Um die Website zu personalisieren und Ihnen den größten Mehrwert zu bieten, verwenden wir Cookies. Unter anderem dienen sie der Analyse des Nutzerverhaltens, um herauszufinden wie wir die Website für Sie verbessern können. Durch Nutzung der Website stimmen Sie ihrem Einsatz zu. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.



Einrichtung eines Compliance Management Systems: Vorgehensmodell für die Praxis

PrintMailRate-it

veröffentlicht am 7. April 2021 | Lesedauer ca. 4 Minuten


Die Ziele der nachhaltigen Unternehmensführung werden in vielen Fällen durch externe Normen spezifiziert oder auch in Form interner Normen vorgegeben. Dadurch wird die Einhaltung solcher Normen (also die Compliance) zum Ziel und damit zum Gegenstand von Nachhaltigkeitsbestrebungen. Das Compliance Management System (CMS), mit dem die Regelkonformität gewährleistet werden soll, wird somit zum wichtigen Instrument der Nachhaltigkeitspolitik. Mit einem klaren Fahrplan und einer stringenten Projektsteuerung ist die Einrichtung eines schlanken und doch wirksamen CMS kein Hexenwerk.


Für wichtige Nachhaltigkeitsziele wie Chancengleichheit, Umwelt- und Klimaschutz oder auch faire Arbeits­bedingungen existieren – neben verpflichtenden gesetzlichen Vorschriften – auch Beispielnormen, zu denen Unternehmen sich freiwillig bekennen können. Operationalisiert werden die damit verbundenen Anforderungen oft zusätzlich in unternehmensinternen Richtlinien und Anweisungen. Für ein Unternehmen als arbeitsteilige Organisation gilt, dass das regelkonforme Verhalten der Organisation insgesamt oftmals noch nicht einfach dadurch erreicht werden kann, dass jeder in bester Absicht um regelkonformes Verhalten bemüht ist. Compliance wird zu einer organisatorischen Herausforderung.


Die Einrichtung eines Compliance Management Systems in der Praxis

Soweit ein CMS noch nicht eingerichtet ist, stellt sich die Frage „Ok – aber wie richte ich denn nun in der Praxis mein CMS ein?”. Die gute Nachricht vorweg: Compliance ist vielleicht ein neuer Begriff, aber viele Bausteine, die Unternehmen für ihr CMS benötigen, existieren bereits. Wichtig ist allerdings eine sorgfältige Dokumen­tation, um den Nachweis führen zu können und auch, um bestehende Lücken aufzudecken und dann gezielt zu schließen.


Gemeinsames Verständnis von Compliance – eine scheinbare Selbst­ver­ständlichkeit

Wenn die Entscheidung getroffen ist, ein CMS einzurichten, wird meist ein Projekt mit dem Auftrag gestartet. Noch davor sollten die Verantwortlichen allerdings herausarbeiten, was die Compliance-Kultur des Unternehmens ausmacht und definiert sowie dem Projekt die Vorgaben als Grundlage mitgeben. Denn in der praktischen Umsetzung lauern unerwartete Stolpersteine.

Sie beginnen damit, dass es sich bei „Compliance” um eine scheinbare Selbstverständlichkeit handelt. Die Absicht, „compliant” zu sein, also sich als Unternehmen regelkonform zu verhalten, war schon lange vor der Verwendung des Wortes unumstritten. Gerade deshalb stehen kulturelle Leitfragen am Anfang: Welche Aktualität und welchen Bekanntheits- und Akzeptanzgrad genießen die Unternehmensziele bei den Mitarbeitern? Leitet sich aus den Zielen regelkonformes Verhalten ab? Ist ein gemeinsames Verständnis hinsichtlich Führung und Verantwortung im Unternehmen verankert? Eine ehrliche Ist-Aufnahme verhindert, dass aus einer gesund-positiven Selbsteinschätzung unversehens blinde Flecken werden, die eine Hypothek für das CMS bilden würden.

Bei der Projektarbeit sollte es anschließend eines der ersten Ziele sein, die organisatorische Zuständigkeit für das Managementsystem CMS zu klären und eine personelle Besetzung der Aufgabe zu erreichen. Dabei ist es wichtig, zwischen der Zuständigkeit für das Managementsystem CMS einerseits und dem regelkonformen Verhalten aller Mitarbeiterinnen und Mitarbeiter andererseits, dem „being compliant”, sorgfältig zu unter­scheiden. Ersteres ist Teil der Organisationsaufgabe des CMS, letzteres ist untrennbar mit jeder Führungs­verantwortung verbunden und daher eine persönliche Aufgabe für buchstäblich jeden.

Die frühzeitige Besetzung der Systemverantwortung für das CMS ermöglicht es der Geschäftsführung, aus der persönlich umsetzenden bald in eine überwachende und entscheidungsgebende Rolle hinüberzuwechseln. Sofern nicht die Möglichkeit besteht, dass der betreffende Mitarbeiter sich ausschließlich mit dem CMS befasst, müssen sinnvolle Kombinationsmöglichkeiten mit ggf. bereits vorhandenen Funktionen geprüft werden.


Organisation fest verankern

Dass die Einrichtung eines Compliance-Managements eine Art einmaliger, projekthafter Schritt ist und das Unternehmen anschließend davon ausgehen kann, „compliant zu sein”, ist ein häufiges Missverständnis. Compliance ist kein Zustand, sondern ein Anspruch. Damit liegt eine wesentliche Aufgabe für die Einrichtung des CMS in der Beschreibung der regelmäßigen Compliance-Prozesse und deren Verankerung in den existierenden Kernprozessen des Unternehmens. Die im CMS definierten Regelprozesse der Prävention, der laufenden Beobachtung und ggf. auch der Sanktionierung von Compliance-Verstößen müssen dann sukzessive in den Tagesbetrieb überführt werden. Wenn eine Bestätigung des CMS in Form eines Prüfungsberichts nach dem IDW PS 980 angestrebt wird, ist u.a. diese Frage ein zentrales Prüfungsthema.


Systemdokumentation und Regel­transparenz

Wesentlicher Baustein für die Einrichtung eines CMS ist ein Handbuch, in dem das Verständnis und die Umsetzung von Compliance im Unternehmen für jeden Beschäftigten verständlich beschrieben werden. Ein gemeinsamer und tragfähiger Konsens des Managements über die Compliance-Kultur und die Compliance-Ziele stellt die wichtigste Grundlage für das Handbuch dar.

Von großer Bedeutung ist in dem Zusammenhang auch, dass alle einzuhaltenden Vorgaben – unabhängig davon, ob externe Verordnung oder hausinterne Richtlinie – für alle Mitarbeiterinnen und Mitarbeiter leicht auffindbar sind, bspw. über das Intranet. Wichtig ist zudem, dass die Suchfunktionalitäten auch dann zu sinnvollen Ergebnissen führen, wenn ein Mitarbeiter oder eine Mitarbeiterin noch kein näheres Wissen darüber hat, welche praktischen Themen sich hinter welchem Richtlinientitel verbergen.


Compliance-Risiken gezielt redu­zieren

Viele mittelständische Unternehmen haben bereits Risikomanagementsysteme eingerichtet. Hier wird eine Schnittstelle zum CMS entstehen, weil sich das CMS auch mit den Compliance-Risiken systematisch beschäftigen muss. Wenn man bei der Ermittlung der Compliance-Ziele, also auch des verwendeten Regelwerks, seine Hausaufgaben nicht sorgfältig erledigt hat, fällt einem das bei der anschließenden Ermittlung der Compliance-Risiken „auf die Füße”. Denn um zu bestimmen, welche ungewollten Regelverstöße möglich sind, muss man die betreffende Regel und deren Anwendung im Arbeitsalltag vor Augen haben. Ziel der Ermittlung von Compliance-Risiken wiederum ist es, Risiken für Verstöße zu erkennen, um angemessene Maßnahmen umsetzen zu können.


Faktor Mensch: Compliance-Kommu­nikation

Da Compliance als solches kein einmalig erreichbarer und abzusichernder Zustand, sondern permanenter Anspruch ist, muss die dauerhafte Sensibilisierung aller Beschäftigten für die Belange von Compliance immer wieder neu mit Leben gefüllt werden. Jedoch: Mitarbeiterinnen und Mitarbeiter nehmen zurecht für sich in Anspruch, bei der Ausübung ihrer Tätigkeit schon immer nach bestem Wissen und Gewissen regelkonform zu handeln und werden daher die Initiative zur Einrichtung eines CMS schnell als Misstrauensvotum missver­stehen. Mit der Skepsis muss das Compliance-Management daher aktiv und sensibel umgehen.


Realistisch planen

Die Herausforderungen sind nicht klein und zeigen sich oftmals erst während der Projektarbeit. Daher werden Projektaufwand und damit auch der Zeitbedarf leicht unterschätzt. Die Praxis zeigt, dass für die Konzep­tionsphase eines CMS, abhängig vom Status quo hinsichtlich Risikomanagement sowie den vorhandenen inhaltlichen Grundlagen und von der Komplexität insgesamt, mit einem Zeitbedarf von zwölf bis vierundzwanzig Monaten gerechnet werden muss.


Fazit

Bei der Einrichtung des CMS hilft ein Projektvorgehen, das keinen der wichtigen Schritte auslässt:

  • Formulierung der Compliance-Kultur,
  • Aufsetzen der Compliance-Organisation,
  • Entwickeln der CMS-Beschreibung,
  • Ermittlung der relevanten Regelwerke,
  • Inventur der Compliance-Risiken,
  • Definition und Umsetzung der Risikomaßnahmen.


Eine kontinuierliche und sensible Projektkommunikation bildet den wesentlichen Erfolgsfaktor.



Kontakt

Contact Person Picture

Christoph Naucke

Betriebswirt (Berufsakademie), Zertifizierter Compliance Officer, Zertifizierter Datenschutzbeauftragter, Prüfer für Interne Revisionssysteme (DIIR)

Associate Partner

+49 911 9193 3628
+49 911 9193 3579

Anfrage senden

 Wir beraten Sie gern!

 Unternehmer­briefing

Kein Themen­special verpas­sen mit unserem Newsletter!

Deutschland Weltweit Search Menu