Compliance-Management

Bestens gerüstet für verantwortungsvolles Handeln

Was ist Compliance-Management?

Der Deutsche Corporate Governance Kodex (DCGK) definiert Compliance wie folgt: „Compliance ist die Einhaltung gesetzlicher Bestimmungen und unternehmensinternen Richtlinien.“ Die Unternehmensleitung muss also sicherstellen, dass ihr Unternehmen allen geltenden Normen, Gesetzen, Standards, Richtlinien und Verträgen gerecht wird. Um dies zu überprüfen und zu dokumentieren, muss ein Compliance-Management-System (CMS) eingeführt werden. Darin müssen die geltenden Anforderungen sowie die Maßnahmen zur Einhaltung festgehalten werden. Wenn Regelverletzungen erkannt werden, müssen die zuständigen Mitarbeiter diese aufzeigen und sie dokumentieren. Danach sollten direkt Maßnahmen zur Minimierung oder im besten Falle Vermeidung eingeleitet und verfolgt werden.

Compliance-Management-System

Beim Aufsetzen eines Compliance-Management-Systems ist vieles zu beachten. Wir beraten Unternehmen bei der methodischen und inhaltlichen Ausgestaltung ihres Compliance-Managements. Wir empfehlen  im besten Falle bereits zu Beginn mit einer Software zu arbeiten und die Prozesse vollständig zu digitalisieren, da dies die zukünftigen Prozesse wesentlich effizienter gestaltet. Wir als SAVISCON GmbH bieten ebenfalls ein solches digitales Tool an: Mit unserem GRC-COCKPIT können Sie Ihr Compliance-Management strukturieren und konsistent abbilden. Lesen Sie jetzt mehr zu unserem Consulting-Angebot und zu unserer Software-Lösung:

Bild Teambesprechung Audit

Wichtig: Die Unternehmensleitung ist primär für die Compliance zuständig. Auch wenn sie Teilaufgaben delegiert, trägt sie die Verantwortung. Sie muss überprüfen, ob die Mitarbeiter die übertragenen Aufgaben ordnungsgemäß erfüllen. Stellen Sie sicher, dass alle wesentlichen Vorkommnisse, die die Compliance betreffen, auch direkt an die Unternehmensleitung berichtet werden.

Typische Compliance-Themenfelder

  • Korruptionsbekämpfung
  • Compliance im Vertrieb
  • Compliance im Einkauf
  • Datenschutz
  • Arbeits– und sozialversicherungsrechtliche Compliance
  • Compliance & Arbeitsschutz
  • Bekämpfung von Geldwäsche und Terrorismusfinanzierung
  • Spenden, Sponsoring, Veranstaltungen
  • Verbandstätigkeit
  • Lobbying

DIN ISO 37301 als Compliance-Management-Fundament

Um ein nachhaltig erfolgreiches Unternehmen zu führen sind Integrität und Regelkonformität die Grundlage. Daher muss die Organisationsleitung ein Verständnis für diese Werte in der gesamten Organisation aufbauen und pflegen (Compliance-Kultur). Wie man ein strukturiertes CMS einführt und eine Compliance-Kultur etabliert, ist in der 2021 veröffentlichten, zertifizierbaren DIN ISO 37301:2021-11 festgehalten. Sie folgte auf den Vorgänger, die DIN ISO 19600. Lesen Sie mehr zu den Unterschieden zwischen ISO 19600 und ISO 37301 in unserem Blog-Beitrag. Konkret stehen in der Norm die folgenden Punkte:

  • Unterstützung und Bekenntnis durch die Organisationsleitung
  • Umfassende Erfassung der Informationen über die Organisation, darunter Compliance Risk Assessment
  • Erstellung der Compliance-Politik mit Festlegung des Anwendungsbereichs
  • Zuweisung der Rollen und Zuständigkeiten für Compliance, darunter Ausbringung der Compliance-Funktion (Compliance Officer)
  • Betriebliche Planung
  • Durchführung von Unterstützungsmaßnahmen, darunter Kommunikation inkl. Schulung oder Einrichtung eines Verhaltenskodexes
  • Überwachung und Evaluation, darunter Einrichtung von Hinweisgebersystemen
  • Ständige Verbesserung, darunter auch Krisenmanagement

Ist Compliance-Management wichtig?

Ja! Compliance ist ein Erfolgsfaktor. „Compliance wird von vielen als ‚notwendiges Übel‘ gesehen und nicht als Wertetreiber oder Wettbewerbsvorteil verstanden.“, sagte Prof. Dr. Henning Herzog (Leiter des Lehrstuhls für Betriebswirtschaftslehre und Governance, Risk & Compliance an der Quadriga Hochschule in Berlin) im Interview mit dem Magazin Compliance Manager. Also: Seien Sie der Zeit und der Konkurrenz einen Schritt voraus und glänzen Sie mit einem strukturierten CMS. Das kann für Sie auch rechtlich und somit finanziell gesehen einen großen Vorteil bedeuten. Denn es werden zunehmend drastischere Sanktionen verhängt. Bußgelder werden immer höher und sind zuweilen so-gar existenzgefährdend. Organ-Mitglieder und leitende Angestellte haften häufiger persönlich, auch hier drohen Bußgelder oder sogar Berufsverbote. In einem Verfahren verurteilte das Landgericht München einen Ex-Finanzvorstand eines großen DAX-Unternehmens wegen Verfehlungen im Compliance-Bereich zur Schadensersatzhaftung in Millionenhöhe. Der Bundesgerichtshof (BGH) urteilte am 9. Mai 2017, dass ein effizientes CMS bei der Zumessung einer Sanktion gegen Unternehmen mindernd berücksichtigt werden sollte.

Bild Compliance-Audit

Welche Anforderungen gibt es für Unternehmen?

Es gibt zahlreiche Anforderungen, denen Sie Folge leisten müssen. Während es grundlegende Anforderungen, wie beispielsweise die DSGVO, gibt, existieren auch von Branche zu Branche unterschiedliche Gesetze und Normen. Neben den internen Anforderungen (Verträge mit Kunden, Arbeitsverträge) gibt es auch die externen Anforderungen (Gesetze, Normen). Hier ein kleiner Auszug aus der Kategorie „allgemeingültige Gesetze“, die für Ihr Unternehmen relevant sind:

  • Datenschutz: DSGVO und Bundesdatenschutzgesetz
  • IT-Sicherheitsgesetz
  • KontrAG / AktG z. B. § 91
  • Arbeitsrechtliche Normen und Vorschriften
  • ISO 31000 / Risikomanagement
  • Bürgerliches Gesetzbuch (BGB) z. B. §§ 630a ff.
  • ….usw.

Compliance-Management-System (CMS) einrichten

Richten Sie Ihr strukturiertes CMS ein. Sie können anfangs von den drei generellen Zielen eines CMS ausgehen: Prävention, Detektion und Reaktion.

Im Jahr 2011 veröffentlichte das Institut der Wirtschaftsprüfer in Deutschland den Standard zur Prüfung von CMS (IDW PS 980). Laut dieses Standards müssen beim Einrichten eines CMS folgende sieben Grundelemente vorliegen:

Compliance-Kultur

Um eine einheitliche Compliance-Kultur zu schaffen, müssen sich Geschäftsführung und Führungskräfte über eine gemeinsame Definition von Compliance einig werden. Danach spielt der sogenannte „tone from the top“ die entscheidenden Rolle. Sie müssen als Geschäftsführung, gemeinsam mit Ihren leitenden Angestellten, als gutes Beispiel voran gehen. Nur so werden Sie auch von Ihren Mitarbeitern ernst genommen, schaffen ein Verständnis für regelkonformes Verhalten und halten Ihre Mitarbeiter dazu an, sich entsprechend zu verhalten.

Compliance-Ziele

Bevor ein CMS implementiert wird, müssen Ziele gesetzt werden. Diese können je nach Unternehmen variieren und orientieren sich an der eigenen Compliance-Kultur und Risikosituation.

Compliance-Risiken

Für jede Art von Unternehmen (Branche, Größe, usw.) gibt es unterschiedliche Risiken. Hier gilt es die individuellen Risiken für das Unternehmen herauszustellen und Maßnahmen zu ergreifen. Lesen Sie dazu mehr auf unserer Seite zum Thema Risiko-Management. Sind beispielsweise Regeln für zulässige und unzulässige Verhaltensweisen für Mitarbeiter festgelegt?

Compliance-Programm

Ein Compliance-Programm setzt sich aus den Grundsätzen und den Maßnahmen zusammen, die zum Ziel haben, Compliance-Risiken zu minimieren und regelkonformes Verhalten zu sichern.

Compliance-Organisation

Für ein wirkungsvolles CMS ist es wichtig, dass die Compliance-Funktionen klar definiert und voneinander abgegrenzt sind. Die Aufgaben und die Verantwortlichkeiten müssen den Mitarbeitern klar zugeordnet und bekannt sein.

Compliance-Kommunikation

Alle in das CMS involvierte Mitarbeiter, und gegebenenfalls auch Dritte, müssen über das Programm sowie die Organisation informiert werden. Weisen Sie in Schulungen oder unternehmensinternen Medien (z. B. Newslettern) regelmäßig auf Compliance-Themen hin. Sorgen Sie außerdem dafür, dass Sie als Geschäftsführer regelmäßig Berichte von den zuständigen Personen erhalten.

Compliance-Überwachung

Damit das CMS langfristig funktioniert, müssen die Compliance-Maßnahmen dokumentiert und kontrolliert werden. Stellen Sie dafür auch sicher, dass ihr CMS über ein anonymes Hinweisgeber-System verfügt.

Fallbeispiel: Hygieneskandal Uniklinik Mannheim

2014 leitet die Staatsanwaltschaft Mannheim ein Ermittlungsverfahren gegen das Uniklinikum ein. Die gesetzlich vorgeschriebenen Maßnahmen zur Sterilisierung der OP-Instrumente wurden nicht eingehalten. So waren z. B. die Prüfplaketten der 20 Spezial-Spülmaschinen für OP-Besteck abgelaufen. Mitte Januar 2018 teilte die Staatsanwaltschaft mit, dass die Ermittlungen abgeschlossen sind. Gegen fünf der ehemaligen Mitarbeiter wurde das Verfahren nach Zahlung einer Geldbuße bzw. einer Geldstrafe eingestellt, gegen den ehemaligen Geschäftsführer wurde Anklage wegen Verstoß gegen das Medizinproduktegesetz erhoben. Die juristische Aufarbeitung zieht sich bis heute hin.

Digitales Compliance-Management Tool

Mit dem passenden Compliance-Management können Unternehmen Risiken frühzeitig aufdecken und vermeiden bzw. auf ein Minimum reduzieren. Dazu müssen alle Normen und Gesetze analysiert, bewertet und Risiken daraus abgeleitet werden. In jeder Branche gibt es spezielle Gesetze und Normen, die es zu beachten gilt.

Am effektivsten können Sie ihre Compliance-Strategie mit einem digitalen Tool festhalten, kontrollieren und dokumentieren, das Ihnen bei Bedarf auch Berichte auf Knopfdruck ausgibt. Wir als SAVISCON GmbH bieten mit unserem GRC-COCKPIT ein solches Tool an. Kontaktieren Sie uns gerne für eine individuelle Beratung und ein maßgeschneidertes Angebot:

Mehr zum Thema Compliance-Management in unserem Blog:

Sinnbild für Hinweisgeberschutz Trillerpfeife
Sinnbild für Teamarbeit