Verwaltungsrats-Lexikon

Compliance Report

Regelmässige Berichterstattung des Compliance Officers an Audit Committee und VR über Compliance-Status, Vorfälle und Trends.

Definition

Ein Compliance Report ist die regelmässige Berichterstattung des Compliance Officers an Audit Committee und VR über den Compliance-Status, Vorfälle, Trends und Massnahmen. Er ist ein zentrales Steuerungs-Instrument der Oberaufsicht (OR Art. 716a) und ein Indikator für die Reife der Compliance-Funktion.

Der Compliance Report deckt alle wesentlichen Compliance-Felder ab: Korruptions-Prävention, Geldwäsche-Bekämpfung, Datenschutz, Wettbewerbs-Recht, Sanktionen, branchenspezifische Regulierung und interne Vorgaben wie Code of Conduct.

Aufbau und Inhalt

Ein professioneller Compliance Report folgt einer klaren Struktur.

Executive Summary

  • Kritische Themen seit letztem Report.
  • Top-Risiken im Compliance-Bereich.
  • Wesentliche Massnahmen und Beschluss-Bedarf.

Status Compliance-Programme

  • Code of Conduct: Schulungs-Stand, Updates.
  • Anti-Korruption: Geschenk-Register, Drittpartei-Due-Diligence.
  • Geldwäsche: KYC-Prozesse, Verdachts-Meldungen.
  • Datenschutz: DSG-Compliance, Verarbeitungs-Verzeichnis.
  • Wettbewerbs-Recht: Schulungs-Stand, Kartellrechtliche Prüfungen.
  • Sanktionen: SECO-Listen-Checks, Sanktions-Updates.

Compliance-Vorfälle

  • Anzahl Vorfälle nach Kategorie.
  • Schwere-Grad.
  • Massnahmen und Stand.
  • Lerngelegenheiten.

Whistleblowing

  • Anzahl Meldungen anonymisiert.
  • Bearbeitungs-Stand.
  • Resultate der Untersuchungen.
  • Schutz-Massnahmen für Hinweisgeber.

Regulatorische Updates

  • Neue Gesetze und Verordnungen.
  • Aufsichts-Mitteilungen.
  • Rechtsprechung mit Compliance-Bezug.
  • Geplante Anpassungen.

Schulungs-Status

  • Quote geschulter Mitarbeitender.
  • Spezial-Schulungen für Risiko-Gruppen.
  • Auffrischungs-Schulungen.

Audit-Ergebnisse

  • Findings interner Audits.
  • Findings externer Audits.
  • Massnahmen-Status.

KPIs

  • Schulungs-Quote.
  • Anzahl Meldungen.
  • Bearbeitungs-Zeiten.
  • Audit-Finding-Trends.

Massnahmen-Tracking

  • Status früherer Massnahmen.
  • Überfällige Punkte.
  • Eskalations-Bedarf.

Praxis Schweiz

In der Schweizer Praxis hat der Compliance Report etablierte Konventionen.

Bei börsenkotierten Gesellschaften

Standard, oft quartalsweise an Audit Committee und halbjährlich an Gesamt-VR. Bei reguliertem Sektor (Banken, Versicherungen) zwingende Frequenz durch FINMA.

Bei grösseren KMU

Wachsende Praxis, oft im Rahmen ISO-Zertifizierung oder nach Compliance-Vorfällen erstmals strukturiert. Halbjährliche Berichterstattung an VR typisch.

Bei kleinen KMU

Häufig informell, ohne strukturierten Report. Bei wachsender Komplexität (etwa erste internationale Geschäfte, ESG-Anforderungen) Aufholbedarf.

Regulierter Sektor

Banken: FINMA-Rundschreiben verlangen umfassende Compliance-Berichterstattung. Versicherungen: AVO und VAG-Vorgaben. Pharma: Swissmedic-Anforderungen. Energie: BFE und ElCom.

Sprache

Bei börsenkotierten Gesellschaften und reguliertem Sektor häufig EN als Konzern-Sprache. Bei KMU DE, FR oder IT je nach Region. Konsistenz wichtig.

Rolle Chief Compliance Officer

In grossen Gesellschaften eigenständige Funktion, direkt an CEO und VR-Präsident berichtend. In KMU oft Doppelrolle mit General Counsel oder CFO.

Rolle Audit Committee

Primärer Adressat. Diskutiert kritische Vorfälle, beschliesst Massnahmen, eskaliert an Gesamt-VR bei wesentlichen Themen.

Rolle Gesamt-VR

Erhält typisch Zusammenfassung. Bei wesentlichen Compliance-Vorfällen direkte Befassung. Verantwortung im Sinne der Oberaufsicht (OR Art. 716a).

Vertraulichkeit

Compliance Reports enthalten sensible Informationen: laufende Untersuchungen, Whistleblowing-Meldungen, Mitarbeitenden-Daten. Strenge Zugriffs-Beschränkung und Aufbewahrung.

Häufige Fehler

Typische Schwächen bei Compliance Reports.

Strukturelle Probleme

  • Zu detailliert, VR verliert Überblick.
  • Zu generisch, kritische Themen nicht erkennbar.
  • Fehlende Executive Summary.
  • Keine Priorisierung.

Inhaltliche Probleme

  • Verharmlosung kritischer Vorfälle.
  • KPIs ohne Kontext und Vergleich.
  • Massnahmen ohne klare Verantwortliche.
  • Whistleblowing-Meldungen unzureichend dargestellt.

Prozess-Probleme

  • Zu seltene Berichterstattung.
  • Verspätete Vorfalls-Meldungen.
  • Keine Eskalation bei kritischen Themen.
  • Mangelndes Tracking früherer Massnahmen.

Kultur-Probleme

  • CEO oder GL filtert Bericht vor VR-Zustellung.
  • Compliance Officer wird politisch eingebunden.
  • Vorfälle werden internalisiert, nicht reportet.
  • VR fragt nicht kritisch nach.

Unabhängigkeits-Probleme

  • Compliance Officer hat keinen direkten Berichtsweg an VR.
  • Compliance Officer berichtet an CEO, der selbst betroffen ist.
  • Keine Executive Session mit Compliance Officer ohne GL.

Strategische Probleme

  • Compliance als Kostenposten gesehen.
  • Compliance Officer ohne Ressourcen.
  • Kein Lerneffekt aus Vorfällen.
  • Wiederkehrende Findings ohne Ursachenanalyse.

Compliance-Probleme

  • Externe Melde-Pflichten nicht erfüllt.
  • Aufsichts-Anforderungen ignoriert.
  • Sektorspezifische Vorgaben unzureichend.
  • Datenschutz im Report selbst verletzt.

Abgrenzung

Der Management Letter ist die externe Berichterstattung der Revisionsstelle und fokussiert auf Finanz-Themen und IKS. Der Compliance Report ist intern und fokussiert auf Compliance-Felder.

Das Risiko-Reporting deckt alle wesentlichen Unternehmens-Risiken ab. Compliance-Risiken sind eine Untermenge. Beide Berichte werden idealerweise integriert betrachtet.

Der ESG Report fokussiert auf Umwelt, Soziales und Governance im weiteren Sinne. Compliance-Themen sind Teil der Governance-Dimension, aber der ESG Report ist breiter.

Das Whistleblowing-Reporting ist eine Untermenge des Compliance Reports, mit besonderen Vertraulichkeits-Anforderungen.

Der Geschäftsbericht enthält öffentliche Compliance-Berichterstattung. Der interne Compliance Report ist deutlich detaillierter und vertraulich.

Häufige Fragen

Was ist ein Compliance Report?
Ein Compliance Report ist die regelmässige Berichterstattung des Compliance Officers oder Chief Compliance Officers an Audit Committee und VR über den Compliance-Status, Vorfälle, Trends und Massnahmen. Er deckt typisch Korruptions-Prävention, Geldwäsche-Bekämpfung, Datenschutz, Wettbewerbs-Recht, branchenspezifische Regulierung und interne Compliance-Vorgaben ab.
Wer empfängt den Compliance Report?
Primärer Adressat ist das Audit Committee oder bei separater Struktur das Compliance Committee. Der Gesamt-VR erhält typisch eine Zusammenfassung. Bei börsenkotierten Gesellschaften gehen Auszüge an die Geschäftsleitung. Bei reguliertem Sektor sind teilweise auch Aufsichtsbehörden (FINMA, Swissmedic) Adressaten.
Wie oft wird der Compliance Report erstellt?
Best Practice ist quartalsweise an Audit Committee, halbjährlich an Gesamt-VR und jährlich umfassend für den Geschäftsbericht. Bei akuten Vorfällen ad-hoc-Berichterstattung. Bei reguliertem Sektor sind teilweise zwingende Berichts-Frequenzen vorgegeben (FINMA-Rundschreiben).
Was steht in einem Compliance Report?
Typische Inhalte sind Status der Compliance-Programme, neue regulatorische Anforderungen, Compliance-Vorfälle mit Klassifizierung, Whistleblowing-Meldungen anonymisiert, Schulungs-Status, Audit-Ergebnisse externer und interner Prüfungen, kritische KPIs (etwa Mitarbeitende mit aktueller Compliance-Schulung), und Massnahmen-Status aus früheren Reports.
Wer erstellt den Compliance Report?
Verantwortlich ist der Chief Compliance Officer oder Compliance Officer. Bei kleineren Gesellschaften übernimmt General Counsel oder CFO. In grossen Gesellschaften gibt es teilweise dedizierte Compliance-Abteilungen. Wichtig ist die Unabhängigkeit vom operativen Geschäft, idealerweise direkter Berichtsweg an VR oder Audit Committee.
Was sind häufige Compliance-Themen?
Typisch sind Korruptions-Prävention (UK Bribery Act, FCPA bei US-Bezug), Geldwäsche-Bekämpfung (GwG), Datenschutz (DSG, DSGVO), Wettbewerbs-Recht (Kartellrecht), Sanktionen (SECO-Listen), Arbeitsrecht und Diskriminierungs-Schutz, Steuer-Compliance, Cyber-Sicherheit, ESG-Berichterstattung und branchenspezifische Regulierung (Banken, Versicherungen, Pharma, Energie).
Wie geht der VR mit dem Compliance Report um?
Der VR muss den Report im Audit Committee diskutieren, kritische Vorfälle eskalieren, Massnahmen beschliessen und deren Umsetzung überwachen. Bei wesentlichen Compliance-Vorfällen ist die Oberaufsicht (OR Art. 716a) direkt betroffen. Verharmlosung kann Haftungs-Konsequenzen (OR Art. 754) nach sich ziehen.
Wie unterscheidet sich Compliance Report von Management Letter?
Der Compliance Report ist intern erstellt vom Compliance Officer und fokussiert auf Compliance-Themen. Der Management Letter wird extern von der Revisionsstelle erstellt und fokussiert auf Finanz-Themen und IKS. Beide ergänzen sich: Compliance-Beobachtungen können im Management Letter aufgegriffen werden, und der Compliance Report kann Audit-Findings integrieren.

Verwandte Einträge

  • ComplianceRegeltreue der Gesellschaft — Einhaltung von Gesetzen, internen Richtlinien und ethischen Standards sowie das System zur Sicherstellung dieser Einhaltung.
  • Audit Committee (Prüfungsausschuss)Spezialisierter Ausschuss des Verwaltungsrats für Finanzberichterstattung, internes Kontrollsystem und Beziehung zur Revisionsstelle.
  • WhistleblowingGeschütztes Meldesystem für mutmassliche Unregelmässigkeiten innerhalb der Gesellschaft, ohne Nachteile für die meldenden Personen.
  • Compliance MonitoringLaufende, kontinuierliche Überwachung der Compliance-Wirksamkeit mit Indikatoren, Sampling, Datenanalyse und Frühwarnung.

Fehlt etwas oder ist ein Fehler im Eintrag? Feedback zu diesem Begriff geben →