Die oberste Leitung muss eine verantwortungsbewusste Person der Organisation sorgfältig auswählen und benennen, die selbständig oder in Zusammenarbeit mit anderen die Verantwortung und Befugnis hat:

1. darauf hinzuwirken, dass die für das Compliance Management System erforderlichen Prozesse eingeführt, verwirklicht und aufrechterhalten werden,
2. der obersten Leitung über die Leistung und Wirksamkeit des Compliance Management Systems und jegliche Notwendigkeit für Verbesserungen zu berichten,
3. das Bewusstsein und die Kommunikation über die Compliance-Anforderungen in der gesamten Organisation sicherzustellen und, gleich in welcher Form und in welchem Verfahren, sind
4. eigeninitiativ compliance-relevante Vorgänge aufzugreifen, zu dokumentieren und an die oberste Leitung zu berichten.

Die oberste Leitung ermöglicht dem Compliance-Beauftragten eine unabhängige Wahrnehmung der Compliance-Aufgaben. Sie weist dem Compliance-Beauftragten keine weiteren Aufgaben zu, die Zielkonflikte mit der Erfüllung der Compliance-Aufgaben mit sich bringen.

Diese Frage bildet Kapitel 5.1.3 der ISO 37301 ab.

Musterprozess:

Der Compliance Officer (CCO) ist zuständig für die zeitnahe, effiziente und adäquate Umsetzung des CMS sowie aller sich daraus ergebender Compliance- Maßnahmen. Er ist nicht Mitglied der Geschäftsleitung und untersteht direkt den Gesellschaftern / Aufsichtsrat. Der CCO rapportiert deshalb einerseits dem Aufsichtsrat / Gesellschaftern und andererseits dem Prüfungs- und Risikoausschuss. Der CCO bereitet neue Weisungen bzw. Anpassungen bestehender Weisungen im Zusammenhang mit dem CMS vor und gibt Empfehlungen für gegebenenfalls zusätzlich anzuordnende Maßnahmen ab.

Ebenso fallen in den Verantwortungsbereich des CCO die Übersetzung von Weisungen sowie die Aufschaltung des Compliance-Regelwerkes im Compliance-Handbuch auf dem Intranet. Er stellt zudem sicher, dass das im Compliance-Handbuch enthaltene Regelwerk stets dem aktuellen Stand der Gesetzgebung, Rechtsprechung und internationalen Standards entspricht. Weiter ist der Compliance Officer dafür verantwortlich, dass die GL-Mitglieder sowie die Angehörigen der Organisation an allen Standorten den Code of Conduct und die Weisungen kennen bzw. verstanden haben. Zu diesem Zweck führt der Compliance Officer regelmäßige Schulungen und Wissensabfragen durch und stellt den GL-Mitgliedern entsprechendes Schulungsmaterial zur weiteren Vervielfältigung und Verwendung zur Verfügung.

Alljährlich erstellt der CCO zu Händen des Prüfungs- und Risikoausschusses den Compliance-Report. Bei besonderen Vorkommnissen, insbesondere bei schwerwiegenden Compliance-Verstößen und drohenden Reputationsrisiken, informiert der Compliance Officer den Vorsitzenden des Prüfungs- und Risikoausschusses, die oberste Leitung und den Leiter für Interne Audits unverzüglich. Im Übrigen steht der CCO allen Mitarbeitenden der Organisation zwecks Beantwortung von Compliance-Fragen jederzeit zur Verfügung. Dem CCO steht es frei, zur Erfüllung seiner Aufgaben Juristen aus der Rechtsabteilung hinzuzuziehen.