Die Neufassung des PS 980 präzisiert die Anforderungen an die Compliance-Organisation wesentlich. Sie ergänzt bereits die Beschreibungen der Grundelemente um die Forderung, Verantwortungsbereiche und Rollen eindeutig abzugrenzen, zu kommunizieren und zu dokumentieren. Auch die wesentlichen Regelungen zur Aufbau- und Ablauforganisation des Compliance-Managements sind verbindlich vorzugeben und zu dokumentieren.[1]
Die Anwendungshinweise verlangen wörtlich "die Integration des CMS in die Geschäftsprozesse des Unternehmens" als notwendiges Merkmal einer Compliance-Organisation.[2] In Verbindung mit der Forderung nach einer dokumentierten Ablauforganisation kann das nur bedeuten, dass die für ein funktionierendes CMS erforderlichen Prozesse in der CMS-Beschreibung benannt und erläutert werden.
Im Regelfall sollten zumindest folgende Kernprozesse eines CMS dokumentiert werden:
Kernprozesse für Compliance-Ziele
- Rechtsmonitoring und Rechtskataster
Kernprozesse für Compliance-Risiken
- Abfrage, Bewertung und Aktualisierung des Compliance-Risikoportfolios (ggf. innerhalb des Risikomanagementprozesses)
Kernprozesse für das Compliance-Programm
- Entscheidung über die Erforderlichkeit von Risikomaßnahmen und -kontrollen zur Beherrschung der Compliance-Risiken (ggf. innerhalb des Risikomanagementprozesses)
- Nachhalten der Umsetzung vereinbarter Risikomaßnahmen (ggf. Verweis auf Follow-Up-Prozess des Risikomanagements)
- Planung und Durchführung der Compliance-Schulungen
- Bearbeitung von Anfragen zu compliance-konformem Verhalten
- Bearbeitung (insbes. Aufklärung) von Hinweisen auf Compliance-Verstöße
- Entscheidungsprozess für Reaktionen auf erwiesene Compliance-Verstöße
Kernprozesse für die Compliance-Kommunikation
- Compliance-Schulungen (insbes. Antikorruptions-Schulungen)
- formalisierter Compliance-Turnus/Jahresbericht an die gesetzlichen Vertreter
- regelmäßige Compliance-Berichterstattung an die gesetzlichen Vertreter
- Adhoc-Compliance-Berichterstattung an die gesetzlichen Vertreter
Außerdem nennt der neue PS 980 unangemessene Verallgemeinerungen sowie unausgewogene und verzerrende Darstellungen, wie beispielsweise insgesamt unklare prozessuale Zuständigkeitsbeschreibungen, als Merkmale einer unzureichenden CMS-Beschreibung.
Das Fehlen wesentlicher Informationen über die CMS-Aufbau- und Ablauforganisation führt unmittelbar zu einem höchstens noch eingeschränkten Prüfungsurteil. Dessen mittelbare Konsequenz reicht jedoch erheblich weiter: In einem Haftungsprozess um ein Organisationsverschulden gesetzlicher Vertreter ohne unmittelbare persönliche Beteiligung an schweren Compliance-Verstößen ist die Beweislage nämlich umso schlechter, je lückenhafter die verschriftlichten Informationen über das CMS sind.
Dieser Inhalt ist unter anderem im Haufe Finance Office Premium enthalten. Sie wollen mehr?
Jetzt kostenlos 4 Wochen testen