Diese Arbeit befasst sich mit der Frage, wie man Recht und Wirtschaft miteinander verbinden kann, sodass beide Seiten davon profitieren. Die Lösung dazu lautet: Kommunikation. Sie bildet die Brücke zwischen Theorie und Praxis und kann sogar wahre Effizienzpotentiale schaffen, wenn sie richtig eingesetzt wird. Dementsprechend wird die übergreifende Thematik behandelt, wie man Regelungen in einem Unternehmen von A nach B übermittelt und wie sichergestellt werden kann, dass sich die betroffenen Personen auch an sie halten – und das so effizient wie möglich.
Nur selten wird Compliance mit wirtschaftlicher Effizienz in Verbindung gebracht. Denn die Einhaltung von Recht und Gesetz generiert auf den ersten Blick immerhin keine direkten, gewinnerzielenden Vorteile für Unternehmen, sondern soll lediglich Nachteile, wie z.B. Sanktionen oder Imageschäden, von ihnen abwenden. Da die Verwirklichung dieser Nachteile allerdings aufgrund zunehmender Anforderungsdichte und -komplexität immer wahrscheinlicher wird, greifen Unternehmen dennoch vermehrt auf Compliance-Management-Systeme zurück.
In der vorliegenden Arbeit sollen zuerst organisatorische Voraussetzungen aufgezeigt werden, die ein Compliance-Management-System überhaupt erst in die Lage versetzen, effizient handeln zu können. Anschließend werden verschiedene Informations- und Kommunikationsinstrumente dargestellt. Dabei wird einerseits darauf eingegangen, welche Medien sich für die Übermittlung welcher Vorschriften am besten eignen. Andererseits werden Empfehlungen ausgesprochen, worauf bei der inhaltlichen Gestaltung von Anweisungen geachtet werden sollte, damit sie von den Mitarbeitern zur Kenntnis genommen, verstanden und umgesetzt werden können.
Schließlich werden konkrete Maßnahmen aufzeigt, die nicht lediglich darauf abzielen, dass Vorschriften befolgt werden. Vielmehr sollen auch Arbeitsabläufe, bei denen Regelungen zu beachten sind, angenehmer für die Mitarbeiter gestaltet werden. Arbeitsprozesse müssen außerdem idealerweise möglichst kosten- und zeitschonend ablaufen können, wofür ebenso Lösungen vorgeschlagen werden.
Inhaltsverzeichnis
Inhaltsverzeichnis
Abbildungsverzeichnis
Tabellenverzeichnis
Abkürzungsverzeichnis
1. Einleitung
2. Compliance Prozesse
2.1 Begriffserklärung ‚Compliance’
2.2 Aufgaben eines Compliance-Management-Systems
2.2.1 Identifizierung des relevanten regulatorischen Rahmens
2.2.2 Risikobewertung
2.2.3 Maßnahmen zur Sicherstellung der Regelkonformität
2.2.4 Dokumentation
2.3 Ausführende Organe
2.3.1 Aufgabenzuweisung an bereits existierende Stellen
2.3.2 Compliance Komitee
2.3.3 Compliance Officer (intern oder extern)
2.4 Organisation des Compliance-Management-Systems
2.4.1 Aufbauorganisation
2.4.2 Ablauforganisation
3. Informations- und Kommunikationsinstrumente
3.1 Differenzierung der Begriffe Information und Kommunikation
3.2 Informations- und Kommunikationsstrategien
3.2.1 Kenntnisnahme
3.2.2 Einstellung
3.2.3 Verhalten
4. Effiziente Implementierungsmaßnahmen
4.1 Begriffserklärung ‚Effizienz’
4.1.1 Differenzierung der Begriffe ‚Effizienz’ und ‚Effektivität’
4.1.2 Ausgewählte Ausrichtungskriterien der Effizienz
4.1.3 Formen der Effizienz
4.2 Zielgrößen
4.3 Zielorientierte Maßnahmen
4.3.1 Regelkonformität
4.3.2 Mitarbeiterzufriedenheit
4.3.3 Effiziente Arbeitsabläufe
4.4 Dimensionsspezifische Auswertung
4.4.1 Unternehmensgröße
4.4.2 Risikobehaftung der Regelung
4.4.3 Prozessrichtung
5. Fazit und Ausblick
Literatur- und Quellenverzeichnis
Abbildungsverzeichnis
Abbildung 1: Compliance-Risiko-Dreieck
Abbildung 2: Managementprozesse
Abbildung 3: Informationsfluss zwischen den Compliance Akteuren (In welche Richtung informieren?)
Abbildung 4: Erscheinungsformen des ökonomischen Prinzips
Abbildung 5: Zielbeziehungen
Abbildung 6: Beispiel einer IVM-Matrix
Abbildung 7: Reichhaltigkeit der Medien
Tabellenverzeichnis
Tabelle 1: Arten von Compliance-Risiken
Tabelle 2: Beispiel einer Risikomatrix
Tabelle 3: Instrumente der Informationsübermittlung (Wodurch informieren?)
Tabelle 4: Ausrichtungskriterien der Effizienz
Abkürzungsverzeichnis
Abbildung in dieser Leseprobe nicht enthalten
1. Einleitung
„Wenn man alle Gesetze studieren wollte, so hätte man gar keine Zeit, sie zu übertreten.“ – Johann Wolfgang von Goethe
Aktuell verzeichnet einer der führenden Anbieter digitaler Rechtsinformationen fast zwei Millionen Gesetze und Verordnungen, sowie knapp eineinhalb Millionen Rechtsprechungen,1 mit steigender Tendenz.
Der wachsende Regulierungs-2 und zugleich auch Überwachungsdruck3, sowie die verschärften Konsequenzen bei Fehlverhalten4 veranlassen Unternehmen dazu, der Einhaltung von Vorschriften immer mehr Bedeutung beizumessen. „Vor [einigen] Jahren war Compliance im deutschen Sprachraum noch ein gänzlich unbekannter Begriff.“5 – heutzutage ist Compliance hingegen vor allem im Zusammenhang mit der Bekämpfung von Korruption bekannt.6
Klassischerweise umschreibt Compliance allerdings die Aufgabe, „die für ein Unternehmen geltenden Regelungen zu beachten“7, wozu neben Gesetzen, Verordnungen und Modalitäten durch Rechtsprechungen weiterhin noch unternehmensinterne Normen, sowie ethische Verhaltensmaxime zählen.
In dieser Arbeit wird Compliance daher nicht im Hinblick auf spezielle Rechtsgebiete betrachtet, sondern der Fokus liegt auf der Frage, wie man generell sicherstellen kann, dass sich Mitarbeiter an Regelungen gleich welcher Art halten.
Es treten dabei jedoch verschiedene Problematiken auf. Zum einen müssen relevante Regelungsinhalte erst einmal identifiziert und bewertet werden und müssen sodann die betroffenen Mitarbeiter auch erreichen, was vor allem in größeren oder stark regulierten Unternehmen einen hohen Grad an Koordination erfordert. Dabei sind zudem die verschiedenen Übermittlungswege mit Schwierigkeiten behaftet. Werden die Informationen persönlich vom Compliance Verantwortlichen an die Mitarbeiter herangetragen, so ist dies mit einem hohen Aufwand verbunden. Wird hingegen auf schriftliche Medien ausgewichen, z.B. auf E-Mails, so könnten die Inhalte „in Zeiten medialer Reizüberflutung“8 in der Informationsflut untergehen. Zum anderen könnte man aber auch stattdessen die Weitergabe der Regelungen delegieren, wobei jedoch die Gefahr der inkorrekten oder gar fehlenden Wiedergabe der Inhalte besteht.
Sobald die Voraussetzung der sachgerechten Informationsübertragung dann erfüllt ist, besteht weiterhin die Herausforderung, das Feedback zu maximieren, um so aufgetretene Schwachstellen künftig optimieren zu können.
Es ergibt sich also folgende Fragestellung:
- Welche Voraussetzungen sind zu erfüllen, damit die richtigen Informationen die richtigen Personen erreichen?
- Wie veranlasst man Mitarbeiter dazu, die Anforderungen auch umzusetzen?
- Wie kann die Frequenz an Feedback erhöht werden?
Das Ziel dieser Arbeit ist in erster Linie die Einhaltung von Regelungen sicherzustellen. Es soll aber auch die Zufriedenheit der Mitarbeiter erhöht werden, da diese schließlich die zahlreichen Anforderungen gewissenhaft umsetzen müssen. Weiterhin soll aber auch der Aspekt der Wirtschaftlichkeit nicht verloren gehen, was bedeutet, dass die Maßnahmen zudem noch effizient in die bereits vorhandenen Arbeitsprozesse implementiert werden sollen.
Das Hauptaugenmerk liegt dabei auf der unternehmensinternen Kommunikation, mit deren Hilfe zu allen Zielen beigetragen werden soll. Es ergibt sich gewissermaßen ein ‚3x3 der Zielgrößen’, die zugleich den Gang der Arbeit darstellen:
Um die drei Ziele Regelkonformität, Mitarbeiterzufriedenheit und effizientere Arbeitsprozesse zu erreichen, werden im ersten inhaltlichen Kapitel (Compliance Prozesse) vorerst die drei Grundvoraussetzungen aufgezeigt, die für eine wirksame Compliance zu beachten sind: eine optimierte Aufbau- und Ablauforganisation sowie das menschliche Individuum, aus dem eine Organisation immerhin besteht.
Im zweiten Kapitel (Informations- und Kommunikationsinstrumente) wird sodann auf die drei Ziele der Kommunikation mit dem Individuum eingegangen, nämlich auf das Wahrnehmen, Verstehen und Umsetzen9 von Regelungsinhalten.
Basierend auf der Synthese organisatorischer Strukturen und kommunikativer Elemente werden im dritten Kapitel (Effiziente Implementierungsmaßnahmen) spezifische Maßnahmen aufgezeigt, mit denen die übergeordneten Ziele nicht nur effektiv, sondern auch effizient erreicht werden können.
2. Compliance Prozesse
2.1 Begriffserklärung ‚Compliance’
Der englische Begriff ‚Compliance’ bedeutet „Rechts-“10 oder allgemeiner gefasst „Regelkonformität“. Denn darunter ist eben nicht nur die Einhaltung von Recht und Gesetz zu verstehen, sondern auch von organisationsinternen Normen, Best Practice11 Vorgehensweisen, ethischen Richtlinien und Werten.12
Compliance ist ein Teil der Good Corporate Governance. Unter Corporate Governance versteht man den gesamten „rechtlichen und faktischen Ordnungsrahmen“13 der die Unternehmensleitung zur guten, verantwortungsvollen Unternehmensführung veranlassen soll. Wesentliche gesetzliche Vorschriften und Standards für börsennotierte Unternehmen sind dazu beispielsweise im Deutschen Corporate Governance Kodex enthalten.
Die Einhaltung dieser und weiterer Bestimmungen in den jeweiligen Unternehmen obliegt letztendlich dem sogenannten ‚Compliance-Management-System’. Da dieses zur Sicherstellung der Regelkonformität risikogerechte Maßnahmen konzipieren und umsetzen muss, wird das Compliance-Management-System ebenfalls als ein Bestandteil des Risiko- und Prozessmanagements eingeordnet.
Die Planung, die Umsetzung und die Kontrolle dieser Maßnahmen bedürfen jeweils den Erhalt bzw. der Weitergabe relevanter Informationen.14 Regelungen kann man nämlich nur dann einhalten, wenn man von ihnen weiß und Verstöße nur dann nachhaltig verhindern, wenn man von den verursachenden Problemen erfährt. Deshalb ist eine organisatorisch verankerte Kommunikation, die zudem auf die Bedürfnisse der Mitarbeiter ausgerichtet ist, für ein Compliance-Management-System unerlässlich.
„Compliance ist damit kein zusätzliches Rechtsgebiet, sondern beinhaltet normative, organisatorische und kommunikative Aspekte.“15
2.2 Aufgaben eines Compliance-Management-Systems
Die Compliance Aufgaben, die die Unternehmensleitung betreffen, stimmen trotz verschiedener Beschreibungen in ihren Grundelementen überein:
Der Bundesgerichtshof (BGH) entschied einst über die Strafbarkeit eines Compliance Officers.16 Dabei stellte der BGH auf die Pflichten ab, die innerhalb eines Compliance-Management-Systems auszuführen sind, nämlich „die unternehmensinternen Prozesse zu optimieren und gegen das Unternehmen gerichtete Pflichtverstöße aufzudecken und zukünftig zu verhindern.“17 Zwar bezieht sich dieses Urteil auf die Pflichten eines Compliance Officers in einer öffentlich-rechtlichen Anstalt, es wird jedoch auch für privatrechtliche Unternehmen herangezogen.18
Der Deutsche Corporate Governance Kodex führt eine Empfehlung für börsennotierte Kapitalgesellschaften auf, für die Einhaltung der externen und internen Bestimmungen zu sorgen.19 Dazu sollen angemessene, risikoorientierte Maßnahmen getroffen werden. Außerdem soll der Vorstand sowohl den Beschäftigten als auch Dritten ermöglichen, dem Unternehmen geschützte Hinweise auf Rechtsverstöße geben zu können.
Auch die Sorgfaltspflichten der Unternehmensleitung aus § 130 OWiG oder §§ 76 Abs. 1, 91 Abs. 2, 93 AktG und § 43 GmbHG beinhalten gleichermaßen das Treffen von Vorkehrungen gegen Pflichtverstöße im Unternehmen und die Errichtung eines Überwachungssystems.20
Ob diese Aufgaben allerdings durch ein eigens dazu errichtetes Compliance- Management-System auszuführen sind, ist außerhalb des Bank-, Finanz- und Versicherungsdienstleistungssektors nicht ausdrücklich gesetzlich geregelt.
Auch wenn bis auf spezielle Branchen also keine positive Rechtspflicht für die Etablierung eines Compliance-Management-Systems begründet wird, kann sich die Nichterrichtung dennoch negativ auf die Sorgfaltspflichten der Unternehmensleitung auswirken.
2.2.1 Identifizierung des relevanten regulatorischen Rahmens
Um Pflichtverstöße künftig vermeiden zu können, müssen vorerst die Anforderungen identifiziert werden, die schließlich einzuhalten sind.21
Diese bestehen einerseits aus externen Bestimmungen, wie beispielsweise Gesetze, Rechtsprechungen oder Richtlinien und andererseits aus internen Bestimmungen, worunter z.B. unternehmenseigene Dienstanweisungen und Gepflogenheiten fallen. Doch auch ethische Normen und Werte sind von Bedeutung. Sie beeinflussen nicht nur die Compliance-Kultur und die daraus abgeleiteten Ziele,22 sondern auch die einzelnen Beschäftigten als Individuen,23 die letztendlich zur Zielerreichung beitragen sollen24.
Je nach Standort, Rechtsform, Branche, Größe und Komplexität des jeweiligen Unternehmens können die regulatorischen Anforderungen variieren.25 Diese müssen von einem Compliance-Management-System erfasst und kontinuierlich auf etwaige Änderungen oder Neuerungen überprüft werden.26 Nach der Identifizierung des relevanten regulatorischen Rahmens erfolgt dessen Bewertung. Darunter versteht man beispielsweise die Priorisierung der Vorschriften hinsichtlich ihrer Herkunft; denn externe Normen sind mit einer höheren Wichtigkeit behaftet als organisationsinterne, da aus letzteren keine rechtssetzende Wirkung hervorgehen kann. Aber auch die Zuordnung der einschlägigen Regelungen zu den betroffenen Ziel- bzw. Risikogruppen im Unternehmen fällt unter die Bewertung.27
Eine genauere Risikobeurteilung wird vom Compliance-Management-System in seiner Natur als Teil des Risikomanagements durchgeführt.
2.2.2 Risikobewertung
Die Risiken bei Nichteinhaltung der relevanten Vorschriften müssen analysiert werden.28 Man unterscheidet zunächst verschiedene Arten von Compliance-Risiken:
Abbildung in dieser Leseprobe nicht enthalten
Tabelle 1: Arten von Compliance-Risiken
Aus der bloßen Einteilung in die verschiedenen Risikokategorien kann jedoch noch keine genaue Risikoeinstufung hervorgehen. Um ein exakteres Ergebnis zu erhalten, müssen weitere Faktoren in die Bewertung miteinfließen. Dazu zählen die Relevanz, die Schadenshöhe und die Eintrittswahrscheinlichkeit.29
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 1 : Compliance-Risiko-Dreieck
Die Relevanz stellt darauf ab, wie bedeutsam eine Bestimmung für die betroffene(n) Zielgruppe(n) ist.30 Die Schadenshöhe beschreibt den maximalen finanziellen Schaden, der aus der Nichteinhaltung resultieren kann und die Eintrittswahrscheinlichkeit hingegen beinhaltet die Einschätzung, wie wahrscheinlich sich das Risiko verwirklicht.31
In einer Risikomatrix werden die Faktoren Schadenshöhe (SH) und Eintrittswahrscheinlichkeit (EW) miteinander verknüpft.32 Dies geschieht, indem man die Risiken jeweils nach aufsteigender Dringlichkeit entsprechend den Zahlen 1 bis 4 bewertet und anschließend miteinander multipliziert. Das Ergebnis bezeichnet man als Risk Score (RS).
Abbildung in dieser Leseprobe nicht enthalten
Tabelle 2: Beispiel einer Risikomatrix
Entsprechend des erhaltenen Risk Scores hat das Compliance-Management-System angemessene Maßnahmen zu treffen.
2.2.3 Maßnahmen zur Sicherstellung der Regelkonformität
Der Fokus von Compliance liegt auf der Einhaltung von Vorschriften.33 Nach der Erstellung eines risikoorientierten Compliance-Konzepts müssen nun die entsprechenden Prozesse aufgebaut werden. Das Ziel dabei ist, Regelverstöße entweder von Anfang an zu verhindern (präventiv) oder zumindest den Schaden für das Unternehmen möglichst gering zu halten (reaktiv).34
Präventive Maßnahmen
Zu den präventiven Maßnahmen gehören vor allem diejenigen, die die richtigen Regelungsinhalte zu den richtigen Zielgruppen befördern und dort verankern, wie beispielsweise Schulungen und Beratungen.
Falls sich bei der Konzeption gewisse Regelungslücken aufgetan haben sollten, sind diese in Form organisationsinterner Anweisungen zu schließen. Klassische Beispiele hierfür sind die Erstellung einer unternehmenseigenen Anti-Korruptions-Richtlinie35 oder eines Verhaltenskodex – auch ‚Code of Conduct’ genannt.
Aber auch die Kontrolle der regelkonformen Umsetzung gehört zur Prävention von Regelverstößen, da z.B. durch Auditierungen Fehlerquellen aufgedeckt und anschließend eliminiert werden können.36
Externe Risikoindikatoren und sonstige Gefährdungen müssen kontinuierlich im Auge behalten werden. Bestehende Prozesse sind daher ständig auf ihre Wirksamkeit zu überprüfen und müssen bei Bedarf neu aufgebaut oder weiter optimiert werden.
Reaktive Maßnahmen
Als Reaktion auf bereits erfolgte Regelverstöße wird sowohl vom Bundesgerichtshof, vom Deutschen Corporate Governance Kodex als auch durch die Sorgfaltspflichten der Unternehmensleitung die Errichtung eines Hinweisgebersystems aufgeführt.37 Sowohl Beschäftigte als auch Dritten soll die Möglichkeit eingeräumt werden, wahlweise auch anonym, Hinweise auf Verstöße geben zu können. Ein solches Feedbacksystem kann beispielsweise in die Internetseite des Unternehmens integriert werden.
Jedoch muss das Compliance-Management-System auch auf die eingegangenen Hinweise reagieren können. So stellt sich zunächst die Frage, ob interne Ermittlungen vorgenommen werden dürfen, um die Gefahr der Denunzierung durch das Hinweisgebersystem zu umgehen. In Form von Einsichtnahme in E-Mails oder Unterlagen des verdächtigen Mitarbeiters ist dies allerdings nur dann erlaubt, wenn die private Nutzung von Betriebsmitteln ausdrücklich und unmissverständlich verboten und die daraus resultierende Tragweite erkennbar ist.38
Wurde ein Regelverstoß verifiziert, muss die zuständige Compliance Funktion handeln.39 Dazu eignen sich beispielsweise arbeitsrechtliche Maßnahmen, solange diese angemessen und legitimiert sind.40 Bei schwerwiegenderen Verstößen kann zudem auch die Zusammenarbeit mit Behörden in Betracht gezogen werden, um nicht nur die Reputation des Unternehmens zu wahren, sondern auch um eine abschreckende Wirkung auf die restlichen Beschäftigten zu entfalten.
2.2.4 Dokumentation
Eine weitere Aufgabe des Compliance-Management-Systems ist die Dokumentation.41 Die Compliance Funktion hat sowohl die Konzeption des Compliance Programms sowie bestenfalls auch sämtliche Maßnahmen wie Audits oder Schulungen in nachvollziehbarer Form festzuhalten.
Unternehmerische Entscheidungen der Unternehmensleitung müssen wegen ihrer Sorgfaltspflichten auf Basis angemessener Informationen getroffen werden (Business Judgement Rule). Daraus ergibt sich auch die Notwendigkeit zur regelmäßigen und gegebenenfalls auch anlassbezogenen Berichterstattung durch die Compliance Funktion an die Unternehmensleitung.
2.3 Ausführende Organe
In Abhängigkeit von der Art, der Größe und der Komplexität des Unternehmens werden verschiedene Organisationsformen für die Ausführung der Compliance Aufgaben gewählt.42 Ein Compliance-Management-System muss also nicht unbedingt klassischerweise durch einen Compliance Officer und eine eigene Compliance-Abteilung repräsentiert werden, sondern kann auch in einer anderweitigen Ausgestaltung fungieren.
2.3.1 Aufgabenzuweisung an bereits existierende Stellen
Laut einer Studie der Wirtschaftsprüfungsgesellschaft „Ernst & Young“ sind zwei Drittel aller Compliance-Abteilungen einer anderen Stelle zugeordnet.43 Die häufigste Verbindung von Compliance besteht der Studie zufolge zur Rechtsabteilung. Aber auch der internen Revision oder dem Risikomanagement werden die Aufgabenbereiche zuwiesen.
Die aufgeführten Zuordnungen machen dann Sinn, soweit die jeweiligen Compliance Prozesse mit den Schwerpunkten der Stelle übereinstimmen, beispielsweise bei der Identifizierung des regulatorischen Rahmens durch die Rechtsabteilung. Jedoch besteht die Gefahr, dass andere Aufgabenbereiche aufgrund mangelnder Fachkenntnisse oder wegen eines nicht ausreichenden Zeitpensums nicht angemessen erledigt werden können.
2.3.2 Compliance Komitee
Eine andere Organisationsform ist das Compliance Komitee. Dies besteht beispielsweise aus den Leitern der Personal- und Rechtsabteilung, sowie der internen Revision oder des Controllings.44 Die Zusammensetzung kann jedoch auch in verschiedenen Variationen erfolgen und könnte anlassbezogen auch erweitert werden, z.B. durch den Leiter der Beschaffung.45 Das Compliance Komitee bewältigt demnach gemeinschaftlich die Herausforderungen, die sich zur Erreichung der Regelkonformität auftun.
Der Vorteil eines solchen Komitees besteht zum einen aus der Bündelung mehrerer Fachkompetenzen, zum anderen lassen sich Entscheidungen, die auf Basis einer Abstimmung getroffen wurden, fundierter begründen. Nachteilig kann sich der Zusammenschluss jedoch gerade aufgrund der verschiedenen Kompetenzen auswirken, da der Fokus der einzelnen Leitungsfunktionen ihrer Natur nach auf unterschiedlichen Problematiken liegt. Obendrein müssen die jeweiligen Zuständigkeiten und Aufgabenbereiche genau festgelegt und dokumentiert werden, da sonst die Gefahr der wechselnden Verantwortungsübertragung bestehen könnte.
Das Compliance Komitee wäre darüber hinaus aber auch unter der Leitung eines Compliance Officers für dessen zusätzliche Unterstützung denkbar.
2.3.3 Compliance Officer (intern oder extern)
An einen Compliance Officer werden mehrere Ansprüche gestellt, die er zur sachgerechten Erfüllung seiner Aufgaben benötigt. Er muss neben juristischen auch wirtschaftliche Fachkenntnisse aufweisen, da er die regulatorischen Bestimmungen nicht nur identifizieren und bewerten, sondern die Maßnahmen zu deren Einhaltung auch praktikabel gestalten muss.46 Essentiell ist zudem eine lösungsorientierte Grundhaltung des Compliance Officers und seine Fähigkeit zur Kommunikation.47
Interner Compliance Officer
Die Bestellung eines Compliance Officers kann unternehmensintern erfolgen. Dies ist empfehlenswert, da er so über bessere Prozesskenntnisse innerhalb des Unternehmens verfügt und er auf Vorkommnisse schneller reagieren kann.48 Nachteilig kann sich allerdings die Abhängigkeit des Compliance Officers von der Unternehmensleitung auf seine Loyalitätsausrichtung auswirken. Ein Compliance Officer genießt nämlich nicht den gleichen erhöhten Kündigungsschutz wie beispielsweise ein Datenschutz Beauftragter.49 Für die Beschäftigten könnten sich aufgrund dessen Zweifel bezüglich der Anonymität bei persönlichen Hinweisen oder der Vertraulichkeit im Allgemeinen ergeben.50
Externer Compliance Officer
Das Outsourcing der Compliance Officer Funktion ist ebenso möglich. Die Gefahr eventueller Loyalitätskonflikte zur Unternehmensleitung wird hier minimiert. Damit besteht eine höhere Unabhängigkeit des Compliance Officers, wodurch im Umkehrschluss auch dessen Vertraulichkeit verstärkt werden kann. Problematisch wird das Outsourcing allerdings bezüglich der Implementierung von Prozessen. Einem externen Compliance Officer mangelt es an tieferen Kenntnissen über die unternehmensinternen Abläufe und über angestellte Personen. Dies hat zur Folge, dass ihm manche Informationen überhaupt nicht oder nur verzögert zukommen und daher die Dynamik des Compliance-Management-Systems Einbußen erleidet.
2.4 Organisation des Compliance-Management-Systems
Die Organisation eines Unternehmens richtet sich nach den übergeordneten Unternehmenszielen. Die komplexe Gesamtaufgabe wird dazu in Teilbereiche zerlegt und auf die Menge an Mitarbeitern verteilt.51
Man unterscheidet Aufbau- und Ablauforganisation. Unter der Aufbauorganisation versteht man die langfristige Einteilung des Unternehmens in verschiedene Stellen und Abteilungen auf Basis der ihnen zugeordneten Aufgabenbereiche. Die Ablauforganisation hingegen befasst sich mit der zeitlichen Gestaltung von Arbeitsabläufen, die auch mehrere Stellen oder Abteilungen umschließen können.52
„Compliance [...] ist eine Matrixaufgabe, die sich über die gesamte Organisation erstreckt.“53 Die Einhaltung von regulatorischen Anforderungen ist jedoch kein neues Bestreben,54 ohnehin zählt es zu den Aufgaben der Beschäftigten ihre Arbeit gemäß geltender Anweisungen auszuführen.55
Die Eingliederung eines Compliance-Management-Systems verfolgt daher vielmehr das Ziel, die bereits vorhandenen Prozesse zur Sicherstellung der Regelkonformität zu bündeln und zu optimieren.56 Es ist somit nicht als zusätzliche Verkomplizierung bestehender Ordnungen zu betrachten - es soll diese vereinfachen und deren Inhalte verständlich kommunizieren.
Um diese Wirkung allerdings entfalten zu können, „[...] ist die Sicherung des Informationsflusses [auf allen Ebenen] von zentraler Bedeutung. In der unternehmensinternen Informationsorganisation muss sichergestellt werden, dass relevante Informationen alle betroffenen Mitarbeiter erreichen.“57
Die Organisation hat demnach die Aufgabe, den Spielraum für die Kommunikation so festzulegen, damit durch sie Handlungen, Ressourcen und Fachkompetenzen koordiniert und vorgegebene Ziele schließlich erreicht werden können.58
2.4.1 Aufbauorganisation
Bei der langfristigen Integrierung eines Compliance-Management-Systems in die bereits vorhandenen Betriebsstrukturen sind verschiedene Voraussetzungen zu erfüllen, um dessen Funktionsfähigkeit von Anfang an gewährleisten zu können.
Grundlegende Prinzipien
Zur Sicherstellung der Regelkonformität müssen einige Grundsätze im gesamten Unternehmen verankert werden. Durch sie wird das Fundament für die Leistungsfähigkeit des Compliance-Management-Systems gelegt.59
Das Vier-Augen-Prinzip soll verhindern, dass wichtige Entscheidungen oder kritische Handlungen von einzelnen Personen vorgenommen werden dürfen, um so potentielle Gefährdungsquellen für das Unternehmen zu eliminieren.60
Weiterhin soll die Funktionstrennung eingehalten werden. Diese sieht vor, dass wesentliche Geschäftsabläufe nicht von einer Person durchgängig ausgeführt werden dürfen. Beispielsweise dürfen demnach Produkte nicht von der gleichen Funktion eingekauft, verrechnet und verwaltet werden.
Daneben besteht das Prinzip der Transparenz. Sämtliche Vorgänge im Unternehmen sollen so offengelegt werden, dass die Beschäftigten einerseits die Anforderungen erkennen können, die an sie gestellt werden – andererseits soll es umgekehrt aber auch der Überprüfung dienen, ob sich die Mitarbeiter letztlich auch konform zu diesen verhalten. Im Einklang mit dem Grundsatz der Transparenz steht sowohl das Dokumentationsprinzip als auch das Prinzip der Mindestinformation. Nach dem Dokumentationsprinzip müssen Prozesse wahrnehmbar festgehalten werden – nach dem Mindestinformationsprinzi p sollen die Beteiligten nur auf die Informationen zugreifen können, die für ihre Tätigkeit benötigt werden.
Um die Abgrenzung von der Prinzipien Transparenz, Dokumentation und Mindestinformation zu verdeutlichen, folgt nun ein Beispiel im Hinblick auf das Compliance-Management-System:
Die Compliance Funktion muss erkennen können, welche Aufgaben sie zu erfüllen hat (Transparenz: top-down61 ). Die Maßnahmen, welche die Compliance Funktion daraufhin tätigt, müssen dokumentiert (Dokumentation) und der Unternehmensleitung berichtet werden, da sie diese Informationen – im Gegensatz zu anderen Bereichen – auch tatsächlich für ihre künftige unternehmerische Entscheidungsfindung benötigt (Mindestinformation).62 Auf Grundlage dieser Berichterstattung hat die Unternehmensleitung wiederum Aufschluss darüber gewonnen, ob die Anforderungen durch die Compliance Funktion erfüllt wurden (Transparenz: bottom-up63 ).
Wirksame Delegation der Aufgaben
Ferner müssen der Compliance Funktion die eigenen Rahmenbedingungen erfüllt werden, die sie zur Ausführung ihrer Aufgaben benötigt.
Compliance ist eigentlich Aufgabe der Unternehmensleitung, da sie unter ihre Sorgfalts- und Aufsichtspflichten fällt.64 Die Aufgaben, Kompetenzen und Verantwortungen die sich aus diesen Pflichten ergeben, können allerdings unter folgenden, bestimmten Voraussetzungen z.B. an einen Compliance Officer übertragen, also delegiert, werden.65
Die Compliance Funktion muss nach ihrer persönlichen und fachlichen Eignung sorgfältig ausgewählt werden.66 Neben juristischen Kenntnissen werden auch kommunikative und wirtschaftliche Kompetenzen verlangt, um letztendlich den zugeteilten Aufgaben gerecht werden zu können.67 Es muss zudem eine Einweisung in diese Aufgabenbereiche erfolgen.68 Für die Compliance Funktion muss klar sein, in welchem Umfang die Pflichten und Kompetenzen der Unternehmensleitung auf sie übertragen werden und wie die zielgerechte Erfüllung dieser Anforderungen zu erledigen ist.69 Der Compliance Funktion müssen daneben auch die Ressourcen bereitgestellt werden, die sie für ihre Tätigkeit benötigt.70 Dazu zählen neben sachlichen auch informative Mittel, wodurch das ausführende Organ erst aktions- und reaktionsfähig werden kann. Doch selbst nach der Erfüllung dieser Voraussetzungen geht die Verantwortung nicht ganzheitlich von der Unternehmensleitung auf die Compliance Funktion über. „Nach der Delegation wandelt sich die Ausführungspflicht des Delegierenden in eine Aufsichtspflicht.“71 Infolgedessen muss die Unternehmensleitung die Compliance Funktion weiterhin im zumutbaren Rahmen überwachen.72 Durch Dokumentation und regelmäßige Berichterstattungen soll daher den Aufsichts- und Kontrollpflichten des Delegierenden nachgekommen werden. Es darf also kein „blindes Vertrauen in die pflichtgemäße Aufgabenerfüllung“73 bestehen, da ansonsten die Wirksamkeit der Delegation nicht mehr vorhanden wäre.
Bereichsübergreifende Koordination
Koordination, also die Abstimmung von Teilaktivitäten,74 ist immer dort notwendig, wo Arbeitsteilung stattfindet.75
Die Einhaltung von Regelungen ist eine unternehmensweite Gesamtaufgabe, sie sich auf jeden einzelnen Mitarbeiter erstreckt. Da diese einzelnen, voneinander unabhängigen Compliance Prozesse durch das Compliance-Management-System gebündelt und dort wo notwendig unterstützt werden sollen, besteht somit ein hoher Koordinationsbedarf.76
Je nach Komplexität und Art des Betriebes wäre es falsch, beispielsweise von einen einzelnen Compliance Officer zu fordern, die teilweise auch nur abteilungsinternen Best Practice Vorgehensweisen oder Spezialnormen allesamt zu kennen. Von der Compliance Funktion kann also keine Sachkenntnis in allen Bereichen verlangt werden. Deshalb ist es wichtig, die zur Verfügung stehenden Ressourcen, insbesondere Fachkompetenzen, miteinander zu teilen. Bei der bereichsübergreifenden Koordination stellt sich also die Frage, wie man Zuständigkeiten über den gesamten Unternehmenskomplex hinweg verteilt, sodass daraus eine wirksame, informative und dynamische Zusammenarbeit entstehen kann.
Die einzelnen Mitarbeiter zunächst einmal als Kollektiv zu betrachten, das seine Verbindung im gemeinsamen Arbeitgeber findet. Dieser legt mit der Compliance Kultur den Grundstein für den Anklang, den das Compliance-Management-System bei den Beschäftigten im Unternehmen finden wird. Dieser sogenannte „tone at the top“ ist somit entscheidend für den Erfolg des Compliance-Management-Systems77 und muss daher auf die Affirmation und Bedeutsamkeit von Compliance gerichtet sein78.
Die Botschafter der Unternehmens- und auch Compliance Kultur sind die Führungskräfte.79 Sie wirken als Vorbilder, Beschleuniger und Multiplikatoren und sind daher ein entscheidender Faktor für die Vermittlung von Werten und Verhaltensweisen, als auch für den dynamischen Informationsfluss. Die Führungskräfte befinden sich in der Position, in der sie einerseits schnell an viele Informationen der Mitarbeiter gelangen (bottom-up) – umgekehrt aber auch an sie weitergeben können (top-down). Die Aufbauorganisation sollte daher so gestaltet werden, dass das Medium ‚Führungskräfte’ zu einer „Interaktion zwischen den Zielgruppen“80 genutzt werden kann, um durch sie nicht nur Regelungen top-down zu verankern, sondern auch eine feedbackorientierte Beratung81 bottom-up zur Verfügung stellen zu können. Die Zuständigkeit der Führungskräfte sollte demnach im Beitrag zu einer umfassenden, dynamischen Informations- und Kommunikationsinfrastruktur mit dem Compliance-Management-System liegen. Dazu können auch bereits bestehende Strukturen zum Informationsaustausch genutzt werden, z.B. Software-Programme, Räumlichkeiten oder die Einbindung der Compliance Funktion in vorhandene Gremien oder Arbeitsgruppen. Auch die Bestellung abteilungsspezifischer Compliance Beauftragter, die sich zusätzlich spezielles Wissen hinsichtlich Compliance aneignen, bietet sich für eine optimierte Zusammenarbeit an.82
Doch auch unabhängig von der indirekten Compliance-Kommunikation über Führungskräfte oder Compliance Beauftragte, sind weitere Strukturen zur direkten Compliance-Kommunikation, z.B. im Intranet, einzurichten.83 Diese sollen allen Mitarbeitern den Zugriff auf die für sie relevanten Informationen ermöglichen.84
[...]
1 vgl. Juris, (o.J.), Stand: 26.03.18
2 vgl. Ernst & Young, (2016), S.42
3 vgl. Preusche / Würz, (2015), S.10
4 vgl. Deloitte, (2011), S.11
5 Deloitte, (2011), S.8
6 vgl. Preusche / Würz, (2015), S.37
7 Deloitte, (2011), S.8
8 Zurbrüggen, in: Fokus IK, (2014), S.10
9 vgl. vgl. Schuster / Rapp, in: Schmola / Rapp, (2016), S.46
10 vgl. Preusche / Würz, (2015), S.8
11 Unter ‚Best Practice’ versteht man bestmögliche (bereits erprobte) Methoden, Maßnahmen oder Vorgehensweisen zur Erreichung oder Umsetzung von Anforderungen in Unternehmen. vgl. Duden, (o.J.), Stichwort: Best Practice
12 vgl. hier und im Folgenden Weber, in: Schmola / Rapp, (2016), S.3-5
13 Wöhe / Döring, (2013), S.63
14 vgl. hier und im Folgenden Wöhe / Döring, (2013), S.48-49
15 Weber, in: Schmola / Rapp, (2016), S.4
16 vgl. hier und im Folgenden Weber, in: Schmola / Rapp, (2016), S.11
17 BGHSt, Urteil vom 17.07.2009, NJW 2009, 3173-3177, zitiert in: Weber, in: Schmola / Rapp, (2016), S.11
18 vgl. Weber, in: Schmola / Rapp, (2016), S.17
19 vgl. hier und im Folgenden Regierungskommission, (2017), Nr. 4.1.3
20 vgl. hier und im Folgenden Weber, in: Schmola / Rapp, (2016), S.10-11
21 vgl. hier und im Folgenden Weber, in: Schmola / Rapp, (2016), S.4-5
22 vgl. Schuster / Rapp, in: Schmola / Rapp, (2016), S.33-35
23 vgl. Liebrich, (2008), S.6
24 vgl. Wöhe / Döring, (2013), S.121
25 vgl. Weber, in: Schmola / Rapp, (2016), S.21
26 vgl. hier und im Folgenden Weber, in: Schmola / Rapp, (2016), S.4-5
27 vgl. Müller, in: Berufsverband der Compliance Manager, (2013)
28 vgl. hier und im Folgenden Weber, in: Schmola / Rapp, (2016), S.5-6
29 vgl. hier und im Folgenden Schuster / Rapp, in: Schmola / Rapp, (2016), S.37
30 vgl. Punkt 2.2.1, S.5
31 vgl. Schuster / Rapp, in: Schmola / Rapp, (2016), S.37
32 vgl hier und im Folgenden Deloitte, (2011), S.21-24
33 vgl. Schuster / Rapp, in: Schmola / Rapp, (2016), S.29
34 vgl. hier und im Folgenden Weber, in: Schmola / Rapp, (2016), S.5-14
35 vgl. Schuster / Rapp, in: Schmola / Rapp, (2016), S.43
36 vgl. hier und im Folgenden Weber, in: Schmola / Rapp, (2016), S.5-14
37 vgl. Punkt 2.2, S.4
38 vgl. LAG Hessen, Beck RS 2012, 68303; LAG Niedersachsen, MMR 2010, 639f; BAG, NZA 2006, 977; LAG Schleswig-Holstein, Beck RS 2006, 43687; LAG Hessen, Beck RS 2002, 40349, zitiert in: Weber, in: Schmola / Rapp, (2016), S.7
39 vgl. Weber, in: Schmola / Rapp, (2016), S.17
40 vgl. hier und im Folgenden Weber, in: Schmola / Rapp, (2016), S.8-10
41 vgl. hier und im Folgenden Weber, in: Schmola / Rapp, (2016), S.10-17
42 vgl. Schuster / Rapp, in: Schmola / Rapp, (2016), S.42
43 vgl. hier und im Folgenden Ernst & Young, (2016), S.10
44 vgl. Schuster / Rapp, in: Schmola / Rapp, (2016), S.44
45 vgl. hier und im Folgenden Preusche / Würz, (2015), S.60-66
46 vgl. Schuster / Rapp, in: Schmola / Rapp, (2016), S.43
47 vgl. Weber, in: Schmola / Rapp, (2016), S.15
48 vgl. hier und im Folgenden Schuster / Rapp, in: Schmola / Rapp, (2016), S.44
49 vgl. Weber, in: Schmola / Rapp, (2016), S.15
50 vgl. hier und im Folgenden Schuster / Rapp, in: Schmola / Rapp, (2016), S.44
51 vgl. hier und im Folgenden Wöhe / Döring, (2013), S.100-104
52 vgl. Wöhe / Döring, (2013), S.117
53 Weber, in: Schmola / Rapp, (2016), S.12
54 vgl. Punkt 2.1, S.3
55 vgl. Preusche / Würz, (2015), S.61
56 vgl. hier und im Folgenden Preusche / Würz, (2015), S.10 und Ernst & Young, (2016), S.20
57 Weber, in: Schmola / Rapp, (2016), S.14
58 vgl. Liebrich, (2008), S.99-105
59 vgl. Weber, in: Schmola / Rapp, (2016), S.15
60 vgl. hier und im Folgenden Schuster / Rapp, in: Schmola / Rapp, (2016), S.38-39
61 „top-down“ bedeutet „von oben nach unten“ und bezieht sich auf die Prozessrichtung hinsichtlich der Hierarchieebenen im Unternehmen
62 vgl. Punkt 2.2.4, S.9
63 „bottom-up“ bedeutet „von unten nach oben“ und bezieht sich auf die Prozessrichtung hinsichtlich der Hierarchieebenen im Unternehmen
64 vgl. Weber, in: Schmola / Rapp, (2016), S.13
65 vgl. Wöhe / Döring, (2013), S.110
66 vgl. Weber, in: Schmola / Rapp, (2016), S.13
67 vgl. Punkt 2.3.3, S.10
68 vgl. Weber, in: Schmola / Rapp, (2016), S.13
69 vgl. Wöhe / Döring, (2013), S.110
70 vgl. hier und im Folgenden Preusche / Würz, (2015), S.75
71 Preusche / Würz, (2015), S.75
72 vgl. Weber, in: Schmola / Rapp, (2016), S.13-15
73 Weber, in: Schmola / Rapp, (2016), S.13
74 vgl. Gabler Wirtschaftslexion, (o.J), Stichwort: Koordination
75 vgl. Gabler Wirtschaftslexion, (o.J), Stichwort: Organisation
76 vgl. hier und im Folgenden Preusche / Würz, (2015), S.37-38
77 vgl. Schuster / Rapp, in: Schmola / Rapp, (2016), S.33
78 vgl. Schuster / Rapp, in: Schmola / Rapp, (2016), S.49
79 vgl. hier und im Folgenden Schuster / Rapp, in: Schmola / Rapp, (2016), S.33
80 Schuster / Rapp, in: Schmola / Rapp, (2016), S.49
81 vgl. Schuster / Rapp, in: Schmola / Rapp, (2016), S.48
82 vgl. Schuster / Rapp, in: Schmola / Rapp, (2016), S.44
83 vgl. Müller, in: Berufsverband der Compliance Manager, (2013)
84 vgl. Schuster / Rapp, in: Schmola / Rapp, (2016), S.46
- Quote paper
- Anna Murk (Author), 2018, Effiziente Implementierung von Compliance Prozessen, Munich, GRIN Verlag, https://www.grin.com/document/508392
-
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X.