Verstöße gegen Compliance-Vorschriften verursachen hohe Image-Einbußen und Geldstrafen über mehrere Millionen. Um dies zu verhindern, kann ein effektives Compliance Management System (CMS) helfen. Vielen Unternehmen ist die Leistungsfähigkeit eines solchen Programms noch nicht bewusst oder es fehlt an der konsequenten Umsetzung. Wir erläutern Ihnen, wie Sie ein wirksames Compliance Management System in Ihrem Unternehmen implementieren und damit Ihr Haftungsrisiko reduzieren oder gar ausschließen. 

Tipp: Sie wollen Mitarbeiter effizient in Compliance-Themen unterweisen. Dann informieren Sie sich über unser Online-Compliance-Training und fordern Sie eine kostenlose Live-Demo an.

CMS_Säulen


1. Was ist ein Compliance Management System (CMS)?

Alle Grundsätze und Maßnahmen, die ein Unternehmen festlegt, um die Einhaltung von Gesetzen und unternehmensspezifischen Regeln sicherzustellen, sind Bestandteil des Compliance Management Systems (CMS).

Es umfasst Kontrollmechanismen zur Prävention, frühzeitigen Aufdeckung und Verhinderung von Verstößen, die Dokumentation der Abläufe und einzelner Vorfälle, die Berichterstattung an Aufsichtsgremien sowie die Schulung von Mitarbeitern auf unterschiedlichen Ebenen. Dabei bedürfen das Risikoumfeld des Unternehmens und die Wirksamkeit der eingerichteten Maßnahmen einer fortlaufenden Überprüfung.

Die konkrete Ausgestaltung eines CMS erfolgt individuell und ist von folgenden Faktoren abhängig:

  • Größe und Struktur des Unternehmens
  • Art der Tätigkeit
  • Regionen, in denen das Unternehmen tätig ist
  • angebotene Produkte
  • angewandte Prozesse
  • Umfeld und den sich verändernden Anforderungen
  • spezifische Risike, mit denen das Unternehmen konfrontiert ist
  • besondere Ziele des Unternehmens

Das CMS liegt in der Verantwortung der obersten Leitungsebene und weist Berührungspunkte mit anderen Management-Systemen auf, wie etwa Corporate Governance, Risikomanagement, Qualitätsmanagement, Umweltmanagement oder Nachhaltigkeitsmanagement.

2. Vernachlässigung von Compliance in Unternehmen

Obwohl immer wieder prominente Konzerne durch grobe Regelverstöße ins Licht der Öffentlichkeit geraten – etwa aufgrund von Preisabsprachen oder Korruption – sind sich viele Unternehmen der Dringlichkeit von Compliance-Maßnahmen nicht bewusst oder setzen diese nur halbherzig um.

Zu diesem Ergebnis kommt eine aktuelle Studie der Hochschule für angewandte Wissenschaften Würzburg-Schweinfurt.

Demnach hat sich jedes fünfte der befragten Unternehmen noch gar nicht mit dem Thema Compliance auseinandergesetzt. Gleichzeitig fehlt es in den Unternehmen, die Compliance-Maßnahmen eingeführt haben, häufig an der notwendigen Überwachung.

Nur knapp 70 Prozent der Studienteilnehmer führen regelmäßige Kontrollen durch und gerade einmal die Hälfte hat Prozesse für den Umgang mit Regelverstößen definiert.

Genauso schlimm steht es um die Mitarbeiter: In der Belegschaft ist das Thema Compliance weitgehend unbeachtet oder gar unbekannt. Die Umfrage ergab, dass lediglich 36 Prozent der Mitarbeiter die bestehenden Compliance-Regeln in Ihrem Unternehmen kennen und beachten.

Fast ein Viertel von ihnen hatte nicht einmal eine Vorstellung davon, was sich hinter dem Begriff Compliance verbirgt.

 

Compliance-Arbeitsplatz

Quelle: „Compliance-Regeln am Arbeitsplatz Umfrage 2015.  n=169 Unternehmen (repräsentativer Querschnitt). Recommind“

Compliance-Verstöße bergen ein enormes Risiko:

  1. Für das Unternehmen: Bußgelder, Schadensersatz, Imageschaden, Umsatzeinbußen, Rücknahme von Genehmigungen, etc.
  2. Für Unternehmensangehörige: Bußgelder, Schadensersatz, Haftstrafe, Jobverlust, Gesichtsverlust, etc.
  3. Für andere Personen: Gefahr für Eigentum sowie Leib und Leben von Kollegen und Dritten (Kunden, Geschäftspartner, Passanten, etc.)

3. Nutzen eines effektiven Compliance Management Systems (CMS)

Ziel des CMS ist es, in einem Unternehmen systematisch die Voraussetzungen dafür zu schaffen, dass die definierten Compliance-Anforderungen in allen relevanten Geschäftsprozessen eingehalten und so Regelverstöße vermieden werden.

Zudem sorgt es dafür, dass dennoch eingetretene Verstöße rechtzeitig erkannt und gezielt behandelt werden können.

Ein CMS ist demnach auf drei Säulen aufgebaut: Vermeidung, Früherkennung und Reaktion. Dieses Modell hat sich als Rahmen für die Umsetzung von Compliance in Unternehmen durchgesetzt.

Ein CMS schafft eine Kultur, die ein rechtskonformes und an den Unternehmenswerten orientiertes Verhalten von Führungskräften und Mitarbeitern fördert.

Zudem erlaubt ein CMS, gegenüber Geschäftspartnern und Stakeholdern den Nachweis zu erbringen, dass entsprechende Strukturen zur Einhaltung gesetzlicher Regelungen und ethischer Werte geschaffen wurden.

Aus der wirksamen Umsetzung und transparenten Kommunikation eines CMS innerhalb des Unternehmens und nach außen hin ergeben sich zudem weitere Chancen:

Das erzeugte Vertrauen bei Stakeholdern kann sich positiv auf die Geschäftsbeziehungen auswirken und etwa die Kundenbindung oder die Mitarbeitermotivation erhöhen.

Mit dem Einsatz eines professionellen CMS liefern Unternehmen den Beweis dafür, dass sie ihren Pflichten nachkommen möchten, und verringern so ihr Haftungsrisiko enorm.

CMS_Säulen

4. Anforderungen an Ihr Compliance Management System (CMS)

Das CMS ist in Form und Ausgestaltung vom Gesetz her nicht näher bestimmt. In den vergangenen Jahren wurden allerdings zahlreiche nationale und internationale Standards entwickelt:

Die wesentlichen Mindestanforderungen an ein CMS im deutschsprachigen Raum sind in den „Grundsätzen ordnungsmäßiger Prüfung von Compliance-Management-Systemen“ (IDW PS 980) geregelt, die 2011 vom Institut der Wirtschaftsprüfer veröffentlicht wurde.

Unternehmen, die ein CMS implementieren möchten, sollten sicherstellen, dass die 7 Grundelemente des Prüfungsstandards berücksichtigt werden. Die Art und Weise der Umsetzung ist dabei nicht festgelegt.

Vielmehr sollen die Elemente als Arbeitsgrundlage und Hilfestellung für die individuelle Ausgestaltung des unternehmenseigenen CMS dienen. Die Prüfung des CMS durch einen externen Wirtschaftsprüfer ist freiwillig.

Seit Dezember 2014 existiert eine internationale Norm, die ISO 19600, nach der CMS zertifiziert werden können. Sie ist unabhängig von Unternehmensgröße, Unternehmensform, Branche oder Aufgabenstellung anwendbar.

Sie macht die Leistungserbringung transparenter und schafft somit Vertrauen in deren Qualität. Mit dieser Zertifizierung kann ein Unternehmen gegenüber seinen Geschäftspartnern weltweit belegen, dass es seine Prozesse auf Regelkonformität ausgerichtet hat.

5. So implementieren Sie ein Compliance Management System (CMS)

Compliance-Maßnahmen erfolgen nicht isoliert. Vielmehr müssen sie in die administrativen und operativen Abläufe des Unternehmens integriert werden. Dies erfordert eine systematische Herangehensweise.

Die Verantwortung für die Einrichtung, Aufrechterhaltung, Bewertung und ständige Verbesserung des CMS liegt bei der Geschäftsleitung.

Eine Möglichkeit Compliance-Maßnahmen zu entwickeln, ist die Orientierung an den Grundpfeilern eines effektiven Compliance Management Systems (Vermeidung, Früherkennung, Reaktion).

Versuchen Sie präventiv und zielgerichtet zu handeln, in dem Sie Fehlverhalten ausschließen, Risikofaktoren für Ihre Compliance-Strukturen frühzeitig identifizieren, und passende Reaktionen bei Regelverstößen gegen Compliance-Regeln entwickeln.

Die Umsetzung dieser Grundpfeiler in den Arbeitsprozess erfolgt fließend. Im Folgenden haben wir 10 Regeln zusammengestellt, die Ihnen helfen können, ein funktionierendes Compliance Management System zu integrieren.

1. Legen Sie Compliance als Unternehmensziel fest

Bekennen Sie sich ausdrücklich zu rechtskonformem Handeln und treffen Sie die klare Entscheidung, ein CMS einzuführen. Dieser so genannte Tone from the Top prägt das Bewusstsein der Mitarbeiter.

Er trägt zur Verfestigung einer auf Compliance ausgerichteten Unternehmenskultur bei und verringert so die Wahrscheinlichkeit von Compliance-Verstößen.

Formulieren Sie zudem in den Unternehmensleitsätzen eine eigene Definition des Begriffs Compliance und gliedern Sie das Unternehmen in compliance-relevante Organisationseinheiten.

Auch wenn Details noch nicht festgelegt sind, können Sie in diesem Stadium bereits Entscheidungen über die Finanzierung und den zeitlichen Rahmen des Projektes treffen. Diese Richtwerte erlauben Ihnen eine erste Einschätzung zu den einsetzbaren Ressourcen.

2. Identifizieren Sie die Compliance-Pflichten und -Risiken

Bestimmen Sie, welche gesetzlichen und sonstigen intern und extern zu berücksichtigenden Gesetze, Vorschriften und Richtlinien einzuhalten sind.

Je nach geschäftlichem Umfeld sollten Sie zunächst die Compliance-Risiken in Bereichen wie Korruption, Kartellabsprachen, Arbeitssicherheit und Umweltschutz möglichst vollständig und strukturiert erfassen.

3. Legen Sie Projektorganisation und Kompetenzen fest

Im nächsten Schritt legen Sie eine Beschreibung des Projektauftrags vor und benennen einen Projektleiter. Legen Sie dabei auch fest, welche (Weisungs-)Befugnisse der Projektleiter hat.

Zudem gilt es zu bestimmten, wie das Projekt strukturiert und wie der Ablaufplan gestaltet sein soll. Treffen Sie auch Aussagen über den geplanten Charakter des internen und externen Kommunikationsmanagements.

4. Formulieren Sie Compliance-Standards

Zu den Maßnahmen von zentraler Bedeutung gehört weiterhin die Einführung interner Regelwerke, wie Verhaltenskodizes, Prozessbeschreibungen und Handlungsanweisungen.

Diese sollten Sie in Abhängigkeit von den Ergebnissen der Risikoanalyse ausarbeiten und gezielt in Hinblick auf einzelne Compliance-Risiken formulieren.

5. Informieren und schulen Sie Ihre Mitarbeiter

Ein weiterer wichtiger Punkt ist die Kommunikation der festgelegten Regeln. Compliance kann nur dann erfolgen, wenn alle Unternehmensangehörigen Kenntnis Ihrer Vorgaben erlangen.

Die ISO 19600 fordert regelmäßige arbeitsplatzspezifische Schulungsmaßnahmen, im Rahmen derer die Mitarbeiter Compliance-Anforderungen kennenlernen, damit sie danach handeln können. So wird eine Unternehmenskultur geschaffen und aufrechterhalten, in welcher Compliance eine allgemeine Regel darstellt.

6. Führen Sie Kontrollen durch

Das CMS ist im laufenden Betrieb ständig zu beobachten. Richten Sie eine interne Kontrollinstanz ein, die im Rahmen einer internen Revision regelmäßig und stichprobenhaft (oder auch anlassbezogen) prüft, ob die Compliance-Vorgaben eingehalten werden.

7. Richten Sie ein Dokumentations- und Berichtsmanagement ein

Um festzustellen, ob das Unternehmen über ein wirksames CMS verfügt, ist eine umfassende Dokumentation der Ergebnisse interner Kontrollen unabdingbar. Sie dient zudem als Nachweis dafür, dass Sie Ihre Sorgfaltspflicht erfüllen.

Legen Sie in diesem Schritt auch die Dokumentationsform fest: Mögliche Lösungen reichen von einer einfachen Office-Anwendung (z.B. einem Textverarbeitungsprogramm) mit entsprechenden Berichtstemplates bis hin zur Nutzung spezialisierter CMS-Applikationen.

Erstatten Sie ausgehend von der Dokumentation regelmäßig Bericht gegenüber dem Vorstand und Aufsichtsrat. Hierfür müssen Sie zudem bestimmen, wer in den compliance-relevanten Unternehmensbereichen für das Reporting zuständig sein soll.

Je nach Größe des Unternehmens können Sie auch lokale Compliance-Manager einsetzen, welche die Berichte für ihren jeweiligen Verantwortungsbereich verfassen.

8. Führen Sie eine Erfolgskontrolle durch

Alle Aktionen, die im Rahmen der Umsetzung von Compliance im Unternehmen stattfinden, müssen Sie zeitnah visualisieren, sodass die einzelnen Aufgabenverantwortlichen sich jederzeit ein aktuelles Bild davon machen können, inwiefern sie der Erfüllung ihrer Compliance-Pflichten nachkommen.

9. Etablieren Sie einen standardisierten Umgang mit Compliance-Verstößen

Sobald Sie von Compliance-Verstößen Kenntnis erlangen, müssen Sie umgehend reagieren. Dazu gehören die Untersuchung des Vorfalls, die Festlegung der Konsequenzen des Fehlverhaltens sowie die Entscheidung über das weitere Vorgehen.

Zudem sind Maßnahmen zu entwickeln, die eine Schadensbegrenzung ermöglichen und eine Wiederholung in der Zukunft verhindern.

10. Entwickeln Sie einen Change-Management-Prozess

Gesetze und Richtlinien unterliegen mitunter kurzfristigen und umfassenden Änderungen. Das kann weitreichende Folgen für das Aufrechterhalten der Compliance im Unternehmen haben.

Im Zusammenhang mit dem Change Management müssen Sie darum einen Prozess festlegen, der die rechtlichen Änderungen erfasst und diese Informationen z.B. über das CMS in die entsprechenden Unternehmensbereiche transportiert.

Weiterhin müssen Sie sicherstellen, dass die Neuerung von den betroffenen Unternehmensbereichen wahrgenommen und in den Geschäftsprozessen berücksichtigt wird.

Auch unternehmensinterne Veränderungen können eine Anpassung notwendig machen. Diese sind darum zeitnah und vollständig abzubilden. In jedem Fall müssen Sie alle Elemente des CMS jeweils entsprechend aktualisieren.

6. Software vereinfacht die Umsetzung von Management Systemen

Der Implementierungsprozess eines CMS scheint auf den ersten Blick mit einem hohen organisatorischen Aufwand verbunden zu sein. Es existieren jedoch bereits vielfältige Software-Lösungen, die Ihnen die Einführung eines professionellen CMS in Ihrem Unternehmen erleichtern:

Diese reichen von diversen E-Learning-Tools für Mitarbeiterschulungen bis hin zu spezieller E-Discovery-Software für die interne Revision. Eine Übersicht bestehender Angebote finden Sie bei der Software-Suchmaschine Capterra.

7. E-Learning schlägt Präsenztraining

Um Ihre Mitarbeiter so in das Thema Compliance und Compliance Management einzuweisen, benötigen Sie ein nachhaltiges und nachweisbares Schulungskonzept. Compliance Management ist ein umfangreiches Gebiet und beginnt schon mit der Auswahl der richtigen Themenkomplexe wie Arbeitssicherheit, Datenschutz oder Produkthaftung.

Die Entwicklung von Schulungskonzepten kann in Eigenregie erfolgen oder durch Dienstleister, die die entsprechenden Lösungen anbieten. Die Schulungen gestalten sich unterschiedlich:

  • Sie schicken Ihre Mitarbeiter zu externen Schulungen.
  • Sie halten Inhouse-Schulungen ab – mit oder ohne externem Dienstleister.
  • Sie etablieren E-Learning Lösungen für Compliance-Schulungen. Entweder als reine E-Learning Lösung oder als Blended Learning Konzept kombiniert mit Inhouse-Schulungen.

Da Compliance-Training  häufig aus Frontal-Belehrungen besteht, ist der Mehrwert eines Präsenzseminars begrenzt. Inhouse erzeugt häufig enorme Kosten, weil die gesamte Belegschaft in Präsenzveranstaltungen versammelt werden muss.

Das trifft besonders dann zu, wenn sie auf verschiedene Standorte verteilt ist.

Daher haben E-Learning Lösungen wesentliche Vorteile bei Compliance-Schulungen. Neben den wegfallenden Kosten für Transport und Tagungen bietet E-Learning eine hohe Flexibilität mit wenig Aufwand. Video-Trainings bieten hierbei eine einfache und optisch ansprechende Form des E-Learnings.

Kursvorschau: Compliance-Management-System

Hier sehen Sie einen Ausschnitt aus einem einstündigen Basis-Compliance-Training für Mitarbeiter.

8. Online-Compliance-Training für Ihr Unternehmen

Bei Lecturio finden Sie hochqualitative Online-Video-Schulungen zu allen relevanten Compliance-Themen. Über Ihre eigene Online-Akademie, die individuell auf den Trainingsbedarf in Ihrem Unternehmen zugeschnitten ist, können Sie Ihre gesamte Belegschaft schnell, kosteneffizient und nachhaltig in alle wichtigen Compliance Bereiche einweisen.

Sie können mit Lecturio sicherstellen, die wichtigsten Compliance Themen zu kennen und an den richtigen Stellen anzusetzen. Darüber hinaus gibt es ergänzendes Lernmaterial zum Herunterladen, welches in Kombination mit den angebotenen Videos das Thema Compliance zugänglicher machen sollen.

 

Quellen

Martin Schwarzbartl, Andreas Pyrcek: Compliance Management: Ein Praxisleitfaden zur erfolgreichen Umsetzung, Linde Verlag, Wien 2013.

Compliance Management System via VRight

Standard für Compliance Management Systeme via TÜV Rheinland

Compliance und Compliance-Management-Systeme via Audit Committee Institute

Compliance Readiness in deutschen Unternehmen 2015 via compliance-manager.net

Die wichtigsten Inhalte der ISO 19600 für Ihr Unternehmen via LexisNexis

Vier Gründe für eine ISO-19600-Zertifizierung via LexisNexis

Anforderungen an ein Compliance-Management-System via VRight

Aufbau eines Compliance Management Systems via Intersoft Consulting

Implementierung eines Compliance-Management-Systems via Compliance-Net

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

2 Gedanken zu „Wie schützen Sie sich mit einem wirksamen Compliance Management System vor Compliance-Schäden?

  • farmacrm

    Thanks admin for shairing this post, i just love this post , it’s owsum.

  • farmacrm

    Thanks admin for shairing this information, it is worth to read.