Die Einhaltung gesetzlicher und regulatorischer Verpflichtungen scheint selbstverständlich zu sein. In der Praxis stellen die zahlreichen Regelungen, die Unternehmen im deutschen, europäischen und internationalen Umfeld einhalten müssen, eine Herausforderung dar. Die Beschäftigung mit Compliance gehört mittlerweile bei vielen deutschen Unternehmen zu einem wichtigen Bestandteil der Corporate Governance. Der Aufbau eines ganzheitlichen Compliance Managements und dessen organisatorische Eingliederung in das Unternehmen werden aktuell diskutiert. Aufgrund der vielfach parallel existierenden Systeme sollte die Chance zur Zusammenführung genutzt werden. Die Regelungen der Governance, das Qualitäts- und Risikomanagementsystem sollte mit dem Compliance Management zum interne Steuerungs- und Überwachungssystemen vernetzt werden. Das schafft Synergien. Die zu Grunde liegenden Standards bilden den gemeinsamen Nenner.

Begriffsdefinition
Für den Begriff „Compliance“ existiert keine einheitliche Definition. Der Begriff umfasst nicht nur Regelungen zur Vermeidung von Verhaltensfehler, Vermögensdelikten und Korruption. Die Einhaltung aller Gesetze, Verordnungen und Richtlinien sowie von vertraglichen Verpflichtungen und freiwillig eingegangenen Selbstverpflichtungen gehört ebenfalls dazu. Compliance ist eine umfassende Aufgabe, die alle Bereiche eines Unternehmens betrifft und sich auf alle Bereiche und Prozesse und über alle Hierarchiestufen hinweg auswirkt.

Gründe für Compliance Management Systeme

• Erhöht Transparenz zur Vermeidung von Risiken durch wesentliche Rechts- und Regelverstöße
• Schützt und stärkt die Reputation eines Unternehmens
• Etabliert Risiko- und Verantwortungsbewusstsein
• Verbessert die interne und externe Kommunikation
• Fördert das Vertrauen der Öffentlichkeit, der Mitarbeitenden, der Politik und der Menschen, die die Einrichtung mit ihren Geldern unterstützen
• Instrument der Mitbestimmung: Da es Betriebsräten und Arbeitnehmervertretern im Aufsichtsrat eher möglich ist - über den Rahmen ihrer definierten Rechte hinaus - gestaltend tätig zu werden, erhöht sich die Beteiligung der Mitarbeiter
• Schützt Dritte und eigene Arbeitnehmer: persönliche Strafbarkeits- und Schadenersatzrisiken der Geschäftsführung, der Mitarbeiter und der Aufsichtsratsmitglieder werden vermieden oder reduziert

Bedeutung von Compliance und Folgen von Non-Compliance
In der Vergangenheit haben Rechtsverstöße einzelner Unternehmen öffentliche Kritik hervorgerufen und Imageschäden sowie hohe Kosten für die Aufklärung verursacht. Von Behörden und Gerichten wurden hohe Bußgelder und Geldstrafen gegen Unternehmen verhängt. Dies betrifft nicht nur das Wettbewerbs- und Kartellrechts Compliance-Vorfälle haben häufig personelle Konsequenzen an der Unternehmensspitze nach sich gezogen. Die obersten Leitungs- und Überwachungsebenen wurden auch persönlich in Haftungsfälle verwickelt.

• Bußgelder und Geldstrafen
• Schaden an Menschen
• Vertrauensverlust
• Ausschluss aus Ausschreibungen
• Kündigung/Verlust von Fördermitteln
• Imageverlust
• Schadensersatzforderungen

Rechtliche Verankerung
Im deutschen Recht existieren keine Vorgaben, die die Einrichtung eines Compliance Management Systems zwingend voraussetzen. Das Bilanzrechtsmodernisierungsgesetz (BilMoG) hat allerdings die Überwachungsaufgaben des Aufsichtsrats konkretisiert. Sie umfassen die Überwachung der Wirksamkeit des Risikomanagements, der internen Kontrollen und der Internen Revision. Ein effizienter und standardisierter Umgang mit Risiken aus möglichen Compliance-Verstößen gehört zu einem wirksamen und effektiven Risikomanagement.

Compliance Management System (CMS)
Ziel eines Compliance Management Systems ist es, dass sich Führungskräfte und Mitarbeiter rechtskonform und entsprechend den Unternehmenswerten verhalten. Rechtsverstöße und ihre negativen Folgen für das Unternehmen sollen zumindest weitestgehend reduziert werden. Das Compliance Management System muss auf die individuellen Besonderheiten und Bedürfnisse jedes einzelnen Unternehmens angepasst werden. In der Praxis gewisse Elemente herausgebildet, die einer Vielzahl von Systemen zugrunde liegen:

• Identifizierung und Systematisierung von Compliance-Pflichten und Risiken
• Festlegung von Compliance-Standards in Form von Verhaltenskodizes und sonstigen Richtlinien
• Information und Schulung der Mitarbeiter als Präventivmaßnahmen
• Einrichtung von Kontrollen und Überwachung der Einhaltung von Compliance-Vorgaben
• Etablierung eines standardisierten Umgangs mit Compliance-Verstößen (inklusive Maßnahmen zur Schadensbegrenzung und Verbesserung für die Zukunft)
• Regelmäßige Berichterstattung an Vorstand und Aufsichtsrat, beziehungsweise an einen eventuell eingesetzten Prüfungsausschuss

• Compliance Kultur mit Verhaltensrichtlinien
• Compliance Ziele
• Compliance Risiken
• Compliance Programm
• Compliance Organisation
• Compliance Kommunikation und Information
• Compliance Überwachung und Verbesserung

Aufgaben
Aufgabe eines CMS ist es, hinreichend sicherzustellen, dass Risiken für wesentliche Regelverstöße rechtzeitig erkannt und ihr Eintreten verhindert werden. Angemessene CMS werden nie in der Lage sein, alle Verstöße zu verhindern. Es soll auftretende Verstöße zeitnah erkennen und im Unternehmen kommunizieren, damit angemessene Reaktionen ergriffen werden können. Seit Dezember 2014 gibt es die internationale Norm (ISO 19600) für den Aufbau von Compliance Management Systemen.