Jörg Ekkenga, Dr. Andreas Kramer
Unternehmen und Organe haben sich im Einklang mit geltendem Recht zu bewegen. Dabei ist eine Vielzahl an (allgemein gültigen und branchenspezifischen) Gesetzen, Verordnungen, Normen und Standards zu beachten.
2.1 Deutsche Regelungen und Gesetze
Compliance-Risikoanalyse ist Teil der allgemeinen Sorgfaltspflicht
Voraussetzung dafür ist ausreichendes Wissen über den unternehmensspezifischen Pflichtenkatalog (hier zu verstehen als die Sammlung oder Aufstellung der regulatorischen Anforderungen an ein Unternehmen). Die Durchführung einer Compliance-Risikoanalyse auf Basis des Pflichtenkatalogs ist Teil der Ausübung der allgemeinen Sorgfaltspflicht, wie sie sich aus § 93 Abs. 1 Aktiengesetz (AktG) bzw. § 43 Abs. 1 GmbH-Gesetz (GmbHG) ergibt, da die daraus resultierenden Informationen zum Risikoprofil des Unternehmens die Grundlage für weitere Entscheidungen sind.
Dieser Grundsatz spiegelt sich auch im Gesetz gegen Ordnungswidrigkeiten (OWiG) wider. Gemäß §§ 130, 30 OWiG handelt das Unternehmen bzw. handeln seine Organe und deren Erfüllungsgehilfen ordnungswidrig, wenn vorsätzlich oder fahrlässig diejenigen Aufsichtsmaßnahmen unterlassen werden, die erforderlich sind, um eine Zuwiderhandlung gegen betriebsbezogene Pflichten zu verhindern und diese Zuwiderhandlung durch gehörige Aufsicht verhindert oder wesentlich erschwert worden wäre.
Pflichten des Vorstands und des Aufsichtsrats gemäß BilMoG und DCGK
Durch das Bilanzrechtsmodernisierungsgesetz (BilMoG) wird dem Aufsichtsrat die Pflicht zur Überwachung eines ganzheitlichen Risikomanagementsystems (RMS) übertragen, das alle wesentlichen Risiken und gemäß Gesetzesbegründung auch Compliance-Risiken einschließen soll. Auch der Deutsche Corporate Governance Kodex (DCGK) bestimmt, dass der Vorstand den Aufsichtsrat "regelmäßig, zeitnah und umfassend über alle für das Unternehmen relevanten Fragen der Planung, der Geschäftsentwicklung, der Risikolage, des Risikomanagements und der Compliance" informiert. Des Weiteren ist es Pflicht des Vorstands, für die Einhaltung der Compliance zu sorgen.
Prüfkriterien gemäß IDW Prüfungsstandard 980
Der im April 2011 veröffentlichte Prüfungsstandard 980 des Instituts der Wirtschaftsprüfer in Deutschland (IDW PS 980) stellt Kriterien für die Prüfung von Compliance-Management-Systemen (CMS) im deutschen Rechtsraum auf. Auch der Prüfungsstandard sieht die Compliance-Risikoanalyse als eines der Grundelemente des CMS an.
2.2 Internationale Regeln und Vorschriften
Internationale Regelwerke behandeln das Thema Compliance schon länger, dazu zählen Bestimmungen wie der Foreign Corrupt Practices Act (FCPA), die US Sentencing Guidelines (USSG) und der Sarbanes-Oxley Act (SOX) der USA. Auch die USSG sehen in periodischen Abständen die Durchführung einer Risikoanalyse hinsichtlich kriminellen Verhaltens vor.
Zudem trat am 1. Juli 2011der UK Bribery Act in Kraft, der eine Strafbarkeit von Unternehmen, aber auch natürlichen Personen vorsieht, wenn Korruption nicht durch angemessene Verfahren und Abläufe verhindert wurde. Der UK Bribery Act sieht in den "adequate procedures" eine regelmäßige und umfassende Risikoanalyse hinsichtlich Korruptionsrisiken im Unternehmen vor.
Es lässt sich schlussfolgern, dass Unternehmen, gleich ihrer Größe, Form, Branche oder des Marktes, unter Zugrundelegen der allgemeinen Sorgfaltspflicht sowie der konkretisierenden nationalen und internationalen Gesetze gut beraten wären, eine Compliance-Risikoanalyse durchzuführen.