Compliance-Management-Systeme nach IDW PS 980 Dr. Hady Fink, Greenlight Consulting Compliance Circle München, 13.09.2012
Agenda 1. Einleitung 2. Grundelemente eines CMS 3. Haftungsrechtliche Relevanz 4
Einleitung Reaktion des Instituts der Wirtschaftsprüfer in Deutschland (IDW) auf Forderung nach unabhängigen Aussagen zur Beurteilung von CMS Seit 30.09.2011 Prüfung von Compliance-Management-Systemen (CMS) nach IDW PS 980. Leitfaden für effektives CMS zum systematischen, proaktiven und umfassenden Umgang mit Compliance Risiken Funktionen : Prävention Investigation Reaktion Kein Kochrezept, eher Inhaltsverzeichnis Unternehmen: bestimmt Bezugsrahmen und liefert Inhalt
Grundelemente eines CMS Kernstück: sieben Elemente, die im Unternehmen hinreichend abgebildet sein müssen, um Regelverstöße wirksam zu vermeiden PS liefert konkrete Anforderungen an die Ausgestaltung der Grundelemente Praktische Umsetzung und Implementierung ist Aufgabe des Unternehmens Auf Prüfung abgestimmter Anforderungskatalog für Implementierung
Compliance-Kultur gelebter Wertekanon aufgestellte und kommunizierte Verhaltensgrundsätze (z. B. CoC) Anreizsysteme Führungsstil Personalpolitik Praxisumsetzung: Beispiel CoC Beinhaltet der CoC alle relevante Aspekte? Ist seine Existenz den Mitarbeitern bekannt? Ist der Code of Conduct für alle Mitarbeiter leicht zugänglich? Erfolgt eine Kommunikation an neue Mitarbeiter? Harmonisierung im Konzern (nationale Codes of Conduct)?
Compliance-Ziele Übereinstimmung mit Unternehmenszielen Konsistenz der Ziele Verständlichkeit und Praktikabilität der Ziele Messbarkeit des Grades der Zielerreichung Abstimmung mit verfügbaren Ressourcen Praxisumsetzung: Beispiel Verankerung der Compliance-Ziele Gleichwertig mit anderen Unternehmenszielen? In operative Unternehmensprozesse intergiert? Teil der variablen Gehaltsbestandteile?
Compliance-Risiko Risiken: Grundlage für Entwicklung eines angemessenen Programms Systematische Aufnahme der Risiken in abgegrenzten Teilbereichen Regelprozess: kontinuierlichen Weiterentwicklung und Verbesserung Praxisumsetzung: Beispiel Bewertung der Risiken Sind Risiken quantifiziert (Eintrittswahrscheinlichkeit x Schadenshöhe)? Fließen veränderte äußere und innere Faktoren in die Risikomatrix ein? Werden Änderungen dokumentiert und begründet?
Compliance-Programm Zusammensetzung aus Grundsätzen und Maßnahmen Ziel: Begrenzung Compliance-Risiken, regelkonformes Verhalten Funktionstrennung, 4-Augen-Prinzip Berechtigungskonzepte und Genehmigungsverfahren Job-Rotation Praxisumsetzung: Beispiel 4-Augen-Prinzip: Sind anfällige Prozesse identifiziert? Wird das 4-Augen Prinzip routinemäßig angewandt in diesen Fällen? Wird die Anwendung adäquat dokumentiert? Werden die beteiligten Mitarbeiter objektiv ausgewählt?
Compliance-Organisation klare Festlegung von Rollen und Verantwortlichkeiten Bereitstellung ausreichender Ressourcen Entwicklung organisatorischer und technischer Hilfsmittel Integration in bestehende Systeme der Unternehmensorganisation Praxisumsetzung: Beispiel Personal der Compliance Abteilung Werden beim Einstellungsprozess adäquate Anforderungen gestellt: Integrität (Background Checks), fachliche Kompetenz, Seniorität? Wird durch regelmäßige Schulungen sichergestellt, dass die Mitarbeiter bzgl. ihres Wissens immer auf dem neuesten Stand sind? Sind die Aufgaben der Mitarbeiter schriftlich festgehalten?
Compliance-Kommunikation Kommunikation der in den Teilbereichen zu beachtenden Regeln Kommunikation des Compliance-Programms an betroffene Personen Festlegung der Berichtspflichten und Berichtswege Kommunikation der Ergebnisse an Mitarbeiter Praxisumsetzung: Beispiel Berichtswesen Werden relevante Informationen (z. B. Compliance-Fälle) vollständig und korrekt dokumentiert? Ist diese Dokumentation für die Mitarbeiter der Compliance Abteilung sowie das Führungspersonal zeitnah und vollständig verfügbar? Wird Dokumentation routinemäßig überprüft? Werden Dokumentationsmängel erkannt und entsprechend behoben (Eskalationsprozesse)?
Compliance-Überwachung & Verbesserung Überwachungsmaßnahmen durch prozessunabhängige Stellen z. B. Interne Revision Entwicklung eines Überwachungsplans Berichte über Überwachungsmaßnahmen Praxisumsetzung: Beispiel Bearbeitung von Vorfällen: Werden Vorfälle routinemäßig aufgedeckt, zeitnah bearbeitet und abgeschlossen? Sind entsprechende Konsequenzen sichergestellt (Überprüfung des betreffenden Bereichs, Sanktionen)? Werden Vorfälle standardmäßig adäquat dokumentiert?
Haftungsrechtliche Relevanz des IDW PS 980 130 Abs. 1 OWiG: Keine Haftung/Bußgeld, wenn Verstoß durch gehörige Aufsicht nicht hätte verhindert oder wesentlich erschwert hätte werden können Bußgeldminderung: je nach aufgewendeter Sorgfalt im Zusammenhang mit dem CMS Ein uneingeschränktes Prüfungsurteil kann tatbestandsausschließende oder bußgeldmindernde Wirkung entfalten 91 Abs. 2 AktG: Vorstand muss geeignete Maßnahmen treffen, insbesondere ein Überwachungssystem einrichten, damit den Fortbestand der Ges. gefährdende Entwicklungen früh erkannt werden. Gem. 93 Abs. 1 Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters. Ein uneingeschränktes Prüfungsurteil kann den Nachweis dieser Sorgfalt erbringen
Vielen Dank für Ihre Aufmerksamkeit!