Deutschland
Gesetz über Ordnungswidrigkeiten § 130 OWiG
§ 130 Abs. 1 OWiG behandelt die Verletzung der Aufsichtspflicht in Unternehmen und bestimmt, dass Inhaber eines Betriebes oder Unternehmens Aufsichtsmaßnahmen treffen müssen, um Zuwiderhandlungen gegen Pflichten zu verhindern. Der Inhaber handelt ordnungswidrig, wenn eine solche Zuwiderhandlung begangen wird, die durch gehörige Aufsicht verhindert oder wesentlich erschwert worden wäre.
Eine solche Aufsichtspflichtverletzung kann mit einer erheblichen Geldbuße geahndet werden.
Aktiengesetz § 91 Abs. 2 AktG
Der Vorstand einer börsennotierten Aktiengesellschaft hat die Pflicht, geeignete Maßnahmen zur Vermeidung von Risiken zu treffen (Risikofrüherkennungssystem). Haftungsrechtlich ist das für den Vorstand bedeutsam, denn kommt dieser seinen Pflichten aus § 91 Abs. 2 AktG nicht nach, haftet er nach § 93 Abs. 2 Satz 1 AktG der Gesellschaft auf Schadensersatz.
Nach § 317 Abs. 4 HGB hat der Abschlussprüfer das Risikofrüherkennungssystem in die Abschlussprüfung mit einzubeziehen. Verletzt der Abschlussprüfer seine Prüfpflichten, haftet er nach § 323 Abs. 1 Satz 3 HGB, so dass auch ihm an Rechtssicherheit gelegen ist. Ein vom Institut der Wirtschaftsprüfer4 (IDW) erstellter Prüfungsstandard (PS)5, der IDW PS 340, steht den Prüfern zur Verfügung und macht Vorgaben zur Prüfung der vom Vorstand nach § 91 Abs. 2 AktG ergriffenen Maßnahmen.
Nach herrschender Meinung verpflichtet § 91 Abs. 2 AktG den Vorstand dazu, ein allgemeines Risikomanagementsystem einzurichten. Ein solches System kann insbesondere die Identifizierung, Analyse, Bewertung und Bewältigung sämtlicher Einzelrisiken, unabhängig von ihrem Schadenspotential, erfassen. Von juristischer Seite wird überwiegend jedoch eine andere Auffassung vertreten. Demnach ist lediglich ein Früherkennungssystem zu etablieren. Dem entsprechend liegt nicht zwingend die Verpflichtung zur Einrichtung eines Hinweisgebersystems vor, aber es ist eine Möglichkeit, wie diesen Pflichten in der Praxis entsprochen werden kann. Der Aufsichtsrat ist angehalten zu kontrollieren, ob die Geschäftsleitung dieser Verpflichtung nachkommt.
Versicherungsaufsichtsgesetz von 2016
§ 23 Absatz 6 verpflichtet Versicherungen zur Etablierung eines Hinweisgebersystems: Die Unternehmen haben einen Prozess vorzusehen, der es den Mitarbeitern unter Wahrung der Vertraulichkeit ihrer Identität ermöglicht, potenzielle oder tatsächliche Verstöße gegen dieses Gesetz, gegen auf Grund dieses Gesetzes erlassene Rechtsverordnungen, gegen die Marktmissbrauchsverordnung sowie etwaige strafbare Handlungen innerhalb des Unternehmens an eine geeignete Stelle zu melden.
Wirtschaftsprüferordnung von 2016
Zur Sicherung der Qualität der Abschlussprüfung gehören unter § 55b Absatz 2 Punkt 7. Verfahren, die es den Mitarbeitern unter Wahrung der Vertraulichkeit ihrer Identität ermöglichen, potentielle oder tatsächliche Verstöße gegen die Verordnung (EU) Nr. 537/2014 oder gegen Berufspflichten sowie etwaige strafbare Handlungen oder Ordnungswidrigkeiten innerhalb der Praxis an geeignete Stellen zu berichten.
Kreditwesengesetz § 25a KWG von 2013
Gemäß Umsetzung einer EU-Richtlinie müssen Banken und Finanzinstitute in der EU adäquate Maßnahmen etablieren, um die EInhaltung von gesetzlichen Bestimmungen und Richtlinien zu gewährleisten.Die Ausgestaltung eines solchen Risikomanagements hängt von mehreren Faktoren, wie z.B. von Art, Umfang, Komplexität und Risikogehalt der Geschäftstätigkeit ab.
Die Organisationen sollten einen Prozess etablieren, welcher Mitarbeitern die vertrauliche und anonyme Meldung strafrechtlich relevanter Handlungen innerhalb des Unternehmens zu ermöglichen. Mitarbeiter, die solche Verstöße melden, genießen umfassenden Schutz.
Die Wirksamkeit ist vom Institut regelmäßig zu überprüfen.
Institut der Wirtschaftsprüfer (IDW) Prüfungsstandard (PS) 980 von 2011
Das IDW definiert die Grundsätze ordnungsmäßiger Prüfung von Compliance Management Systemen mit sieben Elementen, die eine angemessene Ausgestaltung enthalten muss: Kultur, Ziele, Risiken, Programm, Organisation, Kommunikation, Überwachung / Verbesserung. Die Ausgestaltung ist dabei flexibel und individuell unterschiedlich, abhängig von den jeweiligen Voraussetzungen und Erfordernissen. Der Prüfungsstandard bietet Compliance-Verantwortlichen in Unternehmen eine Orientierung sowie eine Grundlage zur Einhaltung von Gesetzen, Regelungen und Selbstverpflichtungen im Rahmen eines Compliance Management Systems. Für Unternehmen bietet er eine Möglichkeit, die eigenen Compliance-Bemühungen nachzuweisen und entsprechende Maßnahmen auch von Geschäftspartnern einzufordern.
Maßnahmen der Compliance-Prävention umfassen nach dem IDW 980 „auch das rechtzeitige Erkennen von Risiken für Compliance-Verstöße (z. B. auch die Einrichtung eines Hinweisgebersystems)“.
Deutscher Corporate Governance Kodex von 2002
Die in Deutschland geltenden Regeln für Unternehmensleitung und -überwachung werden für nationale wie internationale Investoren transparent gemacht, um das Vertrauen in die Unternehmensführung deutscher Gesellschaften zu stärken. Der Kodex besitzt mit der Entsprechungserklärung gemäß §161 AktG eine gesetzliche Grundlage.
Börsennotierte Unternehmen müssen mit ihrem Jahresabschluss erklären, inwieweit sie den Empfehlungen nachkommen, Abweichungen müssen begründet werden.
In der aktuellen Fassung von 2019 wird in A.2 zum Thema Compliance gefordert: „Der Vorstand soll für ein an der Risikolage des Unternehmens ausgerichtetes Compliance Management System sorgen und dessen Grundzüge offenlegen. Beschäftigten soll auf geeignete Weise die Möglichkeit eingeräumt werden, geschützt Hinweise auf Rechtsverstöße im Unternehmen zu geben; auch Dritten sollte diese Möglichkeit eingeräumt werden."