Inhalte
Compliance Management System (CMS)
Compliance Management System (CMS) gemäß IDW PS 980
Compliance-Kultur
Die Compliance-Kultur stellt die Grundlage für die Angemessenheit und Wirksamkeit des CMS dar. Sie wird vor allem geprägt durch die Grundeinstellungen und Verhaltensweisen des Managements sowie durch die Rolle des Aufsichtsorgans („tone at the top“). Die Compliance-Kultur beeinflusst die Bedeutung, welche die Mitarbeiter des Unternehmens der Beachtung von Regeln beimessen und damit die Bereitschaft zu regelkonformem Verhalten.
Compliance-Ziele
Die gesetzlichen Vertreter legen auf der Grundlage der allgemeinen Unternehmensziele und einer Analyse und Gewichtung der für das Unternehmen bedeutsamen Regeln die Ziele fest, die mit dem CMS erreicht werden sollen. Dies umfasst insb. die Festlegung der relevanten Teilbereiche und der in den einzelnen Teilbereichen einzuhaltenden Regeln. Die Compliance-Ziele stellen die Grundlage für die Beurteilung von Compliance-Risiken dar.
Compliance-Risiken
Unter Berücksichtigung der Compliance-Ziele werden die Compliance-Risiken festgestellt, die Verstöße gegen einzuhaltende Regeln und damit eine Verfehlung der Compliance-Ziele zur Folge haben können. Hierzu wird ein Verfahren zur systematischen Risikoerkennung und -berichterstattung eingeführt. Die festgestellten Risiken werden im Hinblick auf Eintrittswahrscheinlichkeit und mögliche Folgen analysiert.
Compliance-Programm
Auf der Grundlage der Beurteilung der Compliance-Risiken werden Grundsätze und Maßnahmen eingeführt, die auf die Begrenzung der Compliance-Risiken und damit auf die Vermeidung von Compliance Verstößen ausgerichtet sind. Das Compliance-Programm umfasst auch die bei festgestellten Compliance-Verstößen zu ergreifenden Maßnahmen. Das Compliance-Programm wird zur Sicherstellung einer personenunabhängigen Funktion des CMS dokumentiert.
Compliance-Organisation
Das Management regelt die Rollen und Verantwortlichkeiten (Aufgaben) sowie Aufbau- und Ablauforganisation im CMS als integralen Bestandteil der Unternehmensorganisation und stellt die für ein wirksames CMS notwendigen Ressourcen zur Verfügung.
Compliance-Kommunikation
Die jeweils betroffenen Mitarbeiter und ggf. Dritte werden über das Compliance-Programm sowie die festgelegten Rollen und Verantwortlichkeiten informiert, damit sie ihre Aufgaben im CMS ausreichend verstehen und sachgerecht erfüllen können. Im Unternehmen wird festgelegt, wie Compliance-Risiken sowie Hinweise auf mögliche und festgestellte Regelverstöße an die zuständigen Stellen im Unternehmen (z.B. die gesetzlichen Vertreter und erforderlichenfalls das Aufsichtsorgan) berichtet werden.
Compliance-Überwachung und Verbesserung
Angemessenheit und Wirksamkeit des CMS werden in geeigneter Weise überwacht. Voraussetzung für die Überwachung ist eine ausreichende Dokumentation des CMS. Werden im Rahmen der Überwachung Schwachstellen im CMS bzw. Regelverstöße festgestellt, werden diese an das Management bzw. die hierfür bestimmte Stelle im Unternehmen berichtet. Die gesetzlichen Vertreter sorgen für die Durchsetzung des CMS, die Beseitigung der Mängel und die Verbesserung des Systems.