.2 und S. 25-26 Tz. 9.3. 296 Vgl. ebda. S. 26-27 Tz. 10.1.1. 297 Vgl. ebda. S. 27 Tz. 10.1.2. 298 Vgl. ebda. S. 27 Tz. 10.2. 2.3 Theoretische Sollkonzepte für die Ausgestaltung von Compliance Management und Compliance Management Systemen 65 Theoretische Grundlagen zur Compliance-Organisation und zu den Compliance- Instrumenten Einordnung Nachdem im vorangehenden Kapitel 2.3.1 zwei bedeutende theoretische Rahmenwerke für die Konzeption und Implementierung von Compliance Management Systemen dargestellt wurden, sollen nachfolgend der Aufbau und die Struktur einer Compliance-Organisation sowie mögliche Instrumente eines CMS konkretisiert werden. Aufbau und Struktur einer Compliance-Organisation Compliance-Funktion – Verantwortlichkeiten im Rahmen des Beauftragten- Systems innerhalb eines Unternehmens Unternehmensleitung Wie in Kapitel 2.2.2 dargelegt, ist aufgrund gesetzlicher und regulatorischer Vorschriften die Einrichtung und Überwachung eines Compliance-Systems als Leitungsaufgabe der Gesamtverantwortung der Unternehmensleitung zuzurechnen. Im Rahmen dieser Organisationspflicht hat die Unternehmensleitung hinsichtlich der Ausgestaltung der Compliance-Organisation grundsätzlich ein weitreichendes Ermessen. So kann die Unternehmensleitung im Wege der sog. horizontalen Delegation insbesondere ein Compliance-Ressort bilden und die Ressort-Verantwortung einem Vorstand bzw. einem Geschäftsführer zuweisen. Dieser ist dann hauptverantwortlich für das Compliance-System, während sich die Verantwortung der weiteren Mitglieder der Unternehmensleitung primär auf die Überwachung des Compliance-Ressorts beschränkt. Die Gesamtverantwortung der Unternehmensleitung für rechtskonformes Verhalten des Unternehmens (und seiner Mitarbeiter) – verstanden als Umsetzungsund nicht Erfolgsverantwortung – bleibt jedoch bestehen.299 Durch eine vertikale Delegation kann die Unternehmensleitung einen oder mehrere Compliance-Beauftragte als operativ Handelnde innerhalb des Compliance-Ressorts installieren. Je nach Art des Unternehmens – bestimmt beispielsweise durch die Rechtsform, die Größe, die Komplexität, eine Börsennotierung oder dem Internationalisierungsgrad – kann die Ausgestaltung des Beauftragen-Systems variieren. So kann die vertikale Delegation auf lediglich eine weitere Ebene (zentraler Compliance- Beauftragter) oder – bei größeren und komplexeren Unternehmen – auf zwei weitere Ebenen (zentraler Compliance-Beauftragter und dezentrale Compliance-Beauftragte) 2.3.2 2.3.2.1 2.3.2.2 2.3.2.2.1 2.3.2.2.1.1 299 Vgl. Koch (2016), § 76 Rn. 12; Bürkle (2016), S. 1157 Rn. 9, S. 1158-1159 Rn. 11-16; Klahold, C./ Lochen, S., in: Hauschka/Moosmayer/Lösler, Corporate Compliance, 3. Auflage 2016, S. 1192-1193 Rn. 18; Inderst (2013), S. 107 Rn. 2-3. 2 Compliance Management – theoretische Grundlagen 66 erfolgen. Trotz dieser vertikalen Delegation verbleibt die Gesamtverantwortung für die Regelkonformität des Unternehmens bei der Unternehmensleitung.300 Zentraler Compliance-Beauftragter Dem zentralen Compliance-Beauftragten (alternative Bezeichnungen: „Compliance- Officer“ bzw. „Chief Compliance Officer“) kommt im Compliance-System eine exponierte Rolle zu. Er ist verantwortlich für die Umsetzung der Entscheidungen der Unternehmensleitung in Bezug auf das CMS, also insbesondere für die Implementierung, Dokumentation und Weiterentwicklung des Systems. Als Inhaber einer zentralen Funktion kann der Compliance-Officer für unternehmensweit einheitliche Compliance-Standards sorgen. Daneben ist er der primäre Berater der Unternehmensleitung bei allen Compliance-relevanten Fragestellungen und zuständig für die Berichterstattung an die Unternehmensleitung [planmäßig und bedarfsbezogen (ad-hoc)]. Zudem ist er für die Überwachung der unternehmensspezifischen Compliance und – jedoch delegierbar auf dezentrale Compliance-Beauftragte, Mitarbeiter der Rechtsabteilung oder externe Berater – für die Schulung und Information der Mitarbeiter verantwortlich. Des Weiteren muss er den Mitarbeitern als Ansprechpartner für Compliance-Fragen zur Verfügung stehen und sollte daher auch – sofern vorhanden – Empfänger des Hinweisgebersystems sein. Darüber hinaus sollte der zentrale Compliance- Beauftragte erster Ansprechpartner des Unternehmens für externe Stellen, wie z.B. Aufsichts- oder Ermittlungsbehörden, Wirtschaftsprüfer oder Medien, in sämtlichen Compliance-relevanten Fragestellungen sein. Sofern im Unternehmen eine dritte Ebene im Beauftragten-System – die dezentralen Compliance-Beauftragten – existiert, hat er diese bei der Risikoanalyse und der Entwicklung adäquater Konzepte für die Compliance-Struktur und die Compliance-Aktivitäten zu unterstützen. Zudem ist er für die Koordinierung und Bündelung der Berichte der dezentralen Compliance- Funktionen zuständig.301 Grundvoraussetzung für die effektive Ausübung der Funktion des Compliance- Officer ist die sachliche Unabhängigkeit. Das bedeutet, dass der Funktion des Compliance-Officer keine operativen Aufgaben zugeordnet, sondern diese vielmehr als – direkt der Unternehmensleitung unterstellte – Stabsstelle konzipiert sein sollte. Dabei steht der fachlichen Unabhängigkeit die Weisungsbefugnis der Unternehmensleitung – die sich aus der Leitungsverantwortung ergibt – nicht entgegen. Zudem benötigt der Compliance-Officer für die effektive Ausübung seiner Tätigkeit das Recht auf un- 2.3.2.2.1.2 300 Vgl. Bürkle (2016), S. 1162-1163 Rn. 26-27; Klahold/Lochen (2016), S. 1193-1194 Rn. 19-20; Behringer, S./Reusch, P., in: Behringer, Compliance für KMU, 2012, S. 240 Tz. 2.2, S. 251 Tz. 3.2; Withus (2014), S. 138-140 Tz. 4.5.5.; Moosmayer (2015), S. 31-32 Rn. 105-107. 301 Vgl. ebda. S. 1164-1166 Rn. 33-41; Inderst (2013), S. 110 Rn. 12, S. 116-117 Rn. 36-38, S. 118-119 Rn. 45-49, S. 121 Rn. 54-55; Withus (2014), S. 138-140 Tz. 4.5.5; Behringer/Reusch (2012), S. 240-244 Tz. 2.2; Moosmayer (2015), S. 35-36 Rn. 124-125. 2.3 Theoretische Sollkonzepte für die Ausgestaltung von Compliance Management und Compliance Management Systemen 67 begrenzte Auskunft und Dokumenteneinsicht sowie einen unbeschränkten Kommunikationszugang zu den Unternehmensbereichen und Mitarbeitern.302 Je nach Größe bzw. Risikoprofil des jeweiligen Unternehmens wird oftmals die Funktion des zentralen Compliance-Beauftragten keiner vollen, eigenständigen Stelle, sondern einer Person mit einer weiteren Funktion bzw. Aufgabe zugewiesen. Insbesondere ist in der Unternehmenspraxis eine Delegation der Compliance-Funktion auf Mitarbeiter der Bereiche Finanzen, Recht, Personal bzw. Interne Revision zu beobachten. Für eine Delegation an den Bereich Finanzen spricht beispielsweise, dass viele Aufgaben des Compliance Managements den Bereich Finanzen berühren, da die zugrunde liegenden Geschäftsvorfälle im Rechnungswesen abgebildet werden. So können durch Kontrollinstrumente des Rechnungswesens Gesetzesverstöße aufgedeckt werden (z.B. Korruption, kartellrechtliche Compliance durch Preisabsprachen, Steuerhinterziehung u.a.). Zudem hat i.d.R. jedes Unternehmen – unabhängig von seiner individuellen Größe – eine Finanzabteilung bzw. ein Rechnungswesen eingerichtet. Dagegen spricht jedoch, dass das rechtliche Know-how in der Finanzabteilung nicht im Vordergrund steht. Das vorhandene rechtliche Know-how ist wiederum Hauptargument für die Zuweisung der Funktion des Compliance-Beauftragten an die Rechtsabteilung. Allerdings verfügen größenabhängig viele Unternehmen über keine eigene Rechtsabteilung. Hauptargument für eine Delegation der Compliance-Funktion an einen Mitarbeiter der Personalabteilung ist, dass viele der Compliance-relevanten Fragestellungen direkt oder indirekt Personalfragen betreffen (z.B. Allgemeines Gleichbehandlungsgesetz, Arbeitsschutz oder Fortbildung/Schulung). Hauptgegenargument ist jedoch die fehlende Kompetenz in den Bereichen Recht und Finanzen. Gegen eine Delegation an die Interne Revision spricht, dass viele Unternehmen über keine Interne Revision verfügen und diese zudem eine prozessunabhängige Kontrollinstanz darstellen soll. Es zeigt sich somit, dass die Delegation der Funktion des Compliance-Beauftragten in Abhängigkeit von den individuellen Gegebenheiten des jeweiligen Unternehmens – insbesondere von den vorhandenen Kompetenzen und Kapazitäten – erfolgen sollte.303 Mit Blick auf das persönliche Anforderungsprofil des Compliance-Beauftragten ist grundsätzlich eine juristische Ausbildung als vorteilhaft anzusehen, da die Tätigkeit durch die Beschäftigung mit diversen Rechtsgebieten und -vorschriften gekennzeichnet ist. Daneben ist ein Verständnis für Unternehmensprozesse und Unternehmensorganisation von Vorteil. Hinsichtlich der persönlichen Eigenschaften des Compliance-Beauftragten sind Integrität, Neutralität, Standfestigkeit, Kommunikationsund Konfliktfähigkeit als besonders bedeutend hervorzuheben.304 302 Vgl. Bürkle (2016), S. 1167-1169 Rn. 45-49; Withus (2014), S. 144 Tz. 4.5.8; Moosmayer (2015), S. 34 Rn. 113-119. 303 Behringer/Reusch (2012), S. 240-242 Tz. 2.2; Klahold/Lochen (2016), S. 1200-1202 Rn. 47-51. 304 Vgl. Bürkle (2016), S. 1169-1170 Tz. 51-54; Inderst (2013), S. 110-116 Rn. 13-16, 21-22, 24-35; Moosmayer (2015), S. 36-37 Rn. 128-130. 2 Compliance Management – theoretische Grundlagen 68 Dezentrale Compliance-Beauftragte Dezentrale Compliance-Beauftragte können als dem zentralen Compliance-Beauftragten im Beauftragten-System nachgelagerte Ebene entweder in bereichsübergreifenden Funktionen oder in einzelnen operativen Bereichen positioniert sein. Bei den dezentralen Compliance-Beauftragten in übergreifenden Funktionen, wie z.B. Datenschutz oder Geldwäsche, steht dem Vorteil der Neutralität und des spezifischen Know-hows die fehlende Praxisnähe entgegen. Bei in den Fachbereichen angesiedelten dezentralen Compliance-Beauftragten stehen den Vorteilen der Integration in die operativen Abläufe und des unmittelbaren Informationszugangs eine möglicherweise eingeschränkte Objektivität und mögliche Interessenkonflikte gegenüber. Obwohl die dezentralen Compliance-Beauftragten ihre Rolle innerhalb der Compliance-Organisation oftmals als Nebenaufgabe ausüben, erscheint es sinnvoll, dass sie disziplinarisch dem zentralen Compliance-Verantwortlichen unterstellt werden. Sollten sie jedoch dem jeweiligen operativen Bereichsleiter unterstellt sein, sollte zumindest eine direkte Berichtslinie an den zentralen Compliance-Beauftragten implementiert werden. Die gewählte Struktur des Beauftragten-Systems sollte sich grundsätzlich an dem Compliance-Risikoprofil der Funktionen, Prozesse und Betriebsteile des jeweiligen Unternehmens orientieren.305 Wesentliche Aufgabe der dezentralen Compliance-Beauftragten ist die Analyse der Aufbau- und Ablauforganisation innerhalb ihres Bereichs im Hinblick auf die rechtlichen Rahmenbedingungen. Auf Basis der Identifizierung der einschlägigen rechtlichen Vorgaben und Gefährdungspotenziale ist sodann ein adäquates, bereichsbezogenes Compliance-Programm zu implementieren. Zudem müssen die dezentralen Compliance-Beauftragten ihre Aktivitäten, Compliance-Probleme und die Reaktion hierauf dokumentieren und an den zentralen Compliance-Beauftragten berichten.306 Im Hinblick auf die persönlichen Eigenschaften der dezentralen Compliance-Beauftragten gelten die im vorangehenden Kapitel 2.3.2.2.1.2 gemachten Aussagen zum zentralen Compliance-Beauftragten. Demnach sind insbesondere die Eigenschaften Integrität sowie Kommunikations- und Konfliktfähigkeit von besonderer Bedeutung.307 Compliance-Funktion – Besonderheiten des Beauftragten-Systems im Konzern Compliance-Verantwortlichkeiten im Konzern Im Kapitel 2.2.2 wurde die aus der Legalitätspflicht (kodifiziert in § 93 Abs. 1 AktG, § 43 Abs. 1 GmbHG) abgeleitete Verantwortung der Unternehmensleitung zur Etablierung einer Compliance-Organisation – in Abhängigkeit von Risikoprofil und Komplexität des Unternehmens – dargelegt. Folglich gilt auch innerhalb eines Kon- 2.3.2.2.1.3 2.3.2.2.2 2.3.2.2.2.1 305 Vgl. Bürkle (2016), S. 1171-1172 Rn. 58-60; Inderst (2013), S. 121-122 Rn. 56-58. 306 Vgl. ebda. S. 1172-1173 Rn. 62-63, 65. 307 Vgl. ebda. S. 1172-1173 Rn. 63; Inderst (2013), S. 121 Rn. 57. 2.3 Theoretische Sollkonzepte für die Ausgestaltung von Compliance Management und Compliance Management Systemen 69 zerns mit rechtlich selbständigen Einheiten zunächst die Verantwortlichkeit der jeweiligen Geschäftsleitung der einzelnen Konzerngesellschaften. Allerdings muss bei Konzernen die Compliance-Organisation des Mutterunternehmens die nachgeordneten Unternehmen miteinbeziehen, da diese das Risikoprofil der Obergesellschaft maßgeblich beeinflussen können. Die Verantwortlichkeit der Geschäftsleiter des Mutterunternehmens für die Konzern-Compliance ist zudem explizit im DCGK geregelt, wonach der Vorstand für die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien zu sorgen und auf deren Beachtung durch die Konzernunternehmen hinzuwirken hat. Dabei ist jedoch davon auszugehen, dass hinsichtlich der konkreten Ausgestaltung der Compliance-Organisation des Konzerns analog zum alleinstehenden Unternehmen ein Ermessensspielraum besteht. Der Grad der Einbeziehung von Konzerngesellschaften in die Konzern-Compliance wird zudem maßgeblich von deren jeweiliger wirtschaftlichen Bedeutung für den Konzern und deren Risikoprofil beeinflusst. Ein entscheidender Faktor ist außerdem die gesellschaftsrechtliche Einflussmöglichkeit.308 Struktur des Beauftragten-Systems im Konzern Liegt eine Konzernstruktur vor, so empfiehlt es sich, auf Ebene der Obergesellschaft einen zentralen Group Compliance-Officer und auf Ebene der Tochtergesellschaften jeweils einen dezentralen Compliance-Officer zu etablieren. Zum Aufgabenbereich des Group Compliance-Officer gehört insbesondere die Vereinheitlichung und Fortentwicklung des konzernweiten CMS, die Koordinierung der Aktivitäten der Compliance-Officer der Tochtergesellschaften sowie die Auswertung der Informationen und Compliance-Berichte der Tochtergesellschaften und deren Aggregation zu einem konzernweiten Compliance-Bericht. Die Compliance-Officer der Tochtergesellschaften sollen den Group Compliance-Officer bei der Fortentwicklung des konzernweiten CMS unterstützen und ihn mit Informationen versorgen. Des Weiteren sind sie für die Compliance-Aktivitäten in den nachgeordneten Konzerngesellschaften verantwortlich.309 Organisatorische Eingliederung der Compliance-Funktion bzw. der Compliance- Abteilung im Unternehmen In der Unternehmenspraxis bestehen verschiedene Möglichkeiten im Hinblick auf die organisatorische Einordnung der Compliance-Funktion bzw. der Compliance-Abteilung, wobei die optimale Ausgestaltung von den individuellen Rahmenbedingungen des jeweiligen Unternehmens abhängt.310 Unabhängig von der konkreten Umsetzung im Einzelfall ist die größtmögliche Unabhängigkeit der Compliance-Funktion für die Effektivität des Compliance Managements besonders bedeutend und daher bei der 2.3.2.2.2.2 2.3.2.2.3 308 Vgl. Bürkle (2016), S. 1178-1179 Rn. 82-84, S. 1181 Rn. 88; DCGK, Tz. 4.1.3. 309 Vgl. ebda. S. 1162-1163 Rn. 26-27, S. 1180-1181 Rn. 87; Inderst (2013), S. 121-122 Rn. 56-58. 310 Vgl. Inderst (2013), S. 123 Rn. 61. 2 Compliance Management – theoretische Grundlagen 70 Implementierung eines CMS und der hierarchischen Einordnung der Compliance- Funktion in die Unternehmensorganisation zu berücksichtigen.311 Nachfolgend soll ein kurzer Überblick über die in der Unternehmenspraxis am häufigsten anzutreffenden Organisationsmodelle gegeben werden. Compliance-Funktion als Stabsstelle Ein häufig anzutreffendes Modell sieht die Compliance-Funktion als Stabsstelle, welche unmittelbar der Geschäftsleitung zugeordnet ist und direkt an diese berichtet. Vorteile dieser Variante sind die Unabhängigkeit der Compliance-Funktion bzw. des Compliance-Beauftragten und die Hervorhebung der Bedeutung des Compliance Managements.312 In einer Abwandlung des vorgenannten Modells ist die Compliance-Funktion unmittelbar dem Vorsitzenden der Geschäftsleitung zugeordnet. Hierdurch wird die Bedeutung des Compliance Managements und der Compliance-Funktion noch stärker betont.313 Compliance-Funktion als Teil des Risikomanagements In einer dritten Variante wird Compliance Management organisatorisch als Teil des Risikomanagements eingestuft. Das bedeutet, dass der zentrale Compliance-Beauftragte unterhalb des Leiters Risikomanagement angesiedelt ist und folglich an diesen berichtet. Die Compliance-Funktion wird somit als Teilbereich des Risikomanagements verstanden. Gegen diese Variante spricht jedoch, dass zur Compliance-Überwachung der Rechtskonformität von Unternehmen auch die Prüfung der Existenz eines adäquaten Risikomanagementsystems, zumindest aber eines sachgerechten Risikofrüherkennungssystems i.S.d. § 91 Abs. 2 AktG, gehört. Eine Integration der Compliance-Funktion in das Risikomanagement würde jedoch dazu führen, dass diese ein Teil eines von ihr zu überwachenden Bereiches wird. Diesbezüglich wäre insoweit die Unabhängigkeit der Compliance-Funktion nicht gewährleistet.314 Compliance-Funktion als Teil der Rechtsabteilung Eine weitere Variante ordnet den zentralen Compliance-Beauftragten unterhalb des Leiters der Rechtsabteilung ein. Aufgrund der thematischen Nähe des Compliance Managements zur Rechtsabteilung bietet sich dieses Modell besonders für kleinere Unternehmen mit beschränkten personellen Ressourcen an.315 2.3.2.2.3.1 2.3.2.2.3.2 2.3.2.2.3.3 311 Vgl. Inderst (2013), S. 125 Rn. 66. 312 Vgl. ebda. S. 123 Rn. 62. 313 Vgl. ebda. S. 124 Rn. 64. 314 Vgl. ebda. S. 124 Rn. 63; Bürkle (2016), S. 1174-1175 Rn. 70. 315 Vgl. Inderst (2015), S. 125 Rn. 65; Bürkle (2016), S. 1169 Rn. 51. 2.3 Theoretische Sollkonzepte für die Ausgestaltung von Compliance Management und Compliance Management Systemen 71 Sonstige Varianten der organisatorischen Einordnung der Compliance-Funktion Neben den vorstehend dargestellten Möglichkeiten der Einordnung der Compliance- Funktion finden sich in der Unternehmenspraxis noch weitere Konstellationen, wie z.B. die Einordnung der Compliance-Funktion unterhalb des Finanzvorstands oder innerhalb der internen Revision.316 In beiden Bereichen ist das rechtliche Know-how zumeist nicht besonders stark ausgeprägt, weshalb die Zuweisung der Compliance- Funktion zu diesen Bereichen nicht als beste Lösung erscheint. Fazit Die vorstehenden Ausführungen zur Compliance-Organisation und ihrer Einordnung in die Unternehmensorganisation zeigen, dass eine Vielzahl an möglichen Ausgestaltungen denkbar ist. Insofern gilt es, für die jeweiligen individuellen Rahmenbedingungen von Unternehmen die optimale Struktur zu finden und zu implementieren. Dabei ist von entscheidender Bedeutung für den Erfolg des Compliance-Systems – gemessen anhand der Effektivität und Wirksamkeit des CMS – die Unabhängigkeit, Autorität und Kompetenz der Compliance-Funktion bzw. der diese ausführenden Personen. Instrumente des Compliance Managements Vorbemerkung Unternehmen können viele verschiedene Maßnahmen und Prozesse einsetzen, um bestmögliche Compliance anzustreben. Nachfolgend sollen die in der Unternehmenspraxis am häufigsten anzutreffenden Instrumente des Compliance Managements dargestellt werden. Die Verwendung dieser Instrumente wird zudem in der im Kapitel 3 dargestellten Studie näher analysiert. Compliance-Kultur, Code of Conduct, Richtlinien und Verhaltensanweisungen Die Wirksamkeit eines CMS, insbesondere die Akzeptanz von Compliance-Organisation und Compliance-Programm, sind maßgeblich von einer im Unternehmen verankerten positiven Compliance-Kultur abhängig. Die Compliance-Kultur wird dabei insbesondere durch die Grundeinstellungen und Verhaltensweisen der Unternehmensleitung und des Managements geprägt. Unternehmensleitung und Management besitzen eine Vorbildfunktion und sollten dieser durch integres, verantwortungsvolles und werteorientiertes Verhalten nachkommen („tone at the top“), um eine von hoher Ethik und Moral geprägte Unternehmenskultur zu etablieren. Neben dem Vorleben von Unternehmensleitung und Management sind weitere Instrumente zur Stärkung und Durchsetzung der Compliance-Kultur z.B. das Unternehmensleitbild, der Verhaltenskodex (z.B. „Code of Conduct“ oder „Code of Ethics“) oder das Bekenntnis der 2.3.2.2.3.4 2.3.2.2.4 2.3.2.3 2.3.2.3.1 2.3.2.3.2 316 Vgl. Inderst (2013), S. 125 Rn. 66. 2 Compliance Management – theoretische Grundlagen 72 Unternehmensleitung zur Rechtstreue des Unternehmens in Form einer schriftlichen Verpflichtung (sog. „Mission Statement“).317 Insbesondere der Code of Conduct ist ein zentrales Element des Compliance- Programms. Er sollte alle wesentlichen Bestandteile der im jeweiligen Unternehmen erwünschten Compliance-Kultur und der erforderlichen Maßnahmen zumindest in Kürze aufführen. Demzufolge sollte er sämtliche gesetzlich vorgeschriebenen, aufsichtsrechtlichen und freiwilligen Maßnahmen umfassen und darstellen, um sicherzustellen, dass die Geschäftstätigkeit in rechtskonformer Weise erfolgt. Zudem sollten die moralischen und ethischen Regeln des Unternehmens dargestellt werden. Typische Bestandteile eines Code of Conduct sind z.B. das Kommitment der Unternehmensleitung zur Compliance („Tone from the Top“), Hinweise zur Verbindlichkeit des Codes und zur Sanktionierung bei Verstößen, Regelungen zu den wesentlichen Compliance-Risikobereichen des jeweiligen Unternehmens (z.B. Antikorruption, Kartellrecht, Zuwendungen an Dritte oder Arbeits- und Umweltschutz) sowie Informationen zur Compliance-Organisation (Aufbau- und Ablauforganisation, Compliance- Verantwortlichkeiten). Der Code of Conduct soll als Orientierungshilfe für die Mitarbeiter dienen. Daher ist seine Bekanntmachung gegenüber den Mitarbeitern von hoher Bedeutung. Die Vorgaben des Code of Conducts sollten außerdem unternehmensweit Verbindlichkeit besitzen. Diese Verbindlichkeit kann beispielsweise über eine Einbeziehung in die arbeitsvertraglichen Regelungen der Mitarbeiter erreicht werden.318 Neben dem Code of Conduct sind Compliance-Richtlinien und Verhaltensanweisungen sinnvolle Instrumente, um die Compliance-Kultur und die anzuwendenden Prinzipien zu dokumentieren und zu kommunizieren. Spezielle Richtlinien und Verhaltensanweisungen eignen sich besonders, die im Code of Conduct dargelegten Grundsätze detailliert zu erläutern. Zudem können sich einzelne Richtlinien auch nur an abgegrenzte Mitarbeitergruppen oder Funktionsbereiche mit speziellen Compliance-Risiken richten, während der Code of Conduct für das gesamte Unternehmen und sämtliche Mitarbeiter Gültigkeit besitzen sollte sowie von allen Mitarbeitern verbindlich einzuhalten ist. Es kann sinnvoll sein, die Richtlinien mit weiterführenden Hinweisen, wie z.B. Gesetzestexten, Rechtsprechung oder einschlägigen Fundstellen aus der Fachliteratur, zu verknüpfen. Für die wirksame Anwendung der Richtlinien und Verhaltensanweisungen ist analog zum Code of Conduct die Bekanntmachung gegenüber dem betroffenen Mitarbeiterkreis von hoher Bedeutung. Die Bekanntmachung kann im Rahmen von Schulungsmaßnahmen oder über eine bloße Veröffentlichung im Intranet erfolgen.319 317 Vgl. IDW PS 980, S. 6 Rn. 23, S. 23 Rn. A14; Inderst (2013), S. 107-109 Rn. 3-9; Klahold/Lochen (2016), S. 1188-1189 Rn. 6, S. 1192 Rn. 15; Wendt, M., in Hauschka/Moosmayer/Lösler, Corporate Compliance, 3. Auflage 2016, S. 276-277 Rn. 1-3; Rieder/Falge (2013), S. 28-29 Rn. 48; Wendt, M., in: Behringer, S., Compliance für KMU, 2012, S. 209 Tz. 4.2; Moosmayer (2015), S. 43-44 Rn. 144. 318 Vgl. Inderst (2013), S. 129-130 Rn. 12-16; Moosmayer (2015), S. 45-49 Rn. 154-173; Schemmel, A./ Ruhmannseder, F./Witzigmann, T., in: Schemmel/Ruhmannseder/Witzigmann, Hinweisgebersysteme, 2012, S. 32 Rn. 101. 319 Vgl. Inderst (2013), S. 132-133 Rn. 25-28; Moosmayer (2015), S. 47 Rn. 162, S. 49 Rn. 172. 2.3 Theoretische Sollkonzepte für die Ausgestaltung von Compliance Management und Compliance Management Systemen 73 Hinweisgebersystem Unter einem Hinweisgebersystem (sog. „Whistleblowing Hotline“) wird die Gesamtheit der Regelungen eines Unternehmens über den Umgang mit Informationen zu gesetzeswidrigen oder unmoralischen Verhaltensweisen anderer Unternehmensmitarbeiter sowie die erforderliche Infrastruktur bezeichnet. Zu regeln sind insbesondere die Pflicht zum Geben von Hinweisen, der Umgang mit der Identität des Hinweisgebers (anonym oder nicht-anonym), die Festlegung des Hinweisadressaten und die Möglichkeiten der Hinweisübermittlung. Die getroffenen Regelungen sollten im Verhaltenskodex („Code of Conduct“) oder in einer separaten Richtlinie (sog. „Whistleblowing Guidelines“) dokumentiert werden.320 Ziel des Hinweisgebersystems ist die Gewinnung von Informationen zur Prävention von Non-Compliance sowie zur Aufdeckung und Aufklärung von aufgetretenen Regelverstößen. Hinweisgebersysteme sind damit ein wichtiger Bestandteil von Compliance-Systemen und ein bedeutender Erfolgsfaktor für interne Ermittlungen. Das Hinweisgebersystem soll zudem signalisieren, dass das Unternehmen eine Kultur der Offenheit und des Vertrauens sowie der Transparenz fördert.321 Der Gegenstand von Meldungen über ein Hinweisgebersystem sollte auf Kernthemen mit einer materiellen Bedeutung für das Unternehmen eingegrenzt werden. Gegenstand können z.B. Informationen über Verstöße gegen Gesetze, Verstöße gegen den Code of Conduct oder andere Richtlinien des Unternehmens oder sonstige Handlungen, die materielle negative Auswirkungen auf das Unternehmen oder seine Mitarbeiter haben könnten, sein.322 Hinsichtlich der Ausgestaltung des Hinweisgebersystems gibt es verschiedene Möglichkeiten. Das Hinweisgebersystem kann beispielsweise elektronisch als virtueller Briefkasten (Email-System) konzipiert sein. Alternativ besteht die Möglichkeit eines physischen Briefkastens für die Übermittlung von Meldungen per Briefpost. Daneben sind zudem Telefonhotlines oder die Übermittlung per Fax gängige Varianten. Auch das persönliche Gespräch des Hinweisgebers mit dem Hinweisadressaten stellt einen möglichen Kommunikationsweg dar. Dabei können diese verschiedenen Kommunikationswege an interne oder externe Hinweisadressaten, die das Hinweisgebersystem zudem betreiben, gerichtet werden. Insoweit kann zwischen internen und externen Hinweisgebersystemen unterschieden werden. Interne Hinweisadressaten sind typischerweise die Compliance-Abteilung, der Compliance-Officer, Organe des Unternehmens oder die Rechts- bzw. Revisionsabteilung des Unternehmens. Externe Hinweisadressaten sind z.B. externe Ombudspersonen, externe Rechtsanwälte oder professionelle Anbieter von Hinweisgebersystemen (z.B. Internet-basierte Whistleblowing-Hotlines oder Call-Center). Ein Unternehmen kann auch mehrere der dar- 2.3.2.3.3 320 Vgl. Schemmel/Ruhmannseder/Witzigmann (2012), S. 8-9 Rn. 26-28, S. 32 Rn. 101; Inderst (2013), S. 134-135 Rn. 36-37; Buchert (2016), S. 1325 Rn. 100. 321 Vgl. Inderst (2013), S. 134-135 Rn. 34-37; Buchert, R./Jacob-Hofbauer, C., in: Knierim/Rübenstahl/ Tsambikakis, Internal Investigations, 2013, S. 223 Rn. 1. 322 Vgl. Inderst (2013), S. 135 Rn. 36; Buchert (2016), S. 1326 Rn. 104-105; Schemmel/Ruhmannseder/ Witzigmann (2012), S. 31 Rn. 97. 2 Compliance Management – theoretische Grundlagen 74 gestellten Varianten parallel implementieren. Wichtig ist dabei vor allem, dass die strenge Vertraulichkeit der Informationen gewahrt wird.323 Im Rahmen der Implementierung eines Hinweisgebersystems muss zudem entschieden werden, wie mit der Identität des Hinweisgebers umzugehen ist. In dem sog. offenen Whistleblowing wird die Identität des Hinweisgebers offengelegt, während im sog. anonymen Whistleblowing die Identität des Hinweisgebers geheim bleibt. Daneben bestehen noch weitere Varianten. So kann ein Unternehmen die Entscheidung über den Umgang mit der Identität z.B. auch dem Hinweisgeber selbst überlassen oder den Hinweisgeber verpflichten, seine Identität einer unternehmensfremden Stelle oder Person offenzulegen.324 Neben dem Umgang mit der Identität des Hinweisgebers ist bei der Implementierung eines Hinweisgebersystems außerdem darüber zu entscheiden, wer Hinweisgeber sein kann bzw. darf. So kann das Hinweisgebersystem z.B. nur für aktuelle und ggf. ehemalige Angehörige des Unternehmens (wie z.B. Mitarbeiter oder Organe) zugänglich sein oder aber auch für weitere Stakeholder des Unternehmens wie z.B. Kunden oder Lieferanten.325 Compliance-Schulungen Compliance-Schulungen sind ein wichtiges Instrument der internen Compliance- Kommunikation, um den Mitarbeitern das im Unternehmen bestehende Compliance Management System, das implementierte Compliance-Programm, die für das Unternehmen und die Mitarbeiter einzuhaltenden wesentlichen Gesetze und Richtlinien sowie die Konsequenzen bei Verstößen gegen diese Gesetze und Richtlinien zu vermitteln. Anhand der Schulungen sollen die Mitarbeiter insbesondere für die unternehmensspezifischen Compliance-Risiken sensibilisiert werden. Damit stellen Compliance-Schulungen ein bedeutendes Instrument für die Stärkung der Compliance- Kultur im Unternehmen sowie die Wirksamkeit des Compliance-Systems dar.326 Im Hinblick auf die Durchführung von Compliance-Schulungen gibt es verschiedene Möglichkeiten. So können Compliance-Schulungen als Präsenzveranstaltung durch unternehmensinterne Personen oder durch externe Trainer oder Berater erfolgen. Alternativ können Schulungen auch mit Hilfe elektronischer Lernprogramme über das unternehmensinterne Intranet (sog. e-Learning) durchgeführt werden. Zudem kann über die Bereitstellung der relevanten Richtlinien bzw. Anweisungen das Eigenstudium ein Schulungsmittel sein. Während Präsenzveranstaltungen aufgrund ihrer Interaktivität insbesondere bei der Einführung von Compliance-Programmen 2.3.2.3.4 323 Vgl. Inderst (2013), S. 135-136 Rn. 38; Schemmel/Ruhmannseder /Witzigmann (2012), S. 31 Rn. 99; Buchert (2016), S. 1304-1305 Rn. 4-9, S. 1307 Rn. 19-22, S. 1314-1316 Rn. 51-58; Buchert/Jacob- Hofbauer (2013), S. 226-229 Rn. 15-28; Moosmayer (2015), S. 53 Rn. 184-186. 324 Vgl. Schemmel/Ruhmannseder/Witzigmann (2012), S. 30 Rn. 95; Buchert/Jacob-Hofbauer (2013), S. 226-229 Rn. 15-28; Moosmayer (2015), S. 53 Rn. 184-186. 325 Vgl. Schemmel/Ruhmannseder/Witzigmann (2012), S. 29-30 Rn. 92-94; Buchert (2016), S. 1325 Rn. 101; Moosmayer (2015), S. 52 Rn. 181. 326 Vgl. Klahold/Lochen (2016), S. 1205 Rn. 60; Inderst (2013), S. 138 Rn. 47-49; Moosmayer (2015), S. 49-50 Rn. 175, S. 51 Rn. 178. 2.3 Theoretische Sollkonzepte für die Ausgestaltung von Compliance Management und Compliance Management Systemen 75 als sinnvoll angesehen werden, bieten sich Schulungen per e-Learning vor allem für Auffrischungs- bzw. Grundlagenkurse und bei einer großen Anzahl von Mitarbeitern aus Zeit-, Kosten- und Kapazitätsgründen an. Der Einsatz von externen Trainern oder Beratern ist aufgrund der oftmals höheren Akzeptanz bei den Mitarbeitern insbesondere zu Beginn einer Trainingsreihe sinnvoll. Um das Problembewusstsein der Mitarbeiter zu erhöhen und die Praxisrelevanz zu verdeutlichen, empfehlen sich als Präsenzveranstaltungen v.a. Workshops mit konkreten Fallbeispielen. Am besten empfiehlt sich eine Mischung aus den unterschiedlichen Schulungsmethoden. Unabhängig von der gewählten Form ist die regelmäßige Durchführung bzw. Wiederholung der Schulungen von hoher Bedeutung.327 Zentrale Einflussfaktoren für die Effektivität der Schulungsmaßnahmen sind, dass es sich jeweils um homogene Schulungsgruppen handelt und die Schulungen zudem auf den jeweiligen Teilnehmerkreis fachspezifisch zugeschnitten werden. Da beispielsweise für Mitarbeiter der Finanzabteilung andere Compliance-Risiken bestehen als für Mitarbeiter des Vertriebs oder der IT-Abteilung, sollten die Schulungsinhalte entsprechend angepasst werden.328 Die durchgeführten Schulungsmaßnahmen samt Teilnehmer sollten zu Nachweiszwecken stets dokumentiert werden.329 Ombudssystem Die Funktion der Ombudsperson330 kann als unparteiische Schiedsperson und Vertrauensanwalt charakterisiert werden. Das bedeutet, dass Ombudspersonen Ansprechpartner der Mitarbeiter von Unternehmen für Fragen, Probleme und Anliegen – insbesondere im Zusammenhang mit Straftaten und sonstigen Unregelmäßigkeiten – sind. Neben dieser Funktion als Ansprechpartner für die Mitarbeiter sollten die Ombudspersonen zudem die Klärung der angesprochenen Sachverhalte anstoßen. Dies kann durch Weitergabe der Sachverhalte an Fachabteilungen oder sonstige Gremien erfolgen. Bei benötigten zusätzlichen Informationen im Rahmen der Aufklärung des Sachverhalts sollte die Ombudsperson den Dialog mit dem Hinweisgeber führen. Von besonderer Bedeutung für die Akzeptanz des Ombudssystems in Unternehmen ist der vertrauensvolle Umgang mit den i.d.R. sensiblen Informationen. Dies bedingt, dass den Mitarbeitern die Wahl gelassen werden sollte, ob sie ihr Anliegen anonym oder nicht-anonym vorbringen. Zudem sollte das Vorbringen einer Meldung 2.3.2.3.5 327 Vgl. Klahold/Lochen (2016), S. 1205-1206 Rn. 60-62; Inderst (2013), S. 139-140 Rn. 55-56; Moosmayer (2015), S. 51 Rn. 178-179. 328 Vgl. Inderst (2013), S. 138 Rn. 51; Klahold/Lochen (2016), S. 1205-1206 Rn. 60-61; Moosmayer (2015), S. 51 Rn. 178. 329 Vgl. Inderst (2013), S. 139 Rn. 54. 330 Der Begriff der Ombudsperson wird nachfolgend als Synonym für die Begriffe Ombudsfrau, Ombudsmann bzw. Ombudsrat verwendet. 2 Compliance Management – theoretische Grundlagen 76 nicht zu Nachteilen für den Hinweisgeber führen, was innerhalb des Unternehmens klar kommuniziert werden sollte.331 Hinsichtlich der Wahl der Ombudsperson ist zu beachten, dass das Vertrauen der Mitarbeiter in die Person sowie in deren vertraulichen Umgang mit den gegebenen Informationen die wichtigsten Auswahlkriterien sind. So kann ein Unternehmen eine interne oder externe Person zur Ombudsperson bestimmen. Bei der Wahl einer internen Ombudsperson sollte auf Aspekte wie eine langjährige Betriebszugehörigkeit oder eine exponierte Stellung im Unternehmen geachtet werden, um das Vertrauen der Mitarbeiter in die Ombudsperson zu gewinnen. Für die Wahl einer externen Ombudsperson (z.B. eines externen Rechtsanwalts) könnte sprechen, dass ggf. die Hemmschwelle, Compliance-Verstöße zu melden niedriger als bei einem internen Ansprechpartner ist. Ein Grund hierfür könnte in der geringeren Angst vor Aufdeckung der Identität des Hinweisgebers und damit einhergehender Repressalien liegen. Im Hinblick auf das fachliche Anforderungsprofil werden – neben weiteren – insbesondere Kriterien wie juristische Ausbildung (und ggf. Zulassung als Rechtsanwalt), Erfahrungen im Compliance-Bereich, Erfahrung im Umgang mit Ermittlungsbehörden oder gute Kenntnisse des Straf-, Arbeits- und Datenschutzrechts als vorteilhaft angesehen.332 Notfallplan inkl. Sanktionsmechanismus bei Verstößen Kommt es in einem Unternehmen trotz vorhandenem CMS zu einem sog. „Compliance-Fall“, also einem Verstoß gegen Gesetz oder unternehmensinterne Verhaltensrichtlinien, muss das Management reagieren. Um schnell handlungsfähig zu sein, empfiehlt es sich, über einen Notfallplan für den Fall aufgetretener Compliance-Verstöße zu verfügen. Dabei sollte im Rahmen eines Notfallplans zunächst die vollständige Aufdeckung und Aufklärung sowie die Schadensminimierung für das Unternehmen im Fokus stehen. Daran anschließend stellt sich die Frage der Konsequenzen für den sich regelwidrig verhaltenden Mitarbeiter. Grundsätzlich wird als sinnvoll erachtet, dass Unternehmen die möglichen Konsequenzen für den Fall von Regelverstößen im Vorhinein klar festlegen, an die Mitarbeiter kommunizieren und bei Vorliegen eines Compliance-Falls entsprechend den Vorgaben handeln. Die konsequente Aufklärung und Reaktion auf Regelverstöße dient dabei nicht nur der nachträglichen Sanktionierung, sondern stellt durch seinen Abschreckungscharakter zudem eine präventive Maßnahme dar. Des Weiteren ist eine konsequente Aufklärung und Sanktionierung aufgrund der Organisations- und Aufsichtspflichten der Geschäftsleitung geboten.333 2.3.2.3.6 331 Vgl. Inderst (2013), S. 146-147 Rn. 83-86; Buchert/Jacob-Hofbauer (2013), S. 230 Rn. 29 und 33, S. 235-236 Rn. 57; Buchert (2016), S. 1307 Rn. 20-22, S. 1308-1309 Rn. 26-27; Moosmayer (2015), S. 53-54 Rn. 186. 332 Vgl. Inderst (2013), S. 142 Rn. 64, S. 146 Rn. 85; Buchert/Jacob-Hofbauer (2013), S. 242 Rn. 90; Buchert (2016), S. 1309 Rn. 27. 333 Vgl. Schieffer/Wauschkuhn, in: Moosmayer, Compliance-Risikoanalyse, 2015, S. 68 Rn. 49, S. 69-70 Rn. 54; Lampert, T., in: Hauschka, Corporate Compliance, 2. Auflage 2010, S. 174-175 Rn. 33; 2.3 Theoretische Sollkonzepte für die Ausgestaltung von Compliance Management und Compliance Management Systemen 77 Von hoher Bedeutung für die Akzeptanz des Sanktionsmechanismus ist, dass die Entscheidungen über die Konsequenzen unabhängig, unparteiisch, transparent und objektiv getroffen werden und zudem für sämtliche Unternehmensangehörige – gleich welcher Funktion bzw. Position – die gleichen Spielregeln gelten.334 Im Hinblick auf den zu etablierenden Sanktionsmechanismus können Unternehmen zwischen einer sog. „Zero Tolerance-Politik“ 335 oder einer moderateren Politik bis hin zu sog. Amnestieprogrammen336 wählen. Während der Zero Tolerance-Politk, welche in ihrer restriktivsten Ausprägung die Kündigung des verantwortlichen Mitarbeiters zur Folge hat, der größte präventive Effekt beigemessen wird, ist eine moderatere Sanktionierung ggf. dann hilfreich, wenn das Unternehmen bei der Aufklärung auf die Mithilfe des Mitarbeiters angewiesen ist. Insbesondere Amnestieprogramme können die interne Aufklärung von Compliance-Fällen beschleunigen und dadurch ggf. sogar die behördlichen Ermittlungen abkürzen. Dabei ist jedoch zu berücksichtigen, dass Amnestieprogramme die Abschreckungswirkung interner Ermittlungen konterkarieren und dadurch die Akzeptanz der Compliance-Richtlinien negativ beeinflussen können. In der Praxis häufig anzutreffende Sanktionen sind z.B. Abmahnungen, finanzielle Sanktionen (z.B. Streichung von Boni, Gehaltskürzungen etc.), unternehmensinterne Versetzungen oder die Geltendmachung von Schadensersatz.337 Eine weitere Fragestellung im Zusammenhang mit dem zu etablierenden Sanktionsmechanismus ist, ob im Falle festgestellter Compliance-Verstöße eine Meldung an die Strafverfolgungsbehörden erfolgen soll. Dabei ist im Rahmen der Entscheidung zunächst zu berücksichtigen, ob eine Meldung je nach Art und Schwere des Verstoßes freiwillig oder verpflichtend (wie z.B. bei steuerrechtlichen Verstößen gem. § 153 AO) ist. Des Weiteren sind bei der Entscheidung über die Meldung von Verstößen an die Behörden die Vor- und Nachteile zu bedenken und abzuwägen. Vorteile der Kooperation mit den Strafverfolgungsbehörden können beispielsweise die Verhinderung von Durchsuchungen oder die positive Berücksichtigung im Rahmen der Strafzumessung sein. So gibt es z.B. im Kartellrecht die Möglichkeit sog. Kronzeugenregelungen, wodurch kooperierende Unternehmen ihre Geldbuße reduzieren können. Jedoch kann die freiwillige Offenlegung auch nachteilige Konsequenzen, wie z.B. Schadensersatzklagen von Kunden und Wettbewerbern oder Reputationsrisiken, mit sich bringen. Potinecke H. W./Block, F., in: Knierim/Rübenstahl/Tsambikakis, Internal Investigations, 2013, S. 69 Rn. 181; Schemmel/Ruhmannseder /Witzigmann (2012), S. 65-66 Rn. 98-100; Withus (2014), S. 168-170 Tz. 4.6.5. 334 Vgl. Schieffer/Wauschkuhn (2015), S. 70 Rn. 55; Withus (2014), S. 172-173 Tz. 4.6.5.3. 335 Unter der sog. „Zero Tolerance-Politik“ wird verstanden, dass Unternehmen keine Regelverletzungen tolerieren und auf schwerwiegende Verstöße mit einschneidenden Maßnahmen reagieren (vgl. Schieffer/ Wauschkuhn (2015), S. 61 Rn. 34). 336 Mittels Amnestieprogrammen sollen Mitarbeiter dazu veranlasst werden, an der internen Aufklärung von Compliance-Fällen insbesondere durch die Offenlegung eigenen oder fremden Fehlverhaltens mitzuwirken. Im Gegenzug verzichtet das Unternehmen auf arbeits- und zivilrechtliche Sanktionen (vgl. Leisner, J. O., in: Knierim/Rübenstahl/Tsambikakis, Internal Investigations, 2013, S. 243 Rn. 1; Potinecke/Block (2013), S. 65 Rn. 168, S. 66-67 Rn. 172). 337 Vgl. Schieffer/Wauschkuhn (2015), S. 70 Rn. 55; Lampert (2010), S. 174-175 Rn. 33; Leisner (2013), S. 244 Rn. 7, S. 245 Rn. 11 und S. 247 Rn. 17; Potinecke/Block (2013), S. 69 Rn. 181; Withus (2014), S. 172-173 Tz. 4.6.5.3; Moosmayer (2015), S. 92-93 Rn. 338-342. 2 Compliance Management – theoretische Grundlagen 78 Ein wichtiger Aspekt ist daher im Rahmen der Abwägung, wie hoch die Aufgriffswahrscheinlichkeit ist, d.h. wie wahrscheinlich es ist, dass die Behörden aufgrund anderer Quellen Kenntnis von dem Rechtsverstoß erlangen. Je höher die Aufgriffswahrscheinlichkeit desto mehr spricht für proaktives Handeln.338 Compliance-Reporting Vorbemerkung Die Compliance-Kommunikation ist gemäß IDW PS 980 eines der sieben Grundelemente eines CMS. 339 Die Compliance-Kommunikation umfasst sowohl die interne Kommunikation gegenüber Mitarbeitern, Organen und internen Aufsichtsgremien als auch die Kommunikation gegenüber externen Stakeholdern. Dabei haben die Compliance-Verantwortlichen in Bezug auf die Compliance-Kommunikation insbesondere die Fragen zu regeln, was, wann, mit wem und wie kommuniziert werden soll.340 Die Aufgabe der internen Compliance-Kommunikation ist v.a., die Mitarbeiter und Organe über die sie betreffenden Compliance-Anforderungen (d.h. die geltenden Richtlinien und Rechtsgrundlagen), das Compliance-Programm inklusive festgelegter Rollen und Verantwortlichkeiten sowie die CMS-Ziele zu informieren und zu schulen und zudem auf die Konsequenzen von Compliance-Verstößen hinzuweisen. Des Weiteren ist Ziel der internen Compliance-Kommunikation das Vermitteln und Ermitteln von Informationen zwecks effektiver Umsetzung der CMS-Ziele. Zudem muss die Kommunikation erkannter Compliance-Verstöße gewährleistet werden. Um die Bedeutung hervorzuheben, ist es in der Unternehmenspraxis zum Teil verbreitet, sich von den betroffenen Mitarbeitern die Kenntnisnahme der Compliance-Regeln mittels einer sog. „Compliance-Erklärung“ bestätigen zu lassen.341 Hintergrund der hohen Bedeutung der externen Compliance-Kommunikation ist die Tatsache, dass Compliance-relevante Entscheidungen teilweise Berücksichtigung in Verträge und Vereinbarungen mit externen Dritten (z.B. Geschäftspartnern) finden. Die externe Compliance-Kommunikation hat hierbei die Aufgabe, die angestrebten Compliance-Ziele zu vermitteln, um eine größtmögliche Akzeptanz bei den jeweiligen Geschäftspartnern zu erzielen. Als Methoden der externen Kommunikation kommen neben der direkten Ansprache u.a. die Information über die Internetseite, Email, Pressemitteilungen, regelmäßige Newsletter oder Berichte in Frage.342 2.3.2.3.7 2.3.2.3.7.1 338 Vgl. Schieffer/Wauschkuhn (2015), S. 68-69 Rn. 52-53; Potinecke/Block (2013), S. 70-71 Rn. 184-186; Wessing, J., in: Hauschka/Moosmayer/Lösler, Corporate Compliance, 3. Auflage 2016, S. 1510 Rn. 169; Moosmayer (2015), S. 96 Rn. 349-350, S. 98-100 Rn. 352-356. 339 Vgl. IDW PS 980, S. 5 Rn. 23. 340 Vgl. ISO 19600, S. 17 Tz. 7.4.1; Fissenewert, P., Praxishandbuch internationale Compliance-Management-Systeme, 2015, S. 137; Withus (2014), S. 176-177 Tz. 4.7.1. 341 Vgl. ISO 19600, S. 17 Tz. 7.4.2; Fissenewert (2015), S. 137-139; Withus (2014), S. 176-178 Tz. 4.7.1.; IDW PS 980, S. 5 Rn. 23. 342 Vgl. ISO 19600, S. 18 Tz. 7.4.3; Fissenewert (2015), S. 140; Withus (2014), S. 176-178 Tz. 4.7.1. 2.3 Theoretische Sollkonzepte für die Ausgestaltung von Compliance Management und Compliance Management Systemen 79 Ein zentrales Instrument für die Kommunikation in Bezug auf Compliance-Themen stellt die Berichterstattung bzw. das Compliance-Reporting dar. Dabei ist zwischen einem planmäßigen Compliance-Reporting und einem außerplanmäßigen Compliance-Reporting (sog. Ad-hoc-Berichterstattung) zu unterscheiden.343 Nachfolgend werden die Aufgaben, die Inhalte, der Turnus und der mögliche Adressatenkreis des planmäßigen und außerplanmäßigen Compliance-Reportings dargestellt. Planmäßiges Compliance-Reporting Im Hinblick auf die planmäßige Compliance-Berichterstattung sind die Grundsätze Vollständigkeit und Offenheit von besonderer Bedeutung. Die Organisation – insbesondere in Form von Vorstand bzw. Geschäftsführung, Management und Compliance- Funktion – soll die Einhaltung dieser Grundsätze fördern. Daneben sind u.a. die Festlegung geeigneter Kriterien für die Einbeziehung in das Reporting, eines Zeitplans für die planmäßige Berichterstattung, eines Ausnahmeberichtssystems (siehe Kapitel 2.3.2.3.7.3) sowie von Prozessen zur Gewährleistung der Genauigkeit und Vollständigkeit der Informationen wichtige Bausteine eines effektiven Berichtssystems. Dabei sollte der Proportionalitätsgrundsatz beachtet werden, d.h. die Wahl von Format, Inhalten und Zeitpunkten des Compliance-Reportings sollte – unter Beachtung der gesetzlichen Vorschriften – die spezifischen Verhältnisse der jeweiligen Organisation berücksichtigen. Zudem sollte das Compliance-Reporting dem im jeweiligen Unternehmen verwendeten Standard-Berichtsformat angepasst werden, um die Übersichtlichkeit und Verständlichkeit für die Adressaten zu erhöhen.344 Hinsichtlich des Inhaltes des Compliance-Reportings bieten sich den Unternehmen vielfältige Möglichkeiten. Zum einen können Themen mit direktem Bezug zu Gesetz und Regulierungsbehörden, wie z.B. gegenüber Regulierungsbehörden berichtspflichtige Angelegenheiten, Änderungen von den das Unternehmen betreffenden Compliance-Verpflichtungen, deren Auswirkungen auf das Unternehmen und die Reaktion des Unternehmens zur Einhaltung der neuen Verpflichtungen sowie Kontakte und Entwicklungen im Zusammenhang mit den Regulierungsbehörden, Gegenstand des Compliance-Reportings sein. Zum anderen stellen Informationen über die Wirksamkeit des CMS sowie die Tätigkeit der Compliance-Funktion sinnvolle Inhalte dar. Dies beinhaltet z.B. Informationen zu der Messung der Compliance- Performance, der Anzahl und den Details von möglichen Compliance-Verstößen und deren Analyse, durchgeführten Korrekturmaßnahmen, der Effektivität und den Leistungen des CMS sowie zu den Ergebnissen von Prüfungen und Monitoringaktivitäten.345 2.3.2.3.7.2 343 Vgl. ISO 19600, S. 23-24 Tz. 9.1.7.; Fissenewert (2015), S. 162. 344 Vgl. ISO 19600, S. 23-24 Tz. 9.1.7; Fissenewert (2015), S. 161-162. 345 Vgl. ISO 19600, S. 24 Tz. 9.1.8; Fissenewert (2015), S. 163. 2 Compliance Management – theoretische Grundlagen 80 Außerplanmäßiges Compliance-Reporting (Ad-hoc-Berichterstattung) Neben dem im vorhergehenden Kapitel 2.3.2.3.7.2 beschriebenen planmäßigen Compliance-Reporting ist das außerplanmäßige Compliance-Reporting von hoher Bedeutung für die Wirksamkeit des CMS. Die Ad-hoc-Berichterstattung soll sicherstellen, dass wesentliche Regelverstöße und auftretende Probleme zeitnah an die Entscheidungsträger kommuniziert werden. Dabei sind grundsätzlich alle Regelverstöße und jede Form von Non-Compliance zu berichten, d.h. sowohl systemische und wiederkehrende Probleme als auch einmalige Nichteinhaltungen. Mittels der Ad-hoc-Berichterstattung soll insbesondere gewährleistet werden, dass im Fall eines Compliance-Verstoßes die jeweils relevanten Informationen zeitnah an die verantwortlichen Personen bzw. Funktionen gelangen, um schnellstmöglich reagieren zu können.346 Einordnung des Compliance Management Systems innerhalb der Management Systeme von Unternehmen Überblick über die verschiedenen Management Systeme von Unternehmen Unternehmen sind einer Vielzahl von internen und externen Herausforderungen (Chancen und Risiken) sowie externen Einflüssen, wie z.B. gesetzlichen Vorschriften und Richtlinien, ausgesetzt. Um diesen Anforderungen strukturiert zu begegnen, verfügen Unternehmen zumeist über verschiedene Arten von Management- und Kontrollsystemen. Dabei kann es sich um rechnungslegungsbezogene Systeme (wie z.B. das rechnungslegungsbezogene Interne Kontrollsystem), produktionsbezogene Systeme (wie z.B. das Qualitätsmanagement- oder Umweltmanagementsystem) oder organisationsübergreifende Systeme (wie z.B. das Risikomanagementsystem) handeln.347 Im Folgenden soll ein kurzer Überblick über die wesentlichen Management- und Kontrollsysteme von Unternehmen, ihre wechselseitige Interaktion sowie die Einordnung des CMS innerhalb dieser Systeme gegeben werden. Der Fokus liegt dabei auf den Beziehungen des CMS zum Internen Kontroll-, dem Risikomanagement- und dem Risikofrüherkennungssystem. Internes Kontrollsystem (IKS) Das Interne Kontrollsystem (IKS) stellt ein Überwachungs- und Kontrollsystem dar, welches Bestandteil einer jeden Unternehmensorganisation sein sollte.348 Den weltweit anerkannten Best-Practice-Standard im Hinblick auf die Ausgestaltung von In- 2.3.2.3.7.3 2.4 2.4.1 2.4.1.1 346 Vgl. ISO 19600, S. 24 Tz. 9.1.7; Fissenewert (2015), S. 161-162. 347 Vgl. Jäger, A., in: Jäger/Rödl/Campos Nave, Praxishandbuch Corporate Compliance, 1. Auflage 2009, S. 408-409 Kapitel 3 Organisationsaufbau. 348 Vgl. Klöpper, W., in: Hauschka, Corporate Compliance, 2. Auflage 2010, S. 300 Rn. 45. 2.4 Einordnung des Compliance Management Systems innerhalb der Management Systeme von Unternehmen 81 ternen Kontrollsystemen stellt das COSO I-Modell349 dar. Das COSO I-Modell beschreibt das Interne Kontrollsystem als durch die Unternehmensführung, das Management und die Mitarbeiter ausgeführte Prozesse, die eine hinreichende Sicherheit hinsichtlich der Erreichung der Unternehmensziele Effektivität und Effizienz der operativen Geschäftstätigkeit, Ordnungsmäßigkeit und Verlässlichkeit der finanziellen und nicht-finanziellen Unternehmensberichterstattung sowie Einhaltung der für das Unternehmen maßgeblichen rechtlichen Vorschriften gewährleisten sollen.350 Dem COSO I-Modell folgend setzt sich das IKS aus den fünf Komponenten (1) Kontrollumfeld, (2) Risikobeurteilung, (3) Kontrollaktivitäten, (4) Information und Kommunikation sowie (5) Überwachung zusammen.351 Ein effektives IKS setzt die Existenz sämtlicher Komponenten voraus, die zudem integriert zusammenwirken sollen.352 Dabei soll das IKS sowohl im Gesamtunternehmen als auch in den einzelnen Unternehmenseinheiten und -funktionen implementiert werden.353 Die in der nationalen Literatur existierenden Beschreibungen und Definitionen des IKS lehnen sich weitgehend an das COSO I-Modell an und zeigen daher ein sehr einheitliches Bild. Das IDW macht Ausführungen zum Internen Kontrollsystem im Prüfungsstandard IDW PS 261354. Demnach werden unter einem Internen Kontrollsystem die „von dem Management im Unternehmen eingeführten Grundsätze, Verfahren und Maßnahmen (Regelungen) verstanden, die gerichtet sind auf die organisatorische Umsetzung der Entscheidungen des Managements zur Sicherung der Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit (hierzu gehört auch der Schutz des Vermögens, einschließlich der Verhinderung und Aufdeckung von Vermögensschädigungen), zur Ordnungsmäßigkeit und Verlässlichkeit der internen und externen Rechnungslegung sowie zur Einhaltung der für das Unternehmen maßgeblichen rechtlichen Vorschriften“355. Dabei setzt sich das IKS aus dem internen Steuerungs- und dem internen Überwachungssystem zusammen. Während mit internem Steuerungssystem Regelungen zur Steuerung der Unternehmensaktivitäten bezeichnet werden, beinhaltet das interne Überwachungssystem sowohl prozessintegrierte, wie z.B. organisatorische Sicherungsmaßnahmen oder Kontrollen, als auch prozessunabhängige Überwachungsmaßnahmen.356 Hinsichtlich des IKS-Aufbaus greift das IDW in seiner Beschreibung auf die fünf Komponenten des COSO I-Modells [(1) Kontrollumfeld, (2) Risikobeurteilungen, (3) Kontrollaktivitäten, (4) Information und Kommunikation sowie (5) 349 Committee of Sponsoring Organizations of the Treadway Commission, Internal Contol – Integrated Framework - Executive Summary (COSO I), Mai 2013, online abrufbar unter http://www.coso.org/ documents/990025P_Executive_Summary_final_may20_e.pdf, zuletzt aufgerufen am 20.10.2016. 350 Vgl. COSO I, S. 3; WP Handbuch 2012, R, S. 2413 Rn. 49. 351 Vgl. COSO I, S. 4-5; WP Handbuch 2012, R, S. 2413 Rn. 50. 352 Vgl. COSO I, S. 8. 353 Vgl. COSO I, S. 6; WP Handbuch 2012, R, S. 2413 Rn. 50. 354 Institut der Wirtschaftsprüfer e.V., IDW Prüfungsstandard: Feststellung und Beurteilung von Fehlerrisiken und Reaktionen des Abschlussprüfers auf die beurteilten Fehlerrisiken (IDW PS 261 n.F.), 13.03.2013. 355 IDW PS 261 n.F., S. 8 Rn. 19. 356 Vgl. ebda. S. 8-9 Rn. 20. 2 Compliance Management – theoretische Grundlagen 82 Überwachung] zurück.357 Die konkrete Ausgestaltung des IKS soll u.a. in Abhängigkeit von der Größe und Komplexität des Unternehmens, der Rechtsform und Organisation des Unternehmens, der Art, Komplexität und Diversifikation der Geschäftstätigkeit des Unternehmens sowie der Art und des Umfangs der zu beachtenden rechtlichen Vorschriften bestimmt werden.358 Eine weitere Definition in der Literatur beschreibt das IKS als ein Teilsystem des Systems zur Überwachung von Unternehmen, welches sämtliche Mechanismen für die Kontrolle enthält. Als Aufgaben des IKS werden der Definition folgend (1) die „Sicherung und der Schutz des vorhandenen Vermögens vor Verlusten“, (2) die „Erstellung genauer, aussagefähiger und zeitnaher Aufzeichnungen“, (3) die „Verbesserung des betrieblichen Wirkungsgrades durch Auswertung von Aufzeichnungen“ und (4) die „Unterstützung der innerbetrieblichen Durchsetzung der Geschäftspolitik“ angesehen. Grundprinzipien des IKS stellen die Funktionstrennung, angemessene organisatorische Regelungen und automatische Kontrollen dar.359 Zusammenfassend zeigt sich, dass das IKS als Kontroll- und Überwachungssystem für sämtliche Funktionen und Bereiche des Unternehmens verstanden wird. Risikomanagementsystem (RMS) Die Notwendigkeit für Risikomanagement resultiert aus dem Umstand, dass jeder unternehmerischen Betätigung aufgrund der Unsicherheit künftiger Entwicklungen sowohl Chancen als auch Risiken innewohnen.360 Dabei stellt das Risiko in einer weiten Definition eine positive oder negative Abweichung vom Erwartungswert dar.361 Engere Definitionen sehen im Risiko lediglich die negative Abweichung. Risiko wird demzufolge als „Möglichkeit ungünstiger künftiger Entwicklungen“362 oder als „Gefahr der Zielverfehlung bzw. Strategieverfehlung aufgrund von hindernden Ereignissen oder Handlungen“363 verstanden. Die in der betriebswirtschaftlichen Literatur existierenden, bedeutenden Definitionen für das Risikomanagement bzw. Risikomanagementsysteme zeigen ein einheitliches Bild. Demnach wird das Risikomanagement als Steuerungsinstrument für Risiken verstanden, dessen Aufgabe die Risikoerkennung, -analyse und –bewertung ist und das auf die Bewältigung von Risiken zwecks Gewährleistung der Unternehmens- 2.4.1.2 357 Vgl. IDW PS 261 n.F., S. 12 Rn. 29. 358 Vgl. ebda. S. 11-12 Rn. 27. 359 Vgl. Springer Gabler Verlag (Hrsg.), Gabler Wirtschaftslexikon, Stichwort: internes Kontrollsystem (IKS), online im Internet: http://wirtschaftslexikon.gabler.de/Archiv/88947/internes-kontrollsystem-iks-v 7.html, zuletzt aufgerufen am 20.10.2016. 360 Vgl. IDW Prüfungsstandard: Die Prüfung des Risikofrüherkennungssystems nach § 317 Abs. 4 HGB (IDW PS 340), 11.09.2000, S. 2 Rn. 3; Romeike, F., in: Inderst/Bannenberg/Poppe, Compliance, 2. Auflage 2013, S. 195 Rn. 245. 361 Vgl. Pampel, J. R./Krolak, T., in: Hauschka/Moosmayer/Lösler, Corporate Compliance, 3. Auflage 2016, S. 395 Rn. 38; International Organization for Standardization, ISO 3100: Risk management – Principles and guidelines (ISO 31000), 15.11.2009, S. 1 Tz. 2.1; Romeike (2013), S. 198 Rn. 258. 362 Vgl. IDW PS 340, S. 2 Rn. 3. 363 Vgl. Pampel/Krolak (2016), S. 395 Rn. 38. 2.4 Einordnung des Compliance Management Systems innerhalb der Management Systeme von Unternehmen 83 fortführung und Schaffung von Unternehmenswert abzielt.364 Das IDW definiert das Risikomanagement als die „Gesamtheit aller organisatorischen Regelungen und Maßnahmen zur Risikoerkennung und zum Umgang mit den Risiken unternehmerischer Betätigung“.365366 Im COSO II-Modell367 wird das Risikomanagement als ein unternehmensweiter Prozess, der durch Personen sämtlicher Ebenen einer Organisation (Unternehmensleitung, Management und Mitarbeiter) ausgeführt wird, definiert. Das Risikomanagement soll bei der Strategiefestlegung angewendet werden und ist konzipiert, die die Organisation beeinflussenden, möglichen Ereignisse zu erkennen und innerhalb des Risikoprofils der Organisation zu steuern, um eine hinreichende Sicherheit bezüglich des Erreichens der Ziele der Organisation zu gewährleisten.368 Eine weitere Definition für das Risikomanagement findet sich im ISO-Standard 31000369. Demzufolge wird Risikomanagement als koordinierte Handlungen zur Führung und Kontrolle von Organisationen in Bezug auf Risiken beschrieben.370 Aufbauend auf den vorgenannten Definitionen für den Begriff Risikomanagement wird das Risikomanagementsystem gemäß der Definition des ISO 31000 als ein Satz von Elementen bezeichnet, die die Basis und die organisatorische Struktur für das Design, die Implementierung, die Überwachung und die Verbesserung des Risikomanagements organisationsübergreifend abbilden.371 Während mit Risikomanagement somit der Prozess im Umgang mit Risiken bezeichnet wird, stellt das Risikomanagementsystem die Organisationsstruktur und die Instrumente für das Risikomanagement bereit. Dabei sollte ein Risikomanagementsystem die Kernelemente Risikostrategie, Risikomanagement-Prozess – bestehend aus Risikoidentifikation, Risikobewertung und Risikosteuerung –, Risikoüberwachung und Risikoberichterstattung umfassen. Während die Risikostrategie eine übergeordnete Funktion einnimmt und aus der Unternehmensstrategie abzuleiten ist, stellt der Risikomanagement-Prozess den operativen Teil des RMS dar. Die Ergebnisse des Risikomanagementprozesses fließen in die Risikoüberwachung und Risikoberichterstattung ein, welche wiederum Informationen für die Unternehmens- und Risikostrategie liefern. Somit ist das RMS ein geschlossener Kreislauf, welcher sich kontinuierlich fortentwickelt und auf die Be- 364 Vgl. IDW PS 340, S. 2 Rn. 4; Pampel/Krolak (2016), S. 395 Rn. 39; Romeike (2013), S. 195 Rn. 245; Committee of Sponsoring Organizations of the Treadway Commission, Enterprise Risk Management – Integrated Framework - Executive Summary (COSO II), September 2004, S. 1, online abrufbar unter https://www.coso.org/Documents/COSO-ERM-Executive-Summary.pdf, zuletzt aufgerufen am 27.02.2017. 365 IDW PS 340, S. 2 Rn. 4. 366 Vgl. Pampel/Krolak (2016), S. 395 Rn. 39. 367 Vgl. Committee of Sponsoring Organizations of the Treadway Commission, Enterprise Risk Management – Integrated Framework - Executive Summary (COSO II), September 2004, online abrufbar unter https://www.coso.org/Documents/COSO-ERM-Executive-Summary.pdf, zuletzt aufgerufen am 27.02.2017. 368 Vgl. COSO II, S. 2. 369 Vgl. International Organization for Standardization, ISO 3100: Risk management – Principles and guidelines (ISO 31000), 15.11.2009. 370 Vgl. ISO 31000, S. 2 Tz. 2.2. 371 Vgl. ebda. S. 2 Tz. 2.3. 2 Compliance Management – theoretische Grundlagen 84 wältigung von Risiken auf Basis von Informationen und der Risikoneigung des Unternehmens abzielt.372 Dem COSO II-Modell folgend, welches sich seit seiner Veröffentlichung weltweit zu einem Best-Practice-Standard für das Risikomanagement entwickelt hat, umfasst das RMS acht wechselseitig verknüpfte Komponenten, die in einer direkten Beziehung zu den Zielen der Organisation stehen. Hinsichtlich der Ziele, zu deren Erreichung das Risikomanagement beitragen soll, definiert das COSO II-Modell vier Kategorien (strategische Ziele, operative Ziele, Berichterstattung und Regeleinhaltung). Als Basiselemente des RMS legt das COSO II-Modell die acht Komponenten (1) Internes Umfeld, (2) Zielfestlegung, (3) Ereignisidentifikation, (4) Risikobeurteilung, (5) Risikosteuerung, (6) Kontrollaktivitäten, (7) Information und Kommunikation sowie (8) Überwachung fest. Je nach Größe und Komplexität der Organisation können die Komponenten unterschiedlich ausgeprägt sein. Für die Funktionsfähigkeit des unternehmensweiten Risikomanagements ist jedoch von Bedeutung, dass jede der Komponenten vorhanden ist und wirksam angewendet wird. Dabei ist das RMS sowohl auf die Gesamtorganisation als auch auf sämtliche Geschäftsbereiche, Geschäftseinheiten und Niederlassungen anzuwenden.373 Zusammenfassend kann man festhalten, dass das Risikomanagementsystem den Rahmen für die in die Unternehmensorganisation integrierten Prozesse zur Risikoerkennung, Risikobewertung und Risikobewältigung bildet und die Erreichung der Unternehmensziele unterstützen soll. Risikofrüherkennungssystem (RFS) Das Risikofrüherkennungssystem ist aufgrund der Kodifizierung in § 91 Abs. 2 AktG ein Pflichtbestandteil der Unternehmensorganisation von Aktiengesellschaften sowie – über seine in Literatur und Rechtsprechung anerkannte Ausstrahlungswirkung – für Unternehmen anderer Rechtsformen (insbesondere der Rechtsform GmbH). 374 Konkret ist in § 91 Abs. 2 AktG die Pflicht des Vorstands geregelt, „geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden“.375 Während – wie im vorhergehenden Abschnitt 2.4.1.2 bereits erläutert – das Risikomanagementsystem „die Gesamtheit aller organisatorischen Regelungen und Maßnahmen zur Risikoerkennung und zum Umgang mit den Risiken unternehmerischer Betätigung“376 umfasst, stellt das Risikofrüherkennungssystem „auf die Früherken- 2.4.1.3 372 Vgl. Pampel/Krolak (2016), S. 395-396 Rn. 40-44; Romeike (2013), S. 203-209 Rn. 270-290; ISO 31000, S. 16-21 Tz. 5.3.4-5.7. 373 Vgl. COSO II, S. 3-5; Romeike (2013), S. 213-214 Rn. 305. 374 Vgl. § 91 Abs. 2 AktG; Deutscher Bundestag, Regierungsbegründung Entwurf eines Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG), Drucksache 13/9712, S. 15, Zu Nummer 7 - § 91 Abs. 2 AktG, 28.01.1998; IDW PS 340, S. 1 Rn. 1; Spindler (2014), § 91 Rn. 80; Bürkle (2016), S. 1174-1175 Rn. 70. 375 § 91 Abs. 2 AktG; vgl. IDW PS 340, S. 1 Rn. 1. 376 IDW PS 340, S. 2 Rn. 4. 2.4 Einordnung des Compliance Management Systems innerhalb der Management Systeme von Unternehmen 85 nung bestandsgefährdender Entwicklungen“377 ab und ist somit ein wichtiger, integrierter Teilaspekt des Risikomanagementsystems.378 Unter bestandsgefährdenden Entwicklungen werden nachteilige Veränderungen von Risiken verstanden, die den Fortbestand des Unternehmens gefährden können. Es handelt sich dabei nicht um statische Risikozustände, sondern um Negativentwicklungen. Bestandsgefährdende Risiken können z.B. risikobehaftete Geschäfte, Unrichtigkeiten in der Rechnungslegung oder Verstöße gegen gesetzliche Vorschriften sein, die sich wesentlich auf die Vermögens-, Finanz- und Ertragslage der Gesellschaft auswirken können. Dabei müssen sie insbesondere das Insolvenzrisiko der Gesellschaft erheblich erhöhen oder hervorrufen.379 Ein Risikofrüherkennungssystem sollte in der Lage sein, dem Vorstand bzw. der Geschäftsführung so frühzeitig Kenntnis über bestandsgefährdende Entwicklungen zu verschaffen, dass noch rechtzeitig Gegenmaßnahmen ergriffen werden können, um eine konkrete Bestandsgefährdung zu vermeiden.380 Der herrschenden Meinung im juristischen Schrifttum folgend ist aus § 91 Abs. 2 AktG jedoch keine Pflicht zur Einrichtung eines umfassenden Risikomanagements abzuleiten. Diese ergibt sich vielmehr aus den allgemeinen Sorgfaltspflichten eines Geschäftsleiters gem. § 93 Abs. 1 AktG und § 43 Abs. 1 GmbHG.381 Dennoch muss ein angemessenes Risikofrüherkennungssystem ein Mindestmaß an Maßnahmen aufweisen. Hierzu zählen insbesondere (1) die Festlegung der Risikofelder, die zu bestandsgefährdenden Entwicklungen führen können, (2) die Risikoerkennung und Risikoanalyse, (3) die Risikokommunikation, (4) die Zuordnung von Verantwortlichkeiten und Aufgaben, (5) die Einrichtung eines Überwachungssystems und (6) die Dokumentation der getroffenen Maßnahmen.382 Dabei sind die konkrete Ausgestaltung und der Detaillierungsgrad an der Größe, Komplexität und Branchenzugehörigkeit des jeweiligen Unternehmens sowie an dem Kapitalmarktzugang auszurichten.383 Zusammenfassend kann man festhalten, dass das Risikofrüherkennungssystem ein Teilaspekt des Risikomanagementsystems darstellt, bei dem der Fokus auf der Früherkennung bestandsgefährdender Entwicklungen liegt. Hierarchie der verschiedenen Management Systeme Nachdem in den vorhergehenden Kapiteln 2.1.3, 2.3.1 und 2.4.1.1 bis 2.4.1.3 die Definitionen, Aufgaben und Strukturen von CMS, IKS, RMS und RFS dargelegt wurden, 2.4.2 377 IDW PS 340, S. 2 Rn. 5. 378 Vgl. IDW PS 340, S. 2 Rn. 5; Koch (2016), § 91 Rn. 8; Klöpper (2010), S. 301 Rn. 47. 379 Vgl. Fleischer (2015), § 91 Rn. 31-32; Koch (2016), § 91 Rn. 6; IDW PS 340, S. 2 Rn. 5; Dauner-Lieb (2016), § 91 Rn. 7; Spindler (2014), § 91 Rn. 21. 380 Vgl. Koch (2016), § 91 Rn. 7; Dauner-Lieb (2016), § 91 Rn. 7-8; Spindler (2014), § 91 Rn. 27. 381 Vgl. Spindler (2014), § 91 Rn. 21, 23-24, 31, 33; Dauner-Lieb (2016), § 91 Rn. 9; Koch (2016), § 91 Rn. 8-9. 382 Vgl. IDW PS 340, S. 3-6 Rn. 7-18; Klöpper (2010), S. 301 Rn. 46. 383 Vgl. Pelz (2016), S. 110 Rn. 40; Spindler (2014), § 91 Rn. 19; Dauner-Lieb (2016), § 91 Rn. 8. 2 Compliance Management – theoretische Grundlagen 86 soll nachfolgend das Verhältnis der Systeme zueinander und deren Einbettung in die Unternehmensorganisation diskutiert werden. Das unternehmensweite Managementsystem ist ein Instrument zur Steuerung von Unternehmen. Als sozioökonomisches System ist ein Managementsystem nicht ein greifbares Gebilde, sondern vielmehr die „Gesamtheit von formalen Strukturen und konkreten Durchführungen“.384 Die Aufgabe des Managementsystems ist die Unterstützung und Koordinierung der unternehmensweiten Planungs-, Durchführungsund Kontrollprozesse. Das Managementsystem ist dabei auf sämtliche Unternehmensfunktionen und Unternehmensbereiche ausgerichtet.385 Das Risikomanagementsystem kann als Subsystem des unternehmensweiten Managementsystems eingeordnet werden.386 Da es die Erreichung sämtlicher Unternehmensziele unterstützen soll und sowohl auf die Gesamtorganisation als auch auf sämtliche Geschäftsbereiche, Geschäftseinheiten und Niederlassungen Anwendung findet, handelt es sich um ein organisations- und funktionsübergreifendes System. Dabei befasst sich das RMS mit sämtlichen Risiken des Unternehmens.387 Das Risikofrüherkennungssystem zielt auf die Früherkennung bestandsgefährdender Entwicklungen ab. Das bedeutet, dass die Maßnahmen des RFS nicht auf sämtliche Risiken des Unternehmens, sondern nur auf den abgrenzbaren Teilbereich der bestandsgefährdenden Risiken Anwendung finden. Folglich stellt das RFS ein Subsystem des RMS dar.388 Die organisatorische Einordnung des IKS innerhalb des unternehmensweiten Managementsystems kann gut anhand der Ziel- und Aufgabenstellung sowie der Komponenten des IKS auf Basis des COSO I-Modells vorgenommen werden. Wie in Kapitel 2.4.1.1 dargelegt, soll das IKS eine hinreichende Sicherheit hinsichtlich der Erreichung der Unternehmensziele Effektivität und Effizienz der operativen Geschäftstätigkeit, Ordnungsmäßigkeit und Verlässlichkeit der finanziellen und nicht-finanziellen Unternehmensberichterstattung sowie Einhaltung der für das Unternehmen maßgeblichen rechtlichen Vorschriften, gewährleisten. Dies entspricht drei von vier Zielstellungen des RMS, welches gemäß dem COSO II-Modell zusätzlich die strategischen Ziele berücksichtigt. Der Unterschied zum RMS wird auch bei Betrachtung der jeweiligen Komponenten anhand des sog. COSO-Würfels389 deutlich. Während die fünf Komponenten (1) Kontrollumfeld, (2) Risikobeurteilung, (3) Kontrollaktivitäten, (4) Information und Kommunikation sowie (5) Überwachung als Grundelemente in beiden Systemen Bestandteil des Sollkonzepts sind, verfügt das Sollkonzept des RMS noch über die drei weiteren Komponenten Zielfestlegung, Ereignisidentifikation und Risikosteuerung.390 Der Vergleich zeigt, dass gemäß den COSO-Modellen I und II 384 Pampel/Krolak (2016), S. 396 Rn. 45. 385 Vgl. ebda. S. 396 Rn. 45-46. 386 Vgl. ebda. S. 396 Rn. 45. 387 Vgl. Kapitel 2.4.1.2. 388 Vgl. Kapitel 2.4.1.3. 389 Der sog. COSO-Würfel stellt die Ziele, Komponenten und betroffenen Unternehmenseinheiten der Modelle COSO I und COSO II graphisch dar (vgl. COSO I, S. 6; COSO II, S. 5). 390 Vgl. Kapitel 2.4.1.1 und 2.4.1.2. 2.4 Einordnung des Compliance Management Systems innerhalb der Management Systeme von Unternehmen 87 sämtliche Ziele, Aufgaben und Komponenten des IKS im RMS enthalten sind, das RMS aber noch über zusätzliche Ziele, Aufgaben und Komponenten verfügt. Das IKS als reines Überwachungs- und Kontrollsystem kann somit ebenfalls als Subsystem des RMS eingeordnet werden.391 Die Einordnung des CMS innerhalb des unternehmensweiten Managementsystems stellt sich etwas schwieriger dar, da die Verflechtung zu den anderen Systemen nicht unidirektional, sondern multidirektional verläuft. Da das CMS primär die Einhaltung von Regeln – sowohl gesetzliche Bestimmungen als auch unternehmensinterne Richtlinien – sicherstellen soll, sind Gegenstand des CMS folglich u.a. die rechtlichen Unternehmensrisiken. Da das Risikomanagementsystem die Steuerung sämtlicher Unternehmensrisiken umfasst, stellt das CMS insoweit ein Element des Risikomanagements dar.392 Abgeleitet aus § 93 Abs. 1 AktG und § 91 Abs. 2 AktG stellt die Verpflichtung zur Implementierung eines angemessenen Risikomanagement- und Risikofrüherkennungssystems selber ein rechtliches Unternehmensrisiko (Compliance-Risiko) dar, so dass insoweit das RMS bzw. das RFS Gegenstand der Überwachung durch das CMS sind. Diese Verflechtung zeigt, dass einerseits hinsichtlich theoretischer bzw. dogmatischer Einordnung des CMS und andererseits der organisatorischen Aufhängung im Unternehmen zu unterscheiden ist. So kann das CMS zwar hinsichtlich Ziel, Aufgabenstellung und Methodik dogmatisch als Teilbereich bzw. Element des Risikomanagements eingestuft werden, jedoch sollte die Compliance-Funktion aufgrund des Unabhängigkeitserfordernisses und der beschriebenen Verflechtung – RMS und RFS als durch die Compliance-Funktion zu überwachendes Compliance-Risiko – kein Bestandteil der Organisationseinheit Risikomanagement sein (siehe zur organisatorischen Einordnung der Compliance-Funktion Kapitel 2.3.2.2.3).393 Eine multidirektionale Beziehung besteht auch zwischen CMS und IKS. So können Kontrollen und Prozesse des IKS Bestandteil des Compliance-Programms sein. Zugleich können durch das CMS zusätzlich implementierte Überwachungs- und Kontrollinstrumente dogmatisch als Bestandteil des IKS angesehen werden.394 Trotz der vielfältigen Verflechtungen der Systeme untereinander, erscheint eine dogmatische Einordnung der Systeme sinnvoll. Eine herrschende Meinung hat sich jedoch aufgrund dieser Vielzahl der Verflechtungen in der Literatur noch nicht gebildet. In der vorliegenden Arbeit wird auf Basis der vorstehenden Erläuterungen – u.a. aufgrund seiner umfassenden Ausrichtung und Struktur – das RMS als führendes System mit einer „Dachfunktion“ angesehen. Unterhalb des RMS sind nebeneinander und interagierend das IKS, das RFS und das CMS anzusiedeln. Die Hierarchie und organisatorische Einordnung der jeweiligen Funktion bzw. des jeweiligen Systems kann innerhalb eines Unternehmens jedoch aufgrund individueller Gegebenheiten von dieser dogmatischen Einordnung abweichen. Insbesondere ist darauf hinzuwei- 391 Glage, D./Grötzner, M., in: Hauschka/Moosmayer/Lösler, Corporate Compliance, 3. Auflage 2016, S. 372-373 Rn. 39-43. 392 Vgl. Bürkle (2016), S. 1174 Rn. 69. 393 Vgl. ebda. S. 1174-1175 Rn. 69-70. 394 Vgl. ebda. S. 1174 Rn. 69. 2 Compliance Management – theoretische Grundlagen 88 sen, dass hinsichtlich der organisatorischen Einordnung der Compliance-Funktion die Unabhängigkeit selbiger sichergestellt sein muss. 2.4 Einordnung des Compliance Management Systems innerhalb der Management Systeme von Unternehmen 89

Chapter Preview

References

Zusammenfassung

Die vorliegende Arbeit stellt eine empirische Studie zur Relevanz und Ausgestaltung von Compliance Management in Kombination mit einem Überblick über die bestehenden gesetzlichen und regulatorischen Anforderungen sowie die existierenden theoretischen Sollkonzepte zum Thema Compliance Management dar. Dabei wird für wesentliche Fragestellungen zum Thema Compliance Management (z.B. Existenz von Compliance Management Systemen, Motive für Compliance Management, verwendete Compliance-Instrumente, Existenz eines Compliance-Beauftragten, etc.) ein Überblick des Status quo gegeben und darüber hinaus eine Analyse von Einflussfaktoren (wie z.B. Unternehmensgröße, Rechtsform, Branchenzugehörigkeit, Existenz eines Kontrollgremiums, Gesellschafteridentität, Existenz von Frauen im Management, Existenz eines Compliance-Falls in der Vergangenheit, u.a.) auf den Ausgestaltungsgrad des Compliance Managements dargestellt. Damit kann die Arbeit sowohl als Benchmark-Studie als auch als Leitfaden im Rahmen der Implementierung von Compliance Management Systemen dienen.