R&W Abo Buch Datenbank Veranstaltungen Betriebs-Berater
Logo ruw-online
Logo ruw-online
Suchmodus: genau  
 
 
CNL 2024, 4
Jüttner 

Kolumne: Spielräume erkennen

Abbildung 4

Markus Jüttner ist Rechtsanwalt und Partner des Fachbereichs Forensic & Integrity Services, Ernst & Young GmbH. Er berät Unternehmen in Fragen der Compliance, der Kultur und der Integrität. markus.juettner@de.ey.com

Compliance-Management-Haufen oder Compliance-Management-System?

In unserer Community hat sich der Begriff des sog. „Compliance-Management-System“ (CMS) etabliert. Er ist inzwischen auch in der Gerichts- und Behördenpraxis angekommen: So wird er beispielsweise vom OLG Nürnberg verwendet (Urt. 30.3.2022 – 12 U 1520/19); der BGH spricht bereits seit 2017 in seiner sog. Panzerhaubitzen-Entscheidung von „Compliance System“ wie auch das LG München I in seiner sog. „Neubürger-Entscheidung“ aus dem Jahr 2013; das BKArtA arbeitet mit dem Begriff des „Compliance-Management-System“ (im Dokument zur Selbstreinigung), wie auch das BAFA, das aber nicht zwischen einem CMS und Compliance-Programm zu unterscheiden scheint (im Dokument zur firmeneigenen Exportkontrolle). Aber auch insbesondere die nationalen und internationalen Standards wie der IDW PS 980 oder ISO 37301, 37001 benutzen den Begriff des Compliance- bzw. Anti-Korruptions-Management-Systems. Daneben findet der System-Begriff auch Verwendung, wenn von „Hinweisgeberschutzsystem“, „Risikomanagementsystem“ (RMS) oder „internem Kontrollsystem“ (IKS) gesprochen wird (vgl. § 4 Abs. 4 LkSG, § 91 Abs. 3 AktG, DCGK Grundsatz 4).

Trotz der weiten Verbreitung wird der Begriff des „Systems“ überraschenderweise kaum näher spezifiziert. Was ist in diesem Zusammenhang eigentlich ein System, was zeichnet es im Gegensatz zu etwa einem Programm oder gar einem Haufen aus?

Eine Orientierung bietet der IDW PS 980. Dass dieser kein gesetzlicher Standard ist, schadet nicht, im Gegenteil, denn die vorbenannten Begriffe des IKS, RMS oder des CMS entstammen der Betriebswirtschaft; zur begrifflichen Auslegung ist es daher naheliegend, auf betriebswirtschaftliche Standards wie den IDW zurückzugreifen. Dieser definiert ein Compliance-Management-System als „die auf der Grundlage der von den gesetzlichen Vertretern festgelegten Ziele eingeführten Regelungen eines Unternehmens, die auf ein regelkonformes Verhalten der gesetzlichen Vertreter und der Mitarbeiter des Unternehmens sowie ggf. von Dritten abzielen, d.h. auf die Einhaltung bestimmter Regeln und damit auf die Verhinderung von wesentlichen Verstößen (Regelverstöße) […]“.

Zwar wird der System-Begriff als solches nicht erklärt, aber in der IDW-Logik kann eine Abgrenzung zu dem ebenfalls vielfach im Diskurs parallel verwendeten Terminus des „Compliance-Programms“ stattfinden: Nach dem IDW PS 980 besteht ein CMS aus sieben Grundelementen; das Compliance-Programm ist eines dieser Grundelemente neben den Elementen Compliance-Kultur, Compliance-Organisation, Compliance-Risiken usw. und damit (lediglich) Teil des umfassenderen CMS. Ein Unternehmen hat somit idealiter am Ende ein CMS mit mehreren Compliance-Programmen implementiert, wenn es mehrere spezifische Compliance-Risiken mitigieren möchte. Ein CMS zeichnet sich also dadurch aus, dass es aus

  1. mehreren Elementen, d.h. Grundsätzen, Verfahren und Maßnahmen, besteht und

  2. diese in einer Wechselwirkung miteinander stehen (vgl. auch IDW PS 980 Rz. 27).

Letzteres ist entscheidend für das Vorliegen eines Systems, gerade auch für ein CMS. Denn ein „System“ lässt sich als Ganzheit definieren, das aus miteinander verknüpften Teilen besteht. Zwischen den Einzelteilen muss also eine gewisse Beziehung bestehen. Nur dann, wenn die Teile in eine Wechselbeziehung treten, kann man von System sprechen, ansonsten hat man es mit einem Haufen zu tun. „Ein Haufen Puzzlesteine ist kein vollständiges Bild. Ein Haufen von Zahnrädern ist keine Uhr. […] Der Übergang von Haufen zu Systemen erfolgt, indem Struktur und Interaktion der Bestandteile hinzukommen.“ (Beetz, 2016)

Nun zeigen aber viele Compliance-Fälle trotz implementierter Compliance-Maßnahmen, dass es in den betroffenen Organisationen an einer Verknüpfung, Abstimmung und Strukturierung der einzelnen Compliance-Elemente fehlt. So beschreibt Snell seine negative Compliance-Erfahrung wie folgt: „When compliance fails, it is often because all of the elements of a compliance program were not coordinated […]. What concerns me about people who say they have compliance covered is that they are usually looking at it from a 1/7th perspective. They have Audit covered or they have Education covered or they have Risk covered, etc. When a failure occurs, they inevitably say someone else had the piece that failed.“

Für eine wirksame Compliance ist daher die einleitend implizierte Frage durchaus ernst gemeint. Haben Organisationen ein Compliance-Management-System oder (lediglich) einen Compliance-Management-Haufen installiert? So bildet ein Haufen von Einzelteilen noch kein System, so wenig wie ein Haufen Puzzle noch kein Bild ergibt – auch wenn man noch weitere Puzzleteile auf den Haufen legt. Erst die Verknüpfung, das aufeinander Abstimmen der einzelnen Elemente ergibt ein Ganzes. Dieses ist dann das CMS, das erforderlich ist, um erfolgreich Fehlverhalten zu verhindern, aufzudecken und abzustellen. Die sich aufdrängende Folgefrage, wie „man denn erfolgreich puzzelt“ bzw. die einzelnen Compliance-Maßnahmen miteinander abstimmt, synchronisiert, orchestriert, vertaktet, wird in der nächsten Kolumne skizziert.

Markus Jüttner

Abbildung 5

Spielräume erkennen: Ein Haufen Teile ergibt noch kein Bild – auch Compliance-Maßnahmen brauchen Verknüpfung, Abstimmung und Strukturierung.

 
stats