Laura von Marnitz Compliance-Management für mittelständische Unternehmen Ein Modell für die Praxis Verlag Dr. Kovac Hamburg 2011
Vorwort Abbildungsverzeichnis VII XIX 1 Corporate Compliance - Chancen und Herausforderungen für mittelständische Unternehmen 1 /. Hintergrund der Untersuchung und Problemstellung 1 1. Zu den Hintergründen der Compliance-Thematik 1 a) Das Thema Compliance in der aktuellen Diskussion 1 b) Ursachen für die Notwendigkeit einer Compliance-Diskussion 3 2. Corporate Compliance - Problemstellung und Herausforderung für den Mittelstand 5 a) Relevanz des Themas Compliance für den Mittelstand 5 b) Gefahr von Non-Compliance für den Mittelstand 5 c) Fehlendes Problembewusstsein und knappe Ressourcen 6 d) Rechtliche Situation und Implementierung von Compliance im Mittelstand 7 //. Gegenstand und Gang der Untersuchung 9 1. Definition der Begrifflichkeiten 9 a) Compliance 9 b) Mittelstand 10 2. Rechtliche Grundlagen und Vorteile von Compliance 10 a) Besteht eine Pflicht zu Einrichtung einer Compliance-Organisation? 10 b) Welche Vorteile entstehen für ein mittelständisches Unternehmen bei der Einrichtung eines Compliance-Management-Systems 11 3. Entwicklung eines Modells zur Implementierung eines Compliance- Management-Systems in einem mittelständischen Unternehmen 12 a) Modelle 12 b) Aufsätze und Artikel 12 c) Expertengespräche 12 2 Begriffsbestimmungen 15 /. Der Begriff Compliance 15 1. Hintergrund und Definition des Begriffs Compliance 15 a) Herkunft des Begriffs Compliance 15 b) Definitionen von Compliance 16 c) Arbeitsdefinition von Compliance 18 2. Der Begriff Compliance-Management-System (CMS) 19 a) Definition Compliance-Management 19 b) Zielsetzung eines Compliance-Management-Systems 20 c) Aufgaben eines Compliance-Management-Systems 21 XI
3. Der Begriff Compliance-Organisation 22 a) Die betriebswirtschaftliche Organisation 22 aa) Aufbauorganisation 23 bb) Ablauforganisation 23 b) Definition des Begriffs Compliance-Organisation 23 c) Zielsetzung der Compliance-Organisation 24 4. Abgrenzung des Begriffs Compliance gegenüber verwandten Begrifflichkeiten und Themenfeldern 25 a) Corporate Governance 26 aa) Ursprung des Begriffs und Definition 26 bb) Gemeinsamkeiten und Abgrenzung ggü. dem Begriff Compliance 27 b) Risikomanagement 29 aa) Definition 29 bb) Gemeinsamkeiten und Abgrenzung ggü. dem Begriff Compliance 30 c) Internes Kontrollsystem (IKS) 31 aa) Definition 31 bb) Gemeinsamkeiten und Abgrenzung ggü. dem Begriff Compliance 32 d) Corporate Social Responsibility 33 aa) Definition 33 bb) Gemeinsamkeiten und Abgrenzung ggü. dem Begriff Compliance 34 //. Zum Begriffdes Mittelstands 34 1. Zur Definition des Mittelstands 36 a) Definition der Europäischen Kommission 36 b) Abgrenzung von kleinen, mittleren und großen Kapitalgesellschaftengem. Handelsgesetzbuch 38 c) Definition des Instituts für Mittelstandsforschung Bonn 38 d) Arbeitsdefinition 39 2. Charakteristika des deutschen Mittelstands 39 a) Bedeutung des deutschen Mittelstands in Politik und Interessenvertretung, Medien und Wissenschaft 39 b) Rechtsformen, Unternehmer, Stake- und Shareholder 40 c) Branchen und internationale Ausrichtung 41 d) Finanzierungsformen des deutschen Mittelstands sowie Gründungsfinanzierung 42 e) Die Eigenkapital-Quote im deutschen Mittelstand 43 f) Führungs- und Eigentümerstruktur sowie Strategie im deutschen Mittelstand 45 3 Rechtsgrundlagen von Compliance 47 /. Allgemeine gesetzliche Anforderungen 47 1. Anforderungen des Ordnungswidrigkeitenrechts 49 2. Anforderungen des Zivilrechts 50 a) 831 BGB: Haftung für den Verrichtungsgehilfen 50 b) 76 Abs. 1 AktG: Leitung der Aktiengesellschaft 51 c) 91 Abs. 2 AktG: Organisation, Buchführung 51 d) 93 Abs. 1 Satz 1 und 2 AktG, 43 Abs. 2 GmbHG: Die Business Judgement Rule 53 e) 111 Abs. 1 AktG: Aufgaben und Rechte des Aufsichtsrats 55 XII
II. Sektorspezifische gesetzliche Anforderungen: Finanzsektor 55 1. 25a Abs. 1 KWG: Besondere organisatorische Pflichten von Instituten 56 2. 33WpHG 56 3. Ist eine Verallgemeinerung der Anwendbarkeit der Regelungen zu befürworten? 57 ///. Standards und Internationale Vorgaben 59 1. Erklärung gem. des Deutschen Corporate Governance Kodex (DCGK) 59 a) Ziffer 3.4 Deutscher Corporate Governance Kodex 60 b) Ziffer 4.1.3 Deutscher Corporate Governance Kodex 60 c) Ziffer 4.1.4 Deutscher Corporate Governance Kodex 61 d) Ziffer 5.3.2 Deutscher Corporate Governance Kodex 61 2. Federal Sentencing Guidelines 61 a) Allgemeines zu den Federal Sentencing Guidelines 62 b) Kurze Zusammenfassung des Inhalts der Federal Sentencing Guidelines 62 c) Auswirkungen der Federal Sentencing Guidelines auf deutsche Unternehmen 64 3. Sarbanes-Oxley Act (SOX) 65 IV, Zwischenfazit - Beurteilung der rechtlichen Situation von Compliance in Deutschland für mittelständische Unternehmen 66 1. Pflicht durch nationale Vorgaben? 66 2. Pflicht durch internationale Vorgaben? 67 3. Beurteilung der Situation 68 4 Welche Vorteile kann ein mittelständisches Unternehmen aus der Einrichtung eines Compliance-Management-Systems ziehen? 71 /. Quantitative Vorteile 71 1. Senkung der Rechtskosten 71 2. Vergabe öffentlicher Aufträge 72 3. Verbesserung des Ratings und Senkung der Versicherungskosten 73 //. Qualitative Vorteile 74 1. Strategische Vorteile 74 2. Professionalisierung von Kommunikation und Wissensmanagement 74 3. Positive Auswirkungen auf die Reputation 75 ///. Schlussfolgerung 76 5 Grundlagen für die Entwicklung eines mittelstandsspezifischen Corporate- Compliance-Modells 77 /. Das PDCA-Modell nach Deming (PLAN, DO, CHECK, ACT) 77 1. Hintergründe und Bedeutung des PDCA-Modells 77 2. Kritik und Erweiterung des PDCA-Modells 79 //. Anforderungen an ein Compliance- Management-System gem. IDWEPS 980...80 1. Kurzeinführung in den IDW EPS 980 80 2. Die sieben Grundelemente eines CMS gem. IDW EPS 980 80 a) Compliance-Kultur 80 b) Compliance-Ziele 81 XIII
c) Compliance-Organisation 81 d) Compliance-Risiken 81 e) Compliance-Programm 81 f) Compliance-Kommunikation 82 g) Compliance-Überwachung und Verbesserung 82 ///. Modelle zur Implementierung eines Compliance-Management-Systems aus der Wissenschaft.' 82 1. Elemente des Compliance-Beauftragten-Systems gem. Bürkle 82 a) Erste Ebene: Geschäftsleitung 83 b) Zweite Ebene: Der zentrale Compliance-Beauftragte 84 c) Dritte Ebene: Der dezentrale Compliance-Beauftragte 86 2. Mindestanforderungen an die Grundpflichten einer ordnungsgemäßen Compliance-Organisation gem. Schneider: Sieben Anforderungen 87 a) Erste Anforderung 88 b) Zweite Anforderung 88 c) Dritte Anforderung 88 d) Vierte Anforderung 88 e) Fünfte Anforderung 89 f) Sechste Anforderung 89 g) Siebte Anforderung 89 IV. Modelle zur Implementierung eines Compliance- Management-Systems aus der Praxis 89 1. Implementierung eines CMS durch ein Wirtschaftsprüfungs- und Beratungsunternehmen: Das 7x7 Modell von KPMG 90 a) Implementierung Pflichtenkanon 90 b) Kommunikation 90 c) Implementierung von Kontrollen 91 d) Schaffung von Anreizmechanismen 91 e) Überwachung der Wirksamkeit 92 f) Compliance-Reporting 92 g) Verbesserung des Compliance-Management-Systems 93 2. Implementierung eines Corporate-Compliance-Systems durch eine beratende Rechtsanwaltskanzlei: Das Modell von Rödl&Partner 93 a) Compliance Audit (Analysephase) 93 b) Compliance Fitness (Umsetzungsphase) 95 aa) Schnittstellenproblematik 95 bb) Compliance Officer 95 cc) Organisationsaufbau 96 c) Wertemanagement - Bedeutung eines überzeugenden Wertemanagements 96 aa) Implementierung eines Compliance-Systems 96 bb) Wertemanagement 97 cc) Implementierung eines Wertemanagementsystems 98 XIV
6 Welche Aspekte der vorgestellten Modelle bilden die Grundlage für das eigene Modell? 101 /. Übertragbarkeit und Verwendbarkeit 101 1. PDCA-Modell nach Deming 101 2. EPS 980 des IDW 101 3. Modell gem. Bürkle 102 4. Modeligem. Schneider 102 5. Modell der KPMG 103 6. Modell von Rödl&Partner 103 7. Entwicklung des eigenen Modells: Vorgehensweise 104 //. Entwicklung des eigenen Modells: Vorgehensweise 105 1. Warum gilt es, ein neues Modell für den Mittelstand zu entwickeln? 105 2. Vorstellung des Compliance-Management-Kreislaufs 106 7 Erste Phase des Compliance-Management-Kreislaufs: Vorbereitung der Einrichtung eines CMS (PLAN) 109 /. Festlegung der Ziele des Compliance-Management-Systems in einem mittelständischen Unternehmen 110 1. Was ist ein Ziel? 110 a) Definition des Begriffs Ziel 110 b) Merkmale eines Ziels 110 2. Zielsetzung des Compliance-Management-Systems in einem mittelständischen Unternehmen 111 a) Rahmenbedingungen der Zielsetzung 111 b) Inhalt der Zielsetzung 111 //. Risikoerfassung und-analyse 112 1. Bestimmung der Ausgangslage: Erfassung des Risikos 114 a) Vorgehensweise bei der Risikobestandsaufnahme 114 b) Vorteile der Vorgehensweise sowie mögliche Schwierigkeiten und Probleme 115 2. Bewertung der erfassten Risiken: Die Risikoanalyse 116 a) Analyse der Korruptionsrisiken 117 b) Analyse der Fraud-Risiken 118 c) Analyse der Kartellrisiken 119 d) Analyse der Produktrisiken 119 ///. Ressourcenanalyse 119 1. Aufweiche bereits vorhandenen Systeme und Einrichtungen lässt sich zurückgreifen? 120 a) Übernehmen Teilfunktionen bereits Compliance-Aufgaben? 120 b) Einrichtungen und Systeme 121 2. Know-how der Mitarbeiter und externe Beratung 121 a) Welches personelle Know-how befindet sich im Unternehmen? 121 b) Wann ist es sinnvoll, externe Berater für die Implementierung hinzuziehen? 121 XV
3. Welche monetären Mittel stehen für die Implementierung des CMS zur Verfügung? 122 a) Komponenten der Compliance-Kosten 122 b) Festlegung der monetären Mittel 123 8 Zweite Phase des Compliance-Management-Kreislaufs: Festlegung von Compliance- Maßnahmen (DO) 125 /. Bestimmungeines Compliance-Beauftragten 126 1. Welche (rechtliche) Stellung hat ein Compliance-Beauftragter im Unternehmen? 127 a) Organhaftung bzw. Haftung des Compliance-Beauftragten 128 b) Unabhängigkeit, Weisungsfreiheit und Gestaltung des Arbeitsvertrags des Compliance-Beauftragten 129 c) Zur Garantenpflicht des Compliance-Officers: Auswirkungen des BGH-Urteils vom 17.7.2009 für mittelständische Unternehmen 130 2. Welche Aufgaben hat ein Compliance-Beauftragter in einem mittelständischen Unternehmen? 132 a) Organisatorische Aufgaben eines Compliance-Beauftragten in einem mittelständischen Unternehmen 133 b) Inhaltliche Aufgaben eines Compliance-Beauftragten in einem mittelständischen Unternehmen 133 3. Welcher Personenkreis kommt als Compliance-Beauftragter eines mittelständischen Unternehmens in Frage? 134 a) Anforderungen an einen Compliance-Beauftragten 134 b) Übernahme der Compliance-Tätigkeiten durch einen Mitarbeiter aus dem Bereich Controlling 135 c) Übernahme der Compliance-Tätigkeiten durch einen Mitarbeiter der Internen Revision 136 d) Übernahme der Compliance-Tätigkeiten durch den Chefsyndikus 137 e) Übernahme der Compliance-Tätigkeiten durch einen externen Dienstleister: Outsourcing von Compliance 138 4. Einbindung der Compliance-Funktion in die Unternehmens-Organisation 140 a) Compliance als eigenständige Stabstelle 140 b) Compliance als Komitee innerhalb einer Matrix Organisation 141 //. Einführung eines Compliance- Verhaltenskodex' und Festlegung weiterer Compliance-Maßnahmen 142 1. Einführung eines Compliance-Verhaltenskodex' 143 a) Zweck des Compliance-Verhaltenskodex' und Überlegungen vor der Erstellung 143 b) Gestaltung des Compliance-Verhaltenskodex' eines mittelständischen Unternehmens 144 c) Inhalt eines Compliance-Verhaltenskodex 145 2. Festlegung weiterer Compliance-Maßnahmen 146 a) Organisatorische Grundprinzipien und automatische Prozesskontrollen 147 aa) Vier-Augen-Prinzip 147 bb) Funktionstrennung 147 cc) Need-to-know-Prinzip 148 dd) Job-Rotation 148 XVI
ee) Automatische Kontrollen 148 b) Whistleblowing - ein Thema für den Mittelstand? 149 aa) Was ist Whistleblowing? 149 bb) Welche Möglichkeiten gibt es für mittelständische Unternehmen, Whistleblowing anzubieten und welche Vor- und Nachteile ergeben sich? 149 cc) Lösungsvorschlag für den Umgang mit dem Thema Whistleblowing in einem mittelständischen Unternehmen 152 ///. Integration von Compliance in den beruflichen Alltag und in die Unternehmenskultur 153 1. Wie lässt sich erreichen, dass Compliance als Teil der Unternehmenskultur verstanden und aufgenommen wird? 154 a) Hat die Unternehmenskultur Einfluss auf den Erfolg eines Unternehmens? 154 b) Lässt sich die Unternehmenskultur beeinflussen und falls ja, wie? 155 c) Einfluss der Unternehmenskultur auf Compliance 155 d) Festlegung der Werte 157 2. Compliance-Schulungen und -Training in mittelständischen Unternehmen 158 a) Welchen Inhalt haben die Compliance-Schulungen und welche Lehrmethoden sind geeignet? 158 b) Wer führt die Compliance-Schulungen und -Trainings durch? 160 c) Wissensmanagement und Weiterbildung des Compliance-Beauftragten 160 3. Kommunikation von Compliance in einem mittelständischen Unternehmen 161 a) Wie lässt sich das Thema Compliance erfolgreich gegenüber den Mitarbeitern kommunizieren (Interne Kommunikation)? 161 b) Wie lässt sich das Thema Compliance erfolgreich gegenüber Externen und der Öffentlichkeit kommunizieren? 163 IV. Dokumentation der Compliance-Tätigkeiten 164 1. Dokumentation der Tätigkeit des Compliance-Beauftragten 164 2. Dokumentation der Umsetzung der Compliance-Maßnahmen in den operativen Abteilungen 165 9 Dritte Phase des Compliance-Management-Kreislaufs: Kontrolle und Weiterentwicklung (CHECK&ACT/LEARN) 167 /. Kontrolle der Einhaltung der Compliance-Maßnahmen und Überwachung der Wirksamkeit des Systems in einem mittelständischen Unternehmen 168 1. Ziel von Kontrolle und Überwachung des Compliance-Management-Systems.. 168 a) Überwachung der Wirksamkeit des Compliance-Management-Systems 168 b) Kontrollziele 169 2. Kontrollmöglichkeiten 169 a) Interne Kontrollmöglichkeiten 170 b) Externe Kontrollmöglichkeiten 171 //. Berichtspflichten des Compliance-Beauftragten eines mittelständischen Unternehmens 172 1. Allgemeine Berichtspflichten 172 2. Umgang mit Schadensfällen: Reporting von Compliance-Verstößen 174 XVII
3. Meldung von Verstößen der Geschäftsleitung 174 4. In welchen Situationen muss ein Compliance-Beauftragter Compliance-Verstöße an eine Behörde melden? 175 ///. Vorgehensweise bei Compliance-Verstößen 176 1. Hinweise zu Compliance-Verstößen 176 a) Welche Möglichkeiten gibt es, einen Hinweis auf einen Compliance-Verstoß zu erhalten? 176 b) Wie ist der Hinweis zu bewerten? 177 2. Sanktionen bei Verstößengegen Compliance-Maßnahmen 178 IV. Weiterentwicklung des Compliance-Management-Systems 179 1. Allgemeines zur Weiterentwicklung des Compliance-Management-Systems... 179 2. Vorgehensweise bei der Weiterentwicklung 180 a) Erfolgskontrolle 180 b) Feststellung der Veränderungen 181 c) Weiterentwicklung bei Schadensfällen 182 10 Zusammenfassung der Ergebnisse 183 /. Ergebnisse des HI-Phasen-Kreislaufmodells 183 1. Planungsphase 183 2. Umsetzungsphase 184 3. Kontroll- und Weiterentwicklungsphase 185 //. Resümee: Welche Vorteile haben mittelständische Unternehmen bei der Umsetzung eines CMS im Vergleich zu einem Großunternehmen und welche besonderen Herausforderungen stellen sich? 186 1. Vorteile 186 a) Einfachere Integration in die Unternehmenskultur 186 b) Bessere Durchsetzbarkeit eines Verhaltenskodexes 186 c) Einfacherer Überblick über das Thema Compliance 187 2. Herausforderungen 187 a) Umsetzung mit geringeren monetären Mitteln 187 b) Umsetzung mit weniger personellem Know-how 187 Abkürzungsverzeichnis Literaturverzeichnis Expertengespräche Fachveranstaltungen XXI XXV LI LIII XVIII