Compliance Management System

Ein Compliance Management System oder Compliance-Management-System^[1], kurz CMS, ist die Gesamtheit der in einer Organisation (z. B. in einem Unternehmen) eingerichteten Maßnahmen, Strukturen und Prozesse, um Regelkonformität sicherzustellen,^[2] worunter rechtsverbindliche und ethische Regeln fallen können.^[3]

Grundelemente

Grundelemente eines effektiven und effizienten CMS können der im Jahre 2021 veröffentlichten generischen Norm ISO 37301 „Compliance-Managementsysteme - Anforderungen mit Leitlinien zur Anwendung“^[4] entnommen werden. Dazu gehören:

• Unterstützung und Bekenntnis durch die Organisationsleitung
• Umfassende Erfassung der Informationen über die Organisation, darunter Compliance Risk Assessment
• Erstellung der Compliance-Politik mit Festlegung des Anwendungsbereichs
• Zuweisung der Rollen und Zuständigkeiten für Compliance, darunter Ausbringung der Compliance-Funktion (Compliance Officer)
• Betriebliche Planung
• Durchführung von Unterstützungsmaßnahmen, darunter Kommunikation inkl. Schulung oder Einrichtung eines Verhaltenskodexes
• Überwachung und Evaluation, darunter Einrichtung von Hinweisgebersystemen
• Ständige Verbesserung, darunter Krisenmanagement

Ein Compliance Management System unterliegt der fortlaufenden Verbesserung im Sinne des PDCA-Zyklus (Plan, Do, Check, Act), auch als Demingkreis bekannt.

Das Institut der Wirtschaftsprüfer in Deutschland e. V. (IDW) verweist für die Ausgestaltung eines CMS auf allgemein anerkannte Rahmenkonzepte (z. B. COSO ERM). Auf der Basis unterschiedlicher Rahmenkonzepte hat das IDW in seinem Standard sieben Grundelemente eines CMS identifiziert, anhand derer ein CMS organisiert und beschrieben werden kann:

• Compliance Kultur
• Compliance Ziele
• Compliance Risiken
• Compliance Programm
• Compliance Organisation
• Compliance Kommunikation und Information
• Compliance Überwachung und Verbesserung

Rechtliche Bedeutung

Ein CMS kann eine vielfältige rechtliche Bedeutung erlangen. Der Bundesgerichtshof (BGH) urteilte am 9. Mai 2017, dass ein effizientes CMS bei der Zumessung einer Sanktion gegen Unternehmen mindernd berücksichtigt werden sollte.^[5] In einem anderen Verfahren verurteilte das Landgericht München einen Ex-Finanzvorstand eines großen DAX-Unternehmens wegen Verfehlungen im Compliance-Bereich zur Schadensersatzhaftung in Millionenhöhe.^[6] Ein CMS kann auch in anderen Bereichen wirken. Nach dem Anwendungserlass des BMF kann ein innerbetriebliches der Erfüllung der steuerlichen Pflichten dienendes Kontrollsystem ein Indiz darstellen, das gegen das Vorliegen eines Vorsatzes oder der Leichtfertigkeit sprechen kann.^[7] Ferner kann ein CMS im Bereich der Selbstreinigung und in anderen Bereichen wirken.^[8] Im Koalitionsvertrag 2018 einigten sich die Parteien auf die Neuregelung des Rechts der Sanktionen gegen Unternehmen, wobei auch die Regelung und sanktionsmindernde Berücksichtigung interner Ermittlungen vorgesehen ist.^[9] Das BMJV legte dazu im Mai 2020 einen abgestimmten Referentenentwurf "Gesetz zur Stärkung der Integrität in der Wirtschaft"^[10] vor. Er stieß jedoch auf erhebliche Kritik und wurde incl. seines Kernstücks "Verbandssanktionengesetz" bis zum Ende der Legislaturperiode nicht mehr verabschiedet. Der Koalitionsvertrag von 2021^[11] nimmt jedoch einige der wesentlichen Punkte wieder auf.

Anwendbarkeit

Compliance Management Systeme werden inzwischen wegen der vielfältigen positiven Wirkung nicht nur in großen privatwirtschaftlichen Unternehmen, sondern auch in mittelständischen Unternehmen eingeführt.^[12] Inzwischen werden Compliance Management Systeme auch in der öffentlichen Verwaltung, Verbänden, Stiftungen und anderen Organisationsarten eingeführt.^[13]

Aufgaben

Kernaufgabe eines CMS liegt in der Schaffung und Erhaltung einer nachhaltigen Compliance-Kultur. Ferner bezweckt ein CMS, hinreichend sicherzustellen, dass Risiken für wesentliche Regelverstöße rechtzeitig erkannt werden und solche Regelverstöße verhindert werden. Da auch ein angemessenes CMS nie in der Lage sein wird, Verstöße zu 100 % zu verhindern, muss es zusätzlich dennoch auftretende Verstöße zeitnah erkennen und im Unternehmen kommunizieren, damit angemessene Reaktionen auf den Verstoß ergriffen werden können.

Norm und Zertifizierung

Seit Dezember 2014 gab es eine Internationale Norm (ISO 19600) für den Einsatz von Compliance Management Systemen, nach der CMS aufgebaut werden können. Diese ist inzwischen im April 2021 zurückgezogen und durch ISO 37301 ersetzt worden. Die ISO 19600 sah jedoch keine Zertifizierungen vor. Eine CMS-Zertifizierung ist nach der vom Institut der Wirtschaftsprüfer in Deutschland e.V. entwickelten Norm IDW PS 980 möglich.

Wissenschaft und Forschung

Als erste universitäre Einrichtung in Deutschland befasst sich das im Jahre 2012 zuerst als Zentrum für Interdisziplinäre Compliance-Forschung und dann unbenannt als Viadrina Compliance Center^[14] an der Europa-Universität Viadrina Frankfurt (Oder) mit allen Compliance-Fragen aus einer wissenschaftlichen interdisziplinären Perspektive und prägt Compliance und Compliance Management als ein eigenständiges und interdisziplinäres Forschungsfeld.^[15] In das interdisziplinäre Forschungsfeld der Compliance und des Compliance Management fließen Teilgebiete von Rechtswissenschaften, Verhaltenspsychologie, Wirtschaftsethik, BWL, VWL, Kommunikationswissenschaften und anderen.

Literatur

• Jeffrey Torp: Compliance Management System. Verlag AlexInformation, Austin 2004, ISBN 1-55827-908-3.
• Makowicz Bartosz: Praxishandbuch Compliance Management. Bundesanzeiger Verlag, Köln 2018, ISBN 978-3-89817-749-8.

Einzelnachweise

1. Compliance Management System bei englischer Aussprache des Wortes system, Compliance-Management-System oder Compliancemanagementsystem mit dem deutschen Wort System. Plural: Compliance Management Systems oder Compliance-Management-Systeme.
2. Institut der Wirtschaftsprüfer in Deutschland. Prüfungsstandard 980. Grundsätze ordnungsmäßiger Prüfung von Compliance Management Systemen. Quelle: WPg Supplement 2/2011, S. 78 ff., FN-IDW 4/2011, S. 203 ff.
3. Makowicz, Bartosz: Global Compliance Management Standards werteorientierte Umsetzung von DIN ISO 19600 und ISO 37001. C.H. Beck Auflage. München 2018, ISBN 978-3-406-68096-0.
4. DIN ISO 37301:2021 - Compliance management systems -- Requirements with guidance for use. Abgerufen am 19. Juli 2022 (englisch).
5. Urteil des 1. Strafsenats vom 9. Mai 2017 - 1 StR 265/16 -. Abgerufen am 26. Juli 2018.
6. LG München I, Urteil v. 10. Dezember 2013 – 5 HKO 1387/10 - Bürgerservice. Abgerufen am 26. Juli 2018.
7. Anwendungserlass zu § 153 AO - Bundesfinanzministerium - Service. Abgerufen am 26. Juli 2018 (deutsch).
8. Bartosz Makowicz: Integration neuer normativer, judikativer und administrativer Anforderungen in ein Compliance-Management-System. In: Betriebs-Berater. Deutscher Fachverlag, 2018, S. 556.
9. Bundesregierung | Koalitionsvertrag vom 14. März 2018. Abgerufen am 26. Juli 2018.
10. Referentenentwurf "Gesetz zur Stärkung der Integrität in der Wirtschaft". Abgerufen am 19. Juli 2022.
11. Koalitionsvertrag 2021–2025 S. 88. Abgerufen am 19. Juli 2022.
12. Behringer, Stefan, Fissenewert, Peter, Fissenewert, Peter, Grambow, Tobias, Herbert, Alexander: Compliance für den Mittelstand. 2. Auflage. C.H. Beck, München 2018, ISBN 978-3-406-69417-2.
13. Brennpunkt Compliance i. Behörden, Stift. Verbänden u. NGOs. In: Bundesanzeiger Verlag (Hrsg.): COMPLY. Band 2016, Nr. 4. Bundesanzeiger Verlag, Köln Juni 2016.
14. Viadrina Compliance Center. Europa-Universität Viadrina, abgerufen am 26. Juli 2018 (deutsch, englisch, polnisch).
15. Makowicz Bartosz: Universitäten haben für Konzepte zu sorgen. In: BUJ (Hrsg.): BUJ-Sonderedition Compliance. 2012, S. 40.