80
Die Grundlage für die Angemessenheit und Wirksamkeit eines CMS ist die Compliance-Kultur. Einen maßgeblichen Einfluss auf die Compliance-Kultur haben insbesondere die Grundeinstellung und Verhaltensweisen der Unternehmensleitung und des Aufsichtsorgans (sog. „tone at the top“). Kennzeichen einer günstigen Compliance-Kultur sind beispielsweise ein hoher Stellenwert der Regelkonformität sowie ein von Personen und Hierarchien unabhängiger Sanktionsmechanismus. Eine günstige Compliance-Kultur soll eine höhere Akzeptanz der relevanten Grundsätze und Maßnahmen durch die Mitarbeiter fördern. Einflussfaktoren auf die Compliance-Kultur sind neben den Verhaltensweisen und dem Führungsstil des Managements z.B. die Regelkonformität fördernde Anreizsysteme, die Berücksichtigung von Compliance bei Personalbeurteilungen und Beförderungen oder die Art und Weise, wie das Aufsichtsorgan seine Aufgaben im Hinblick auf Risikomanagement und Compliance wahrnimmt.[107]
81
Bei der Bestimmung der Compliance-Ziele sollen die allgemeinen Unternehmensziele und die für das Unternehmen in den abgegrenzten Teilbereichen relevanten Regeln berücksichtigt werden. Dabei sind im Rahmen der Festlegung der Compliance-Ziele zu beachtende Anforderungen insbesondere die Konsistenz, die Verständlichkeit und die Praktikabilität der unterschiedlichen Ziele, die Messbarkeit des Zielerreichungsgrades sowie die Abstimmung mit den verfügbaren Ressourcen.[108]
82
Die Basis für die Entwicklung eines angemessenen Compliance-Programms stellt die Risikoanalyse dar. Die Analyse (Feststellung und Beurteilung) der Compliance-Risiken sollte auf Basis der von der Unternehmensleitung festgelegten Compliance-Ziele erfolgen. Im Rahmen der Risikoanalyse ist eine Beurteilung der identifizierten Compliance-Risiken hinsichtlich Eintrittswahrscheinlichkeit und Auswirkung vorzunehmen. Zudem sollten die grundlegenden Entscheidungen des Managements in Bezug auf den Umgang mit Risiken (Risikovermeidung, Risikoreduktion, Risikoüberwälzung oder Risikoakzeptanz) berücksichtigt werden. Zentrale Eigenschaft der Risikoanalyse ist, dass es sich um eine wiederkehrende Aufgabe innerhalb des CMS – und somit um einen Regelprozess – handelt.[109]
83
Das Compliance-Programm beinhaltet die konkreten Grundsätze und Maßnahmen, die die Einhaltung der für das Unternehmen relevanten Regeln sicherstellen sollen. Dabei werden unter Grundsätzen klare Festlegungen zur Zulässigkeit bzw. Unzulässigkeit von Aktivitäten verstanden. Maßnahmen sind konkrete Prozesse und Instrumente zum Erkennen von Risiken für Compliance-Verstöße (z.B. Hinweisgebersysteme), zur Reaktion auf die erkannten Risiken sowie zur Kommunikation und Ursachenanalyse bei Aufdeckung von Verstößen. Die Maßnahmen des Compliance-Programms umfassen zudem in das CMS integrierte Kontrollen, wie z.B. Funktionstrennungen, Berechtigungskonzepte oder Genehmigungsverfahren und Unterschriftsregelungen, unabhängige Gegenkontrollen (4-Augenprinzip) und Job-Rotationen.[110]
84
Von zentraler Bedeutung für die Compliance-Organisation ist eine klare Festlegung von Rollen und Verantwortlichkeiten. Darunter fällt insbesondere die Bestimmung eines Compliance-Beauftragten oder eines Compliance-Gremiums. Zudem sollte eine klare Festlegung der Aufgaben bzw. Kompetenzen, der hierarchischen Stellung bzw. der organisatorischen Einordnung sowie der Berichtslinien erfolgen. Ein weiteres Merkmal einer guten Compliance-Organisation ist die Bereitstellung ausreichender Ressourcen im Hinblick auf die festgelegten Compliance-Ziele und die identifizierten Compliance-Risiken. Des Weiteren sollte die Compliance-Organisation die Entwicklung organisatorischer und technischer Hilfsmittel zur Durchsetzung des Compliance-Programms, wie z.B. Handbücher, Checklisten oder IT-Tools, sicherstellen. Um die Wirksamkeit und Wirtschaftlichkeit zu gewährleisten, sollte das CMS zudem nicht als „stand-alone“-System implementiert, sondern in andere bestehende Systeme des Unternehmens, wie z.B. das Risikomanagementsystem oder das interne Kontrollsystem, integriert werden.[111]
85
Die Compliance-Kommunikation ist von zentraler Bedeutung für die Wirksamkeit des CMS. Dabei weist das Grundelement Compliance-Kommunikation drei wesentliche Aufgaben auf. Erste wesentliche Aufgabe der Compliance-Kommunikation ist die Kommunikation der in den definierten Teilbereichen von den Mitarbeitern zu beachtenden Regeln sowie des Compliance-Programms an die jeweils betroffenen Personen. Die Kenntnis der zu befolgenden Regeln ist die Voraussetzung, dass diese auch eingehalten werden können. Zweite zentrale Aufgabe der Compliance-Kommunikation ist die Festlegung der Berichtspflichten (Anlässe) und der Berichtswege für die Kommunikation der identifizierten Compliance-Risiken und festgestellter bzw. vermuteter Regelverstöße an die jeweils zuständigen Funktionen im Unternehmen. Die Sicherstellung des diesbezüglichen Informationsflusses ist für die Verhinderung vermuteter Regelverstöße und die Bewältigung festgestellter Regelverstöße von entscheidender Bedeutung. Die dritte zentrale Aufgabe stellt die Kommunikation der Ergebnisse von durchgeführten Überwachungsmaßnahmen dar. Diese Informationen sollen der Ursachenanalyse und der daraus abgeleiteten Entwicklung von Verbesserungsmaßnahmen dienen. Als Instrumente für die Vermittlung von Informationen kommen z.B. Mitarbeiterbriefe, Compliance-Handbücher oder Schulungen in Frage.[112]
86
Das Grundelement Compliance-Überwachung und Verbesserung umfasst die Durchführung von Überwachungsmaßnahmen und die Entwicklung von Verbesserungsmaßnahmen bei Hinweisen auf Schwachstellen im CMS. Für die Überwachung des CMS sollten prozessunabhängige Stellen, wie z.B. die interne Revision, verantwortlich sein. Ziel der Überwachungsmaßnahmen ist die Beurteilung, ob das CMS angemessen ausgestaltet und wirksam ist. Um eine effiziente Compliance-Überwachung zu erzielen, sollten die Zuständigkeiten festgelegt, ein Überwachungsplan entwickelt, ausreichende Ressourcen bereitgestellt und die Berichtswege bestimmt werden. Werden im Rahmen der Überwachungsmaßnahmen Schwachstellen im CMS festgestellt, so sind Verbesserungsmaßnahmen, wie z.B. eine intensivere Kommunikation des Compliance-Programms oder die Etablierung zusätzlicher Kontrollen, vorzunehmen. Führen die Überwachungsmaßnahmen zu Hinweisen auf Regelverstöße, so sind zusätzliche Maßnahmen zur Prävention von Regelverstößen in der Zukunft zu ergreifen. Hierbei kann es sich z.B. um zusätzliche Schulungsmaßnahmen oder die Berücksichtigung Compliance-relevanter Informationen bei Mitarbeiterbeurteilungen oder Entscheidungen über Beförderungen handeln. Liegen gravierende Regelverstöße vor, so sind ggf. stärkere Maßnahmen, wie z.B. die Kündigung des Arbeitsvertrags, zu treffen.[113]
87
Wie bereits einleitend dargestellt, hängt die konkrete Ausgestaltung des CMS maßgeblich von den von der Unternehmensleitung festgelegten Compliance-Zielen, der Unternehmensgröße sowie der Komplexität (Art und Umfang) der Geschäftstätigkeit ab.[114] Im Hinblick auf die einzelnen Grundelemente des CMS bedeutet dies, dass sämtliche Elemente auf einem Mindeststandard vorhanden sein sollten, der Grad der Ausgestaltung jedes einzelnen Elementes jedoch in Abhängigkeit der individuellen Gegebenheiten der Unternehmen sehr unterschiedlich ausfallen kann.
c) CMS-Beschreibung
88
Die CMS-Beschreibung ist die zentrale Dokumentation des vorhandenen CMS und soll eine konsistente Anwendung und personenunabhängige Funktion des CMS gewährleisten. Daher sollte die CMS-Beschreibung inhaltlich die Konzeption des CMS sowie seine Grundsätze und Maßnahmen darstellen. Gegenstand der Beschreibung sollten insbesondere sämtliche Grundelemente des CMS sein.[115] Dabei sind verallgemeinernde oder irreführende Darstellungen in der CMS-Beschreibung zu vermeiden und die allgemein anerkannten Berichtsgrundsätze der Vollständigkeit (Wesentlichkeit und Relevanz), der Verlässlichkeit (Richtigkeit, Nachvollziehbarkeit, Konsistenz und Widerspruchsfreiheit) sowie der Klarheit und der Übersichtlichkeit zu beachten. Daneben soll die