Prüfung des Compliance Management Systems

Unter dem Begriff Compliance ist die Einhaltung von Regeln zu verstehen, z.B. von rechtlich verbindlichen Regeln wie Gesetzen oder vertraglichen Pflichten aber auch von freiwillig getroffenen internen Regelungen oder Richtlinien (Qualitätsstandards, Prozessvorgaben etc.).

Unter einem Compliance Management System sind die auf der Grundlage festgelegter Compliance-Ziele eingeführten Grundsätze und Maßnahmen eines Unternehmens zu verstehen, die auf die Sicherstellung eines regelkonformen Verhaltens der gesetzlichen Vertreter und der Mitarbeiter des Unternehmens sowie ggf. von Dritten abzielen.

Ein Compliance Management System (CMS) kann sich hierbei auf abgegrenzte Teilbereiche beziehen, z.B. auf bestimmte Geschäftsbereiche, auf operative Prozesse (z.B. den Einkauf, den Vetrieb) oder auf bestimmte Rechtsgebiete (z.B. Kartellrecht, Markenrecht, Lebensmittelrecht etc.).

Die Verantwortung für Gestaltung, Umsetzung und Wirksamkeit des CMS liegt bei den gesetzlichen Vertretern des Unternehmens. Diese Verantwortung umfasst auch die Dokumentation des CMS im Rahmen einer CMS-Beschreibung, um eine konsistente Anwendung und personenunabhängige Funktion des Systems im Zeitablauf zu ermöglichen sowie ggf. die Bestellung eines Compliance-Beauftragten.

Ziel einer CMS-Prüfung ist es, dem Prüfer anhand der festgelegten Kriterien eine Aussage mit hinreichender Sicherheit darüber zu ermöglichen, ob

• die CMS-Beschreibung auf sämtliche Grundelemente eines CMS eingeht und ob diese zutreffend dargestellt sind (Auftragstyp 1, Prüfung der CMS-Beschreibung) oder
• zusätzlich: ob die in der CMS-Beschreibung dargestellten Grundsätze und Maßnahmen geeignet sind, Risiken für wesentliche Regelverstöße mit hinreichender Sicherheit rechtzeitig zu erkennen und/oder Verstöße zu verhindern und ob die Grundsätze und Maßnahmen zu einem bestimmten Zeitpunkt implementiert sind (Auftragstyp 2, Prüfung auf CMS-Eignung und Existenz), oder
• zusätzlich: ob die Grundsätze und Maßnahmen während eines bestimmten Zeitraums wirksam waren (Auftragstyp 3, Prüfung auf Wirksamkeit mit Zeitraumbescheinigung).

Über das Ergebnis der Prüfung erhält die geprüfte Organisation neben einem Compliance-Prüfungsbericht eine Bescheinigung gem. IDW EPS 980. Das Testat fasst das Prüfungsurteil zusammen. Soweit das Compliance Management System der geprüften Organisation einem anerkannten Rahmenwerk folgt, nimmt das Zertifikat auf dessen Einhaltung Bezug.

Beispiele anerkannter, Compliance-orientierter Rahmenwerke:

Nähere Informationen zu diesen Rahmenwerken können bei der Kanzlei Lang angefordert werden.

• BME-Verhaltensrichtlinie Code of Conduct (Bundesverband für Materialwirtschaft, Einkauf und Logistik e.V.)
• Geschäftsgrundsätze für die Bekämpfung von Korruption (Transparency International)
• Unternehmensweites Risikomanagement - Übergreifendes Rahmenwerk (COSO II)
• OECD Grundsätze der Corporate Governance
• Pflichtenheft zum Compliance Management in der Immobilienwirtschaft (Initiative Corporate Gover-
  nance der deutschen Immobilienwirtschaft e.V.)
• Grundsätze ordnungsmäßiger Compliance (Österreichische Finanzmarktaufsicht)
• United States Federal Sentencing Guidelines
• Principles for Countering Bribery (PACI)
• OFT Guide for Compliance with Competition Law (OFT)
• Korruption bekämpfen – Ein ICC-Verhaltenskodex für die Wirtschaft (ICC)
• OECD Guidelines for Multinational Enterprises
• Foundation Guidelines “Red Book” (OCEG)
• Australian Standard on Compliance Programs (AS 3806-2006)