Das Compliance Management System: Tipps für die erfolgreiche Compliance-Arbeit
Ein Compliance Management System etabliert Standards für regelkonformes Verhalten im Unternehmen.
Ein Compliance-Beauftragter allein garantiert noch nicht die Einhaltung der Legalitätspflicht in einem Unternehmen: Dafür sind die Aufgaben zu umfangreich: Sie reichen vom Überblick über nationale und internationale Gesetzeslagen sowie selbst gesetzte Unternehmensstandards über die Etablierung eines internen Regelsystems, Kontrolle der Standards bis hin zur Schulung von Mitarbeitern und Kommunikation der Maßnahmen. Um Compliance im gesamten Unternehmen zu integrieren und sie zu leben, ist die Einführung eines Compliance Management Systems notwendig.
Was ist Compliance Management?
Compliance-Management umfasst alle Werkzeuge und Prozesse, mit denen ein Unternehmen sicherstellt, dass es sich an Regeln und Gesetze hält. Das beinhaltet sowohl außerbetriebliche Vorgaben der Aufsichtsbehörden und Gesetze, als auch interne Weisungen und Verordnungen. Compliance-Management-Werkzeuge und -Prozesse zielen darauf ab, Compliance-Verstöße zu entdecken und zu vermeiden, weil sie dem Ruf des Unternehmens erheblich schaden und hohe Strafgelder nach sich ziehen können.
Unternehmen implementieren häufig eine Compliance-Management-Plattform, um die Compliance-Prozesse zu automatisieren und zu vereinfachen. Dazu gehören zum Beispiel digitale Whistleblowing-Systeme für Angestellte und Stakeholder, um Missstände zu melden; oder Genehmigungssysteme, über die Geschenke und Einladungen freigegeben werden müssen.
Was ist ein Compliance Management System?
Eine wichtige Säule jedes Unternehmens ist regelkonformes Verhalten: Compliance bedeutet, dass sich Unternehmen an Gesetze und selbstgesetzte Regeln halten, um Rechtsverstöße, Haftungs- und Imageschäden zu vermeiden. Sie wirkt deshalb in alle Unternehmensbereiche hinein.
Das Compliance Management System umfasst sämtliche Maßnahmen, Strukturen und Prozesse, die ein Unternehmen oder eine Organisation einrichtet, um Gesetzestreue und Regelkonformität sicherzustellen.
Eine Pflicht zur Einrichtung eines Compliance Management Systems besteht in Deutschland bisher nur für Unternehmen der Finanz- und Versicherungsbranche. Börsennotierten Unternehmen wird im Deutschen Corporate Governance Kodex (DCGK) bisher nur rechtlich unverbindlich empfohlen, ein entsprechendes System einzurichten.
Woher kommt Compliance?
Die Ursprünge von Compliance gehen auf Skandale wie Watergate oder Lockheed in den 1970er und 1980-Jahren in den USA zurück. Die Skandale legten offen, dass die Bestechung von Politikern und Regierungsmitgliedern durch Unternehmen eine weit verbreitete Praxis war. In der Folge verabschiedeten die USA 1977 den „Foreign Corrupt Practices Act“ (FCPA), der Bestechungsgelder von Unternehmen an ausländische Regierungsvertreter offiziell für illegal erklärte.
Unternehmensskandale und Zusammenbrüche wie der von Enron im Jahr 2001 zogen erneut Rufe nach stärkerer Compliance und strikteren Regulierungen nach sich, vor allem für börsennotierte Unternehmen. Die größte Verschärfung brachte der „Sarbanes Oxley Act“ von 2002 mit sich, der das Top-Management von Unternehmen für die Genauigkeit von Finanzreports wesentlich stärker in die persönliche Verantwortung nahm.
Seitdem haben Regulierungen in den USA und Europa (UK Bribery Act, SAPIN II in Frankreich, die EU Whistleblowing Direktive) das Top-Managament veranlasst, mehr Wert auf Compliance und ethisches Vorgehen zu legen, Compliance-Abteilungen einzurichten und umfassende Compliance-Management-Systeme zu implementieren.
Von den Entwicklungen scheinbar gänzlich unberührt blieb lange Zeit der ehemalige Zahlungsabwickler Wirecard, der im Zuge eines milliardenschweren Bilanzskandals im Juni 2020 Insolvenz anmelden musste.
Automatisieren Sie schwerfällige Compliance-Prozesse, erkennen Sie Risiken frühzeitig – und erfüllen Sie so ganz einfach und zuverlässig alle gesetzlichen Vorschriften.
Welche Elemente gehören zu einem Compliance Management System?
Der DCGK macht nur sehr allgemeine Vorgaben zur Ausgestaltung eines Compliance Management Systems. Im Ausland gibt es dagegen schon detailliertere Empfehlungen, welche Elemente ein Compliance-Programm abdecken sollte. Als Richtlinien können zum Beispiel die Empfehlungen des US Department of Justice (DOJ) und die Erläuterungen im U.S. Foreign Corrupt Practices Act herangezogen werden. Auch der britische Bribery Act definiert Prinzipien für erfolgreiche Compliance.
Zu den wichtigsten Elementen eines Compliance Management Systems gehören:
Compliance-Risikoanalyse:
Sie ist der Ausgangspunkt für jedes Compliance-Programm. Hier werden Risiken erfasst und analysiert, um auf diesen Ergebnissen ein explizit auf das Unternehmen zugeschnittenes Compliance-Programm aufzubauen.
Compliance-Programm:
Ein Zusammenspiel aus Werkzeugen und Prozessen, die sicherstellen, dass sich Ihr Unternehmen an Regeln und Gesetze hält. Es deckt sowohl die Regelkonformität externer Vorgaben (Gesetze und Richtlinien) als auch interne Standards und Weisungen ab. Mithilfe digitaler Tools lassen sich Verstöße erkennen und Risiken identifizieren. Auch für den internen und externen Umgang mit Verstößen sind im Compliance-Programm Prozesse definiert. Für das Compliance-Programm müssen mehrere Grundlagen geschaffen werden:
- Compliance-Kultur und Kommunikation: Stellen Sie sicher, dass Integrität fester Bestandteil der Firmenkultur ist. Auf diese Weise sind Unternehmensethik und Gesetzesvorgaben keine leeren Punkte auf einer Checkliste, sondern gelebte Compliance-Kultur. Setzen Sie von der obersten Ebene herab ein Beispiel für das gesamte Unternehmen („Tone from the Top“) und stellen Sie sicher, dass von der Führungskraft bis zum Fachspezialisten alle verstehen, warum ein Compliance-Programm wichtig ist.
- Compliance-Richtlinien: Falls noch nicht geschehen, definieren Sie interne Richtlinien, die Ihren Mitarbeitern Leitlinien für das Verhalten am Arbeitsplatz an die Hand geben. Damit wird auch für die Arbeitnehmer transparent, welche Selbstverpflichtungen sich Ihr Unternehmen auferlegt. Die Richtlinien können je nach Unternehmensbranche variieren, zu den wichtigsten gehören aber ein Verhaltenskodex (Code of Conduct), eine Datenschutzrichtlinie, Vorgaben für die Gesundheit und Sicherheit am Arbeitsplatz, die Regelung von Arbeitszeiten, Abwesenheiten und Urlaub, Richtlinien zur Gleichberechtigung und zur Nutzung von Social Media.
- Compliance-Ziele: Definieren Sie klar den Zweck des Compliance-Programms und was es abdecken soll. Das dient nicht nur der offenen und transparenten internen Kommunikation und trägt zur Compliance-Kultur bei. Im Falle eines Verstoßes kann es Strafbehörden auch dazu dienen zu prüfen, ob das unternehmenseigene Compliance-Programm ausreichend ist – was sich wiederum strafmildernd auswirken kann.
- Compliance-Organisation: Legen Sie personelle Verantwortlichkeiten fest: Die Gesamtverantwortung für Compliance liegt zwar bei der Geschäftsführung. Es ist aber ratsam, eine Compliance-Abteilung einrichten, die einem Compliance-Officer untersteht. Die Abteilung braucht die nötigen Mittel (Budget, Personal, Weiterbildungen, Software und Tools), um die Etablierung von Compliance im gesamten Unternehmen zu gewährleisten.
- Compliance-Geschäftspartnerprüfungen: Nicht nur intern muss eine Risikoanalyse durchgeführt werden – auch durch Geschäftspartner können Ihrem Unternehmen Compliance- und Haftungsrisiken entstehen. Prüfen Sie deshalb auch Geschäftsbeziehungen und definieren auf Basis der Ergebnisse Richtlinien für die Zusammenarbeit.
- Compliance-Überwachung und Verbesserung: Um den Erfolg des Compliance-Programms zu gewährleisten, sollten Sie es regelmäßig überprüfen und nachbessern. Denn neue nationale und internationale Richtlinien oder interne Vorgaben können zusätzliche Prüfprozesse erfordern. Insgesamt ist es ratsam, das System regelmäßig auf Schwachstellen oder übersehene Risiken zu überprüfen.Die Überwachung und Prüfung werden leichter durch:
- Ein Compliance-Schulungskonzept: Führen Sie regelmäßig zielgruppengerechte Mitarbeiter-Schulungen durch. In vielen Bereichen reicht ein E-Learning, in denen z.B. über Regeln für Geschenke und Einladungen aufgeklärt wird. Für sensible Bereiche für Vertrieb oder Finanzen sowie für Führungskräfte lohnen sich fachbereichsspezifische Schulungen und Präsenzschulungen. Die Schulungen sollten regelmäßig aufgefrischt werden.
- Die Einführung eines Hinweisgeberschutzsystems: Richten Sie ein Tippsystem für Mitarbeiter ein, in dem sie auf Missstände hinweisen können. Anonyme Meldefunktionen erhöhen die Chancen, dass wertvolle Meldungen eingehen. Mit der EU-Whistleblowing-Richtlinie und deren Umsetzung in nationales Recht bis Ende 2021 werden Hinweisgeberschutzsysteme für Unternehmen ab 250 Mitarbeitern vorgeschrieben, Unternehmen mit 50-249 haben eine Übergangsfrist bis 2023.
- Nutzen Sie ein Compliance-Management-Tool: Eine Software erleichtert Ihnen das Compliance Management, in dem es alle wichtigen Workflows digital bündelt – vom Hinweisgebersystem bis zum Approval-Manager, in dem Geschenke und Einladungen freigegeben werden.
Wann lohnt sich ein digitales Compliance Management System?
Um Compliance-Officern und den Mitarbeitern in Compliance-Abteilungen die Arbeit zu erleichtern, hilft eine Software, die wichtige Prozesse an zentraler Stelle bündelt. Ob sich eine Compliance-Software für ein Unternehmen lohnt, hängt vor allem von den jeweiligen individuellen Compliance-Anforderungen ab: Verschiedene Branchen haben unterschiedlich komplexe Vorschriften – in manchen Industrien ändern sich diese Vorschriften regelmäßig, in anderen seltener.
Je komplexer die Compliance-Vorgaben in einer Branche, umso mehr lohnt sich eine Software. Vor allem auch dann, wenn die Gewährleistung von Compliance innerhalb des Unternehmens vom Kerngeschäft abzulenken droht. Auch die Vertrauenswürdigkeit kann mithilfe einer Compliance-Software gesteigert werden, weil Banken oder Geschäftspartner ihr Engagement unter Umständen vom Vorhandensein einer Compliance-Struktur abhängig machen.
Abhängig davon, wie viele Bereiche abgedeckt werden müssen, können auch nur einzelne Module statt eines gesamten Compliance Management Systems zum Einsatz kommen. Wichtig ist, dass die einzelnen Applikationen flexibel auf die Bedürfnisse des Unternehmens angepasst werden können. Ein Team von qualifizierten Beratern beim Softwareanbieter hilft bei der Integration und Bedienung – vor allem aber sollten Tools und Software für Mitarbeiter intuitiv bedienbar sein.
Wie hilft eine Software beim Compliance-Management?
Mithilfe einer digitalen Software können die Mitarbeiter der Compliance-Abteilung Berichte und Listen ohne großen Aufwand erstellen, um die Compliance-Arbeit regelmäßig zu prüfen, Risikoanalysen durchzuführen und das Programm wenn nötig nachzubessern.
Ein digitales Compliance Management System sorgt für lückenlose und revisionssichere Dokumentation aller Informationen, Richtlinien und Dokumente. Auf diese Weise wird die Compliance-Arbeit des Unternehmens transparent und nachvollziehbar – ein wichtiger Umstand für den Fall, dass es doch zu einem Verstoß kommt und die Compliance-Bemühungen von Behörden geprüft werden. Zudem schützt die revisionssichere Dokumentation vor Regressansprüchen.
Weitere wichtige Informationen zum internationalen Standard für Compliance Management Systeme finden Sie hier: ISO 37301
Welche Tools bringt ein Compliance Management System mit sich?
Das EQS Compliance COCKPIT wurde als digitale Compliance-Management-Software entwickelt, das mit diversen Applikationen die Compliance-Prozesse erleichtert: Mit Integrity Line können Unternehmen ein Hinweisgebersystem etablieren, das auf einem geschützten Kanal, anonym und DSGVO-konform aufgesetzt ist. Policies versammelt alle Richtlinien in einer zentralen Bibliothek, auf die Mitarbeiter jederzeit zugreifen können. Mit dem Approvals können individuelle Wertgrenzen für Geschenke und Einladungen je nach Land definiert werden.
In naher Zukunft wird das EQS Compliance COCKPIT um einen Risk Manager erweitert, der Compliance-Risiken aus verschiedenen Unternehmensbereichen erfasst und managt. Der Third Party Manager hilft bei der Geschäftspartner-Prüfung und EQS Intelligence trackt künftig Compliance-Ziele und erstellt aussagekräftige Berichte.
Wichtige Gebote für das Compliance Management System
Bei der Einführung eines Compliance Management Systems hilft es, sich einige Grundregeln vor Augen zu halten:
- Grundsatzfragen klären: Informieren Sie sich, ob Sie aus rechtlicher Sicht ein Compliance Management System brauchen, welche Inhalte es abdecken und wie es ausgestaltet werden sollte – und natürlich, wie Sie sicherstellen, dass es wirkt.
- Das Aufgabenfeld klar definieren: Compliance-Officer können nicht einfach Ausgaben aus der Rechtsabteilung übernehmen oder ersetzen. Legen Sie deshalb Verantwortungsbereiche und Berichtswege klar fest, um Ihr Compliance-Management transparent und verständlich zu definieren.
- Grundbewusstsein statt Paragrafenreiten: Es ist nicht Aufgabe der Mitarbeiter, jeden einzelnen Rechtsparagrafen zu kennen. Formulieren Sie die Richtlinien knapp und verständlich genug, um ein Grundbewusstsein für Compliance zu schaffen.
- Prozessintegration: Betten Sie Compliance-Prozesse in ihre Geschäftsprozesse ein – etwa indem Vorgaben zur Annahme von Geschenken und Einladungen auf den dazu genutzten Formularen vermerkt werden. Integrieren Sie die Compliance-Abteilung als Anlaufstelle, die bei Compliance-Fragen Auskunft geben kann.
- Regelmäßiger Austausch: Gutes Compliance-Management entsteht nicht nur aus ständig neu ausgegebenen Vorgaben, sondern im Austausch mit Mitarbeitern über Schulungen, Alltagsprozesse etc. So erhalten Sie einen Einblick, ob die Compliance im Unternehmen Akzeptanz findet und wie sich Vorgaben oder Richtlinien auf die praktische Umsetzung auswirken. Auch der Austausch mit Branchenorganisationen und Rechtsexperten kann Ihrem Unternehmen helfen, Praxistipps und Best Practices zu definieren.
- Unternehmensinterne Ressourcen nutzen: Bei der Ausgestaltung und dem Ausrollen der Compliance hilft der Austausch mit internen Abteilungen: Ihre Kommunikationsfachleute helfen bei der richtigen Ansprache der Mitarbeiter (zum Beispiel bei Richtlinien), die IT stellt den technischen Rahmen für E-Learning-Schulungen her, die Rechtsabteilung prüft kritische Themen. Vergessen Sie nicht, Ihren Betriebsrat einzubinden.
- Transparenz und Dokumentation: Transparenter Umgang mit kritischen Themen oder Verstößen nimmt ihnen schnell die Brisanz. Verbunden mit umfangreicher Dokumentation schützen Sie Ihr Unternehmen außerdem für den Fall, dass es nach einem Verstoß zu Prüfungen kommt.
- Effekte messen: Kurze, regelmäßige Umfragen unter den Mitarbeitern geben Ihnen ein Bild von der Akzeptanz Ihrer Compliance-Maßnahmen. Auf diese Weise können Sie Effekte messen und Teile des Programms nachbessern oder feinjustieren, wenn nötig.
Dieser Leitfaden erklärt übersichtlich, wie Sie erfolgreich eine Analyse der Compliance-Risiken in Ihrem Unternehmen durchführen