Inhalt
- Definition: Was versteht man unter Compliance Management?
- Was ist ein Compliance Management System?
- Welche Grundelemente gehören zu einem Compliance Management System?
- Welche Rollen haben Compliance Manager und Compliance Beauftragter?
- Welche Relevanz hat Compliance Management für Unternehmen?
- Sind alle Unternehmen dazu verpflichtet?
- Die wichtigsten Fragen zum Compliance Management
Viele Unternehmen stellen sich die Frage, ob sie ein auf Compliance bezogenes System entwickeln sollten. Der Gedanke dahinter ist, sich vor Verstößen gegen Gesetze und interne Richtlinien zu schützen. Der folgende Artikel bietet einen Überblick über den Aufbau von Compliance Management Systemen und nennt wichtige Aspekte, die in jeder Organisation bei Umsetzung von Compliance Management auftauchen können.
Definition: Was versteht man unter Compliance Management?
Compliance Management stellt ein Bündel aller eingesetzten Prozesse, Instrumente und Maßnahmen dar, mithilfe deren Unternehmen ein einheitliches Verhalten im Unternehmensalltag sicherstellen.
Die für alle Mitarbeiter und andere relevante Stakeholder verbindlichen Compliance Vorgaben beziehen sich nicht nur ausschließlich auf geltende Gesetze, die einzuhalten sind. Sie umfassen ebenfalls unternehmensinterne Vorschriften, die mit der gelebten Unternehmenskultur und strategischen Unternehmenszielen im Einklang stehen.
Des Weiteren deckt Compliance Management mögliche Regelverstöße ab und weist darauf hin, wie ein Unternemen bei denen vorgehen kann. Dabei wird ein Compliance Bereich definiert, der einerseits unternehmensspezifische Compliance Themen und andererseits branchenbezogene Compliance Risiken in den Fokus nimmt.
Was genau fällt unter den Begriff Compliance?
Der englische Begriff „Compliance” lässt sich mit „Einhaltung” übersetzen und ist weit gefasst. Dies liegt vor allem daran, dass es einzig und allein auf ein Unternehmen ankommt, was es unter einem regelkonformen Verhalten und dessen Einhaltung versteht. So kann Compliance Management beispielsweise die folgenden Aspekte regulieren:
- Datenschutz und Konformität mit der DSGVO
- Arbeitszeiterfassung und Abwesenheitsmanagement
- Korruption und Bestechlichkeit im internationalen Geschäftsverkehr
- Verbot von Diskriminierung und Mobbing am Arbeitsplatz
- Einhaltung von Umwelt- und Sozialstandards im Lieferantennetzwerk
- Soziale Verantwortung des Unternehmens
Was ist ein Compliance Management System?
Ein Compliance Management System, kurz CMS genannt, bildet eine fundamentale Basis für die Gesamtheit aller Regeln, die einheitliche Verhaltensstandards betreffen. Es gibt einen Steuerungsrahmen vor, in dem ein regelkonformes Verhalten in Unternehmen und Maßnahmen bei Verstößen gestaltet werden können.
Es gilt anzumerken, dass ein Compliance Management System der fortlaufenden Verbesserung und Anpassung an neue Gegebenheiten unterliegt. Dies erfolgt im Rahmen des sogenannten PDCA-Zyklus, der für vier Schritte „Plan Do Check Act” steht und ein bekanntes Modell zur Optimierung des Qualitätsmanagements in Unternehmen ist.
Welche Grundelemente gehören zu einem Compliance Management System?
Der Deutsche Corporate Governance Kodex (DCGK) bietet nur allgemeine Vorgaben hinsichtlich der Ausgestaltung eines Compliance Management Systems. Deswegen liegt es im Ermessen von Unternehmen, ein eigenes, auf interne Bedürfnisse ausgerichtetes CMS unter Berücksichtigung der aktuellen Gesetzeslage zu entwickeln. Die wichtigsten Grundelemente eines Compliance Management Systems sind:
Compliance Kultur
Die gelebte Kultur stellt das Fundament für ein gelungenes Compliance Management dar. Eine passende Strategie für interne Kommunikation und gemeinsame Werte in einem Unternehmen geben Mitarbeitern eine Orientierung, wie sie mit allen Regeln und Risiken umzugehen haben. Die Compliance Kultur kommt von der obersten Ebene („Tone from the Top“), deshalb ist eine Führungskräfteentwicklung im Rahmen dieses Anwendungsbereichs sehr wichtig.
Compliance Ziele
Jedes Compliance Management System verfolgt Ziele, die für eine hohe Transparenz und Übersichtlichkeit sorgen. Jede Unternehmensführung genauso wie andere Mitarbeiter sollten Zielvorgaben für ein internes CMS kennen und ihre täglichen Aktiviäten am Arbeitsplatz auf diese ausrichten. Kommt es zu Compliance Verstößen, kann ein Compliance Officer und sein Team prüfen, ob die gesetzten Ziele ausreichend sind.
Compliance Risiken
Es gibt kein Compliance Management ohne eine sorgfältige Risikoanalyse, die einerseits individuelle Anforderungen eines Unternehmens und andererseits branchenbezogene Herausforderungen berücksichtigt. Neben einer detaillierten Auflistung von Risiken gehören auch deren ständige Überwachung, Bewertung und Dokumentation zu jenen Unterstützungsmaßnahmen, die im Rahmen der Compliance Risk Assessment Erstellung nicht fehlen dürfen.
Compliance Programm
Ein Compliance Programm dient dazu, die grundsätzlichen Prozesse, Strukturen und Richtlinien einzuführen mit dem Ziel, ein gut funktionierendes Compliance Management zu gewährleisten. Es deckt einerseits externe Vorgaben ab, die auf eine strikte Befolgung der Gesetze ausgerichtet sind. Andererseits bezieht es sich auf interne Standards, auf deren Basis das Unternehmensleben gestaltet wird. Digitale CMS Tools fördern die Compliance Arbeit.
Compliance Organisation
Die alleinige Verantwortung für die gesetzeskonforme Compliance Politik und Maßnahmen zur Einhaltung vorgegebener Richtlinien liegt bei der Unternehmensführung. Diese kann jedoch eine Compliance Abteilung gründen und deren Aktivitäten einem Compliance Officer unterstellen. Für eine reibungslose Compliance Organisation bedarf es ausreichender Ressourcen wie Budget, Mitarbeiter, Schulungen, Kommunikation- und IT-Tools.
Compliance Kommunikation
Compliance Management kann nur dann einen vollen Erfolg erzielen, wenn Richtlinien richtig kommuniziert werden. Zuallererst ist es wichtig, dass ein CMS allen Mitarbeitern zum Beispiel im Rahmen einer Schulung vorgestellt wird. Außerdem muss die Suche nach relevanten Informationen so einfach wie möglich gestaltet werden. Nicht zuletzt sollten die interessierten Mitarbeiter ihre Vorschläge zur Verbesserung des Compliance Management Systems einbringen können.
Compliance Überwachung und Verbesserung
Um den Erfolg von Compliance Management System sicherzustellen, gilt es dieses regelmäßig zu überprüfen und – wenn notwendig – an neue Gegebenheiten anzupassen. Nur dann lassen sich Verstöße gegen die Compliance schnell erkennen und beheben. In diesem Zusammenhang werden oft bereichsspezifische Schulungen zur Sensibilisierung der Mitarbeiter und ein Hinweisgeberschutzsystem mit einer anonymen Meldefunktion eingesetzt.
- Dienstpläne erstellen
- Arbeitszeiten erfassen
- Urlaub planen
- Lohnabrechnungen erstellen
- Arbeitsdaten analysieren
Welche Rollen haben Compliance Manager und Compliance Beauftragter?
Grundsätzlich liegt die Verantwortung für die fehlerfreie Einrichtung, die fortlaufende Überwachung sowie die maßgeschneiderte Optimierung des CMS bei der Unternehmensführung. Diese kann wichtige Aufgaben an einen Compliance Manager oder Compliance Beauftragten übertragen. Aus diesem Grund sind Mitarbeiter, die diese Compliance Funktion erfüllen, oft als „verlängerter Arm” der Unternehmensleitung in Sachen Compliance angesehen.
Ihre Hauptaufgaben umfassen unter anderem:
- Risikoanalyse in relevanten Bereichen (zum Beispiel IT, Recht, Produkt)
- Definition einheitlicher Regelungen im Unternehmen
- Organisation und Implementierung von Compliance Management Systemen
- Erarbeitung eines Codes of Conduct
- Durchführung von Mitarbeiterschulungen
- Vermeidung von Haftungs- und Schadensfällen für das Unternehmen
- Überwachung der Befolgung von Compliance Regeln
Welche Relevanz hat Compliance Management für Unternehmen?
Ein regelwidriges Verhalten seitens der Unternehmensleitung, Mitarbeiter oder anderer relevanter Stakeholder (zum Beispiel Geschäftspartner und Lieferanten) zieht nach sich mehrere negative Folgen.
So können grobe Verstöße gegen einen Code of Conduct zu finanziellen Verlusten und unter Umständen auch zu rechtlichen Problemen führen. Außerdem muss man sich dessen bewusst sein, dass Regelverstöße das Image eines Unternehmens und seine Marke gefährden können. Nicht zuletzt kann ein Unternehmen aufgrund von Compliance Verstößen bei der Vergabe von öffentlichen Aufträgen oder bei Verhandlungen mit Investoren Nachteile erfahren.
Deswegen ist ein implementiertes und gut funktionierendes Compliance Management System ein Muss für all jene Unternehmen, die sich vor schwerwiegenden Konsequenzen umfassend schützen wollen.
Vorteile von CMS auf einen Blick
- Transparente Compliance Prozesse
- Aktive Prävention und Behebung von Verstößen
- Höhere Mitarbeitermotivation
- Positive Außendarstellung des Unternemens
- Bessere Verhandlungsposition bei Investoren und Geschäftspartnern
- Starke Arbeitgebermarke
Sind alle Unternehmen dazu verpflichtet?
Ob Compliance Regeln und Instrumente für deren Kontrolle eingeführt werden müssen oder nicht, hängt von der Art eines Unternehmens ab. Dabei gilt Folgendes:
- Börsennotierte Unternehmen in Deutschland: Sie müssen sich an die Vorgaben des Deutschen Corporate Governance Kodex (DCGK) halten. Dieser hat zum Ziel, jeder Organisationsleitung bei der Einhaltung gewisser Standards in Unternehmen eine solide Unterstützung zu bieten.
- International agierende Unternehmen: Sie sind dazu verpflichtet, internationalen Richtlinien zu folgen. Diese können von Land zu Land variieren, deswegen ist es erforderlich, auf die Gegebenheiten des Marktes im Ausland zu achten. Zum Beispiel müssen Unternehmen in Großbritannien gemäß dem UK Bribary Act handeln.
- Familienunternehmen: Sie können freiwillig dem seit 2004 existierenden Governance Kodex für Familienunternehmen (abgekürzt GKFU) beitreten. Hier ist die Rede von einem freiwilligen Leitfaden für die verantwortungsvolle Führung von Familienunternehmen. Im Mai 2021 wurde seine vierte Auflage veröffentlicht.
- Kleine und mittlere Unternehmen (KMU): Für sie besteht keine Verpflichtung in Bezug auf die Einführung von Compliance Regeln. Allerdings lohnt es sich, die wichtigsten Gebote und Risiken zu kennen. Die in KMU am meisten vernachlässigten Aspekte sind die IT Compliance sowie Cyber und Mobile Security.
Exkurs: „Whistleblowing-Richtlinie”
Bei der umgangssprachlich genannten „Whistleblowing-Richtlinie” handelt es sich um die am 23. Oktober 2019 beschlossene Richtlinie des Europäischen Parlaments und des Rates „zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden“. Das Hauptziel dieser EU-Richtlinie ist es, das Unionsrecht durch eine einheitliche Definition von Mindeststandards besser durchzusetzen.
Zu diesem Zweck werden Unternehmen mit mehr als 50 Beschäftigten dazu verpflichtet, ein Hinweisgebersystem einzurichten. Optimalerweise verfügt es über eine reibungslos funktionierende (interne) Meldestelle, bei der Mitarbeiter schnell und anonym Compliance Verstöße melden können. Unternehmen, die in der Finanzdienstleistungsbranche tätig sind, müssen unabhängig von deren Größe ein Hinweisgebersystem als Bestandteil des CMS einführen.
Die wichtigsten Fragen zum Compliance Management
Was ist Compliance Management?
Compliance Management schließt alle Prozesse, Instrumente und Maßnahmen ein, die zur Schaffung verbindlicher Standards im Unternehmen verwendet werden. Diese müssen nicht nur mit strategischen Unternehmenszielen und der gelebten Unternehmensphilosophie vereinbar sein. Auch geltende Gesetze in Deutschland und im Ausland (bei Teilnahme am internationalen Geschäftsverkehr) müssen Beachtung finden.
Wie wirken sich Verstöße gegen die Compliance aus?
Vorsätzliche oder fahrlässige Verstöße gegen unternehmensinterne Richtlinien und geltende Gesetze können zu rechtlichen Auseinandersetzungen und kostspieligen Sanktionen führen. Außerdem haben sie einen negativen Einfluss auf das Image eines Unternehmens und damit einhergehend auf seine Marktposition. Beim Compliance Management nimmt daher die Prävention einen hohen Stellenwert ein.
Hat Compliance Management eine rechtliche Bedeutung?
Die Antwort lautet Ja. Gemäß dem Urteil des Bundesgerichtshofes (BGH) vom 9. Mai 2017 kann ein effizientes Compliance Management System bei der Bemessung einer Sanktion mindernd berücksichtigt werden. Normverstöße und regelwidriges Handeln im Unternehmen können schwerwiegende Folgen haben. Um nur ein Beispiel zu nennen: Ein Ex-Finanzvorstand eines großen DAX-Unternehmens wurde wegen Verfehlungen beim Compliance Management zum Schadenersatz in Millionenhöhe verurteilt.
Kann man Compliance Management zertifizieren?
Es ist möglich, Compliance Management Systeme nach der Norm IDW PS 980, die vom Institut der Wirtschaftsprüfer in Deutschland e.V. entwickelt wurde, zu zertifizieren. Auch eine Internationale Norm (ISO 19600), die als deutsche DIN-Norm übernommen worden ist, kann seit Dezember 2014 eingesetzt werden. Diese bietet allerdings keine Zertifizierungen für Compliance Management an.
Ist Compliance Management für alle Unternehmen Pflicht?
Nur börsennotierte Unternehmen in Deutschland müssen die Vorgaben des DCGK einhalten. Für Unternehmen, die international agieren, gelten hingegen internationale Richtlinien. Demgegenüber können Familienunternehmen dem entsprechenden Governance Kodex freiwillig beitreten. Wichtig: Es gibt für kleine und mittlere Unternehmen (KMU) keine Verpflichtung, Compliance Management Systeme einzuführen.