Kurzbeschreibung
Dieses Merkblatt liefert die ablauforganisatorische Blaupause für die Risikomanagement- und Compliance-Koordinationsgruppe (Compliance Board). Es regelt, wie die an der Aufrechterhaltung von Rechtskonformität und Integrität Beteiligten ihre Aktivitäten unter dem Compliance Board-Schirm koordiniert wahrnehmen können. Die Vorlage ist in Form einer Tagesordnung aufgebaut, kann aber auch unmittelbar als Arbeitsplan vom Compliance-Beauftragten genutzt werden.
Vorbemerkung
Sollte keine Risikomanagement- und Compliance-Koordinationsgruppe ins Leben gerufen worden sein, können die im Arbeitsplan vorgesehenen Schritte unmittelbar vom Compliance-Beauftragten und/oder der Geschäftsleitung ausgeübt bzw. beauftragt und abgefragt werden.
Die Stellenbeschreibung für den Compliance-Beauftragten und das Statut für die Risikomanagement und Compliance-Koordinationsgruppe enthalten den aufbauorganisatorischen Rahmen für das funktionsübergreifende Compliance-Management-System eines mittelständischen Unternehmens.
1. Aufbau von Tagesordnung/Arbeitsplan
1.1. Die Spalten
Die Tagesordnung führt in der linken Spalte zunächst die Themenstellungen auf, die im Rahmen eines Compliance-Management-Systems regelmäßig zu behandeln sind. Hierbei kann es zweckmäßig sein, einzelne Themenblöcke, wie z. B. Risikobestandsaufnahme oder Wirksamkeitskontrolle, auf bestimmte Sitzungen zu konzentrieren.
In den darauffolgenden Spalten ist dann anzugeben,
- mit welcher Zielsetzung die Themen jeweils aufgerufen sind (z. B. Berichterstattung, Risikobeurteilung, Beschlussfassung über Maßnahmen, Wirksamkeitskontrolle),
- wer hierzu berichten oder Vorschläge machen soll,
- der hierfür vorgesehene Zeitrahmen und
- die jeweils vorzulegenden Unterlagen.
Zusammen mit der Ergebnisspalte kann die Tagesordnung gleichzeitig auch zur Dokumentation der Arbeitsweise des Compliance-Management-Systems genutzt werden.
Hierfür steht im Formblatt selbst nur wenig Platz zur Verfügung. Ggf. kann daher auf Anlagen verwiesen werden, wie das bei den Angaben zu den Vorlagen für die einzelnen Tagesordnungspunkte hinsichtlich der Vorlagen immer der Fall sein dürfte. Dabei sollte regelmäßig nur das Ergebnis, nicht der Verlauf der Erörterung selbst dokumentiert werden.
Über die Angabe der vortragenden Person(en) lässt sich dabei festlegen, wer für ein bestimmtes Thema generell oder im Einzelfall verantwortlich sein soll. Die Erfahrung zeigt, dass einerseits eine abstrakte Festlegung von Zuständigkeiten in Schnittstellenbereichen nur schwer möglich ist, soweit solche Festlegungen über eine allgemeine Aufgabenbeschreibung von Unternehmensfunktionen hinausgehen. Andererseits lassen sich die geeigneten Funktionen und/oder Personen in Hinblick auf konkretisierte Aufgabenstellungen relativ leicht bestimmen.
1.2. Die Themenreihenfolge
1.1.1 Risikoerfassung
Die Reihenfolge der Themenauflistung orientiert sich daran, dass zunächst eine Risikobestandsaufnahme erfolgen sollte. Ausgangspunkt hierfür sind zunächst die im Rahmen der allgemeinen Risikoanalyse getroffenen Feststellungen.
Hiervon ausgehend erfolgt dann eine eigenständige Beurteilung der Compliance-Risiken (Bußgeld, Strafbarkeit, Reputation, für Finanzdienstleister: Rechtsnormen, deren Verletzung zu wesentlichen Vermögensschäden führen kann) durch den Compliance-Beauftragten, andere Unternehmensbeauftragten und die weiteren mit Unternehmensrisiken befassten Funktionen, wie z.B. Revision, Qualitätsmanagement oder Controlling. Dabei empfiehlt sich eine Aufgliederung nach den unter TOP Ziffer 8 aufgeführten Compliance-relevanten Prozessen.
1.1.2 Compliance-Feedback
Während des Geschäftsjahres ist die ursprüngliche Risikobeurteilung einem fortlaufenden Feedback-Verfahren zu unterziehen. Hierin fließen natürlich alle Fälle ein, in denen sich Compliance-Risiken realisiert haben; darüber hinaus Beratungsfälle, die Hinweisen auf Risiken, Verstöße oder Verbesserungsmöglichkeiten enthalten sowie anonyme Hinweise und Compliance veranlasste Untersuchungen (prozessbezogen wegen Verfahrensschwächen/Verbesserungsmöglichkeiten und/oder verdachtsfall-/personenbezogen).
Unter der Rubrik "Compliance-Nachrichten" sollte nach neueren Entwicklungen bei Wettbewerbern, in der Rechtsprechung oder bei den Aufsichtsbehörden gefragt werden, die eine Änderung der Risikobeurteilung zur Folge haben könnten.
1.1.3 Nicht fachbezogene Compliance-Kernprozesse
Die TOP 3 - 7 befassen sich mit der Berichterstattung oder Beschlüssen zu nicht fachbezogenen Compliance-Kernprozessen.
Am Beginn steht dabei als TOP 3 die Themengruppe "Konsequenzenmanagement". Die unter TOP 2 "Compliance-Feedback" erfassten Vorfälle und Nachrichten führen unmittelbar zu der Frage, ob und welche Folgen hieraus zu ziehen sind, sei es in Hinblick auf die Veränderung oder Neueinführung bestimmter Verfahren oder sei es im Hinblick auf Personen.
Hierzu unterscheidet die Tagesordnung zwischen
- Konsequenzen durch Linienvorgesetzte, wie etwa Beratung oder ein Personalgespräch,
- arbeitsrechtlichen Maßnahmen und
- der Einschaltung Externer, d. h. im Regelfall von Aufsichts- oder Strafverfolgungsbehörden.
Die Entscheidung hierüber wird im Regelfall nicht oder nicht allein beim Compliance-Beauftragten oder der Risikomanagem...