Internal Compliance Program

Zweck

Dieser Skill macht Compliance praxistauglich: risikobasiert, prüffähig, verzeihend und schnell nutzbar.

Wann verwenden

• wenn Waren, Software, Technologie, Dienstleistungen, Zahlungen oder Beteiligte einen Auslandsbezug haben
• wenn Exportkontrolle, Sanktionen, Embargos, Zoll, Verbrauchsteuer, CBAM, AWV oder AML/KYC berührt sind
• wenn eine Behörde prüft, ein Verstoß offengelegt werden könnte oder Presse-/Reputationsdruck entsteht

Arbeitsweise

1. Sachverhalt einfrieren. Erfasse Transaktionskette, Beteiligte, Länder, Ware, Software, Technologie, Dienstleistung, Zahlungsweg, Transportweg, Bank, Endverwendung und Fristen.
2. Datenlücken markieren. Trenne belegte Tatsachen von Annahmen. Verlange Produktdatenblätter, technische Spezifikationen, Vertragsunterlagen, Rechnungen, Zollanmeldungen, Zahlungsdaten, Sanktionsscreening und Kommunikationsverlauf.
3. Offizielle Quellen prüfen. Nutze BAFA, EU Sanctions Map, konsolidierte EU-Finanzsanktionsliste, EUR-Lex, TARIC, Zoll, Bundesbank, EU-CBAM-Seiten und bei Bedarf US-Quellen. Protokolliere URL, Abrufdatum und Aussage.
4. Verbote vor Genehmigungen. Prüfe zuerst harte Verbote, Bereitstellungsverbote, Umgehungsrisiken, Listentreffer und Embargos. Danach Genehmigungs-, Melde-, Dokumentations-, Zoll- und Abgabenpflichten.
5. Sofortmaßnahmen ausgeben. Bei Risiko rot: Stop-Ship/Stop-Pay, Legal Hold, Dokumentensicherung, Eskalation an Geschäftsleitung/Compliance, Behörden- und Verteidigungsstrategie.
6. Arbeitsprodukt erstellen. Erzeuge Matrix, Antrag, Behördenbrief, Offenlegungsplan, KYC-Vermerk, Zollvermerk, CBAM-Register, Prüfungsreaktion, Mandantenmail oder Krisen-Q&A.
7. Qualitätstor. Prüfe Quellenstand, Zahlen, Fristen, Zuständigkeit, Anlagen, Datenschutz, Mandatsgeheimnis und Freigaben. Unsichere Punkte bleiben sichtbar.

Rückfragen, wenn unklar

• Welche Ware, Software, Technologie, Dienstleistung oder Zahlung ist betroffen?
• Welche Länder, Personen, Unternehmen, Banken, Häfen, Spediteure und Endverwender sind beteiligt?
• Welche HS-/KN-/TARIC-Nummer, Güterlistenposition oder technische Spezifikation liegt vor?
• Gibt es Sanktions-, Embargo-, US-, CBAM-, Verbrauchsteuer- oder AWV-Touchpoints?
• Liegt eine Frist, Prüfungsanordnung, Anhörung, Durchsuchung, Presseanfrage oder Lieferstopp vor?

Ausgabeformat

• Kurzlage mit Ampel und Sofortmaßnahmen
• Quellenprotokoll mit Abrufdatum und offizieller Quelle
• Prüfmatrix mit offenen Datenpunkten, Annahmen und Zuständigkeiten
• behörden- oder mandantenfähiger Entwurf
• Review-Liste für Berufsträger, Compliance, Zoll, Steuer und Geschäftsleitung

Typische Fehler vermeiden

• Keine Sanktionsentscheidung ohne aktuelle Quellenprüfung und Trefferlog.
• Keine Güterklassifizierung ohne technische Parameter, Verwendungszweck und Quellenangabe.
• Keine Zolltarifnummer ohne TARIC-/EZT-Prüfung und Begründung.
• Keine CBAM-Berechnung ohne Warencode, Warenmenge, Emissionsdatenquelle und markierte Annahmen.
• Keine Offenlegung oder Selbstanzeige ohne Verteidigungsstrategie und Freigabe durch Berufsträger.
• Keine echten Mandatsgeheimnisse in ungeprüfte Cloud- oder KI-Umgebungen.

Triage vor ICP-Systemaufbau oder -pruefung

Kläre vor der Pruefung:

1. Handelt es sich um erstmaligen Aufbau eines ICP (Internal Compliance Program) oder um ein Audit bestehender Strukturen?
2. Liegt ein BAFA-Zertifizierungsantrag oder eine freiwillige Selbstpruefung vor?
3. In welchen Unternehmensbereichen entstehen Exportkontrollrisiken — Vertrieb, Forschung, IT, HR (Know-how-Transfer durch Mitarbeiter)?
4. Gibt es bekannte Schwachstellen (fehlende Sanktionsscreenings, keine Endverwendererklaerungen, ungepruefte Distributoren)?
5. Soll das ICP nach BAFA-ICP-Leitfaden, ISO 37001 (Anti-Bribery) oder einem US-EAR-Compliance-Standard ausgerichtet werden?

Vertiefung: Rechtsprechung und Leitsaetze

• Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.

Normen-Kette ICP/Exportkontroll-Compliance

• Art. 20 VO (EU) 2021/821 — Berucksichtigung von Compliance-Massnahmen bei Genehmigungsentscheidungen
• BAFA, ICP-Leitfaden (aktuelle Fassung) — Mindestanforderungen internes Kontrollprogramm
• § 130 OWiG — Verletzung der Aufsichtspflicht bei Unternehmensorganisation
• § 30 OWiG — Verbandsgeldbusse bis 10 Mio EUR
• ISO 37001:2016 — Anti-Bribery Management System (best practice Parallele)

Quellenregel

Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen; Literatur nur mit Nutzerquelle oder lizenziertem Live-Zugriff.

Output-Template: ICP-Audit-Checkliste

Adressat: Geschaftsfuhrung / Compliance-Beauftragter — Tonfall: systemprufend, lueckenorientiert

ICP-AUDIT-CHECKLISTE
Datum: [DATUM]
Unternehmen: [FIRMA]
Pruefer: [NAME / extern]

ICP-KERNELEMENT | VORHANDEN | MÄNGEL | MASSNAHME | FRIST
----------------|-----------|--------|-----------|------
1. Richtlinien (Exportkontroll-Policy) | [ ] Ja / [ ] Nein | [MANGEL] | [MASSNAHME] | [DATUM]
2. Verantwortlichkeiten (Exportkontrollbeauftragter benannt) | [ ] | | |
3. Guterklassifizierung (Prozess dokumentiert) | [ ] | | |
4. Sanktionsscreening (Systeme, Frequenz) | [ ] | | |
5. Endverwenderpruefung (EUE-Prozess) | [ ] | | |
6. Aufzeichnungs- und Aufbewahrungspflicht (§§ 82 ff. AWV) | [ ] | | |
7. Mitarbeiterschulung (regelmaessig, dokumentiert) | [ ] | | |
8. Interne Kontrollen und Audits | [ ] | | |
9. Verstoss-/Selbstanzeigeprotokoll | [ ] | | |
10. BAFA-Kommunikationsprotokoll | [ ] | | |

GESAMTBEWERTUNG: [ ] ICP BAFA-konform / [ ] Wesentliche Luecken — Massnahmen bis [DATUM]