Wie ein Compliance Management System Unternehmen vor Compliance Verstößen schützt
Die Einführung eines funktionierenden Compliance Management Systems (CMS) in Unternehmen soll Firmen dabei helfen, sich vor Geldstrafen und Imageschäden langfristig zu schützen. Wiederkehrende Fälle von Compliance Verstößen zeigen: Vielen Unternehmen ist die Relevanz eines CMS und deren positiven Auswirkungen nicht bewusst.
Bereits 2013 hat das Landgericht München in seinem Urteil bestätigt, dass Geschäftsführer selbst für die Einführung und Pflege eines CMS verantwortlich sind. Auch in diesem Bezug gilt also das altbekannte Sprichwort: Unwissenheit schützt vor Strafe nicht.
In diesem Beitrag erfahren Sie, was ein Compliance Management System genau ist und welche Bestandteile zu einer zielgerichteten Implementierung gehören. Auf diese Weise können Unternehmen und vor allem verantwortliche Geschäftsführer, Haftungsrisiken ausräumen oder zumindest reduzieren.
Was ist ein Compliance Management System?
Ein Compliance Management System (kurz: CMS) ist ein integriertes System, das aus schriftlichen Dokumenten, Funktionen, Prozessen, Kontrollen und Tools besteht. Diese Instrumente sollen einem Unternehmen helfen, gesetzliche Anforderungen zu erfüllen und potenzielle Schäden aufgrund von Gesetzesverstößen zu minimieren.
Grundsätzlich unterstützt ein Compliance Management System Unternehmen bei der Einhaltung von Gesetzen und branchenspezifischen Regelungen. Diese Regelungen dienen meist der Sicherheit und einem ordnungsgemäßen Geschäftsbetrieb.
Prinzipiell baut ein CMS damit auf den folgenden drei Grundpfeilern auf:
- Risiken für Regelverstöße frühzeitig erkennen
- Vermeidung von Regelverstößen ermöglichen
- Angepasste Reaktionen und Maßnahmen bei Verstößen anwenden
Der Umfang eines Compliance Management System hängt unter anderem von der Größe des Unternehmens, den Zielen des Unternehmens sowie den (regionalen) Tätigkeitsbereichen des Unternehmens ab.
So hat ein mittelständischer Handwerksbetrieb mit einem lokal begrenztem Wirkungsbereich weniger anspruchsvolle Compliance Regelungen zu erfüllen, als ein international agierender DAX-Konzern, der den Gesetzen verschiedener Länder und Tätigkeitsbereichen entsprechen muss.
Ein gut aufgebautes Compliance Management System ist in jedem Funktionsbereich eines Unternehmens eingewoben, vom Vertrieb über die Werbung bis hin zu Betrieb und Verwaltung. Auf diese Weise kann ein CMS die für Unternehmen relevanten Risiken proaktiv angehen und gleichzeitig mehrere gesetzliche Anforderungen erfüllen.
Wesentliche Bestandteile
Damit ein funktionierendes Compliance Management System aufgebaut werden kann, ist vor allem eine einheitliche Compliance Kultur notwendig. In der Regel wird diese Compliance Kultur an der Spitze des Unternehmens gebildet. Entsprechend gilt zumindest in den Anfängen der CMS Einführung ein “tone from the top”. Vorstand und Geschäftsführung sind gefordert, aufrichtiges Engagement für den Einsatz und die Umsetzung des CMS aufzubringen. Auf diese Weise können Unternehmen ein firmenweites Engagement für die neu entstehende Compliance Kultur besser etablieren.
Grundlage der Implementierung eines Compliance Programms ist eine umfängliche Risikoanalyse zu Beginn des Prozesses. In dieser Analyse sollten Unternehmen vorab überprüfen, welchen Gesetzen und Regelungen sie gerecht werden müssen. Teil der Risikoanalyse ist auch die Definition von unternehmensspezifischen ethischen und moralischen Grundsätzen. Ein Compliance Risiko entsteht, wenn Firmen Gefahr laufen, gegen die vorab definierten Regularien und Gesetze zu verstoßen.
Die Unternehmensberatung Deloitte hat in einer Studie zur “Future of Compliance” die folgenden Bereiche identifizieren können, die ein großes Potential für Compliance-Risiken darstellen
Diese Teilbereiche bieten einen ersten Startpunkt, um die notwendigen Ressourcen zur Einhaltung der Compliance bestmöglich auf die Risikofelder aufzuteilen. Je nach Unternehmen können die Risikofelder von den oben genannten abweichen.
Wichtig: Eine initiale Risikoanalyse ersetzt kein fortlaufendes Risikomanagement. Bei der Erweiterung von Geschäftsbereichen oder den Eintritt in neue Länder können neue Compliance Risiken auftreten. Auch bereits erfasste Risiken sollten in regelmäßigen Abständen neu evaluiert werden, um deren Eintrittswahrscheinlichkeit und Schadenshöhe ggf. zu revidieren.
Bereits früh im Prozess der Einbindung sollte eine offene Unternehmenskommunikation (Compliance Kommunikation) gepflegt werden. Bei der Kommunikation soll es nicht nur darum gehen, die Mitarbeiter über den sich entwickelnden Prozess zu informieren. Stattdessen ist es wichtig, dass Strukturen gegeben sind, die es Mitarbeitern ermöglichen, offen über etwaige Compliance Verstöße zu sprechen.
Als unterstützende Maßnahme ist dazu die Einführung eines Hinweisgebersystems notwendig.
Ein Hinweisgebersystem bietet sich als zusätzliche Informationsquellen an, um Bedenken oder Berichte über Compliance Verstöße von Mitarbeitern einzuholen. Mitarbeiter haben auf diese Weise die Möglichkeit, anonym Hinweise zu geben oder Rückfragen zu Compliance Themen zu stellen. Zu diesem Zweck stellt das Hinweisgebersystem einen wichtigen Bestandteil des Compliance Management Systems dar.
Im Anschluss an die Klärung der Compliance-Risiken und Pflichten sollten Unternehmen Compliance Standards festlegen. Die Standards sollten in Form von kurzen Handlungsanweisungen dokumentiert werden, um sie empfängerorientiert für Mitarbeiter zu gestalten. Nur so kann eine effektive Verbreitung und Einhaltung der Standards im Unternehmen wirksam gefördert werden.
Dokumentation der CMS Maßnahmen
Um sicherzustellen, dass Unternehmen ein wirksames CMS eingeführt haben, ist eine kontinuierliche Dokumentation der ergriffenen Maßnahmen notwendig.
Dabei sollten Unternehmen nicht vergessen, eine einheitliche Dokumentationsform festzulegen: Sollen Maßnahmen in einem einfachen Word Dokument festgehalten werden oder soll auf die Verwendung von spezialisierter CMS Software zurückgegriffen werden?
Teil der CMS Dokumentation sollten relevante Dokumente wie Aufzeichnungen von Compliance Audits oder durchgeführter Risikoanalysen sein, wie auch Rechtsquellen, aus deren Gesetze sich Compliance Standards ergeben.
Auch hier gilt: Der genaue Umfang der Dokumentation ergibt sich aus den individuellen Anforderungen und Tätigkeitsbereichen der Unternehmen.
Wirksamkeit des CMS überprüfen
Nach der Einführung von Maßnahmen, die das CMS stärken sollen, ist eine regelmäßige Erfolgskontrolle unabdinglich. Auf dieser Grundlage sind Unternehmen in der Lage, eventuelle Korrekturen zeitnah vorzunehmen, um die Einhaltung des Compliance Programms zu gewährleisten.
Hierfür gibt es die Möglichkeit einer externen Prüfung durch Berater und Prüfer, die entsprechend verschiedener Normen die Fähigkeiten des CMS untersuchen. Alternativ können Unternehmen auf eine interne Revision zurückgreifen. Im Internet kursieren viele frei verfügbare Checklisten und Vorlagen, die einen guten Startpunkt für die interne Revision des CMS bieten.
Ein weiteres Werkzeug zur Qualitätsprüfung des CMS ist der Entwurf von sog. Compliance Perception Surveys, die sich auf direktes Feedback der Mitarbeiter berufen.
CMS Tools für Unternehmen
CMS Software unterstützt Unternehmen bei der Organisation von einzuhaltenden Compliance Standards. In dieser Funktion stellt die richtige Software eine nützliche Hilfestellung zur Dokumentation der CMS Maßnahmen dar und hilft, Prozesse zielgerichtet zu strukturieren.
otris
otris compliance ist ein Werkzeug zur operativen Umsetzung des Compliance-Programms. Die Software verankert definierte Compliance-Prozesse im Unternehmen. Sie hilft dabei, Richtlinien zu verteilen, Verantwortlichkeiten zu dokumentieren, Risiken zu identifizieren und Maßnahmen schlussendlich durchzuführen. In dieser Funktion unterstützt diese Software als Steuerungs- und Dokumentationsplattform die Compliance Verantwortung in Unternehmen.
Quentic
Quentic Legal Compliance unterstützt Organisationen “durch den Paragrafen-Dschungel”. Mit dieser Software können Unternehmen ihre Sorgfaltspflichten erfüllen, die sich aus den Bestimmungen aus Arbeitsschutz- und Umweltrecht ergeben. Auf diese Weise bietet Quentic eine effiziente Lösung, um das Haftungsrisiko für Unternehmen auf ein Minimum zu reduzieren.
abas
Auf Grundlage modularer Services bietet abas Unternehmen Software an, die sich über verschiedene Bereiche von Firmen erstreckt. Die ERP-Lösungen von abas schaffen die Ausgangsbasis für Gesetzeskonformität und ermöglichen es gleichzeitig, die Aufwände auf ein vertretbares Maß zu beschränken. Insbesondere das Modul “Business Process Management” bietet die Möglichkeit, Workflows zu visualisieren und kontinuierlich zu optimieren. Wiederkehrende Risikoanalysen als wesentlicher Bestandteil des CMS können so automatisiert werden und durch Trigger-Funktionen den verantwortlichen Mitarbeitern zugeteilt werden.
Vorteile und Fallstricke
Es wird zunehmend deutlich: Im heutigen regulatorischen Umfeld ist ein Compliance-Management-System praktisch obligatorisch. Es gehen zahlreiche Vorteile mit der Einführung eines CMS einher. Falsch aufgesetzte oder gar fehlende Prozesse innerhalb des CMS können jedoch die Effizienz drastisch mindern.
Ein CMS ist wirtschaftlich sinnvoll
Vor allem erwirkt das CMS gegenüber Geschäftspartnern und Stakeholdern den Nachweis, dass ein System zur Einhaltung von Gesetzen und ethischen Werten aufgebaut worden ist. Dieser Nachweis steigert nicht nur das Vertrauen in Unternehmen, sondern hat weitere messbare Vorteile.
Ein gut konzipiertes und angewandtes Compliance Management System minimiert Zeit, Geld und Ärger, die Firmen für die Einhaltung gesetzlich-moralischer Vorgaben aufwenden müssen.
Damit einher geht das zusätzliche Vertrauen, das Investoren und Versicherungen gegenüber Unternehmen aufbauen. Nachweislich implementierte CMS führen auf diese Weise zu geringeren Versicherungskosten und besseren Finanzierungskonditionen.
Auch das gewonnene Vertrauen von Kunden und Geschäftspartnern äußert sich in einer größeren Bereitschaft, gemeinsame Geschäfte abzuschließen und wertet mögliche Zweifel frühzeitig ab. Mittlerweile wird bei Ausschreibungen oft ein bestehendes Compliance Management System von Kunden vorausgesetzt.
Nicht zuletzt wirkt sich eine stringente CMS Führung auch positiv auf die Mitarbeitermotivation aus, etwa wenn es um die Einhaltung von Arbeitsschutzgesetzen geht.
Die Studie “Compliance im Mittelstand” aus dem Jahr 2014 hat darüber hinaus die folgenden Motive identifiziert, die den Einsatz eines Compliance Management Systems in Unternehmen sinnvoll begründen:
Fallstricke
Bei aller Relevanz der Einhaltung von Gesetzen und Regularien besteht das hauptsächliche Ziel von Unternehmen noch immer darin, Gewinne zu erzielen. Dieser Fokus kann jedoch dazu führen, dass Unternehmen bei der Einführung des CMS wesentliche Faktoren falsch oder gar nicht berücksichtigen.
Fehlende Dokumentation der Maßnahmen ist einer dieser Aspekte. Fehlt der Nachweis über eingeführte Maßnahmen oder eine Dokumentation regelmäßiger Risikoanalysen und Compliance Audits, so kann der eigentliche Vorteil des Compliance Management Systems in den Hintergrund rücken. Bei einem Compliance Verstoß kann eine Senkung der Haftungsrisiken entfallen. Vor dem Hintergrund unstrittiger Kosten, die mit einem CMS einhergehen, ist dies fatal.
Auch falscher Perfektionismus beim CMS kann die Effektivität einschränken. Unternehmen sollten sich auf die wesentlichen Compliance-Risiken beschränken und nicht versuchen, alle denkbaren Risiken auszumerzen.
Zudem sollte nicht jeder kleinste Compliance-Verstoß bis ins letzte Detail aufgeklärt werden müssen. Da geringfügige Verstöße von den Strafverfolgungsbehörden in der Regel eingestellt werden, sollten auch Unternehmen sich auf wesentliche Verletzungen spezifischer Compliance Standards und moralischer Werte konzentrieren.
Geringfügige Verletzungen des Arbeitszeitgesetzes beispielsweise sind im Einzelfall und bei fehlender Regelmäßigkeit tendenziell weniger stark zu berücksichtigen.
Der Fokus sollte eher auf Verstöße von Antikorruptionsrichtlinien, Wettbewerbsbeschränkungen oder branchenspezifischen Regularien gelegt werden, bei denen der potenzielle Schaden schwerer wiegt.
Wann genau eine Geringfügigkeit vorliegt und auf welche Bereiche Unternehmen den Fokus platzieren sollten, können im Zweifelsfall ausschließlich Fachanwälte beantworten.
CMS richtig einführen
Anstelle von detaillierten und langweiligen Richtlinien zu Compliance Standards und Verhaltensweisen sollten Unternehmen sich darauf beschränken, Mitarbeitern Zusammenfassungen der Beschlüsse bereitzustellen.
Es gilt: Die Informationen sollten empfängerorientiert aufbereitet werden. Die wenigsten Mitarbeitern sind bereit, oder gar in der Lage, juristische Verklausulierungen sinngemäß aufzunehmen.
Verantwortliche Entscheider sollten Mitarbeiter nicht mit allen Informationen zum geplanten Compliance Programm erschlagen. Stattdessen sollten Sie ein stetiges “Grundrauschen” aufbauen, dass die Relevanz und Einhaltung des Compliance Management Systems ganzjährig fördert.
So sorgen Mitarbeiter-Schulungen in Form von E-Learnings im ersten Schritt dafür, ein allgemeines Bewusstsein für die Thematik zu schaffen. Schulungen in Themen wie Korruptionsprävention, Exportkontrolle oder dem AGG klären Mitarbeiter auf, in welchen Bereichen eines Unternehmens Compliance-Verstöße auftreten können. Vielen Mitarbeitern etwa ist nicht bekannt, dass der Erhalt von Geschenken nicht nur eine lieb gemeinte Aufmerksamkeit sein, sondern sie auch in ihrer Entscheidungsfähigkeit beeinflussen kann.
Auf Basis des erlangten Wissens wird die Aufmerksamkeit von Mitarbeitern für kritische Situationen geschärft und sie haben die Möglichkeit, in Zweifelsfällen Rückfragen zu stellen. Somit können Mitarbeiter eine lebendige Compliance Kultur aktiv mitgestalten und Unternehmen vor Compliance Verstößen schützen.
