Compliance
Der Begriff Compliance ist aus dem englischen Verb „to comply with“ abgeleitet und wurde aus dem medizinischen Bereich in den wirtschafts- und rechtswissenschaftlichen Sprachgebrauch übernommen. Vereinfacht gesagt bedeutet er Rechts- und Regeltreue.

Ausgangspunkt für das zunehmende Interesse an diesbezüglichen Präventionskonzepten waren Skandale in den 80er und 90er Jahren, die einige US-amerikanische und deutsche Unternehmen fast um ihre Existenz gebracht hätten. Schadensersatzforderungen und Geldbußen in Millionenhöhe sowie eine deutlich beschädigte Reputation zeigten für die betroffenen Unternehmen eine nachhaltige und negative Wirkung. Deshalb wird Compliance in der Praxis überwiegend als ein Thema wahrgenommen, dass wegen der rechtlichen Vorgaben in § 91 Abs. 2 AktG und der Empfehlung in den Ziffern 3.4 und 4.1.3 des Deutschen Corporate Governance Kodex (DCGK) die Privatwirtschaft betrifft, aber weniger die öffentliche Hand.

Inzwischen setzt sich die Einsicht durch, dass die Erwartungen an die Verwaltung hinsichtlich der Effektivität und Effizienz ihrer Aufgabenerfüllung einerseits und die – nicht zuletzt durch die zunehmende Europäisierung, Digitalisierung und Technisierung bedingten - vielfältigeren und weitläufigeren Handlungs- und Entscheidungsmöglichkeiten andererseits die Anforderungen an ihr Handeln deutlich erhöht haben. Immer mehr Behörden in Deutschland beschäftigen sich mit der Frage, wie sie die in sie gesetzten Erwartungen rechts- und regelkonform sowie ökonomisch sinnvoll und nachhaltig erfüllen können.

Methodisch und hinsichtlich ihrer Zielrichtung sind Compliance und Risikomanagement eng miteinander verknüpft. Während das Risikomanagement die Identifizierung, Bewertung und Steuerung aller wirtschaftlich und rechtlich relevanten Risiken im Blick hat, konzentriert sich das Compliance-Management auf die nachhaltige Steuerung und Überwachung rechtlicher Risiken, also jene die ihre Ursache in Rechts- und Regelverstößen haben bzw. die zu solchen führen.

Compliance-Standards

Neben die gesetzlichen Pflichten für Unternehmen zur Implementierung von Strukturen, die ein Risiko- und Compliance-Management gestatten, sind in der Praxis verschiedene Standards entwickelt worden, wie ein solche Compliance-Management organisiert und strukturiert werden kann. In der Tabelle unten sind vier gängige Standards genannt, die keinen Anspruch auf Vollständigkeit haben. Es gibt darüber hinaus noch weitere Standards, etwa branchenbezogen (z.B. Immobilien) oder mit einem regionalen Bezug (z.B. Hamburg).

Die internationalen Standards der ISO betonen ausdrücklich, dass ihre Anwendung für jede Organisationsform, unabhängig von ihrer rechtlichen Gestaltung, Größe, Struktur oder ihrem Aufgabenportfolio, möglich ist. Damit kann sich die Privatwirtschaft an ihnen ebenso orientieren wie staatliche Einrichtungen und Behörden.

Im Ergebnis unterscheiden sich die Standards methodisch kaum voneinander, denn sie folgen alle der sog. Vier-Schritt-Methode oder auch dem PDCA-Zyklus. Das bedeutet, man beginnt mit der Zieldefinition und Compliance-Risikoanalyse, bestimmt sodann die Maßnahmen, die zu ergreifen sind, um die Compliance-Ziele zu erreichen, setzt diese um und prüft anschließend, ob die getroffenen Maßnahmen angemessen und wirksam sind oder ob und ggfs. wie nachgesteuert werden muss.

Comp_Standards.png

Bezeichnung

Verfasser

Publikationsjahr

Zertifizierungsgeeignet

Bedeutung in der Praxis

TR CMS 101:2011

TÜV Rheinland

2011

ja

eher gering

IDW PS 980

Institut deutscher Wirtschaftsprüfer e.V.

2011

Ja, urspr. nur Prüfungs-, jetzt auch Implementierungsstandard

Hoch bis sehr hoch

ISO 19600: 2014

International Organiszation for Standardization

2014

h.M. - nein

mittel

DIN ISO 37001: 2016

International Organization for Standardization

2016 – nur für Korruptionspräventionssysteme

ja

noch nicht absehbar

Compliance-Management-System (CMS)

Von den genannten Compliance-Standards hat sich vor allem der IDW PS 980 von einem Prüfungs- zu einem häufig verwendeten Implementierungsstandard gewandelt. Die Grundelemente eines CMS im Sinne des IDW PS 980 sind:
Comp_Inhalte.png
Wie die Grundelemente konkret zu gestalten sind, hängt entscheidend von der Größe, der Struktur und den Aufgaben der jeweiligen Einrichtung ab. Die Compliance-Maßnahmen, die innerhalb eines Compliance-Programms entwickelt werden, können organisatorischer, regulativer oder personeller Art sein. Zu den organisatorischen Maßnahmen gehören u.a. die klare Abgrenzung der Kompetenzen, die eindeutige Aufbau- und Ablauforganisation, die Dienst- und Fachaufsicht, die Berichtswege, das Mehr-Augen-Prinzip, das Trennungs-, das Dokumentations- das Rotationsprinzip. Selbstverständlich sind diese Maßnahmen der öffentlichen Hand keineswegs fremd, nur zeigt die Praxis, dass ihre unterschiedliche Handhabung Risikopotenziale fördern kann. Regulative Maßnahmen sind alle Dienstanweisungen und internen Vorschriften, welche den Umgang mit besonderen Vorkommnissen (Bsp. Notfallplan), mit potenziellen Interessenkonflikten (Bsp. Verhaltenskodex) sowie die Einhaltung des Dienstweges und die Vermeidung von Rechtsverstößen (Bsp. Beschaffungshandbuch, Zeichnungsrechte, etc.) regeln und genauer erläutern. Personelle Maßnahmen sind vor allem die Berufung eines Compliance-Beauftragten, der regelmäßig auch Ansprechperson zur Korruptionsprävention ist, sowie die Einrichtung eines Hinweisgebersystems und die Berufung einer externen Ombudsperson.
Der Compliance-Beauftragte zeichnet nicht nur verantwortlich für die Implementierung eines CMS, sondern auch für die Festlegung und Überwachung der Compliance-Maßnahmen, die Ermittlung von Verdachtsfällen, die Zusammenarbeit mit der Internen Revision, Rechnungsprüfung und dem Risikomanagement. Zudem berät er die Behördenleitung, schult und unterweist die Behördenmitarbeiter und ist der Ansprechpartner für jeden, wenn es um das Thema Compliance im Zusammenhang mit der öffentlichen Einrichtung geht.