Christoph Naucke, Dr. Christian Corell
Bemerkenswert ist die neu aufgenommene Unabhängigkeit des Compliance-Verantwortlichen: "Merkmale einer Compliance-Organisation sind u. a.: […] der Compliance-Funktion […] zugeordnete Mitarbeiter haben die notwendige Unabhängigkeit, Kompetenz und organisatorische Stellung, um ihre Rollen und Verantwortlichkeiten wirksam wahrzunehmen. Dazu gehört auch die Möglichkeit zur unmittelbaren Kommunikation mit den gesetzlichen Vertretern bzw. den für die Überwachung Zuständigen sowie die rechtzeitige Einbindung in langfristige Entscheidungsprozesse." Durch den Begriff der "organisatorischen Stellung" werden auch die häufigen Modelle mit Compliance-Beauftragten auf nachgeordneten Positionen, beispielsweise in der Rechtsabteilung, oder die Kombination der Compliance-Funktion mit anderen Aufgaben, erschwert. Leider fehlen Hinweise darauf, wie diese Unabhängigkeit bei kleineren und mittleren Unternehmen erreicht werden kann, wenn nämlich die Besetzung der Compliance-Funktion ohne zusätzliche Tätigkeiten wirtschaftlich unmöglich ist.
Dessen ungeachtet ist die nunmehr endlich eindeutig formulierte Forderung eines Zugangs nicht allein zu den gesetzlichen Vertretern, sondern auch zum Aufsichtsorgan unbedingt begrüßenswert. Sie wird durch einen Hinweis zur Prüfungsdurchführung bekräftigt: "Zur Prüfung der Regelungen der Compliance-Kommunikation gehört zudem auch die Beurteilung, ob die Compliance-Risiken sowie Hinweise auf mögliche und festgestellte Regelverstöße an die zuständigen Stellen im Unternehmen (z. B. die gesetzlichen Vertreter und erforderlichenfalls das Aufsichtsorgan) zeitgerecht berichtet werden." Darüber hinaus wird an anderer Stelle die Information des Aufsichtsorgans über Maßnahmen zur Überwachung und Verbesserung des CMS thematisiert.
Direkt auf der Ebene der Grundelemente wird die Forderung "Die Aufgabenträger erfüllen die erforderlichen persönlichen und fachlichen Voraussetzungen" erhoben. Im Einzelnen sind die Anforderungen jedoch zu sehr von Branche, Unternehmensgröße und -komplexität sowie weiteren Faktoren abhängig, als dass dies hier abschließend bestimmbar wäre. Dennoch würdigt diese Ergänzung die in den vergangenen Jahren erheblich vorangeschrittene Professionalisierung des Compliance-Berufsstandes und erteilt früher häufigen, halbherzigen personellen "Notlösungen" eine Absage.
Die wesentlich umfangreicheren Anforderungen aus den Anwendungshinweisen führen außerdem dazu, dass unsystematische, für sachkundige Dritte nicht unmittelbar nachvollziehbare Abläufe für ein wirksames CMS nicht mehr ausreichen. Passiv-Formulierungen in der CMS-Beschreibung aus der Vergangenheit ohne eindeutige, individuelle Verantwortungszuschreibung (z. B. "Eine Compliance-Risikoanalyse wird regelmäßig erstellt.") reichen künftig für eine angemessene Compliance-Organisation nicht mehr aus.
In den Anforderungen an die Compliance-Ziele werden Identifikation und Abgrenzung der Regelungsbereiche, letztlich also der für das Unternehmen relevanten Rechtsgebiete, empfohlen. Da Rechtsnormen regelmäßig der Dynamik des Zeitgeistes unterliegen, war und ist ein systematisiertes Rechtsmonitoring zwingend, was aber in vielen älteren CMS-Konzepten weitgehend unberücksichtigt blieb. Generische Zielformulierungen wie "Das Unternehmen hält sich an Recht und Gesetz." reichen keinesfalls mehr aus, um die Compliance-Ziele im erforderlichen Maß zu konkretisieren.
Anhand von Risikoparametern wie Regelverstöße in der Vergangenheit, der Gefahr für Leib und Leben oder möglichen strafrechtlichen Konsequenzen wird eine Gewichtung der Rechtsgebiete empfohlen. Mit Hilfe von Beispielen stellt der Anwendungshinweis dar, welche Zielvorgaben anschließend auf Basis der Analyse der Rechtsgebiete erfolgen können. Allerdings besteht dadurch die Gefahr eines Missverständnisses, infolgedessen zwingende Rechtsnormen nur "selektiv" verarbeitet werden könnten. Eine Formulierung wie "Darauf aufbauend können für die identifizierten Regelungsbereiche die jeweiligen Compliance-Ziele (ggf. für einzelne Organisationseinheiten) festgelegt werden (z. B. Einhaltung des Foreign Corrupt Practices Act – FCPA oder des UK-Bribery Act durch den Vertrieb)." kann zu dem Irrtum führen, dass sich der internationale Vertrieb durch Einhaltung dieser beiden Normen – FCPA und Bribery Act – bereits auf der sicheren Seite befände. Naturgemäß ist das nicht der Fall, vielmehr stellt die Pflicht zur Vollständigkeit zumindest bei zwingenden Normen gerade eine elementare Compliance-Herausforderung für internationale Unternehmen dar. Diese wird aktuell durch das Lieferkettensorgfaltspflichtengesetz, aber auch durch die Russland-Sanktionen nochmals anspruchsvoller.
Für den Risikoidentifikationsprozess sind die möglichen "Faktoren, die für die Risikobeurteilung relevant sein können", besonders bedeutend. Aus der einschlägigen Aufzählung ergibt sich, dass die bisher übliche Risikoermittlung alleine im jährlichen Risikoaktualisierungstermin nicht mehr ausreicht. Stichworte wie "Änderungen ...