Home
Intern
veröffentlicht am 8. Dezember 2020
Dass es für Sozialunternehmen und Krankenhäuser immer wichtiger wird, ein funktionsfähiges Compliance Management System (CMS) eingerichtet zu haben, ist inzwischen im Bewusstsein von Vorständen, Geschäftsführern und ehrenamtlichen Vorstandsmitgliedern angekommen. Zu vielfältig und unkalkulierbar sind die persönlichen Haftungsrisiken, egal ob strafrechtlich, steuerrechtlich, zivilrechtlich, nach dem Ordnungswidrigkeitengesetz oder nach dem demnächst anstehenden Unternehmensstrafrecht. Und nun? Was ist konkret zu tun, wenn man sich entscheidet, ein Compliance Management System einzuführen? Kurz gesagt: Organisation von Compliance ist nicht alles, aber ohne Organisation ist alles nichts. Der Prüfungsstandard 980 des IDW hilft dabei, nichts Wesentliches zu vergessen.
Wenn die Entscheidung getroffen ist, ein Compliance Management System einzurichten, wird meist ein Projekt aufgelegt, das den Auftrag erhält, das CMS zu konzipieren und aufzubauen. Noch davor sollten die Verantwortlichen allerdings herausarbeiten, was die Compliance-Kultur dieses Unternehmens ausmacht und definiert und dem Projekt diese Vorgaben als Grundlage mitgeben. Denn in der praktischen Umsetzung lauern unerwartete Stolpersteine.
Diese beginnen damit, dass es sich bei „Compliance” um eine scheinbare Selbstverständlichkeit handelt. Die Absicht compliant zu sein, also sich als Unternehmen regelkonform zu verhalten, war schon lange vor der Verwendung des Wortes „Compliance” eine Selbstverständlichkeit. Gerade deshalb stehen kulturelle Leitfragen am Anfang: Welche Aktualität und welchen Bekanntheits- und Akzeptanzgrad genießen die Unternehmensziele bei den Mitarbeitern? Leitet sich aus diesen Zielen regelkonformes Verhalten ab? Ist ein gemeinsames Verständnis hinsichtlich Führung und Verantwortung im Unternehmen verankert? Eine ehrliche Ist-Aufnahme verhindert, dass aus einer gesundpositiven Selbsteinschätzung unversehens blinde Flecken werden, die das CMS als solches dauerhaft belasten würden.
Im Rahmen der Projektarbeit sollte es anschließend eines der ersten Ziele sein, die organisatorische Zuständigkeit für das Managementsystem CMS zu klären und eine personelle Besetzung dieser Aufgabe zu erreichen. Dabei ist es wichtig, zwischen dieser Zuständigkeit für das Managementsystem CMS einerseits und dem regelkonformen Verhalten aller Mitarbeiter andererseits, dem „being compliant”, sorgfältig zu unterscheiden. Ersteres ist Teil der Organisationsaufgabe „CMS”, letzteres ist untrennbar mit jeder Führungsverantwortung verbunden und daher eine persönliche Aufgabe für buchstäblich „jeden”.
Die frühzeitige Besetzung der Systemverantwortung für das CMS ermöglicht es der Geschäftsführung, frühzeitig aus der persönlich umsetzenden in eine überwachende und entscheidungsgebende Rolle hinüberzuwechseln.
Dass die Einrichtung eines Compliance-Managements eine Art einmaliger, projekthafter Schritt ist und das Unternehmen anschließend davon ausgehen kann, „compliant zu sein”, ist ein häufiges Missverständnis. Compliance ist kein Zustand, sondern ein Anspruch. Damit liegt eine wesentliche Aufgabe für die Einrichtung des CMS in der Beschreibung der regelmäßigen Compliance-Prozesse und deren Verankerung in den existierenden Kernprozessen des Unternehmens. Die im CMS definierten Regelprozesse der Prävention, der laufenden Beobachtung und ggf. auch der Sanktionierung von Complianceverstößen müssen dann sukzessive in den Tagesbetrieb überführt werden. Wenn eine Bestätigung des CMS in Form eines Prüfungsberichts nach dem IDW PS 980 angestrebt wird, ist u. a. diese Frage ein zentrales Prüfungsthema.
Wesentlicher Baustein für die Einrichtung eines CMS ist ein Handbuch, in dem das Verständnis und die Umsetzung von Compliance im Unternehmen für jeden Mitarbeiter verständlich beschrieben werden. Ein gemeinsamer und tragfähiger Konsens des Managements über die Compliance-Kultur und die Compliance-Ziele stellt die wichtigste Grundlage für das Handbuch dar.
Typischerweise taucht im Rahmen der Erarbeitung des Handbuchs die Frage auf, welche externen Rechtsquellen und internen Regeln für die Mitarbeiter eigentlich maßgeblich sind. Hier steckt meist der Teufel im Detail. Die Praxis zeigt, dass eine ad hoc verfügbare Zusammenstellung aller compliance-relevanten Regeln und Regelwerke oft eine große Herausforderung darstellt.
Schließlich muss bei dieser Zusammenstellung garantiert werden können, dass jeweils die aktuellen Fassungen sowie, falls erforderlich, auch ältere Versionen abrufbar sind. Es gilt sowohl allgemeine Rechtsnormen, die für jedes Unternehmen gelten, als auch die spezifischen Rechtsgebiete abzubilden, die sich aus dem Leistungsspektrum ergeben. Bei einem komplexen Sozialunternehmen mit Dienstleistungen aus ambulanter und stationärer Pflege, Jugendarbeit, Behindertenhilfe und vielleicht auch Rettungsdienst kommt eine Menge zusammen.
Was tun, wenn die Liste völlig unübersichtlich wird und der Mitarbeiter den sprichwörtlichen „Wald vor lauter Bäumen” nicht mehr sehen kann? Intelligente, teilweise mehrstufige Dialog- und Suchsysteme haben sich in dieser Herausforderung oft bewährt. Es ist keine Option, den Vollständigkeitsanspruch aufzugeben, denn damit würde das Unternehmen einerseits Compliance vom Mitarbeiter fordern und ihn andererseits mit dieser Forderung allein im Regen stehen lassen.
Viele Unternehmen der Gesundheits- und Sozialwirtschaft haben bereits Risikomanagementsysteme eingerichtet. Dass es zwischen beiden Funktionen erhebliche Überschneidungen, aber auch Unterschiede gibt, ist unübersehbar. Es ist notwendig, zu diesen Unterschieden und Überschneidungen zwischen beiden Seiten ein gemeinsames Verständnis zu entwickeln. Nur dann kann man es vermeiden, in der Funktion des verantwortlichen Compliance-Managers nicht von vornherein einen dauerhaften, jedoch unproduktiven Rollenkonflikt mit dem Risikomanager anzulegen.
Wenn man bei der Ermittlung der Compliance-Ziele, also auch des verwendeten Regelwerks, seine Hausaufgaben nicht sorgfältig erledigt hat, fällt einem dies spätestens bei der Ermittlung der Compliance-Risiken „auf die Füße”. Denn um nachzudenken, woraus ungewollte Regelverstöße resultieren könnten, muss man die betreffende Regel und deren Anwendung im Arbeitsalltag vor Augen haben.
Unter dem Blickwinkel der Zielsetzungen betrachtet, geht es sowohl im Risikomanagement als auch im Compliance-Management darum, Risiken zu identifizieren und adäquate Risikovorsorge zu betreiben. Kennzeichnend für das Compliance-Management ist darüber hinaus ein unternehmensweiter Informations- und Kommunikationsauftrag, während zu den spezifischen Merkmalen des Risikomanagements auch die monetäre Bewertung und, darauf basierend, die Kategorisierung der einzelnen Risiken zählt.
Dementsprechend unterscheiden sich auch die konkreten, alltäglichen Aktivitäten der beiden Funktionen wesentlich.
Das Monitoring der compliance-relevanten Risiken sollte in jedem Fall Bestandteil des bereits etablierten Risikomonitorings werden, da das Management auf diese Weise die Gewissheit erhält, sich aus einer Quelle über das komplette Risikoportfolio zu informieren. Was sich in der Praxis bewährt hat: bei der Compliance Risk Map neben der Liste der compliance-relevanten Regeln auf eine vollständige Abbildung der internen Organisation zu achten. Ohne ein hohes Maß an Praxiswissen aus buchstäblich allen Winkeln des Unternehmens ist die Risk Map letztlich nicht zu erarbeiten. Dabei kann ein externer Moderator als Sparringspartner, Organisationspartner, Unterstützer für die Aufbereitung und Strukturierung und, nicht selten, auch als Prozesstreiber wertvolle Hilfestellung leisten.
Da Compliance als solches kein einmalig erreichbarer und abzusichernder Zustand, sondern vielmehr ein im Unternehmen auf Dauer angelegter Anspruch ist, muss die dauerhafte Sensibilisierung aller Mitarbeiter für die Belange von Compliance immer wieder neu mit Leben gefüllt werden. Dabei ist jedoch mit dem eingangs genannten Irrtum umzugehen: Mitarbeiter nehmen zu Recht für sich in Anspruch, bei der Ausübung ihrer Tätigkeit jederzeit nach bestem Wissen und Gewissen regelkonform zu handeln und werden daher die Initiative zur Einrichtung eines CMS schnell als Misstrauensvotum verstehen.
Mit dieser Skepsis muss das Compliance-Management daher aktiv und sensibel umgehen. Wesentliche Faktoren für die Legitimation von Compliance sind ein überzeugtes, persönliches Auftreten des Topmanagements zum Thema Compliance, klare Argumente, die nicht allein darauf beruhen sollten, dass Topmanager Haftungsrisiken für sich ausschließen wollen und eine frühzeitige und verbindliche Einbindung des Managements insgesamt.
Das Kernargument wird meist darin liegen, dass regelkonformes Verhalten einer (komplexen) Organisation nicht automatisch durch das nach bestem Wissen regelkonforme Handeln der Mitarbeiter erreicht wird. Compliance-Gefahren, die in komplexen und abteilungsübergreifenden Prozessen verborgen sind, sind ein typisches Beispiel für diese Erkenntnis.
Die Herausforderungen sind nicht klein und zeigen sich oftmals erst während der Projektarbeit. Daher werden Projektaufwand und damit auch der Zeitbedarf in vielen Fällen unterschätzt. Die Praxis zeigt, dass für die Konzeptionsphase eines CMS, abhängig vom Status quo hinsichtlich Risikomanagement sowie den vorhandenen inhaltlichen Grundlagen und von der Komplexität insgesamt, mit einem Zeitbedarf von 12 bis 24 Monaten gerechnet werden muss.
Ausgabe Dezember 2020
Christoph Naucke
Betriebswirt (Berufsakademie), Zertifizierter Compliance Officer, Datenschutzbeauftragter DSB-TÜV, Prüfer für Interne Revisionssysteme (DIIR), Datenschutzauditor (TÜV), IT-Auditor IDW
Associate Partner
Anfrage senden
