Was ist ein Compliance Management System?
Nicht nur große DAX-Konzerne, auch kleinere und mitllere Unternehmen müssen sich an eine Vielzahl von Gesetzen, Vorschriften und Regeln halten. Oberstes Ziel eines jeden KMUs sollte es sein, gerade diese einzuhalten. Regelkonformes Verhalten ist eine wichtige Säule für reibungslose Geschäfte.
Compliance bedeutet, dass sich dein Unternehmen an alle Gesetze, Vorschriften und selbstgesetzte Regeln hält, um Rechtsverstöße, Haftungsansprüche und Imageschäden zu vermeiden. Deshalb wirkt sie sich auf alle Unternehmensbereiche aus.
Das Compliance Management System (CMS) umfasst sämtliche Prozesse, Strukturen und Maßnahmen, die dein Unternehmen aufstellt, um Gesetzestreue und Regelkonfirmität zu erreichen.
Für Unternehmen der Finanz- und Versicherungsbranche besteht in Deutschland eine Pflicht zur Einrichtung eines Compliance Management Systems. Börsennotierten Unternehmen wird im Deutschen Corporate Governance Kodex (DCGK) bisher nur rechtlich unverbindlich empfohlen, ein entsprechendes System einzurichten.
Weshalb benötigt man ein Compliance Management System?
Jedes Unternehmen, das beim Thema Compliance auf der sicheren Seite stehen möchte, sollte über die Einrichtung eines CMS nachdenken. Im April 2021 wurde ein neuer Satz globaler Standards für Compliance Management Systeme, die ISO 37301, von der International Organization for Standardization (ISO) veröffentlicht.
Die ISO 37301 gibt den Rahmen vor, wie ein CMS aufgebaut sein muss, um internationale Rechtsnormen und Vorschriften zu erfüllen. Dabei werden auch soziale und ethische Werte berücksichtigt.
Die Norm ISO 37301 löste die ISO 19600, die nur Empfehlungen für ein Content Management System abgab. Die neue Norm ist eine Zertifizierungsnorm, das heißt jede*r akkreditierte*r Auditor*in kann ein CMS nach der ISO 37301 zertifizieren.
Der Einsatz eines zertifizierten Content Management System bietet deinem Unternehmen folgende Vorteile:
- Sichert den Geschäftserfolg
Ein wirksames CMS ermöglicht die Überwachung und die Steuerung der Compliance-Risiken und ermöglicht dem Unternehmen eine erfolgreiche und nachhaltige Geschäftstätigkeit. - Minimiert Haftungsrisiken
Ein CMS schützt Unternehmen und Mitarbeiter*innen vor der Gefahr der persönlichen Haftung im zivil- und strafrechtlichen Bereich. Tritt ein Verstoß auf, der mit dem Unternehmen in Zusammenhang gebracht werden kann, lässt sich schnell der Vorwurf erheben, es liege ein Organisationsverschulden vor, da bei einer ordentlichen Geschäftsführung kein Fehler aufgetreten wäre. Ein Content Management System kann solche drastische Rechtsfolgen abwenden. - Schafft Vertrauen bei Geschäftspartnern und Kunden
Unternehmen, die rechtmäßig handeln, gelten als glauwürdig, dass wiederum schafft Vertrauen. Andere Unternehmen und Kunden wollen Beziehungen zu Unternehmen haben, die sich an Gesetze und Vorschriften halten und nicht negativ auffallen. - Wirkt sich positiv auf die Auftragsvergabe aus
Immer häufiger wird bei der Vergabe von Aufträgen oder die Aufnahem in das Listing zugelassener Lieferanten auf ein funktionierendes Compliance Management System geachtet. Oft werden von Kunden, Vertragspartner und Lieferanten Compliance-Erklärungen verlangt. Wer diese nocht vorweisen kann, hat schlechte Karten im Wettbewerb. - Reduziert Fremdkapitalkosten
Viele Versicherer reduzieren die Prämien von Versicherungen, mit denen die Haftungsrisiken bei vom Unternehmen verschuldeten Schäden abgesichert werden, wenn ein Compliance Management System vorliegt. - Optimiert Ressourcen im Unternehmen
Mit einem CMS lassen sich die Compliance-Aktivitäten im Unternehmen gebündelt werden. Dadurch werden Ressourcen effizienter eingesetzt, was zu verbesserten internen Organisationsstrukturen und Qualitätsstandards führen kann. - Sensibilisiert die Belegschaft
Ein funktionierendes Compliance Management System sensibiliert auch die Mitabeiter*innen sich an Gesetzte, Vorschriften und interne Regeln zu halten. - Schafft Reputationsgewinn
Ein rechtssiches Unternehmen kann sich in der Öffentlichkeit auch als solches darstellen. Durch ein funktionierendes Compliance Management System kann sich eine „Trade Mark“ zu einer „Trust Mark“ entwickeln. - Sensibilisiert die Belegschaft
Ein funktionierendes Compliance Management System sensibiliert auch die Mitabeiter*innen sich an Gesetzte, Vorschriften und interne Regeln zu halten. - Erleichtert den Überblick
Ein CMS soltte dynamisch sein, um sich den Anforderungen des Unternehmens anzupassen. Dadurch wird das Management rechtzeitig und direkt über relevanten Änderungen informiert und behalten alle Schwierigkeiten im Auge. So lassen sich Risiken minimieren und Investitionen schützen.
Welche Elemente gehören in ein Compliance Management System?
Bisher gibt der DCGK nur allgemeine Vorgaben zur Gestaltung eines Compliance Management Systems. Unternehmen und Institutionen soltten sich aber schon allein im Hinblick auf eine Zertifizierung ihres CMS nach der ISO 37301 an allgemeine Standards und Vorgaben halten.
Einige Richtlinien für ein erfolgreiche Compliance bietet hier Institutionen aus dem Ausland, wie die Empfehlungen des US Department of Justice (DOJ) und die Erläuterungen im U.S. Foreign Corrupt Practices Act oder die Prinzipien des britischen Bribery Act.
Demnach sollten die folgenden Elemente in keinem Compliance Management System fehlen:
- Compliance-Risikoanalyse
Die Risikoanalyse ist der erste Schritt bevor ein CMS für ein Unternehmen ausgearbeitet und implimentiert wird. Es ist der Ausgangspunkt für jedes Compliance-Programm. Mit ihrer Hilfe werden Risiken erfasst und analysiert, um anhand dieser Ergebnisse ein Compliance-Programm zu erstellen, was genau aufs Unternehmen zugeschnitten ist. Eine solche Compliance-Risikoanalyse kann in regelmäßigen Abständen wiederholt werden, um neue Risiken aufzudecken und das CMS entsprechend anzupassen. - Compliance-Programm
Das Compliance-Programm befasst sich mit allen Werkzeugen und Prozessen, die das Unternehmen nutzt, um sicherzustellen, dass es sich an Regeln und Gesetze hält. Dabei werden sowohl externe Vorgaben wie auch interne Standards und Weisungen berücksichtigt. Auch für den internen und externen Umgang mit Verstößen sind im Compliance-Programm Prozesse definiert. Für die Ausarbeitung eines Compliance-Programms müssen aber erst bestimmte Grundlagen geschaffen werden: - Gelebte Compliance-Kultur und Kommunikation im Unternehmen: Integrität sollen nicht nur leere Worte sein, die in einem Programm stehen, sondern fester Bestandteil der Firmenkultur. Von der Führungskraft bis zur Fachspezialist*in sollten alle Mitarbeiter*innen verstehen, weshalb das Compliance-Programm fürs Unternhmen wichtig ist.
- Compliance-Richtlinien für das Verhalten am Arbeitsplatz: Interne Richtlinien geben den Mitarbeiter*innen einen Leitfaden für das verhalten am Arbeitsplatz an die Hand. Dadurch wird auch für die Arbeitnehmer*innen transparent, welche Selbstverpflichtungen sich das Unternehmen auferlegt hat. Je nach Branche können die Richtlinien variieren, zu den wichtigsten gehören der Verhaltenskodex, die Datenschutzrichtlinien, Vorgaben für die Gesundheit und Sicherheit am Arbeitsplatz, die Regelung von Arbeitszeiten, Abwesenheiten und Urlaub, Richtlinien zur Gleichberechtigung und zur Nutzung von Social Media.
- Compliance-Ziele: In den Compliance-Zielen sollte sich klar der Zweck des Compliance-Programms wiederspiegeln. Das trägt zu einer offenen und transparenten internen Kommunikation und Compliance-Kultur bei. Gleichzeitig hilft es den Strafbehörden bei einem Verstoß zu prüfen, ob das Compliance-Prgramm ausreichend ist und seinen Zweck erfüllt.
- Compliance-Organisation: Die Hauptverantwortung für Compliance liegt bei der Geschäftsführung. Jedes Unternehmen sollte aber eine Compliance-Abteilung mit einem verantwortlichen Compliance-Officer installieren. Dieser sollten die notwendigen Mittel zur Verfügung gestellt werden, um sich um die Compliance im Unternehmen zu kümmern und diese zu überwachen.
- Compliance-Geschäftspartner: Für Unternehmen könne auch durch Geschäftspartner Compliance- und Haftungsrisiken entstehen. Deshalb muss auch eine Risikoanalyse für Geschäftsbeziehungen durchgeführt wurden und auf Basis der Ergebnisse Richtlinien für die Zusammenarbeit definiert werden.
- Compliance-Monitoring und Verbesserung: Damit der Erfolg des Compliance-Programms gewährleistet ist, muss es regelmäßig überprüft und nachgebessert werden. Neue nationale und internationale Richtlinien oder interne Vorgaben erfordern zusätzliche Prüfprozesse. Deshalb sollte das System regelmäßig auf Schwachstellen oder übersehene Risiken überprüft werden.
Wie hilft eine Compliance Management System Software?
Eine digiatle Plattform hilft den Mitarbeiter*innen der Compliance-Abteilung Berichte und Listen ohne großen Aufwand zu erstellen. Mit ihrer Hilfe und der Software können sie die Compliance-Arbeit regelmäßig prüfen, Risikoanalysen durchführen und das Programm aktualisieren und verbessern.
Eine Compliance Management System Software sorgt zudem für eine lückenlose und revisionssichere Dokumentation aller Informationen, Richtlinien und Dokumente. Dadurch bleibt die Compliance-Arbeit eines Unternehmens transparent und nachvollziehbar. Dies schützt vor Regressansprüchen und hilft bei Überprüfungen durch Behörden.
Der Einsatz einer Compliance Management System Software erleichtert zudem folgende weitere Aufgaben:
- Das Erfüllen von Compliance-Aufgaben
Mit einem automatisierten Workflow für die Erledigung von Compliance-Aufgaben werden die Maßnahmen schneller den zuständigen Mitarbeiter*innen zugewiesen – auch während einer laufenden Prüfung. Der Maßnahme kann eine Prioritätsstufe und ein Fälligkeitsdatum zugewiesen werden. Der*Die betroffene Mitarbeiter*in wird in Echtzeit per E-Mail informiert. So kann er*sie sofort auf die Situation reagieren. Die Compliance-Beauftragten werden sofort benachrichtigt, wenn die Maßnahme abgeschlossen ist. - Das Melden von Compliance-Probleme
Mit der Software für Compliance-Audits kann jeder sein Smartphone oder Tablet nutzen, um Kontrollen vor Ort durchzuführen und Probleme zu melden. Mit dieser Funktion können die Compliance-Beauftragten andere Mitarbeiter*innen dazu ermutigen, sich stärker am Compliance-Programm des Unternehmens zu beteiligen und Compliance-Probleme zu melden, solange diese noch nachvollziehbar sind. - Das Entwickeln von Entscheidungsprozessen
Umfassendere Berichte bedeuten, dass eine große Menge an Daten anfällt. Eine digitale Compliance Managemen Software hilft große Datenmengen zu organisieren und über das Analyse-Dashboard auszuwerten. Es macht es einfach, Lücken in im Compliance-Programm zu erkennen und Pläne zu erstellen, um diese Lücken zu schließen. Unternehmen können diese verbesserte Datenqualität nutzen, um strategischere Entscheidungen zu treffen, die das Compliance-Programm langfristig verbessern.