Rechtliche Anerkennung von wirksamen Compliance-Strukturen vor Schweizer Gerichten

Transkript

1 SZW/ RSDA 5/ Rechtliche Anerkennung von wirksamen Compliance-Strukturen vor Schweizer Gerichten Von Dr. Lucas Hager und Matthias Haller The recently discovered corruption scandals in Switzerland or Swiss companies abroad are showing the high validity of the compliance topic. Compliance is currently facing huge attention because companies are threatened with enormous penalties if there are no effective and up to date compliance structures. To limit penalties in front of the courts, the Swiss legislator remains almost silent. The only useful message to prevent from criminal actions is to do all necessary and reasonable arrangements that can be done. But what does that mean? To understand this statement, some authors have indicated minimal requirements that can be elaborated. Current Compliance-Standards fulfill the requirements and give certainty over the effectiveness of Compliance Management Systems (CMS) when the set up is professionally and successfully implemented. After certification by external auditors there will be reflection upon what else might be required and is reasonable to prevent from other criminal actions. A successful certification is meant to show the effectiveness of a CMS, shall limit the penalties in front of the courts, or in best case, even prevent from severe punishment. Inhaltsübersicht I. Einleitung II. Rechtliche Grundlagen in der Schweiz 1. Compliance in der Schweiz 2. Haftung von Unternehmen in der Schweiz III. Inhaltliche Ausgestaltung eines Compliance Management Systems 1. Ausgangslage 2. Prüfungsstandard IDW PS Allgemeines 2.2 Prüfungstypen 2.3 Grundelemente IV. Fazit I. Einleitung Verschiedene Korruptionsskandale in der Schweiz wie der Fall Alstom oder die jüngst aufgedeckte Korruptionsaffäre beim Staatssekretariat für Wirtschaft (SECO), aber auch Bestechungsfälle von Schweizer Unternehmen im Ausland wie ABB, Novartis oder Roche zeigen, dass das Thema Compliance in der Schweiz und für Schweizer Firmen allgegenwärtig ist. Eine zentrale Frage ist, wie Schweizer Unternehmen agieren können, um Compliance-Verstösse zu vermeiden, und ob im Falle von Gerichtsverhandlungen Strafen reduziert werden bzw. eine Strafbefreiung erreicht werden kann. Neben der Beantwortung dieser Frage wird im vorliegenden Artikel zudem anhand der gängigen Praxis aufgezeigt, wie ein CMS (Compliance Management System) aufzubauen ist, um die Anforderungen für eine exkulpierende Wirkung zu erfüllen. II. Rechtliche Grundlagen in der Schweiz 1. Compliance in der Schweiz Compliance ist keine neuartige Disziplin, sondern bezeichnet lediglich Prozesse, Systeme oder Einheiten, die sicherstellen, dass alle gesetzlichen, operationellen und finanziellen Tätigkeiten im Einklang mit dem Gesetz sowie Regeln, Normen und Standards stehen. Diese Pflicht bezieht sich also nicht nur auf gesetzliche Vorgaben, sondern auch auf freiwillige Standards. Neben von aussen vorgegebenen Pflichten sind auch interne Bestimmungen und Richtlinien zu beachten. Aufgrund der Komplexität der Tätigkeiten, v.a. bei international agierenden Unternehmen, können Verstösse nicht immer vermieden werden. Auch gibt es keine eindeutigen rechtlichen Vorgaben für die Voraussetzungen einer Exkulpierung bzw. Haftungsreduktion vor Gericht im Falle eines Verstosses. Um dennoch die bestmöglichen Voraussetzungen hierfür zu schaffen, ist ein professioneller Umgang mit dem Thema Compliance im Rahmen eines CMS unumgänglich. Im Vergleich zu anderen Ländern wird in der Schweiz das Thema Compliance zum Teil zurückhaltender wahrgenommen. In Deutschland, wo durch grosse Compliance-Fälle wie beispielsweise Siemens, MAN und Thyssen Krupp Compliance in der

2 534 Kurzbeitrag SZW/ RSDA 5/ 2014 Öffentlichkeit über einen längeren Zeitraum verstärkt diskutiert wurde, findet das Thema stärkere Beachtung. Aufgrund hoher Strafen im nationalen und internationalen Umfeld 1 stellt sich für Schweizer Unternehmen die Frage, welche Voraussetzungen erfüllt sein müssen, um einer möglichen Haftung vor Gericht zu entgehen. In einem ersten Schritt soll dies anhand einer rechtlichen Analyse untersucht werden. In einem zweiten Schritt soll der Aufbau eines entsprechenden CMS anhand konkreter Massnahmen praxisnah aufgezeigt werden. 2. Haftung von Unternehmen in der Schweiz Die Schweiz kennt kein eigenes Unternehmensstrafrecht. Es wird angenommen, dass nur einer natürlichen Person ein Wirtschaftsdelikt (z. B. Bestechung) zugeordnet werden kann, nicht jedoch einem Unternehmen. Mit Art. 102 StGB wurde auf diesen Umstand reagiert und die Möglichkeit der Rechenschaft von Unternehmen, unabhängig von der Bestrafung von Individuen, geschaffen. Straftaten, auf die sich Art. 102 Abs. 2 StGB bezieht, werden durch Verweise eindeutig genannt. Dabei handelt es sich um kriminelle Organisationen, Finanzierung des Terrorismus, Geldwäscherei, Bestechung schweizerischer Amtsträger, Vorteilsgewährung, Bestechung fremder Amtsträger und Privatbestechung. Art. 102 Abs. 2 StGB beschreibt die originäre Strafbarkeit von Unternehmen. Daher reicht es aus, dass eine tatbestandsmässige und rechtswidrige Anlasstat vorliegt, während die individuelle Schuld des Täters für das Unternehmen unerheblich ist. Der Vorwurf, welcher dem Unternehmen gemacht wird, ist nicht die Tat an sich, sondern, dass nicht alle erforderlichen und zumutbaren organisatorischen Vorkehren getroffen wurden, um eine solche Straftat zu verhindern. Daraus wird deutlich, dass dem Unternehmen die Funktion eines Überwachungsgaranten zukommt, der für das Unterbleiben spezifischer Straftaten verantwortlich ist. 2 Das Unternehmen wird strafbar, wenn es organisationsspezifische Massnahmen unterlässt oder un- 1 Etwa im Kartellrecht der EU, im Foreign Corrupt Practices Act der USA (FCPA) und im UK-Bribery Act. 2 Niggli/Gfeller, in: Niggli/Wiprächtiger (Hrsg.), Basler Kommentar Strafrecht I, 3. Aufl., Basel 2013, Art. 102, Rz 245. zureichend ausgestaltet und daher aufgrund mangelnder Definition und Implementierung eines ganzen Systems zur Einhaltung der Sorgfaltspflichten angehalten werden muss. 3 Dies macht deutlich, dass es für Unternehmen nicht genügt, vereinzelte Massnahmen zu ergreifen, sondern Compliance vielmehr als ganzheitliches System zu sehen ist, das umfassend im Unternehmen implementiert werden muss. Eine genaue Definition, welche Massnahmen ergriffen werden müssen, enthält Art. 102 StGB nicht. Es wird jedoch verlangt, dass die Massnahmen erforderlich und angemessen sind. Unter dem Aspekt der Erforderlichkeit versteht man, dass die Massnahmen geeignet sind, Delikte zu verhindern. Neben der Eignung müssen die Massnahmen zur Verhinderung des Delikts unerlässlich sein. 4 Bei einem komplexen System mit Wechselwirkungen zwischen verschiedenen Elementen wie einem CMS kann jedoch bei der Frage der Eignung nicht auf die einzelne Massnahme abgestellt werden. Vielmehr muss das System an sich geeignet sein, die genannten Delikte zu verhindern. Des Weiteren verlangt das Gesetz die Zumutbarkeit. Ohne eine Begrenzung der Massnahmen auf ein zumutbares Mass könnte bei jedem Verstoss argumentiert werden, dass dieser unter Verwendung entsprechender Mittel hätte verhindert werden können. Zumutbar sind Massnahmen daher nur dann, wenn sie für das Unternehmen auch ökonomisch tragbar sind. Falls trotz Implementierung der erforderlichen und zumutbaren Massnahmen eine Anlasstat begangen wird, so hat das Unternehmen dafür nicht einzustehen. 5 In der Folge sollen beispielhaft für die genannten Korruptionsdelikte entsprechende organisatorische Massnahmen herausgearbeitet werden, die aufzeigen, wie weit die Pflicht des Unternehmens, die Anforderungen von Art. 102 StGB zu erfüllen, mindestens geht. Die folgenden Ausführungen haben keinen abschliessenden Charakter. Bei der Nennung konkreter Massnahmen hält sich der Gesetzgeber zurück. Die organisatorischen Vorkehrungen können jedoch grundsätzlich in vier 3 Geiger, Organisationsmängel als Anknüpfungspunkt im Unternehmensstrafrecht, Diss., Zürich 2006, 93; Pieth, Die strafrechtliche Verantwortung des Unternehmens, ZStR 2003, Geiger (Fn. 3), Livschitz, Unternehmensstrafbarkeit, in: Unternehmensstrafrecht, DACH Schriftenreihe, Bd. 29, Zürich 2007, 64 f.

3 SZW/ RSDA 5/ 2014 Kurzbeitrag 535 Kategorien eingeteilt werden: Risikoanalyse, Ausbildung, interne Kontrollen und interne Richtlinien. 6 Im Rahmen der Risikoanalyse muss eine eingehende Untersuchung der Korruptionsrisiken stattfinden. Hierbei sind sowohl branchen-, unternehmensals auch lokalspezifische Korruptionsrisiken zu beachten. 7 Einen zentralen Punkt stellt die Ausbildung und Schulung der Mitarbeiter dar. In erster Linie fallen darunter Personen, die in korruptionsanfälligen Bereichen arbeiten und dementsprechend sensibilisiert werden müssen. 8 Neben der Ausbildung stellen die internen Vorgaben in Form von Richtlinien und einem Code of Conduct einen wichtigen Aspekt dar. Diese müssen den Mitarbeitern bekannt sein, aber auch inhaltliche Vorgaben erfüllen, wie beispielsweise generelle Verbote und Sanktionsandrohungen. 9 Die internen Kontrollen umfassen verschiedene Massnahmen, die dazu dienen, Korruption zu verhindern. Es werden das «Vier-Augen-Prinzip» oder Budgetrestriktionen genannt. 10 Diese können jedoch nur als Beispiele dienen. Die im Unternehmen implementierten Kontrollen müssen immer auf das konkrete Risiko im Unternehmen angepasst werden. Je nach Grösse ist eine Compliance-Abteilung einzurichten, die auch als Anlaufstelle zur Meldung von Verstössen dient. Ebenso bedeutsam ist eine klare Vorbildfunktion des Managements (Tone-at/from-the-Top), bei dem die Geschäftsleitung eine unmissverständliche Ablehnung der Korruption kommuniziert. 11 Strafmildernd kann sich auch das Verhalten des Unternehmens nach der Tat auswirken. Werden beispielsweise Reorganisationsmassnahmen ergriffen, welche die Prävention künftiger Verstösse verbessern, sollten diese eine haftungsreduzierende Wirkung entfalten. 12 Eine gänzliche Strafbefreiung vor Gericht ist gemäss Art. 52 StGB ebenfalls denkbar, 6 Forster, Die strafrechtliche Verantwortlichkeit des Unternehmens nach Art. 102 StGB, Diss., Bern 2006, 237; Pieth, Risikomanagement und Strafrecht, Festgabe zum Schweizerischen Juristentag, Basel 2004, 612; Gfeller, Die Privatbestechung Art. 4a UWG Konzeption und Kontext, Diss., Freiburg 2010, Gfeller (Fn. 6), Hoffmann/Wyser, Going East Korruptionsbedingte Risiken für Unternehmen und Mitarbeiter, GesKR 2010, Livschitz (Fn. 5), Heine, Organisationsverschulden aus strafrechtlicher Sicht in: Niggli/Amstutz (Hrsg.), Verantwortlichkeit im Unternehmen, Basel 2007, 214; Forster (Fn. 6), 237 f. 11 Livschitz (Fn. 5), BSK-Niggli/Gfeller (Fn. 2), Art. 102, Rz 333. wenn Schuld und Tatfolgen geringfügig sind. Im Falle von Korruptionsdelikten ist grundsätzlich von beträchtlichen Tatfolgen auszugehen. Wenn das Unternehmen alles Erforderliche und Zumutbare unternommen hat, um Verstösse zu vermeiden, kann diesem kein Vorwurf im Rahmen eines Verschuldens gemacht werden. Dies sollte sich vor Gericht zumindest strafmildernd, wenn nicht sogar exkulpierend auswirken. III. Inhaltliche Ausgestaltung eines Compliance Management Systems 1. Ausgangslage In der Literatur finden sich, wie erwähnt, einige Hinweise, welche organisatorischen Elemente ein Compliance-System aufweisen muss, um eine mögliche haftungsreduzierende bzw. exkulpierende Wirkung zu entfalten. Da jedoch nur auf einzelne Elemente Bezug genommen wird, wird in der Folge untersucht, wie ein CMS im Unternehmen aufgebaut werden sollte, um eine Haftungsreduktion bzw. Exkulpation vor Gericht zu bewirken. Auf internationaler Ebene gibt es eine Vielzahl verschiedener Standards und Vorgaben, die Anforderungen an ein CMS stellen und zum Teil auch konkret haftungsreduzierende Wirkung nach sich ziehen, wie in den USA 13 oder im Vereinigten Königreich 14. Inhaltlich können diese jedoch immer auf fünf zentrale Elemente heruntergebrochen werden: Führung, Risikobewertung, Standards und Kontrollen, Training und Kommunikation sowie Überwachung, Audits und Reaktion. In der Folge sollen für den im deutsch sprachigen Raum etablierten Standard IDW PS 980 beispielhaft Inhalte sowie jeweils an einem konkreten Beispiel deren Implementierungstiefe aufgezeigt werden. 13 Chapter 8 USSG (US-Sentencing Guidelines) < ussc.gov/training/organizational-guidelines/2013- usscguidelines-manual>. 14 Leitlinien zum UK-Bribery Act (Bribery Act 2010: Guidance to help commercial organisations prevent bribery, <

4 536 Kurzbeitrag SZW/ RSDA 5/ Prüfungsstandard IDW PS Allgemeines Beim IDW PS 980 handelt es sich um einen Prüfungsmassstab über «Grundsätze ordnungsgemässer Prüfung von Compliance Management Systemen». Inhaltlich geht es dabei um eine freiwillige Systemprüfung, die von einer autonomen Stelle, einem unabhängigen Wirtschaftsprüfer, durchgeführt wird. Mit der Prüfung wird das CMS begutachtet und im Falle eines unbeschränkten Prüfungsurteils eine erhöhte Sicherheit über die tatsächliche Wirksamkeit gewährleistet. 2.2 Prüfungstypen Der IDW PS 980 sieht drei Auftragstypen vor, nach denen das CMS geprüft werden kann. Bei Auftragstyp 1 ist nur die Konzeption Grundlage der Prüfung. Bei Auftragstyp 2 wird ausserdem die Angemessenheit und Implementierung geprüft. Bei der Prüfung der Angemessenheit liegt das Augenmerk darauf, ob die dargestellten Grundsätze und Massnahmen in Übereinstimmung mit den angewandten CMS-Grundsätzen geeignet sind, Risiken für wesentliche Regelverstösse mit hinreichender Sicherheit rechtzeitig zu erkennen und Verstösse zu verhindern. Bei der Prüfung der Implementierung müssen diese Grundsätze und Massnahmen zu einem bestimmten Zeitpunkt implementiert sein. Beim Auftragstyp 3 wird zusätzlich noch geprüft, ob die Massnahmen und Grundsätze während eines bestimmten Zeitraums wirksam waren. 15 Es ist davon auszugehen, dass nur eine Prüfung mit dem Nachweis der Wirksamkeit zu einer Beachtung vor Gericht führen kann. Hinsichtlich des Umfangs der Prüfung kann von dem zu prüfenden Unternehmen dahingehend festgelegt werden, dass dieses im Voraus bestimmt, welche Rechtsgebiete, operativen Prozesse oder Geschäftsbereiche Gegenstand der Prüfung sein sollen. Das Prüfungsurteil umfasst nur die geprüften Bereiche. 2.3 Grundelemente Der IDW PS 980 definiert sieben Grundelemente, die das Compliance-System umfassen muss: Die -Kultur, die -Ziele, das -Risiko, das -Programm, die -Organisation, die -Kommunikation sowie die -Überwachung und -Verbesserung. 16 Für jedes dieser Elemente werden in der Folge Beispiele angeführt sowie bei jeweils einem die Implementierungstiefe aufgezeigt. Es gilt zu beachten, dass die nachstehende beispielhafte Aufzählung weder vollständig ist, noch komplett erfüllt werden muss, um ein wirksames CMS zu implementieren. Vielmehr soll ein Überblick über ein effizientes CMS vermittelt werden, das je nach Unternehmen individuell auszugestalten ist. Compliance-Kultur Zu den Merkmalen der Compliance-Kultur zählen beispielsweise die Integrität der gesetzlichen Vertreter, das Bekenntnis des Managements zur Bedeutung eines verantwortungsvollen Verhaltens im Einklang mit den zu beachtenden Regeln sowie die von den gesetzlichen Vertretern aufgestellten und kommunizierten Verhaltensgrundsätze. Ausserdem zählen Anreizsysteme dazu, die regelkonformes Verhalten fördern, einschliesslich der Berücksichtigung von Compliance bei Personalbewertungen und Beförderungen, der Führungsstil und die Personalpolitik des Unternehmens sowie die Art der Aufgabenwahrnehmung durch das Aufsichtsorgan im Zusammenhang mit Risikomanagement und Compliance. 17 Am Beispiel der Verhaltensgrundsätze soll aufgezeigt werden, was im Zusammenhang mit diesen beachtet werden muss, um eine Wirksamkeit zu gewährleisten. Zuerst müssen die Verhaltensgrundsätze den Mitarbeitern bekannt sowie leicht zugänglich sein. Neuen Mitarbeitern müssen die Inhalte in einem Standardprozess nachhaltig, bestenfalls im Rahmen einer Schulung, vermittelt werden. Inhaltlich müssen die Verhaltensgrundsätze alle relevanten Aspekte umfassen und individuell auf das Unternehmen angepasst sein. Bei international agierenden Unternehmen muss darauf geachtet werden, dass die 15 IDW Prüfungsstandard: Grundsätze ordnungsgemässer Prüfung von Compliance Management Systemen, 2011, 3 ff. 16 IDW Prüfungsstandard (Fn. 15), 5 ff. 17 Görtz, Der neue Compliance-Prüfungsstandard (EPS 980) Inhalte und Aussagen, Corporate Compliance Zeitschrift CCZ 4/2010, 130 f.

5 SZW/ RSDA 5/ 2014 Kurzbeitrag 537 nationalen Verhaltensvorschriften den internationalen entsprechen und keine erheblich abweichenden Regelungen enthalten. Wenn eine günstige Compliance-Kultur im Unternehmen besteht und aufgedeckte Verstösse angemessene Sanktionen nach sich ziehen, finden die im CMS verankerten Bestimmungen bei den Mitarbeitenden eher Beachtung als bei einer ungünstigen Compliance-Kultur. Compliance-Ziele Bei der Festlegung der Ziele muss darauf geachtet werden, dass diese in Übereinstimmung mit den allgemeinen Unternehmenszielen erfolgt und die Abgrenzung der Teilbereiche und die in den Teilbereichen zu beachtenden Regeln umfasst. In diesem Zusammenhang wird auch der Sicherheitsgrad festgelegt, mit dem das CMS Regelverstösse verhindern soll. Bei der Festlegung der Compliance-Ziele sollten neben der Konsistenz der unterschiedlichen Ziele die Verankerung im Unternehmen, die Verständlichkeit und Praktikabilität, die Messbarkeit des Grades der Zielerreichung sowie die Abstimmung mit den verfügbaren Ressourcen beachtet werden. 18 Bei der Verankerung im Unternehmen sollte darauf geachtet werden, dass die Compliance-Ziele mit anderen Unternehmenszielen auf gleicher Ebene geführt werden und in den operativen Unternehmensprozessen integriert sind. Im Rahmen der Zielsetzungen für die Mitarbeiter sollten die Compliance-Ziele so weit wie möglich auch Berücksichtigung finden. Compliance-Risiken Die Festlegung der Compliance-Ziele dient als Grundlage für die Bestimmung der Compliance-Risiken, welche wiederum die Basis für die Entwicklung eines angemessenen Compliance-Programms darstellen. Zu diesem Zweck wird für abgegrenzte Teilbereiche eine systematische Aufnahme der Risiken von Regelverstössen durchgeführt. Faktoren, die für die Risikoanalyse relevant sein können, sind beispielsweise Änderungen im wirtschaftlichen und rechtlichen Umfeld, Personalveränderungen, überdurchschnittliches Unternehmenswachstum, neue Technologien, neue oder atypische Geschäftsfelder oder Produkte, Umstrukturierungen und Expansion in neue Märkte. 19 Eine Compliance-Risikoanalyse ist keine einmalige Tätigkeit, sondern vielmehr ein Regelprozess, der einen wesentlichen Bestandteil der kontinuierlichen Weiterentwicklung und Verbesserung des CMS darstellt. Bei der Bewertung der Risiken muss darauf geachtet werden, dass sowohl die Eintrittswahrscheinlichkeit als auch die Schadenshöhe berücksichtigt werden. Bei Änderungen der Rahmenbedingungen, die beispielsweise durch einen Unternehmenskauf entstehen können, sollte eine erneute Risikobewertung durchgeführt werden. Diese Anpassungen müssen in der Folge genau dokumentiert und begründet werden und in eine Anpassung des Compliance-Programms einfliessen. Compliance-Programm Aufbauend auf den Compliance-Risiken wird das Compliance-Programm konzipiert. Dieses setzt sich aus den Grundsätzen und Massnahmen zusammen, welche auf ein regelkonformes Verhalten abzielen. Die Grundsätze stellen Regelungen dar, mit denen die betreffenden Personen zu regelkonformem Verhalten angehalten werden. Diese Vorschriften enthalten klare Festlegungen zur Zulässigkeit bzw. Unzulässigkeit bestimmter Aktivitäten sowie zu den Massnahmen des Compliance-Programms. 20 Die Massnahmen des Compliance-Programms zielen auf die Prävention von Verstössen ab und umfassen auch die Detektion und Reaktion. Konkrete Massnahmen des Compliance-Programms sind beispielsweise Funktionstrennungen, Berechtigungskonzepte, Genehmigungsverfahren und Unterschriftsregelungen, Vorkehrungen zum Vermögensschutz und andere Sicherheitskontrollen, das Vier-Augen-Prinzip und Job-Rotationen. Die richtige Implementierung soll beispielhaft anhand des Vier-Augen-Prinzips aufgezeigt werden. Bei diesem muss darauf geachtet werden, dass vor allem anfällige Prozesse ausgewählt werden und das Prinzip dort routinemässig angewandt wird. Um Missbrauch zu vermeiden, muss die Anwendung in jedem Fall dokumentiert werden, und die betreffenden Mitarbeiter sind adäquat auszuwählen. 18 IDW Prüfungsstandard (Fn. 15), IDW Prüfungsstandard (Fn. 15), IDW Prüfungsstandard (Fn. 15), 21 f.

6 538 Kurzbeitrag SZW/ RSDA 5/ 2014 Compliance Organisation Im Rahmen der Compliance-Organisation werden klare Rollen und Verantwortlichkeiten eindeutig festgelegt. Dies beinhaltet beispielsweise die Bestimmung eines Compliance-Beauftragten bzw. eines Compliance-Gremiums einschliesslich der Festlegung der Aufgaben und der hierarchischen Stellung bzw. der organisatorischen Einordnung sowie der Berichtslinien. Ausserdem sollten ausreichende Ressourcen zur Konzeption, Einführung, Durchsetzung und Überwachung sowie zur kontinuierlichen Verbesserung des CMS zur Verfügung gestellt werden. Dieses sollte mit anderen bestehenden Systemen der Unternehmensorganisation, wie dem Risikomanagementsystem oder dem internen Kontrollsystem, eng verzahnt sein. Die Compliance-Organisation muss dafür sorgen, dass organisatorische und technische Hilfsmittel, insbesondere zum Compliance-Programm, zur Compliance-Kommunikation und zur Überwachung des CMS, bereitgestellt werden, wie beispielsweise Handbücher, manuelle Checklisten oder IT-Tools. 21 Im Zusammenhang mit der Akquise des geeigneten Personals sollten bereits im Einstellungsprozess neben der fachlichen Kompetenz und Seniorität auch die Integrität des Bewerbers geprüft und im Fall einer Einstellung die Aufgaben schriftlich festgehalten werden. Des Weiteren ist durch regelmässige Fort- und Weiterbildung sicherzustellen, dass sich das Fachwissen der Mitarbeiter immer auf dem aktuellen Stand befindet. Compliance-Kommunikation Die Compliance-Kommunikation bezieht sich zum einen auf die Kommunikation der in den Teilbereichen zu beachtenden Regeln sowie des Compliance-Programms an die betroffenen Stellen. Zum anderen werden Berichtspflichten und Berichtswege für die Kommunikation von Compliance-Risiken festgelegt und mögliche Regelverstösse an die zuständigen Stellen im Unternehmen gemeldet. Ausserdem müssen die Ergebnisse von Überwachungsmassnahmen zwecks Ursachenanalyse und Entwicklung von Verbesserungen des CMS ebenfalls kommuniziert werden. Mögliche Formen der Kom- munikation sind Mitarbeiterbriefe, Compliance- Handbücher oder Schulungen. 22 Eine wichtige Voraussetzung für eine wirksame Compliance-Kommunikation sind ausreichende Kenntnisse über die Berichtspflichten und ein Bewusstsein der Mitarbeitenden für die Bedeutung einer zeitnahen und vollständigen Kommunikation. Im Zusammenhang mit dem Berichtwesen ist darauf zu achten, dass alle relevanten Informationen, beispielsweise zu Compliance-Verstössen, vollständig und korrekt dokumentiert werden und den Mitarbeitenden der Compliance-Abteilung diese Informationen zeitnah zur Verfügung stehen. Im Falle mangelhafter Dokumentation sollte ein Prozess vorhanden sein, der diese routinemässig erkennt und entsprechend behebt. Compliance-Überwachung und -Verbesserung Die Compliance-Überwachung bezieht sich auf Überwachungsmassnahmen prozessunabhängiger Stellen wie beispielsweise die Interne Revision. Diese soll feststellen, ob das CMS angemessen ausgestaltet und wirksam ist. Das schliesst die Prüfung der prozessintegrierten Kontrollen ein. Zur Compliance-Überwachung zählen u.a. folgende Aspekte: Die Festlegung der Zuständigkeiten für die Compliance-Überwachung, die Entwicklung eines Überwachungsplans, ein regelmässiger Systemcheck, die Bereitstellung von ausreichend erfahrenen Ressourcen für die Durchführung der Überwachungsmassnahmen, die Bestimmung der Berichtswege für die Ergebnisse dieser Massnahmen sowie die Erstellung von Berichten und deren Auswertung durch die zuständige Stelle. 23 Auf die Durchführung der Überwachung folgen Erkenntnisse darüber, ob Lücken im CMS vorhanden sind. In diesem Falle sollten Massnahmen zur Erhöhung der Wirksamkeit entwickelt werden. Ergeben sich im Rahmen der Überwachung Hinweise auf Regelverstösse, sollten im Rahmen der Durchsetzung und Glaubwürdigkeit des CMS erkennbare Massnahmen getroffen werden, um solche Vorfälle in Zukunft zu vermeiden. Hierbei kann es sich um zusätzliche Kontrollen und Trainings oder die Be- 21 IDW Prüfungsstandard (Fn. 15), 22 f. 22 IDW Prüfungsstandard (Fn. 15), IDW Prüfungsstandard (Fn. 15), 23 f.; vgl. auch Görtz (Fn. 17), 131 f.

7 SZW/ RSDA 5/ 2014 Kurzbeitrag 539 rücksichtigung bei der Entscheidung über Beförderungen handeln. Bei gravierenden Verstössen ist anzuraten, sich von dem betreffenden Mitarbeiter zu trennen und/ oder die Kündigung von Verträgen mit Dritten auszusprechen. Bei der Durchführung eines Systemchecks sollten feste Zeiträume für eine regelmässige Überprüfung des CMS definiert werden. Vorfälle müssen in einem routinemässigen Regelprozess bearbeitet und abgeschlossen werden. Ausserdem ist zu beachten, dass Compliance-Verstösse für die betreffenden Mitarbeitenden grundsätzlich Konsequenzen nach sich ziehen, da sonst die Glaubwürdigkeit bei den Mitarbeitenden nicht gewährleistet wäre. IV. Fazit Das Thema Compliance hat bei Schweizer Unternehmen in den letzten Jahren immer mehr an Bedeutung gewonnen, und es ist davon auszugehen, dass dieser Trend auch in Zukunft anhalten wird. Dies hat nicht zuletzt mit den hohen Strafen zu tun, die Unternehmen bei Verstössen drohen. Im Gesetz finden sich keine Anhaltspunkte, wie man einer möglichen Haftung vor Gericht entgehen kann. Es wird lediglich darauf hingewiesen, dass erforderliche und angemessene organisationsspezifische Massnahmen ergriffen werden müssen. Hinweise, was darunter zu verstehen ist, finden sich jedoch in der Literatur. Es wird davon ausgegangen, dass zumindest vier Kategorien erfüllt werden müssen: Risikoanalyse, Ausbildung, interne Kontrollen und interne Richtlinien. Da diese nicht unabhängig voneinander betrachtet werden können, ist das Compliance-System unter Berücksichtigung aller vier Komponenten und deren Wechselwirkung zu betrachten. Um die Wirksamkeit und damit die Eignung zur Verhinderung von Delikten sicherzustellen, ist die Behandlung von Compliance in einem unternehmensweiten und fachübergreifenden CMS zu empfehlen. Ein nach einem anerkannten Standard wie dem IDW PS 980 erstelltes CMS, das von einem unabhängigen Experten als wirksam erachtet wurde, erfüllt in der Regel die Anforderungen, welche Gesetz und Literatur an ein CMS stellen. Dieses kann daher als Nachweis zur Erfüllung der gesetzlichen Verpflichtungen vor Gericht dienen und eine haftungsreduzierende oder gar exkulpierende Wirkung entfalten. Es stellt sich die Frage, inwieweit das Unternehmen eine Schuld im Rahmen von Art. 52 StGB trägt, wenn ein CMS nach einem gängigen Standard, möglicherweise noch unter Zuhilfenahme von externer Beratung, implementiert wurde und von einem externen Experten als wirksam erachtet wurde. Wenn das Unternehmen dementsprechend keine Schuld an dem Vergehen trägt, sollte sich dieser Umstand vor Gericht haftungsreduzierend oder sogar exkulpierend auswirken. Es gilt jedoch immer zu beachten, dass ein CMS individuell und auf die jeweiligen Bedürfnisse des Unternehmens angepasst werden muss. Ein CMS, das durch ein positives Prüfungsurteil als wirksam erachtet wurde, zieht nicht automatisch eine Haftungsreduktion vor Gericht nach sich, sondern dient dazu, den Nachweis zu erbringen, dass man seinen gesetzlichen Verpflichtungen nachgekommen ist.