Compliance-Regeln

Comliance_WhiteOnGreen_Long

Compliance Regeln

1. BEWERTUNG DER COMPLIANCE-STRUKTUR
1.1. METHODIK
1.2. KONTEXT DER ORGANISATION
1.3. FÜHRUNG
1.3.1. COMPLIANCE-KULTUR UND TONE FROM THE TOP
1.3.2. ANBINDUNG DER COMPLIANCE-FUNKTION
1.3.3. POLITIK UND ZIELE
1.3.4. EINRICHTUNG EINER COMPLIANCE-ORGANISATION
1.4. PLANUNG
1.4.1. CHANCEN UND RISIKEN DER EINRICHTUNG EINES CMS
1.4.2. MESSBARKEIT VON COMPLIANCE-ZIELEN
1.4.3. IDENTIFIZIERUNG VON COMPLIANCE-VERPFLICHTUNGEN
1.4.4. BEURTEILUNGSPROZESS COMPLIANCE-RISIKEN
1.5. UNTERSTÜTZUNG/SUPPORT
1.5.1. RESSOURCEN ZUM BETRIEB DES CMS
1.5.2. KOMPETENZ DER MIT DEM BETRIEB BEFASSTEN PERSONEN
1.5.2.1. Regelsetzung
1.5.2.2. Bewusstsein und Training
1.5.2.3. Aspekte der Personalentwicklung / HR
1.5.3. KOMMUNIKATION
1.5.4. DOKUMENTATION
1.6. PROZESSE/OPERATIONS
1.6.1. OPERATIVE PROZESSTEUERUNG
1.6.2. ERMITTLUNGEN
1.6.3. HINWEISGEBERSYSTEM
1.7. BEWERTUNG DER PERFORMANCE
1.7.1. MONITORING DES CMS
1.7.2. BEWERTUNGEN DURCH DAS MANAGEMENT
1.7.3. INTERNE AUDITS
1.8. VERBESSERUNG
1.8.1. FORTLAUFENDE VERBESSERUNG
1.8.2. NICHTKONFORMITÄT UND KORREKTURMAßNAHMEN

1. Bewertung der Compliance-Struktur

Die Bewertung des gegenwärtigen Compliance-Systems der Mandantin erfolgt auf Basis der Risikoanalyse und unter Berücksichtigung des Managementstandards ISO 37301:2021. Der neue Standard ist in weiten Teilen identisch mit ISO 19600:2014, setzt lediglich ein paar neue Akzente. Insbesondere wird die Rolle der Compliance-Funktion gestärkt. Bereits der ISO 19600:2014 nahm dabei die Grundgedanken des PS 980 des Instituts der Wirtschaftsprüfer Deutschlands auf. Diese gängigen Compliance-Standards überschneiden und ergänzen sich. Die Strukturierung der Wirtschaftsprüfer findet sich in den Kapiteln der ISO-Normen vollständig wieder,

Bezeichnung in den ISO-Normen
• Maintenance of compliance obligations
• Performance evaluation
• Improvement
• Compliance management system and prin-ciple for good governance
• Leadership and commitment
• Behaviour, general
• Top management’s role in encouraging
• Understanding the needs and expectations of interested parties
• Determining the scope of the compliance management system
• Identification of compliance objectives
• Compliance objectives and planning to achieve them
• Governing Body and top management roles and responsibilities
• Assigning responsibilities in the organization
• Compliance function
• Management responsibilities
• Employee responsibilities
• Resources
• Competence
• Documented Information
• Understanding the organization and ist con-text
• Identification, analysis and evaluation of compliance risks
• Communication
• Compliance policy
• Actions to address compliance risks
• operation
• Management responsibilities
• Employee responsibilities
• Training
• Awareness
• Compliance culture
• Communication

Bezeichnung im IDW PS 980
• Compliance-Überwachung u. Verbesserung
• Compliance-Kultur
• Compliance-Ziele
• Compliance-Organisation
• Compliance-Risiken
• Compliance-Programm
• Compliance-Kommunikation

so dass eine Orientierung an der ISO-Normierung, wie vereinbart, für die Bewertung des Compliance-Systems ausreichend scheint.

Es wird nicht verkannt, dass ein als solches bezeichnetes Compliance-Management-System bei der Mandantin bislang zwar nicht existiert. Bestandteile eines solchen Sys-tems sind aber vorhanden und einzelne Bestandteile, wie etwa das ISMS, die Export-kontrolle, das DSMS oder Regelungen zur Arbeitssicherheit werden aber ausdrücklich als Teil einer „Compliance-Organisation“ bezeichnet. Die fragmentarische Bezeich-nung hindert die einheitliche Bewertung der bestehenden Mechanismen nicht.

Soweit im Anschluss zudem Maßnahmen empfohlen werden, werden dabei neben den zwingenden gesetzlichen Regelungen zu Compliance-Management-Systemen auch Vorgaben und Empfehlungen von zentralen Aufsichtsbehörden berücksichtigt, soweit sie einschlägig sind. . Über den vereinbarten Scope der CRA hinaus berücksichtigt die-se Bewertung außerdem:

• Das DOJ hat in der jüngeren Vergangenheit verschiedene Richtlinien und Stel-lungnahmen mit Vorgaben und Empfehlungen zu Compliance-Management-Systemen veröffentlicht. Besonders wesentlich war hier der Leitfaden der Fraud-Abteilung des DOJ aus Februar 2017 mit 119 Fragen zur Bewertung von Compliance Systemen publiziert und 2019 überarbeitet , der hier neben den US-Sentencing Guidelines als Anwendungshilfe berücksichtigt wurde. Dieser Maßstab wurde ergänzt, weil die Mandantin eine relativ signifikante US-Präsenz hat.

• Daneben wurden für den Bereich der Antikorruptions-Compliance die Leitlinien des britischen Justizministeriums zum UK Bribery Act angelegt. Zwar ist die UK-Präsenz eher gering, jedoch hat der UK Bribery Act ein Weltgeltungsprinzip, welches Korruptionsverstöße selbst dann virulent werden lässt, wenn mit einer britischen Gesellschaft irgendwo auf der Welt kontrahiert wird. Darüber hinaus hat die Mandantin eine relativ starke Präsenz in Singapur, das sich weiterhin stark an das britische Recht anlehnt. In diesem Zusammenhang war ebenfalls der (immerhin EU-) Standard Frankreichs zur Antikorruptions-Compliance (aus Sapin II) zu berücksichtigen, dessen Vorgaben zur Bewertung von Compli-ance-Programmen sich aber weitgehend mit denen des UK Bribery Acts decken.

Die Vorgaben der genannten Standards – auch die weichen (Kultur-)Faktoren – sind in der Struktur des ISO 37301:2021 bereits reflektiert.

1.1. Methodik

Auf dieser Grundlage werden im Folgenden zunächst die grundsätzlichen Anforderungen an ein modernes CMS dargestellt und mit den vorhandenen Strukturen der Mandantin abgeglichen. Die sich daraus etwaig ergebenden Lücken oder Übererfüllungen werden im Anschluss als notwendige oder empfohlene Maßnahmen in die CRA des Unternehmens eingeordnet und entsprechend der Risikosituation beschrieben und priorisiert.

Aufbau des ISO-Standards: Ein Compliance-Management-System hat das das Umfeld der Organisation auf Compliance-Anforderungen hin zu analysieren und zu bewer-ten. Dabei muss die Organisation Änderungen der spezifisch auf sie anwendbaren Compliance-Anforderungen und ihre Auswirkungen auf die Organisation ständig über-wachen, ggfs. Änderungen vornehmen und die anwendbaren Compliance-Anforderungen und Reaktionsmechanismen angemessen dokumentieren. Entsprechend den ISO-Managementsystemstandards (eben auch dem ISO 37301:2021) las-sen sich diese Aspekte betrachten als Kontext der Compliance-Organisation, Führung der Compliance-Organisation, Planung in der Compliance-Organisation, Unterstützungsprozesse der Compliance-Organisation, Operative Prozesse in der Compliance-Organisation, Performanzbewertung der Compliance-Organisation und Verbesserungsprozesse bzgl. der Compliance-Organisation. Für jeden dieser Aspekte werden zunächst die Anforderungen an die Aspekte und sodann die tatsächlichen Feststellungen zur Mandantin dargestellt.

Hinsichtlich dieser Aspekte wird anschließend eine Reifegradbestimmung vorgenommen, die die Anforderungen des ISO 37301:2021 und zugleich die Organisationsanforderungen des § 130 OWiG betrachtet.

Die Bewertung des Reifegrades richtet sich daher danach, ob und inwieweit die Anforderungen des ISO 37301:2021 abgebildet und zugleich die Organisationsanforderungen des § 130 OWiG erfüllt sind.

0-10%
ISO nicht erfüllt
oder
Organisationsrisiko hoch

11-30%
ISO lediglich Ansätze vorhanden
und
Organisationsrisiko nicht gering, aber nicht hoch

31-70%
ISO in Teilen erfüllt
und
Organisationsrisiko gering

71-90%
ISO in weiten Teilen erfüllt
und
Organisationsrisiko gering

91-100%
Organisationsrisiko nicht ersichtlich

Innerhalb der sich damit ergebenden Spannweiten wird berücksichtigt, ob Einzelaspekte besonders positiv oder negativ herausstechen, so dass innerhalb dieser Spannweiten Abstufungen möglich sind.

Weiter gilt: die Erfüllung der Merkmale des ISO-Standards ist aufsteigend von links nach rechts. Wenn daher ein Erfüllungsgrad erreicht ist, sind die vorhergehenden Erfüllungsgrade jedenfalls mit erreicht.