Um die Website zu personalisieren und Ihnen den größten Mehrwert zu bieten, verwenden wir Cookies. Unter anderem dienen sie der Analyse des Nutzerverhaltens, um herauszufinden wie wir die Website für Sie verbessern können. Durch Nutzung der Website stimmen Sie ihrem Einsatz zu. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.



Compliance Management-System und Hinweisgeber­­sys­tem – Praxishinweise zur Einführung unter Nachhaltig­keits­ge­sichts­punk­ten

PrintMailRate-it

zuletzt aktualisiert am 6. April 2022 | Lesedauer ca. 6 Minuten


Gesetze, Verordnungen, Richtlinien – die stetig wachsende Regelungsdichte betrifft auch und gerade Fragen der Nachhaltigkeit. Da es die Aufgabe eines Compliance Management Systems (CMS) ist, regelkonformes Handeln des Unternehmens zu gewährleisten und die dafür erforderlichen Voraussetzungen zu schaffen, haben die zahlreichen auf Nachhaltigkeit ausgerichteten Gesetzgebungsaktivitäten einen we­sent­lichen Einfluss für die Einrichtung und Weiterentwicklung eines CMS. Die gute Nachricht ist: Auch, wenn ein formales CMS noch nicht bestehen sollte, so sind häufig doch schon eine Vielzahl der wichtigen Bausteine im Unternehmen vorhanden. Das Erkennen und Untersuchen möglicher Compliance-Verstöße ist Kernbestandteil eines CMS. Durch die Whistleblower-Richtlinie der EU rückt das dazu erforderliche Hinweis­ge­ber­system aktuell in den Fokus der Auf­merk­sam­keit. Das sollte jedoch nicht zu dem Trugschluss führen, dass mit einem Hinweisgebersystem allein bereits ein vollstän­diges CMS sichergestellt ist. Vielmehr handelt es sich um einen wesentlichen Baustein im Rahmen der Gesamt­be­trach­tung. Wir stellen Ihnen diesen Baustein nachfolgend und in Bezug zu den anderen Bausteinen eines erfolgreichen CMS vor.
 

 


Nachhaltigkeitsziele wie Geschlechtergerechtigkeit, Klimaschutz oder menschenwürdige Arbeit sind häufig in der nationalen Gesetzgebung abgebildet. Ergänzend dazu gibt es gerade auf internationaler Ebene akzeptierte Normen und Standards, zu denen Unternehmen sich freiwillig bekennen (können). Um dieses Bekenntnis auch zu erfüllen, werden oftmals Konkretisierungen in Form interner Richtlinien definiert. Allerdings ist ein Unter­nehmen immer auch ein komplexer, arbeitsteiliger Organismus. Dessen regelkonformes Verhalten kann nicht allein dadurch erreicht werden, dass „jeder in bester Absicht“ handelt. Deswegen ist Compliance zugleich auch eine Managementherausforderung.
 
Besteht noch kein formales CMS, stellt sich immer die Frage nach dem geeigneten Projektvorgehen. Die erfor­derlichen Schritte sollten so geplant und umgesetzt werden, indem vorhandene Assets genutzt werden und gleichzeitig sichergestellt ist, für den jeweiligen Folgeschritt alle notwendigen Grundlagen geschaffen zu haben. Zugleich sollte von Anfang an auf eine sinnvolle und gut strukturierte Dokumentation geachtet werden, um später den Nachweis über die geeignete Konzeption, die Implementierung und die Wirksamkeit des CMS führen zu können.


Besteht ein einheitliches Verständnis über Compliance?

Bei dem Begriff „Compliance“ handelt es sich um eine scheinbare Selbstverständlichkeit. Niemand bestreitet, dass es zu den Nebenzielen des Unternehmens gehört, regelkonform, also „compliant“ zu handeln. Aber inwie­weit ist dies auch zum Common Sense in der Unternehmenskultur geworden und woran macht sich das konkret fest? Wie gut kennen die Beschäftigten die qualitativen Unternehmensziele? Wird in diesen Zielen der An­spruch regelkonformen Verhaltens als Nebenbedingung formuliert? Spiegelt sich dies darin wider, wie das Handeln des Top Managements und des mittleren Managements von den Beschäftigten im Unternehmensalltag erlebt wird? Eine Ist-Aufnahme tut Not, denn ein gesundes Selbstbewusstsein sollte nicht dazu führen, dass kulturelle Defizite oder Diskrepanzen, die aus Mitarbeitersicht bestehen können, übersehen werden.
 
Im Anschluss an die „Gretchenfragen“ der Unternehmenskultur und die Compliancekultur gilt es, sobald wie möglich die organisatorische Zuständigkeit für das Managementsystem CMS festzulegen und diejenigen Mit­arbeitenden zu identifizieren, die die spätere Verantwortung für das System (mit)übernehmen können und sol­len. Ein typisches Missverständnis bei der Einrichtung eines CMS ist dabei z.B. die spontane Gleichsetzung von „Compliance“ und dem CMS als System. Es ist wichtig, so früh wie möglich zu vermitteln: „Being Compliant“ ist untrennbar mit jeder Führungsverantwortung verbunden und daher eine persönliche Aufgabe für buchstäblich jeden in der Organisation. Aufgabe des Managementsystems als solches ist demgegenüber, Transparenz und günstige Rahmenbedingungen für Compliance in der Organisation zu schaffen. Es geht also in dieser Funktion darum, die Compliance-Risiken zu erkennen und die darauf ausgerichteten Risikokontrollen zu überwachen. Daneben sollen Compliance-Verstöße durch eine geeignete Kommunikation vorgebeugt und – falls erforderlich – angemessene Reaktionen auf derartige Verstöße veranlasst werden. Für das Erkennen von Compliance-Verstößen ist ein geeignetes Hinweisgebersystem essentiell.


Vom Projekt zur dauerhaften Organisation

Um mit einem weiteren Missverständnis aufzuräumen sei an dieser Stelle hervorzuheben, dass die Einführung eines CMS zwar nach einem Projektplan verläuft, allerdings kann man nach Abschluss der Implementierung nicht davon ausgehen, „compliant zu sein“. Compliance kann zu keiner Zeit als Zustand mit völliger Sicherheit gewährleistet werden. Es ist im besten Fall ein Anspruch, für dessen Einhaltung ideale Grundlagen geschaffen wurden. Deswegen ist es Kernaufgabe jedes Projekts, regelmäßige Compliance-Prozesse zu beschreiben und diese in den existierenden Kernprozessen zu verankern. Regelprozesse der Compliance-Prävention und -Über­wachung sowie auch der Sanktionierung von Compliance-Verstößen müssen praxisgerecht aufgesetzt, einge­führt und dokumentiert werden. Erst dann besteht die Möglichkeit, die gewünschte haftungsrechtliche Entlastung zu erzielen und bei Bedarf ein Prüfungsurteil eines Wirtschaftsprüfers nach dem IDW PS 980 zu erhalten. Darüber hinaus gibt dieses Vorgehen den Mitarbeitenden Sicherheit im Umgang mit dem System.


Transparenz durch Dokumentation

Erfolgskritisch für das CMS ist damit eine gleichermaßen praxisgerechte wie konkrete Systembeschreibung, beispielsweise im CMS-Handbuch. Darin sollte sowohl die Compliancekultur und ihre Verankerung in der Unternehmenskultur beschrieben sein als auch die Aufbau- und Ablauforganisation des CMS. Um vorhandene Bausteine sinnvoll zu nutzen, ist das Beschreiben von Schnittstellen zu relevanten anderen Management­sys­temen wie z.B. Risikomanagement und internes Kontrollsystem (IKS) sehr sinnvoll. Darüber hinaus sollte eine Definition der Kernprozesse des Compliance Managements enthalten sein, also Rechtskataster und Rechts­monitoring, Identifikation und Bewertung der Compliance-Risiken, Risikobehandlung, Compliance-Kom­mu­ni­kation und -Reporting.
 
Transparenz bedeutet aber auch: Regeltransparenz ist erfolgskritisch für ein CMS. Die Normen, deren Ein­hal­tung von den Mitarbeitenden gefordert wird, müssen für diese leicht auffindbar sein. Macht man sich bewusst, dass dieses Auffinden auch für Mitarbeitende zuverlässig möglich sein muss, die erst ganz neu im Unterneh­men begonnen haben, wird deutlich: Eine lediglich Experten oder Insidern verständliche Regelstruktur verhindert ein wirksames CMS.


Compliance Management ist vor allem auch Risikomanagement

Das Risikomanagementsystem ist für die Einrichtung eines CMS ein Schlüsselbaustein. Eine Schnittstelle zum CMS ist deswegen erforderlich, weil sich das CMS mit den Compliance-Risiken systematisch beschäftigen muss. Wenn allerdings vorher das relevante Gesetzes- und Normenumfeld nicht sorgfältig bestimmt und dokumentiert wurde, unterliegt die Identifikation der Compliance-Risiken der Gefahr der Unvollständigkeit. Andererseits wird die umfassende Aufstellung der Compliance-Risiken und vor allem deren Bewertung benö­tigt, um unter den zahllosen denkbaren Risikomaßnahmen diejenigen zu identifizieren, die tatsächlich erforderlich und zugleich hinreichend effizient sind.


Nur Kommunikation schafft geeignete Compliance-Voraussetzungen

Das „Being Compliant“ ist nur unter Mitwirkung aller Mitarbeitenden zu erreichen. Folglich muss die dauer­hafte Sensibilisierung aller Mitarbeitenden für die Belange von Compliance immer wieder aufgefrischt werden. Auch hier drohen unter Umständen Missverständnisse: Mitarbeiterinnen und Mitarbeiter nehmen für sich grundsätzlich in Anspruch, bei der Ausübung ihrer Tätigkeit schon immer nach bestem Wissen und Gewissen regelkonform zu handeln. Deshalb könnten sie die Einrichtung eines CMS leicht als Ausdruck des Misstrauens missdeuten. Innerhalb der Kommunikation ist es also wichtig zu verdeutlichen, dass die Einführung eines CMS keinesfalls die Abkehr von einer Vertrauenskultur bedeutet.


Whistleblower-Richtlinie der EU

Die Aufdeckung von Fällen der Non-Compliance ist ebenfalls notwendige Aufgabe des CMS. Durch die Whistleblower-Richtlinie der EU stehen die betreffenden Hinweisgebersysteme im Blickpunkt. Hintergrund der Richtlinie: Hinweisgebende, die als Arbeitnehmerinnen oder Arbeitnehmer auf Rechtsverstöße ihres Arbeit­ge­berunternehmens aufmerksam machen, sind nach Einschätzung der EU dem Risiko ausgesetzt, nach dem Absetzen ihres Hinweises in ihrem Arbeitsverhältnis unter Repressalien zu leiden. Dadurch könnten sie von einem Hinweis abgehalten werden. Diesem vermuteten Effekt soll mit der Richtlinie entgegengewirkt werden.
 
Kern der Richtlinie sind daher arbeitsrechtliche Schutzmaßnahmen. Voraussetzung für die Wirksamkeit dieser Schutzzusage ist allerdings, dass die betreffende Person versucht hat, ihren Hinweis zunächst über den inter­nen Meldekanal des Arbeitgebers abzusetzen. Die Whistleblower-Richtlinie fordert daher, dass juristische Personen des öffentlichen und privaten Sektors Kanäle für interne Meldungen und für Folgemaßnahmen einrichten, wobei es Erleichterungen für Kleinstunternehmen gibt. Das Unternehmen muss eine umfassende Vertraulichkeit für den Hinweisgebenden gewährleisten, mittelbar ergibt sich die Anforderung der Anonymität. Meldungen müssen innerhalb von sieben Tagen bestätigt und zeitnah, spätestens innerhalb von drei Monaten, bearbeitet sein.


Hinweisgebersystem: Die Frage nach der Rechtspflicht ist die falsche Frage!

Bis zum Redaktionsschluss war die Wistleblower-Richtlinie in Deutschland noch nicht in nationales Recht umgesetzt. Unabhängig von einer Rechtspflicht muss jedoch vom Verzicht auf ein anonymes Hinweisgeber­sys­tem abgeraten werden. Denn die Alternative für Hinweisgebende – beim Fehlen eines unternehmensseitigen Meldekanals – ist in jedem Fall die Einschaltung staatlicher Stellen oder die Offenlegung des Hinweises gegen­über der Öffentlichkeit. Und Praxisfälle zeigen auf, dass die Chancen, einen aufgedeckten Rechtsverstoß mit dennoch begrenztem Reputationsschaden aufzuklären, um ein Vielfaches höher liegen, wenn das unterneh­menseigene CMS die Chance erhält, den Verdachtsfall selbst zu prüfen und damit zu agieren statt zu reagieren.
 
Im Falle eines schwerwiegenden Verstoßes werden Hinweisgebende wahrscheinlich nur dann einen Hinweis direkt an das Unternehmen geben, wenn sie die Option auf vollständige Anonymität haben. Deshalb ist ein webbasiertes System, das von einem unabhängigen Anbieter bereitgestellt wird, in jedem Fall zu empfehlen, die einfache Mail-Adresse („compliance@musterfirma.de“) greift viel zu kurz. Dass es mit der schnellen Einrichtung einer solchen Plattform jedoch bereits getan wäre, ist ein weiterer verbreiteter Irrtum. Vielmehr müssen zahl­reiche anspruchsvolle Prozessfragen gelöst sein, bevor das System an den Start gehen kann. Es müssen personenunabhängige Lösungen eingerichtet werden, bei denen sichergestellt ist, dass eingehende Hinweise jederzeit kurzfristig von hochqualifiziertem Personal bearbeitet werden. Neben der direkten Fallbearbeitung kann es kurzfristig erforderlich werden, weitere umfangreiche und qualifizierte Personalressourcen für die unabhängige und schnelle Aufklärung eines Sachverhaltes einsetzen zu können. Einrichtung und Betrieb des geeigneten Hinweisgebersystems werden damit zu einer gleichermaßen technischen wie organisatorischen Herausforderung für das CMS. Diese Herausforderung sollte von Anfang an im CMS -Projekt bearbeitet werden. 

Kontakt

Contact Person Picture

Christoph Naucke

Betriebswirt (Berufsakademie), Zertifizierter Compliance Officer, Zertifizierter Datenschutzbeauftragter, Prüfer für Interne Revisionssysteme (DIIR)

Associate Partner

+49 911 9193 3628
+49 911 9193 3579

Anfrage senden

Contact Person Picture

Norman Lenger-Bauchowitz, LL.M.

Rechtsanwalt, Fachanwalt für Steuerrecht, Compliance Officer (TÜV), Fachberater für Restrukturierung & Unternehmensplanung (DStV e.V.)

Partner

+49 911 9193 3713
+49 911 9193 3679

Anfrage senden

Profil

 Unternehmer­briefing

Kein Themen­special verpas­sen mit unserem Newsletter!

Deutschland Weltweit Search Menu