Wie in Teil 1 der Serie erläutert, stellt Compliance nach überwiegender Ansicht die Gesamtheit aller Maßnahmen dar, die dazu dienen, das rechtmäßige Verhalten der Unternehmen zu gewährleisten. Klarheit besteht zudem, dass eine Pflicht zur Einrichtung eines Compliance-Management-Systems (CMS) zwar nicht für jedes Unternehmen existiert, die Einführung aber zumindest für alle sinnvoll ist. Unklar ist dann jedoch, ob sich aus dieser Pflicht auch ein konkreter Pflichtenkatalog ableiten lässt.
Ein solch pauschaler Pflichtenkatalog existiert nicht und wäre auch abzulehnen.
Die Entwicklung eines CMS hat stets unternehmensbezogen zu erfolgen, da eine Vielzahl von unternehmensindividuellen Faktoren zu beachten sind. Nur so lassen sich die relevanten Pflichten anhand des konkreten Unternehmens extrahieren, um diese spezifische Besonderheiten im CMS abzubilden. Neben den unternehmensspezifischen Besonderheiten sind Kernelemente des CMS oft vergleichbar. Hierbei handelt es sich um präventive und repressive Maßnahmen, wie:
- die Ermittlung bei Verdachtsfällen,
- Weiterleitung von Informationen über Fehlverhalten und
- Einleitung von Regressmaßnahmen bei nachgewiesenem Fehlverhalten.
Zu den spezifischen Besonderheiten zählt die Ermittlung der Unternehmensbereiche, die besonderen Risiken unterliegen. Auch sind mögliche Risikofelder zu bestimmen und Schwerpunkte zu setzen. Typische Risikofelder können z. B. Arbeitsrecht, Datenschutz, Umweltschutz, Strafrecht und Steuern sein.
Die Fokussierung des CMS auf besonders relevante Unternehmensbereiche und mögliche Risikofelder ist nicht nur aus Kostengründen oftmals der zweckmäßigere Weg, sondern hilft auch, sich auf das Wesentliche zu konzentrieren, um sich nicht in einer Vielzahl von Regelungen zu verstricken.
Sie möchten mehr Fachbeiträge unserer Experten lesen? Dann schauen Sie auch bei unseren Veröffentlichungen in internen und externen Fachmedien vorbei. Mehr erfahren!