Compliance Officer - CO

Anforderungen an einen Compliance Officer - CO

„Compliance“ - Rechtstreue/Regelkonformität lässt sich damit wie folgt übersetzen:

C = Competence; Fachkompetenz in Produkten, Verfahren/Prozessen sowie im für das Unternehmen

geltenden regulatorischen Umfeld.

O = Organisation; die Compliance Funktion ist unabhängig und dauerhaft eingerichtet und soll sich

wirksam durchsetzen können.

M = Management of compliance risks; zur Vermeidung von Reputationsschäden und regulatorischen,

strafrechtlichen sowie zivilrechtlichen Sanktionen sind Compliance Risiken im Rahmen des

Interessenkonfliktmanagements adäquat zu managen.

P = Preventive; proaktives und präventives Vorgehen schützt das Unternehmen und seine

Mitarbeiter vor Compliance-Verstößen.

L = Legitimacy; Compliance stellt stets auch die Frage des legitimen Vorgehens beim Verkauf von

Produkten oder Anbieten von Dienstleistungen, auch wenn alles im Rahmen der rechtlichen

Prüfung legal und damit zulässig wäre.

I = Internal control system; Compliance ist Teil des internen Kontrollsystems (IKS).

A = Advisory; Beratung ist wesentlicher Bestandteil der Compliance Funktion: Wer besser berät,

muss weniger kontrollieren.

N = No tolerance; Verstöße werden nicht gebilligt und sind adäquat zu verfolgen.

C = Communication; durch Schulungen und Trainings sind Compliance-Inhalte und Compliance

Kultur zu vermitteln. Der ständige Austausch mit den Geschäftsbereichen verbessert nach-

haltig das Verständnis für Compliance und trägt zur Verbesserung der Compliance Kultur bei.

E = Environment; das regulatorische Umfeld ist ständig zu beobachten und risikobasiert im

Unternehmen umzusetzen. Compliance soll die Umsetzung regulatorischer Vorgaben proaktiv

und präventiv begleiten.

„Officer“ - Beauftragte/r lässt sich damit wie folgt übersetzen:

O = Outsourcing; bleibt in bestimmten Grenzen möglich, die Verantwortung des Chief Compliance

Officers/ Compliance Beauftragten ist jedoch nicht teilbar; am Ende der Kette verbleibt die

Gesamtverantwortung für Compliance bei der Unternehmensleitung des auslagernden

Unternehmens.

F = Function; Compliance ist ein ganzheitlicher und funktionaler Ansatz; Ein Compliance-

Beauftragter leitet seinen Compliance Bereich; die Compliance-Funktionen umfassen alle mit der

Umsetzung von Compliance-Vorgaben betraute Mitarbeiter, auch Mitarbeiter in den

Geschäftsbereichen.

F = Forecast – expext the unexpected; jeden Tag können neue Verfehlungen begangen oder

entdeckt werden. Hierauf sollte man vorbereitet sein und flexibel reagieren können. „Ticking the

boxes“ ist schon lange nicht mehr das Credo einer zeitgemäßen Compliance Funktion.

I = Investigation; Die Compliance Funktion sollte nicht als „interne Polizei“ wahrgenommen werden.

Erfolgen allerdings interne Untersuchungen in Bezug auf Compliance-Verstöße, ist die

Compliance-Funktion zwingend zu involvieren.

C = Consumer protection; Compliance schützt nicht nur das eigene Unternehmen vor Verstößen,

sondern auch den Endkunden bzw. den Verbraucher in dem Sinne, dass dieser durch die

angebotenen Produkte und Dienstleistungen nicht geschädigt wird.

E = Escalation; Compliance hat das Recht und die Pflicht, Verstöße zu Compliance relevanten

Vorgaben zu berichten und zu eskalieren.

R = Risk based approach; risikobasierter Ansatz der Beratungs- und insbesondere der

Kontrollhandlungen basierend auf einem auf einer Risikoanalyse aufgebauten

Überwachungsplan.

Grundsätzliches:

Es gibt 3 Einsatz- und Tätigkeitsbereiche - somit 3 voneinander getrennt tätige Compliance Officer im Unternehmen - um ein ganzheitliches Compliance System rechtssicher und konform einzuführen, umzusetzen und aufrechtzuerhalten.

1. CO Bereich: Finanzen/Buchhaltung/Steuern/Gesellschaftsrecht usw.  

2. CO Bereich: Recht/Vertragswesen/Verhalten/Richtlinien/Code of Conduct usw. 

3. CO Bereich: Operatives Compliance/Prozesse/Produkte/Dienstleistungen/Anlagen usw.

Die ersten 2 Compliance Bereiche werden von jedem Unternehmen bereits heute durch interne oder externe Compliance Officer besetzt oder per Beauftragung bestellt oder beauftragt, wie:

1. Finanzen/Steuern/Gesellschaftsrecht: Wirtschaftsprüfer, Steuerberater/in i.V.m. Notaren

2. Recht/Vertragswesen/Anti-Korruption/Code of Conduct/Richtlinien: Rechtsanwälte/-innen

3. Operative Prozesse/Produkte/Dienstleistungen: Generalisten

Der dritte und größte Compliance Bereich operativ wird aufgrund fehlendem Wissen vernachlässigt. 

Der zur Entlastung von Vorständen, Geschäftsführer, Werkleiter oder Verantwortlichen Personen mit deren zu verantwortlichen Organisations-, Betreiber- und Unternehmerpflichten es ratsam ist, den vorgenannten 3 Compliance Officer zu bestellen (Rechtsprechung), das zum ersten Compliance und Organisationsverschulden Urteil vom LG München I von 2013 hierzu geurteilt wurde.

Der Einsatz der 3 Compliance Officer ist seither jedem KMU Unternehmen und die der Industrie anzuraten.

Compliance ist die Regeltreue von Unternehmen, also die Einhaltung von Gesetzen, Richtlinien und freiwilligen Kodizes.

Die Verpflichtung eines jeden Unternehmens, laut geltender Rechtsprechung, wird wie folgt ausgelegt. Siehe unter anderem OLG Nürnberg, Endurteil vom 30.03.2022, Az. 12 U 1520 / 19, Rn. 110 ff. / 115 ff.:

Die Pflicht, für ein angemessenes und wirksames Compliance-, Risikomanagement und internes Kontrollsystem (incl. Frühwarnsystem) zu sorgen.

Die Organisationspflichten, wie die "Auswahl", der "Anweisung"und die der regelmäßigen und anlassbezogenen "Aufsicht"stellen die wichtigsten Aufgaben und Pflichten der Verantwortlichen Personen eines Unternehmens dar.

Das in der Natur der Sache liegt, da die meisten Besteller aufgrund unseres Bildungs- und Rechtssystem in Deutschland hierzu im Regelfall zu deren Organisations-, Betreiber- und Unternehmerpflichten nicht ausreichend befähigt wurden.

Desweiteren kommt hier erschwerend hinzu, dass die Besteller (Verantwortlichen) ihrer gesetzlichen Pflicht die der regelmäßigen und anlassbezogenen Aufsichtspflicht (Organisationspflichten) nicht ausreichend wahrnehmen und nachkommen können, um sich entlasten zu können.

Seit einigen Jahren werden von der KMU und die der Industrie hierzu Compliance Managementsysteme eingeführt, die über akkreditierte Zert-Gesellschaften zertifiziert und überwacht werden.

In der Regel, delegiert und bestellt die Geschäftsleitung hierzu Kümmerer an interne oder externe Beauftragten, wie z.B. die eines bestellten QMB, UMB, SGA-B, EnMB usw., wie auch die der internen Auditoren, oder weiteren befähigten Personen. Mit deren Auftrag und Pflicht, dass diese die hiermit verbundenen rechtlichen, behördlichen, bindenden und sonstigen Anforderungen stichprobenhaft zu prüfen, zu bewerten und zu berichten haben. 

Hierbei wird oft übersehen, dass es sich hier lediglich um ein Stichprobenverfahren handelt, und eben nicht um die Bewertung zur Einhaltung der bindenden Anforderungen (Compliance) der Organisation handelt.

Vielmehr haben die bestellten und unabhängigen internen Auditoren systemisch und stichprobenhaft zu auditieren, ob die Organisation auf Grundlage der ISO 37301 im Geltungsbereich deren Anforderungen implementiert wurde.

Compliance Officer sind Stabsstellen, die vor allem bei Compliance Managementsystem nach ISO 37301 von der obersten Leitung bestellt werden. Mit deren Aufgabe und Pflicht, die rechtlichen, öffentlich-rechtlichen, behördlichen und anderen Anforderungen (Compliance) regelmäßig und anlassbezogen deren Einhaltung in der Organisation zum Geltungsbereich abzuleiten und zu bewerten. 

Das vor allem über ein angemessenes internes Kontrollsystem (Frühwarnsystem) und übergreifendes Risikomanagement, von den Compliance Officer einzuführen ist. Mit deren Ziel, die verantwortlichen Personen der Organisation im Geltungsbereich zu entlasten.

Leitlinien für ein Compliance System 

(mit oder ohne ein CMS nach ISO 37301:2021)

• Entsprechend der wachsenden Bedeutung und rechtlichen Anforderungen an das Compliance Management in Unternehmen steigen auch der Bedarf an einer weiteren Konkretisierung der Compliance-Funktion sowie die Notwendigkeit für ein genaues Anforderungs- und Kompetenzprofil für Compliance Officer. Die hierfür erforderliche Ausbildung für Mitarbeiter mit Compliance-Aufgaben sollte gemäß dem vorhandenen Risiko- und Geschäftsprofil des jeweiligen Unternehmens, für das sie tätig sind, erfolgen. Insbesondere sollten hierbei Kenntnisse über Kundenanforderungen, Organisationsstruktur, Prozesse und Wechselwirkungen mit deren betrieblichen Belange, Verfahrens- und Arbeitspraktiken, der Produkte und Dienstleistungen, sowie das rechtlich-regulatorische Umfeld und Stand der Technik in dem sich das Unternehmen bewegt, hierzu vermittelt bzw. widerspruchsfrei mit deren Anforderungen zugewiesen und bewertet werden.

• "Compliance ist Chefsache“, also eine originäre Pflicht der Unternehmensleitung. Sie muss im Rahmen ihrer Legalitäts- und Legalitätskontrollpflicht ein unternehmensadäquates und dauerhaftes Compliance-Management (idealer Weise als Compliance Managementsystem) sicherstellen.

• Zulässig und in der Praxis verbreitet ist die Delegation von Compliance-Aufgaben. Bei der Einführung und dauerhaften Implementierung von Compliance-Systemen haben „Chief Compliance Officer/ Compliance Beauftragte“ (im Sinne des Leiters einer Compliance-Stelle) sowie alle mit der Umsetzung von Compliance-Vorgaben betrauten Mitarbeiter („Compliance- Officer“) eine Schlüsselrolle.

• Der Chief Compliance Officer/ Compliance Beauftragte sollte unmittelbar dem Vorstand bzw. dem zuständigen Vorstandsmitglied oder der Geschäftsleitung zugeordnet werden. Daraus folgt, dass er fachlich zwingend an den Vorstand bzw. das nach Ressortverteilung zuständige Vorstandsmitglied oder Geschäftsführer zu berichten hat. Dies vermeidet Interessenkonflikte in der Person des Chief Compliance Officer/ Compliance Beauftragten.

• Die Compliance Officer müssen zwingend Kenntnisse über die im eigenen Unternehmen vorhandenen Prozesse und Verfahren besitzen, ebenso wie zu den vorhandenen Produkten und angebotenen Dienstleistungen. Dies beinhaltet auch Kenntnisse der maßgeblichen hierzu vorhandenen compliance-relevanten regulatorischen Vorgaben oder strafrechtlich relevanten Normen.

• Die Wahrung der Unabhängigkeit des Chief Compliance Officer/Compliance Beauftragten erfordert auch eine Trennung der Compliance-Funktion von den operativen Geschäftseinheiten unter dem Aspekt strikter Trennung von Überwachenden und Überwachten. Zur Wahrung der finanziellen Unabhängigkeit der Compliance Officer ist ferner darauf zu achten, dass ihre Vergütung nicht in unmittelbarer Abhängigkeit vom Geschäftserfolg einzelner Geschäftsbereiche bemessen wird.

• Die Compliance-Funktion ist unter Wahrung der rechtlichen Vorgaben aus lagerbar. Dabei kann zwischen Auslagerung einzelner Teilaspekte (Beratung, Monitoring, Schulung) oder auch der Auslagerung der gesamten Compliance Funktion (inklusive des Chief Compliance Officer/ Compliance Beauftragten) unterschieden werden. Die ultimative Verantwortung für Compliance verbleibt immer bei der jeweiligen Unternehmensleitung als Gesamtorgan.

• Der Chief Compliance Officer/ Compliance Beauftragte trägt dafür Sorge, dass im Unternehmen Prozesse und Verfahren im Einsatz sind, die darauf ausgerichtet sind, sicherzustellen, dass alle compliance-relevanten Vorgaben und Regularien eingehalten werden. Daher ist er in die D&O Versicherung des Unternehmens einzubeziehen und es ist eine gesonderte Vermögensschadenshaftplicht (dies ist typischerweise über eine D&O-Versicherung nicht abgedeckt) für dessen abzuschließen. Dadurch ist sichergestellt, dass eine Haftung für die Tätigkeit als Chief Compliance Officer/ Compliance Beauftragter nur für die vorsätzlich unterbliebene Verhinderung von Compliance-Verstößen bzw. das Nicht-Befolgen von eigenen Pflichten besteht.

• Entsprechend der Risikosteuerungsfunktion von Compliance sollten Compliance Officer die jeweiligen unternehmensspezifischen Risikopotenziale identifizieren sowie Lösungsvorschläge entwickeln und über den Chief Compliance Officer/ Compliance Beauftragten kommunizieren. Dazu gehören die Organisation einer unternehmensspezifischen Risikoanalyse relevanter Gefährdungspotenziale und Schwachstellen sowie die Erarbeitung von Vorschlägen zur Vermeidung bzw. Bewältigung von Compliance-Risiken.

• Zu den Kernaufgaben der Compliance Officer zählt ferner die umfassende Beratung von Unternehmensleitung und Mitarbeitern bezüglich der Beachtung relevanter Vorschriften und der Prävention von Compliance-Risiken.

• Die Vermeidung von Risiken und die Einhaltung von Normen erfordert die Organisation von Informationsflüssen. Der Chief Compliance Officer/ Compliance Beauftragte fungiert dabei als „Informationsschnittstelle“. Er sollte die Informationsverteilung an die betroffenen Personen und Abteilungen koordinieren, im Hinblick auf die Beachtung von „Chinese Walls“, Informationsbarrieren, Vertraulichkeitsbereichen und Interessenkonflikten.

• In unmittelbarem Zusammenhang mit seiner Tätigkeit als maßgeblicher Informationsvermittler stehen Kommunikations- und Schulungsaufgaben. Um eine Compliance Kultur nachhaltig zu verankern, müssen Compliance-Risiken und der Umgang mit diesen kontinuierlich kommuniziert werden, insbesondere durch regelmäßige Schulungen und Fortbildungsangebote für alle Mitarbeiter.

• Um sicherzustellen, dass die compliance-relevanten Vorgaben in allen Unternehmensbereichen eingehalten werden, müssen die Chief Compliance Officer/ Compliance Beauftragten auch Überwachungs- und Kontrollaufgaben wahrnehmen.

      Unser Leitbild mit deren Kernaufgaben und Qualitätsstandards

        Leitbild:

• Unser Leitbild orientiert sich an der der EU-Dienstleistungsrichtlinie (2006/123/EG), welche dazu auffordert, Verhaltenskodizes für Berufsgruppen zu erstellen. Das Leitbild dient der konsequenten Sicherung höchster Qualität der Berufsausübung von Auditoren, Beauftragte, Compliance Officer, Prüfer, Ombudsperson, HinSchG-Beauftragten, Sachkundige, Fachkundige und allgemein für Sachverständigen mit einem wirksamen Schutz unserer Auftraggeber, Kunden und deren Verbraucher
• Zentrales Ziel unseres Leitbilds ist es, dass die qualifizierten Auditoren, Beauftragte, Compliance Officer, Prüfer, Ombudsperson, Sachkundige, Fachkundige und Sachverständige das notwendige Vertrauen und Nutzen der öffentlichen, gewerblichen und privaten Auftraggeber, Kunden sowie Verbraucher zu sichern.
• Mit diesem Leitbild gewähren wir die Einhaltung höchster fachlicher Qualitätsstandards. Die Auditoren, Beauftragte, Compliance Officer, Prüfer, Sachkundige, Fachkundige, Sachverständige binden sich an ethische Richtlinien bei ihrer Berufsausübung durch Selbstverpflichtung.

        Kernaufgaben:

• Auditoren, Beauftragte, Compliance Officer, interne Meldestelle HinSchG, Prüfer, Sachkundige, Fachkundige und Sachverständige sind unabhängig Tätige, der Integrität verpflichtete Berufsträger und besitzen auf ihren jeweiligen Sachgebieten überdurchschnittliche Sachkunde sowie fundierte praktische Erfahrungen. Sie stellen ihr spezialisiertes Expertenwissen Verwaltungen, Behörden, Unternehmen und privaten Auftraggebern vertrauen und nutzenstiftend zur Verfügung.

• Auditoren, Beauftragte, Compliance Officer, Ombudsperson, Prüfer, Sachkundige, Fachkundige, Sachverständige bewerten, prüfen und/oder kontrollieren in ihrer Funktion als Experten komplexe Sachverhalte, die einen hohen Sachverstand und Erfahrung bzw. Wissen erfordern unter der Beachtung von Anforderungen, Normen bzw. Rechtsvorschriften.
• Auditoren, Beauftragte, Compliance Officer, Prüfer, Ombudsperson, Sachkundige, Fachkundige, Sachverständige erstellen auf der Grundlage ihres hohen fachlichen Könnens qualifizierte Analysen, Bewertungen, Expertisen, Berichte und Prognosen.
• Auditoren, Beauftragte, Compliance Officer, Prüfer, Ombudsperson, Sachkundige, Fachkundige, Sachverständige erbringen und übernehmen bei Ihren Auftraggebern bei Bedarf deren gesetzlichen Prüf- und Organisationspflichten, sorgen für Transparenz und Klarheit, fördern die Wertschöpfung, bieten Rechtssicherheit, prüfen die Konformität und minimieren strategische sowie operative Risiken.

        Qualitätsstandards:

1. Unabhängigkeit: Sie treffen fachlich begründete Feststellungen unabhängig von Weisungen Dritter. Im Rahmen Ihrer Berufsausübung gehen sie keine Verpflichtungen ein, die dazu führen könnten, ihre Beurteilungen zu beeinflussen oder zu verfälschen.
2. Unparteilichkeit: Sie treffen im Rahmen in ihrer Berufstätigkeit unvoreingenommen Entscheidungen, ohne bestimmte Personen bzw. Parteien mit ihren jeweiligen Interessen zu bevorzugen oder zu benachteiligen. Sie wahren bei der Vorbereitung und Erarbeitung ihrer Gutachten strikte Neutralität.
3. Bestechlichkeit: Sie sind gegenüber ihren Auftraggebern wirtschaftlich unabhängig.
4. Eigenverantwortung: Sie stehen für die erbrachte Leistung persönlich ein und haben hierfür zum Schutz ihrer Auftraggeber eine Betriebs- und Berufshaftpflichtversicherung abgeschlossen.
5. Verschwiegenheit: Bei der Ausübung ihrer Tätigkeit erlangten Kenntnisse werden zu keinem Zeitpunkt an Dritte bekannt gegeben. Außer durch Beauftragung durch den Auftraggeber.
6. Integrität: Sie sind integer und handeln in Übereinstimmung mit anerkannten fachlichen Maßstäben und entsprechend der Berufsethik. Sie stehen zu ihrem Wort und sind verlässlich.
7. Anforderung an Auditoren / Beauftragte / Compliance Officer Operativ / Sachverständige: Ganzheitlich, Stehvermögen, Durchsetzungsvermögen, Konflikt- und Kritikfähigkeit (offene Fehlerkultur)