Wichtige Begrifflichkeiten eines Compliance-Management-Systems sind u.a.:[89]
Audit: Hier ist vor allem die Prüfung als solches gedacht. Dies kann z.B. auch ein Energie-Audit sein, welches die Energienutzung und Energieeinsparung überprüft.
Betriebliches Kontinuitätsmanagement: Das sogenannt Business-Continuity-Management stellt die Aufrechterhaltung wesentlicher Abläufe der Organisation bei Eintritt schwieriger Ereignisse sicher.
Compliance-Anforderungen: Alle Regeln die die Organisation und die darin befindlichen Personen beachten müssen. Dies betrifft nicht nur gesetzliche und behördliche Regeln, sondern auch interne selbst erteilte Regeln.
Compliance-Beauftragter: Die Person, welche die oberste Leitung für die Umsetzung des Systems verantwortlich ist.
Compliance-Kultur: Innere Akzeptanz, gelebtes Verhalten und tatsächliche Berücksichtigung der Compliance-Hinweise.
Hinweisgebersystem: Anlaufstellen, zu denen, außerhalb des Prozesses, festgestellte Mängel berichtet werden können. Hierunter versteht sich auch das sog. Whistleblowing[90].
Kennzahl zu Messung der Compliance: Kenngrößen, die zahlenmäßig Rückschlüsse auf die Wirksamkeit des Systems zulassen. Dies kann z.B. die Anzahl der Verstöße gegen Regeln sein.
Die Ziele deines CMS definieren sich darin, systematisch die Voraussetzungen zu schaffen, dass eine Organisation Verstöße vermeiden, einschränken bzw. verhindern kann[91]. Kurz beschrieben definieren sich die Ziele in den Oberpunkten:
Früherkennung und Verhinderung von Compliance-Verstößen,
Vorgegebene und damit schnelle Reaktionsmöglichkeiten,
Gesicherter Umgang mit Hinweisen,
Systematisierung der Compliance-Prozesse,
Umfassende Analyse der Compliance-Risiken.[92]
Damit ein Compliance-Management-System ordnungsgemäß eingeführt und funktionieren kann, bedarf es einer entsprechenden Organisation.
Dokumentation, Verwirklichung, Aufrechterhaltung und Wirksamkeit müssen stetig erhalten bleiben und definieren sich als Oberbegriffe.
Die Organisation muss hierbei die erforderlichen Prozesse und die Anwendungen der Organisation festlegen: ebenso die Abläufe der Prozesse, die Anforderungen und Methoden zur Steuerung der Prozesse, die Ressourcen und den Informationsfluss sowie dessen Überwachung zur Verfügung stellen und letztendlich die Prozesse überwachen und notwendige Maßnahmen zur Verbesserung planbar darstellen.
Sollte sich ein Unternehmen zur Ausgliederung der compliance-betroffenen Prozesse entscheiden, entbindet dies nicht von der Erfüllung der Compliance-Anforderungen.
Folglich sind auch Dokumentationspflichten zu beachten. Diese muss vor allem Vorgabe- oder Nachweisdokumente bereithalten.
Vorgabedokumente sind insbesondere Rechtsquellen wie Gesetze, Verordnungen, Satzungen und Standards oder aber auch spezifisch definierte Anforderungen im Rahmen von Handbüchern. In diesen Dokumenten wird das System als solches erläutert, werden die zu dokumentierenden Prozesse und Schritte aufgeführt und wird die Vernetzung der compliance-betroffenen Prozesse sichergestellt. Vor Herausgabe der Vorgabedokumente müssen diese durch die oberste Leitung genehmigt, bewertet, aktualisiert, gekennzeichnet und zur Verfügung gestellt werden. Auch müssen solche Dokumente verständlich, lesbar, nachvollziehbar und vollständig sein.
Ein wichtiger Aspekt der Dokumentation ist die Nachweisdokumentation. Diese Art der Dokumentation belegt die Beachtung der Compliance-Anforderungen, indem sie Aufzeichnungen, Ergebnisse, Bewertungen, Risikoanalysen oder Kennzahlen aufführt. Auch Protokolle durch die oberste Leitung und Schulungsdokumenten sind essentielle Bestandteile der Nachweisdokumentation. Schließlich werden auch Verstöße, ergriffene Maßnahmen und Sanktionen abgebildet. Abschließend müssen diese Dokumente archiviert, verifiziert und auffindbar geführt werden.[93]
„Verlässliche Informationen und eine fundierte Ausbildung im Bereich der Compliance-Dokumentation stellen somit eine unerlässliche Voraussetzung für die Funktionsfähigkeit eines Compliance-Systems dar.“ [94]
Auch im Bereich der Compliance müssen Verantwortlichkeit und Befugnisse klar definiert sein.
Die oberste Leitung trägt hierbei die Verantwortung für die Entwicklung und Einführung und die ständige Verbesserung. Weiter strukturiert sie die Organisation, die Anforderungen, die Bedeutung und die Anforderungen an die Systeme.
Sie trägt dazu bei eine Compliance-Kultur zu schaffen, in der die Erwartungen zum Ausdruck gebracht werden, die Ziele aufgezeigt, die Werte normativ geregelt und die Risiken analysiert werden. Ebenso plant sie regelmäßige Managementbewertungen der Ergebnisse, steuert die Ressourcen und sichert die dauernde Funktionsfähigkeit. Zur Unterstützung kann die Leitung einen Compliance-Beauftragten (Chief Compliance Officer, CCO oder auch Regional Compliance Officer, RCO)[95] benennen.
Dieser wird mit entsprechenden Schulungen auf die Aufgabe vorbereitet. Diese beinhalten unter anderem die Einführung der Systeme selbst, die Zuarbeit zur obersten Leitung in Bezug auf Wirksamkeit und Verbesserung sowie bei der Bewusstseinsschaffung. Weiter arbeiten sie eigeninitiativ im Rahmen der Dokumentation und Bewertung. Im Bereich der internen Kommunikation regelt der Beauftragte den Weg der Unterrichtung aller Personen, wenn Verstöße oder Maßnahmen vorliegen oder die oberste Leitung Informationen- und Berichtsdaten weiterleiten möchte. Interne Aufsichtsgremien und Aufsichtsorgane befassen sich mit Aufsichts- und Sorgfaltspflichten bezüglich der Compliance-Angelegenheiten.[96]
Wie bereits erwähnt, findet in regelmäßigen Abständen eine Bewertung durch die oberste Leitung und das Management statt. Hierbei sollen die Eignung, die Angemessenheit und die Wirksamkeit der Systeme festgestellt werden. Verbesserungen oder Änderungsbedarf kann hier frühzeitig erkannt und umgesetzt werden. Auch bei der Bewertung muss eine nachvollziehbare Dokumentation erfolgen. Eine Überprüfung kann auch durch sogenannte Audits erfolgen.[97]
Durch solche Audits bzw. Überprüfungen kann festgestellt werden, ob die Methoden, welche im System angewandt werden, strukturell und verfahrenstechnisch wirksam sind.
Danach können Optimierungen vorgenommen und diverse Standards angepasst werden. Grundlage des Audits können Richtlinien wie der IDW PS 980 oder die TÜV-Richtlinien sein.[98]
Um die Bewertung ordnungsgemäß durchführen zu können, müssen diverse Informationen vorliegen.
Dies sind z.B. Ergebnisse von Audits, Hinweise zu compliance-relevanten Gegebenheiten wie Partner, Kunden oder Behörden, Meldungen und Verstöße im System, Korrekturmaßnahmen, Ergebnisse vorheriger Bewertungen und die daraus resultierenden Änderungen oder aber auch Empfehlungen und Kennzahlen.
Die Bewertung der Ergebnisse sollte dann die Wirksamkeit der Compliance-Management-Systeme und ihrer Prozesse aufzeigen. Ergänzend wird der Ressourcenbedarf und der Schulungsbedarf ermittelt.[99]
Für ein funktionierendes Compliance-Management-System bedarf es gewissen Ressourcen.
Diese sind zum einen personeller Natur, wie z.B. obere Leitung, Beauftragter oder sonstige tätige Personen und zum anderen materieller Natur, wie z.B. die IT-Infrastruktur. Die Ressourcen müssen ebenso wie die Prozesse an sich in ihrem Umfang, ihrer Anwendbarkeit den Compliance-Anforderungen entsprechen. Die personelle Organisation wird durch detaillierte Schulungen aufgebaut. In diesen Schulungen werden Kompetenzen zur Erlangung des Compliance-Wissen, die Kenntnis über Maßnahmen und deren Wirksamkeit, das Verständnis für die Bedeutung und Erfüllung der Compliance-Anforderungen und die Ausbildung zur fachgerechten Dokumentation gelehrt.[100]
...