LITMIR.BIZ

Скачать книгу

und wirksam angesehen wird.[116] Aufgrund der in ihr enthaltenen Aussagen über das CMS, welche wiederum Gegenstand einer CMS-Prüfung gem. IDW PS 980 sind, ist die CMS-Beschreibung die Voraussetzung und Basis für eine Prüfung des CMS gem. IDW PS 980.[117]

3. Sollkonzept CMS gem. ISO 19600: Compliance management systems – Guidelines

a) Hintergrund

      89

Der im Dezember 2014 veröffentlichte ISO-Standard 19600 stellt aufgrund der multinationalen Zusammensetzung des Standardsetzers ISO das erste internationale Rahmenwerk für Compliance Management Systeme dar. Ziel des ISO 19600 ist es, sämtlichen Arten von Organisationen als Benchmark bei der Entwicklung, Implementierung, Aufrechterhaltung und Verbesserung von Compliance Management Systemen zu dienen. Das Fundament des Standards bilden die Prinzipien guter Governance: Verhältnismäßigkeit, Transparenz und Nachhaltigkeit. Maßgeblich für den Grad der Anwendung des Standards ist die Größe, Struktur, Art und Komplexität der jeweiligen Organisation.[118]

b) Grundlagen bei der Implementierung eines Compliance Management Systems

      90

Erster Schritt im Rahmen der Implementierung eines CMS in einer Organisation ist die Bestimmung des Umfangs und des Anwendungsbereiches des CMS. Zu diesem Zweck sind zunächst die internen und externen Compliance-Themen und Risiken sowie die betroffenen Interessengruppen zu identifizieren. Bei der Analyse der internen Compliance-Themen sind insbesondere interne Vorschriften, Prozesse, Verfahren, Ressourcen sowie die Geschäftsstrategie zu berücksichtigen. Bei der Analyse der externen Compliance-Themen sollten regulatorische Vorschriften, Gesetze, soziale und kulturelle Aspekte sowie die wirtschaftlichen Rahmenbedingungen beachtet werden. Auf Basis der aus der Analyse gewonnenen Erkenntnisse sind sodann die Grenzen und der Geltungsbereich des CMS festzulegen. Dabei sollte das CMS die Werte, Ziele, Strategie und Compliance-Risiken der jeweiligen Organisation wiederspiegeln. Wesentliche Governance-Prinzipien, die im CMS berücksichtigt werden sollten, sind der direkte Zugang der Compliance-Funktion zum Leitungsorgan, die Unabhängigkeit der Compliance-Funktion sowie die Ausstattung der Compliance-Funktion mit angemessenen Kompetenzen und ausreichenden Ressourcen.[119]

      91

Aufbauend auf der Festlegung von Umfang und Anwendungsbereich des CMS hat das Management eine dem Zweck der Organisation angemessene Compliance-Richtlinie einzuführen, die ein geeignetes Rahmenwerk für die Bestimmung der Compliance-Ziele darstellen soll. Die Compliance-Richtlinie soll dazu dienen, wesentliche Eigenschaften des CMS, wie z.B. der Umfang des CMS, der Implementierungsgrad in operative Prozesse und Verfahren, der Grad der Unabhängigkeit der Compliance-Funktion, die Verantwortlichkeiten in Bezug auf die Steuerung und Berichterstattung von Compliance-Sachverhalten oder die Konsequenzen bei Regelverstößen, festzulegen und zu dokumentieren. Die Entwicklung der Richtlinie sollte unter Berücksichtigung der Besonderheiten der jeweiligen Organisation, wie z.B. spezifische internationale, regionale oder lokale Verpflichtungen, die Strategie, Werte und Ziele der Organisation oder die Struktur und das Governance-Rahmenwerk der Organisation, erfolgen. Wesentliche Eigenschaften der Compliance-Richtlinie sollten zudem ihre allgemeine Verständlichkeit, die schriftliche Dokumentation und die Verfügbarkeit für alle Mitarbeiter sein. Die Kommunikation der Richtlinie innerhalb der Organisation und ihre fortwährende Aktualisierung sind für Ihre Wirksamkeit von zentraler Bedeutung. Da die Compliance-Richtlinie als zentrales Dokument die übergeordneten Prinzipien und Zielsetzungen des CMS enthält, sollte sie durch weitere Dokumente, wie z.B. operative Richtlinien oder Verfahrens- und Prozessanweisungen, ergänzt werden.[120]

c) Handlungsschritte für die Ersteinführung sowie die Aufrechterhaltung eines bestehenden CMS

      92

Das Compliance-Kommitment des Top-Managements der Organisation, der sog. „tone at the top“ ist die Basis für sämtliche Bereiche und Aktivitäten des CMS. Insbesondere für die Akzeptanz und Wirksamkeit des CMS ist die Vorbildfunktion des Top-Managements maßgebend. Dabei muss das Top-Management insbesondere die Werte der Organisation vorgeben („tone from the top“) und zugleich vorleben („tone at the top“). Daneben soll das Top-Management die Etablierung der Compliance-Richtlinie und der Compliance-Ziele sowie deren Konsistenz zu den Werten, Zielen und der Strategie der Organisation sicherstellen. Zudem soll das Top-Management die Entwicklung von Richtlinien, Verfahren und Prozessen zur Erreichung der Compliance-Ziele gewährleisten. Des Weiteren trägt das Top-Management die Verantwortung für eine Vielzahl weiterer Aufgaben im Rahmen des CMS, wie z.B. die Bereitstellung ausreichender Ressourcen sowie die Förderung eines stetigen Verbesserungsprozesses.[121]

      93

Grundvoraussetzungen für ein wirksames Compliance Management sind die aktive Teilnahme und die Überwachungstätigkeit des Top-Managements. Die Verantwortung des täglichen Compliance Managements sollte – wie von vielen Organisationen in der Praxis umgesetzt – auf eine bestimmte Person, den sog. Compliance Officer (Compliance-Beauftragter), übertragen werden. Alternativ kann auch ein funktionsübergreifender Compliance-Ausschuss etabliert werden, um das Compliance Management innerhalb der Organisation zu organisieren. Neben dem Top-Management und dem Compliance Officer kommt den Managern der unterschiedlichen Ebenen der Organisation eine bedeutende Verantwortung und Rolle für das CMS innerhalb ihres jeweiligen Verantwortungsbereiches zu. Daher sollten sie mit positivem Verhalten vorangehen, die primär Compliance-Verantwortlichen unterstützen sowie innerhalb ihres Bereiches mögliche Compliance-Risiken identifizieren und adressieren. Daneben sollten sie Mitarbeiter für Compliance-Themen sensibilisieren, schulen sowie motivieren, Compliance-relevante Informationen oder Bedenken zu kommunizieren.[122]

      94

Die Compliance-Funktion ist in Zusammenarbeit mit der Unternehmensleitung für das CMS verantwortlich. Sofern keine eigenständige Compliance-Stelle geschaffen wird, ist die Compliance-Funktion einer bereits bestehenden Position zuzuweisen. Der konkrete Aufgabenbereich der Compliance-Funktion umfasst u.a. die Identifizierung und Analyse von Compliance-Verpflichtungen/Risiken, die Ableitung eines Compliance-Programms (Richtlinie, Verfahren und Prozesse), die Organisation von Compliance-Schulungen, die Entwicklung und Implementierung eines Compliance Reporting, die Erstellung einer Compliance-Dokumentation, die Etablierung von Informationssystemen sowie die Steuerung von Compliance-Risiken. Bei der Besetzung der Compliance-Funktion ist insbesondere zu beachten, dass keine Interessenkonflikte bestehen. Zudem sollte die Person über die notwendige Integrität, ein Kommitment zu Compliance, die erforderliche Kompetenz, Ansehen sowie Durchsetzungs- und Kommunikationsfähigkeiten verfügen.[123]

      95

Von zentraler Bedeutung innerhalb des CMS ist die Etablierung von Prozessen zur Identifikation und Bewertung der Compliance-Verpflichtungen und Compliance-Risiken. Dabei sind zunächst die für die Organisation relevanten Verpflichtungen (z.B. Gesetze, Rechtsprechung oder freiwillige Verpflichtungen) und deren Auswirkungen für die Aktivitäten, Produkte und Dienstleistungen der Organisation systematisch zu identifizieren sowie in angemessener Weise in Abhängigkeit von der Größe, Komplexität und Struktur der jeweiligen Organisation zu dokumentieren. Um eine kontinuierliche Gewährleistung guter Compliance zu erreichen, sollte ein Change Management-Prozess etabliert werden. Das bedeutet, dass Prozesse zur Identifikation von Änderungen der Compliance-Verpflichtungen und der daraus resultierenden Auswirkungen zu implementieren sind, um eine entsprechende Anpassung des Compliance-Management Systems sicherzustellen. Als solche Prozesse bzw. Instrumente zur Identifizierung von Änderungen des rechtlichen Umfelds und damit ggf. der organisationsspezifischen Compliance-Verpflichtungen können z.B. die regelmäßige Information bei Regulierungsbehörden (z.B. durch Registrierung für Informations-E-Mails, regelmäßige Beobachtung der Internetseiten oder persönliche Treffen), die Mitgliedschaft in Berufsverbänden oder die Teilnahme an Branchentreffen und Seminaren dienen.[124]

      96

Auf Basis der Identifikation der organisationsspezifischen Compliance-Verpflichtungen soll

Скачать книгу