Compliance Officer - CO

Grundsätzliches:

Es gibt 3 Einsatz- und Tätigkeitsbereiche - somit 3 voneinander getrennt tätige Compliance Officer im Unternehmen - um ein ganzheitliches Compliance System rechtssicher und konform einzuführen, umzusetzen und aufrecht erhalten zu können. Die sich abstimmen, ergänzen, austauschen unter der Leitung eines Chief Compliance Officer oder einzeln mit deren bestellten Aufgaben und Pflichten.

1. CO Bereich: Finanzen/Buchhaltung/Steuern/Gesellschaftrecht    

2. CO Bereich: Recht(-skataster)/Vertragswesen/Anti-Korruption/Verhalten/Richtlinien   

3. CO Bereich: Operativ/Prozesse/betriebliche Belange/Produkte/Dienstleistungen

Die ersten 2 Compliance Bereiche werden von jedem Unternehmen bereits heute durch interne oder externe Compliance Officer besetzt oder per Beauftragung extern erfüllt, wie folgt:

1. Finanzen/Steuern/Gesellschaftrecht: Wirtschaftsprüfe, Steuerberater/in i.V.m. Notaren

2. Recht/Vertragswesen/Anti-Korruption/Verhalten/Richtlinien: Rechtsanwälte/-innen

3. Operativ/Prozesse/betriebliche Belange/Produkte/Dienstlesitungen: Aufgrund der Organisations-, Betreiber- und Unternehmerpflichten, zu bestellende gesetzlichen Beauftragten, Sachverständige, Spezialisten oder Generalisten nach der Rechtsprechung zum Compliance und Organisationsrecht Urteil vom LG München I von 2013, der Einsatz eines 3. Compliance Officers Operativ seither dringend anzuraten und notwendig macht, da die operativen Prozesse bisher mit deren enormen Anforderungen und hohes Risiko bisher vernachlässigt wurden und unberücksichtigt blieben. Sowie diese im Regelfall auf die operativen Linenverantwortlichen pauschal übertragen wurden, ohne detaillierte Delegation der Aufgaben und Pflichten, Berichtswesen und ohne einer ausreichenden Befähigung. 

Hier sollten die Unternehmen zukünftig ihre/n 3. Compliance Officer Operativ bestellen als unabhängigen, befähigten und neutralen Sachverständige, Prozessmanager, Sachkundigen oder als ganzheitliche Generalisten mit deren Verständnis der Abhängigkeiten und Wechselwirkungen der Prozesse zu deren betrieblichen Belange, sowie der hiermit verbundenen eigenen, rechtlichen, behördlichen, bindenden und sonstigen Anforderungen ihrer Produkte und Dienstleistuhngen. Denn alleine das mittlerweile umfangreiche gesetzliche Beauftragtenwesen (Betreiber- und die der Unternehmerpflichten) der KMU und Industrie, mit deren vielfältigen Sach- und Fachbereichen, stellen den Hauptanteil der zum Teil strategischen und vor allem die der operativen Anforderungen und Risiken und Chancen eines Compliance Managementsystem eines Verbandes oder Unternehemens mit deren Organisationsstruktur hierzu dar.

Sowie der Erkenntnis unserer ca. 15 jährigen generalistischen Erfahrung, dass bei 90% der Vorstände, der Geschäftsführer oder die der Inhaber bei deren Bestellung von gesetzlichen Beauftragten für SGA, Umwelt oder weiteren, diese pauschal als Beaftragten nach einzelnen Auszügen von Gesetzen oder Vorschriften pauschal bestellen, ohne detaillierten Angaben der tatsächlichen und widerspruchsfereien Aufgaben und Pflichten, sowie die der Festlegung der Berichtspflichten mit deren Inhalt und Form. Sodass das tatsächliche Risiko hier den Bestellern nicht bewusst noch bekannt sind, welche sie tatsächlich eingehen, bezogen auf den Umstand, ob tatsächlich alle Aufgaben und Pflichten hierzu gegenüber dem Beauftragten bestellt wurden, und welche nicht.

Wie auch der verbundenen Feststellung, dass ca. 80% der bestellten gestzlichen Beauftragten, wie die der gesetzlichen Fachkraft für Arbeitssicherheit (Sifa), Betriebsarzt (BA), eines Brandschutzbeauftragter (BSB), oder die der Umweltbeauftragten (Abfall, Immision, Störfall, Gewässer, Strahlenschutz ...) zu den Anforderungen der betrieblichen Belange der Unternehmen mit deren Organisationsstrukturen und Prozesslandschaft mit deren Produkte und Dienstleistungen nicht ausreichend befähigt sind, noch ausreichend die Risiken (Risikomanagement) ermittelt und bewertet, die vorhandenen Gefärdungen in der Gefährdungsbeurteilung enthalten, noch der erforderlichen Schutzmaßnahmen nach Stand der Technik vorgeschlagen und festgelegt. Sowie hieraus deren Arbeitsanweisungen und/oder deren regelmäßigen und anlassbezogenen Schulungs- und Unterweisungsbedarf abgeleitet. 

Zum anderen, besteht teilweise die fehlende Beratung, Aufklärung und Mitwirkungspflicht der bestellten gesetzlichen Beauftragten mit ihrem Wissens- und Informationsvorsprung gegenüber des Bestellers, diesen bereits vor oder bei der Bestellung zu beraten und aufzuklären, welche Anforderugnen bestehen und dies in Aufgaben und Pflichten zu den betrieblichen Belange darstellen. Sodass der besteller befähigt wurde, tatsächlich zu entscheiden welche diese er übertragen und bestellen wird, und welche dieser Betreiber- und  Unternehmerpflicht beim Besteller hierzu verbleibt. Denn nach deren Unterschrift der Parteien, tritt die gesetzliche Weisungsfreiheit des gesetzlichen Beaftragten in Kraft.

Ebenfalls wird im Regelfall der Besteller nicht ausreichend befähigt, noch angemessen von den gesetzlichen Beauftragten hierzu beraten und aufgeklärt (wird befähigt), zu welchen betrieblichen Belangen und Fachbereichen dieser zur Zusammenarbeit mit anderen gesetzlichen Beauftragten verpflichtet ist, wie es in den geltenden Gesetzen, Vorschriften und Rechtsnormen mit deren Anforderungen definiert ist, um dies zu erfüllen. 

Sodass bei den meisten Organisationen, Verbänden und Unternehmen noch Risiken unbekannt oder nicht ausreichend bewusst in deren bestehenden Organisationsstruktur (Linienverantwortlichen) und ihrer bestellten Beauftragten (Stabsstellen), sowie deren operativen Prozessen mit deren unterstellten Beschäftigten, Anlagen, Arbeitsmittel und deren zu erbringenden Produkte und Dienstleistungen, ohne diese tatsächlich bewusst zu sein, welche bestehen. Dies liegt oft daran, dass es kein operatives Risikomamnagement von den Linienverantwortlichen eingefordeert, noch von den strategsichen Verantwortlichen eingeführt oder als notwendig erachtet. 

Sodass den strategischen und operativen Verantwortlichen, ihre tatsächliche Risiken ihrer Organisations- und Untenrhemerpflichten mit deren Auswirkungen nicht übergreifend ihrer Prozesslandkarte und Organisationsstruktur nicht umfassend bewusst, noch transparent ermittelt und bewertet wird.

Sowie den Umstand, dass auch die gesetzlichen Beauftragten (die im Rechtssinne, die eines "Dienst höheren Art" oder eines "rechtlichen Garanten" nach Rechtsprechung in ihrem Sach- und Fachgebiet hierzu ebenfalls die tatsächlichen Gefährdungen und Risiken ermittlen, benennen, bewerten und berichten müssen).

Die auch im Regelfall, als sogenannte Stabsstellen unterhalb der Obersten Leitung unterstellt sind, sowie die operativen Führungskräfte befahigt und hierzu bestellt wurden. Wie es auch noch die freiwillige Beaftragten, nach einer freien Definitionen bestellt werden können, was die meisten Organisationen und Unternehmen ebenfalls zu bestimmten Fach- und Themenfelder, oder bei ihren eingeführten Managementsystemen über akrreditierten Zertifizierungsstellen (wie: QMB, UMB, SGA-B, EnMB hierzu bestellen.

Anforderungen an einen Compliance Officer - CO

„Compliance“ - Rechtskonformität lässt sich damit wie folgt übersetzen:

C = Competence; Fachkompetenz in Produkten, Verfahren/Prozessen sowie im für das Unternehmen

       geltenden regulatorischen Umfeld.

O = Organisation; die Compliance Funktion ist unabhängig und dauerhaft eingerichtet und soll sich

       wirksam durchsetzen können.

M = Management of compliance risks; zur Vermeidung von Reputationsschäden und regulatorischen,

       strafrechtlichen sowie zivilrechtlichen Sanktionen sind Compliance Risiken im Rahmen des

       Interessenkonfliktmanagements adäquat zu managen.

P = Preventive; proaktives und präventives Vorgehen schützt das Unternehmen und seine

       Mitarbeiter vor Compliance-Verstößen.

L = Legitimacy; Compliance stellt stets auch die Frage des legitimen Vorgehens beim Verkauf von

       Produkten oder Anbieten von Dienstleistungen, auch wenn alles im Rahmen der rechtlichen

       Prüfung legal und damit zulässig wäre.

I = Internal control system; Compliance ist Teil des internen Kontrollsystems (IKS).

A = Advisory; Beratung ist wesentlicher Bestandteil der Compliance Funktion: Wer besser berät,

       muss weniger kontrollieren.

N = No tolerance; Verstöße werden nicht gebilligt und sind adäquat zu verfolgen.

C = Communication; durch Schulungen und Trainings sind Compliance-Inhalte und Compliance

       Kultur zu vermitteln. Der ständige Austausch mit den Geschäftsbereichen verbessert nach-

       haltig das Verständnis für Compliance und trägt zur Verbesserung der Compliance Kultur bei.

E = Environment; das regulatorische Umfeld ist ständig zu beobachten und risikobasiert im

       Unternehmen umzusetzen. Compliance soll die Umsetzung regulatorischer Vorgaben proaktiv

       und präventiv begleiten.

„Officer“ - Beauftragte/r lässt sich damit wie folgt übersetzen:

O = Outsourcing; bleibt in bestimmten Grenzen möglich, die Verantwortung des Chief Compliance

       Officers/ Compliance Beauftragten ist jedoch nicht teilbar; am Ende der Kette verbleibt die

       Gesamtverantwortung für Compliance bei der Unternehmensleitung des auslagernden

       Unternehmens.

F = Function; Compliance ist ein ganzheitlicher und funktionaler Ansatz; Ein Compliance-

       Beauftragter leitet seinen Compliance Bereich; die Compliance-Funktionen umfassen alle mit der

       Umsetzung von Compliance-Vorgaben betraute Mitarbeiter, auch Mitarbeiter in den

       Geschäftsbereichen.

F = Forecast – expext the unexpected; jeden Tag können neue Verfehlungen begangen oder

      entdeckt werden. Hierauf sollte man vorbereitet sein und flexibel reagieren können. „Ticking the

      boxes“ ist schon lange nicht mehr das Credo einer zeitgemäßen Compliance Funktion.

I = Investigation; Die Compliance Funktion sollte nicht als „interne Polizei“ wahrgenommen werden.

      Erfolgen allerdings interne Untersuchungen in Bezug auf Compliance-Verstöße, ist die

      Compliance-Funktion zwingend zu involvieren.

C = Consumer protection; Compliance schützt nicht nur das eigene Unternehmen vor Verstößen,

       sondern auch den Endkunden bzw. den Verbraucher in dem Sinne, dass dieser durch die

       angebotenen Produkte und Dienstleistungen nicht geschädigt wird.

E = Escalation; Compliance hat das Recht und die Pflicht, Verstöße zu Compliance relevanten

       Vorgaben zu berichten und zu eskalieren.

R = Risk based approach; risikobasierter Ansatz der Beratungs- und insbesondere der

       Kontrollhandlungen basierend auf einem auf einer Risikoanalyse aufgebauten

       Überwachungsplan.

Leitlinien für ein Compliance System

• Entsprechend der wachsenden Bedeutung und rechtlichen Anforderungen an das Compliance Management in Unternehmen steigen auch der Bedarf an einer weiteren Konkretisierung der Compliance-Funktion sowie die Notwendigkeit für ein genaues Anforderungs- und Kompetenzprofil für Compliance Officer. Die hierfür erforderliche Ausbildung für Mitarbeiter mit Compliance-Aufgaben sollte gemäß dem vorhandenen Risiko- und Geschäftsprofil des jeweiligen Unternehmens, für das sie tätig sind, erfolgen. Insbesondere sollten hierbei Kenntnisse über Kundenanforderungen, Organisationsstruktur, Prozesse und Wechselwirkungen mit deren betrieblichen Belange, Verfahrens- und Arbeitspraktiken, der Produkte und Dienstleistungen, sowie das rechtlich-regulatorische Umfeld und Stand der technik in dem sich das Unternehmen bewegt, hierzu vermittelt bzw. widerspruchsfrei mit deren Anforderungen zugewiesen werden.

• "Compliance ist Chefsache“, also eine originäre Pflicht der Unternehmensleitung. Sie muss im Rahmen ihrer Legalitäts- und Legalitätskontrollpflicht ein unternehmensadäquates und dauerhaftes Compliance-Management (idealer Weise als Compliance Managmenttsystem) sicherstellen.

• Zulässig und in der Praxis verbreitet ist die Delegation von Compliance-Aufgaben. Bei der Einführung und dauerhaften Implementierung von Compliance-Systemen haben „Chief Compliance Officer/ Compliance Beauftragte“ (im Sinne des Leiters einer Compliance-Stelle) sowie alle mit der Umsetzung von Compliance-Vorgaben betrauten Mitarbeiter („Compliance- Officer“) eine Schlüsselrolle.

• Der Chief Compliance Officer/ Compliance Beauftragte sollte unmittelbar dem Vorstand bzw. dem zuständigen Vorstandsmitglied oder der Geschäftleitung zugeordnet werden. Daraus folgt, dass er fachlich zwingend an den Vorstand bzw. das nach Ressortverteilung zuständige Vorstandsmitglied odr Geschäftsführer zu berichten hat. Dies vermeidet Interessenkonflikte in der Person des Chief Compliance Officers/ Compliance Beauftragten.

• Die Compliance Officer müssen zwingend Kenntnisse über die im eigenen Unternehmen vorhandenen Prozesse und Verfahren besitzen, ebenso wie zu den vorhandenen Produkten und angebotenen Dienstleistungen. Dies beinhaltet auch Kenntnisse der maßgeblichen hierzu vorhandenen compliance-relevanten regulatorischen Vorgaben oder strafrechtlich relevanten Normen.

• Die Wahrung der Unabhängigkeit des Chief Compliance Officers/Compliance Beauftragten erfordert auch eine Trennung der Compliance-Funktion von den operativen Geschäftseinheiten unter dem Aspekt strikter Trennung von Überwachenden und Überwachten. Zur Wahrung der finanziellen Unabhängigkeit der Compliance Officer ist ferner darauf zu achten, dass ihre Vergütung nicht in unmittelbarer Abhängigkeit vom Geschäftserfolg einzelner Geschäftsbereiche bemessen wird.

• Die Compliance-Funktion ist unter Wahrung der rechtlichen Vorgaben auslagerbar. Dabei kann zwischen Auslagerung einzelner Teilaspekte (Beratung, Monitoring, Schulung) oder auch der Auslagerung der gesamten Compliance Funktion (inklusive des Chief Compliance Officers/ Compliance Beauftragten) unterschieden werden. Die ultimative Verantwortung für Compliance verbleibt immer bei der jeweiligen Unternehmensleitung als Gesamtorgan.

• Der Chief Compliance Officer/ Compliance Beauftragte trägt dafür Sorge, dass im Unternehmen Prozesse und Verfahren im Einsatz sind, die darauf ausgerichtet sind, sicherzustellen, dass alle compliance-relevanten Vorgaben und Regularien eingehalten werden. Daher ist er in die D&OVersicherung des Unternehmens einzubeziehen und es ist eine gesonderte Vermögensschadenshaftplicht (dies ist typischerweise über eine D&O-Versicherung nicht abgedeckt) für dessen abzuschließen. Dadurch ist sichergestellt, dass eine Haftung für die Tätigkeit als Chief Compliance Officer/ Compliance Beauftragter nur für die vorsätzlich unterbliebene Verhinderung von Compliance-Verstößen bzw. das Nicht-Befolgen von eigenen Pflichten besteht.

• Entsprechend der Risikosteuerungsfunktion von Compliance sollten Compliance Officer die jeweiligen unternehmensspezifischen Risikopotenziale identifizieren sowie Lösungsvorschläge entwickeln und über den Chief Compliance Officer/ Compliance Beauftragten kommunizieren. Dazu gehören die Organisation einer unternehmensspezifischen Risikoanalyse relevanter Gefährdungspotenziale und Schwachstellen sowie die Erarbeitung von Vorschlägen zur Vermeidung bzw. Bewältigung von Compliance-Risiken.

• Zu den Kernaufgaben der Compliance Officer zählt ferner die umfassende Beratung von Unternehmensleitung und Mitarbeitern bezüglich der Beachtung relevanter Vorschriften und der Prävention von Compliance-Risiken.

• Die Vermeidung von Risiken und die Einhaltung von Normen erfordert die Organisation von Informationsflüssen. Der Chief Compliance Officer/ Compliance Beauftragte fungiert dabei als „Informationsschnittstelle“. Er sollte die Informationsverteilung an die betroffenen Personen und Abteilungen koordinieren, im Hinblick auf die Beachtung von „Chinese Walls“, Informationsbarrieren, Vertraulichkeitsbereichen und Interessenkonflikten.

• In unmittelbarem Zusammenhang mit seiner Tätigkeit als maßgeblicher Informationsvermittler stehen Kommunikations- und Schulungsaufgaben. Um eine Compliance Kultur nachhaltig zu verankern, müssen Compliance-Risiken und der Umgang mit diesen kontinuierlich kommuniziert werden, insbesondere durch regelmäßige Schulungen und Fortbildungsangebote für alle Mitarbeiter.

• Um sicherzustellen, dass die compliance-relevanten Vorgaben in allen Unternehmensbereichen eingehalten werden, müssen die Chief Compliance Officer/ Compliance Beauftragten auch Überwachungs- und Kontrollaufgaben wahrnehmen.