Einführung: Elemente des Compliance-Management

Was ist Compliance im Unternehmen?

Compliance im Unternehmen bezeichnet die Einhaltung von gesetzlichen Bestimmungen, internen und externen Vorschriften, Richtlinien und Standards, denen ein Unternehmen unterliegt. Ziel der Compliance ist es, das Risiko von Verstößen gegen Gesetze und Normen zu minimieren und so sowohl rechtliche Konsequenzen als auch mögliche Schäden für den Ruf des Unternehmens zu vermeiden.

Im Unternehmenskontext umfasst Compliance oft:

• Gesetze und Vorschriften: Unternehmen müssen eine Vielzahl von Gesetzen und Vorschriften einhalten, sei es im Bereich Steuern, Umweltschutz, Arbeitsrecht oder anderen Bereichen.

• Interne Richtlinien: Viele Unternehmen erstellen eigene interne Richtlinien und Verfahren, um sicherzustellen, dass sie effektiv und ethisch arbeiten. Compliance sorgt dafür, dass diese Richtlinien eingehalten werden.

• Risikomanagement: Ein effektives Compliance-Programm kann helfen, Risiken zu identifizieren und entsprechende Maßnahmen zu ergreifen, um diese Risiken zu minimieren.

• Ethik und Unternehmenskultur: Neben rechtlichen Vorschriften legen viele Unternehmen Wert auf die Einhaltung ethischer Grundsätze und einer positiven Unternehmenskultur.

• Schulung und Aufklärung: Ein wichtiger Bestandteil von Compliance ist die Schulung der Mitarbeiter, damit sie die relevanten Gesetze und Richtlinien kennen und verstehen.

Die Bedeutung von Compliance im Unternehmen hat in den letzten Jahren zugenommen, da Verstöße gegen Gesetze und Vorschriften nicht nur zu hohen Geldstrafen, sondern auch zu erheblichen Reputationsverlusten führen können.

Was ist Compliance Management?

Das Compliance-Management umfasst alle Prozesse, Instrumente und Maßnahmen, die Unternehmen einsetzen, um eine konsistente tägliche Arbeit zu gewährleisten. Diese Compliance-Vorgaben gelten für alle Mitarbeiter und andere relevante Interessengruppen und gehen über die Einhaltung der geltenden Gesetze hinaus. Sie umfassen auch interne Unternehmensrichtlinien, die auf die Unternehmenskultur und die strategischen Ziele abgestimmt sind.

Darüber hinaus befasst sich das Compliance-Management mit potenziellen Regelverstößen und legt fest, wie ein Unternehmen mit solchen Vorfällen umgehen sollte. Es legt einen Compliance-Rahmen fest, der unternehmensspezifische Compliance-Fragen und branchenbezogene Risiken behandelt.

Es kann sowohl ein Compliance-Bereich definiert werden, der sich auf unternehmensspezifische Compliance-Themen konzentriert, als auch ein Compliance-Bereich, der einen branchenspezifischen Fokus hat.

Kurz gesagt: Während "Compliance" den Zustand der Regelkonformität bezeichnet, bezieht sich "Compliance-Management" auf die Aktivitäten und Prozesse, die sicherstellen, dass dieser Zustand erreicht und aufrechterhalten wird.

Was ist ein Compliance-Management-System?

Ein Compliance-Management-System (CMS) ist ein grundlegender Rahmen für die Umsetzung einheitlicher Verhaltensstandards. Es schafft eine Kontrollstruktur, die es Unternehmen ermöglicht, Maßnahmen zur Förderung regelkonformen Verhaltens und zur Behandlung von Verstößen zu entwickeln.

Es ist wichtig zu betonen, dass ein Compliance-Management-System ständig weiterentwickelt und an veränderte Umstände angepasst werden muss. Dieser Prozess erfolgt durch den PDCA-Zyklus, ein weithin anerkanntes Modell zur Optimierung des betrieblichen Qualitätsmanagements. Der PDCA-Zyklus besteht aus vier Schritten: PLAN, DO, CHECK, ACT.

Grundelemente eines Compliance-Management-Systemen

Der Deutsche Corporate Governance Kodex (DCGK) gibt allgemeine Leitlinien für die Gestaltung eines Compliance-Management-Systems (CMS) vor. Unternehmen können ihr eigenes CMS entwickeln, das auf ihre Bedürfnisse und rechtlichen Anforderungen zugeschnitten ist. Im Folgenden werden die wesentlichen Elemente eines Compliance-Management-Systems dargestellt:

Leitlinie (Tone from the Top):

Das Management sollte eine klare Botschaft über die Bedeutung von Compliance vermitteln. Dies kann in Form einer Compliance-Leitlinie oder Ethikrichtlinie geschehen, die die grundlegenden Werte und Erwartungen des Unternehmens in Bezug auf rechtmäßiges und ethisches Verhalten festlegt.

Risikoanalyse

Unternehmen sollten regelmäßig Compliance-Risikoanalysen durchführen, um potenzielle Risikobereiche zu identifizieren und zu bewerten. Dies ermöglicht es dem Unternehmen, Prioritäten zu setzen und Ressourcen dort einzusetzen, wo sie am meisten benötigt werden.

Präventive Maßnahmen

Dazu gehören Schulungen und Weiterbildungen für Mitarbeiter, um sie über ihre Compliance-Pflichten zu informieren. Auch klare Prozesse und Kontrollen sollten implementiert werden, um Regelverstöße zu verhindern.

Kommunikation

Ein effektives CMS sollte einen klaren Kommunikationskanal für Compliance-Fragen und -Beschwerden bieten. Oftmals wird eine Whistleblower-Hotline oder ein anderes Meldesystem eingerichtet, um Mitarbeitern und Dritten zu ermöglichen, Bedenken anonym zu äußern.

Überwachung und Kontrolle

Regelmäßige interne Audits und Überprüfungen sind notwendig, um die Wirksamkeit des CMS sicherzustellen und gegebenenfalls Korrekturmaßnahmen einzuleiten.

Reaktion und Durchsetzung: Wenn Compliance-Verstöße identifiziert werden, muss das Unternehmen angemessen reagieren. Dies kann Disziplinarmaßnahmen gegen die Beteiligten, Korrekturmaßnahmen oder die Überarbeitung von Richtlinien und Prozessen umfassen.

Dokumentation und Berichterstattung

Alle Aspekte des CMS, einschließlich Schulungen, Meldungen und Reaktionen auf Verstöße, sollten dokumentiert werden. Dies stellt nicht nur sicher, dass das Unternehmen rechtlich abgesichert ist, sondern erleichtert auch die Überprüfung und Verbesserung des Systems.

Diese Elemente bieten einen Rahmen für die Entwicklung, Implementierung und Aufrechterhaltung eines wirksamen Compliance-Management-Systems. Es ist jedoch wichtig zu betonen, dass jedes Unternehmen einzigartig ist und sein CMS an seine spezifischen Risiken und Anforderungen anpassen muss.

Aufgaben von Compliance-Beauftragten und -Managern

Compliance-Manager und -Beauftragte sind von entscheidender Bedeutung, wenn es darum geht, einen fehlerfreien Betrieb, eine kontinuierliche Überwachung und eine individuelle Optimierung des Compliance-Management-Systems (CMS) eines Unternehmens sicherzustellen. Sie werden oft als verlängerter Arm der Geschäftsleitung gesehen, der mit wichtigen Compliance-Aufgaben betraut ist.

Ihre primären Pflichten umfassen eine Reihe von wesentlichen Aufgaben, darunter:

• Durchführung von Risikoanalysen in verschiedenen Bereichen wie Informationstechnologie, Rechtskonformität und produktbezogene Angelegenheiten

• Formulierung standardisierter Richtlinien und Vorschriften, um die Einheitlichkeit im gesamten Unternehmen zu gewährleisten

• Organisation und Implementierung umfassender Compliance-Management-Systeme, die auf die Bedürfnisse des Unternehmens zugeschnitten sind

• Entwicklung eines Verhaltenskodexes, der das ethische Verhalten und die Standards der Mitarbeiter festlegt

• Durchführung von Schulungsprogrammen für Mitarbeiter zur Förderung des Bewusstseins und des Verständnisses für Compliance-Anforderungen

• Abmilderung potenzieller Verbindlichkeiten und Schutz des Unternehmens vor Schadensersatzansprüchen durch Sicherstellung der Einhaltung der einschlägigen Gesetze und Vorschriften

• Überwachung der Compliance-Regeln und sofortige Reaktion auf Abweichungen oder Verstöße

Vorteile von Content Management Systemen (CMS)

Verbesserte Compliance-Prozesse: CMS fördert die Transparenz der Compliance-Verfahren und gewährleistet klare und nachvollziehbare Praktiken.

Proaktive Erkennung und Lösung von Verstößen: CMS identifiziert und behebt aktiv Verstöße und verhindert so, dass potenzielle Probleme eskalieren.

Erhöhte Mitarbeitermotivation: Die Einführung von CMS fördert das Verantwortungsbewusstsein und das Engagement der Mitarbeiter, was zu einem höheren Motivationsniveau führt.

Positives Unternehmensimage: Der Einsatz eines CMS zeigt das Engagement eines Unternehmens für ethische Praktiken und verschafft ihm einen guten Ruf bei den Stakeholdern.

Bessere Position bei Verhandlungen: Mit einem CMS haben Unternehmen eine vorteilhafte Verhandlungsposition bei Verhandlungen mit Investoren und Geschäftspartnern, da sie über einen soliden Governance-Rahmen verfügen.

Starke Arbeitgebermarke: Die Einführung von CMS zeigt, dass sich ein Unternehmen für faire Praktiken einsetzt, und macht es zu einem attraktiven Arbeitgeber für talentierte Fachkräfte.

Müssen alle Unternehmen diese Vorschriften einhalten?

Die Anforderung, Compliance-Regeln und -Instrumente einzuführen, variiert je nach Art des Unternehmens. Hier ist eine Aufschlüsselung.

Börsennotierte Unternehmen in Deutschland müssen sich an den Deutschen Corporate Governance Kodex (DCGK) halten. Der DCGK unterstützt die Organisationsleitung bei der Einhaltung bestimmter Standards in Unternehmen.

International tätige Unternehmen: Diese Unternehmen müssen sich an internationale Richtlinien halten, die sich von Land zu Land unterscheiden. Es ist wichtig, auf die Marktbedingungen im Ausland zu achten. Unternehmen, die im Vereinigten Königreich tätig sind, müssen sich beispielsweise an den UK Bribery Act halten.

Familienunternehmen: Familienunternehmen können auf freiwilliger Basis den Governance-Kodex für Familienunternehmen (GKFU) übernehmen. Dieser Kodex, der 2004 eingeführt wurde und im Mai 2021 in die vierte Auflage geht, bietet freiwillige Leitlinien für eine verantwortungsvolle Unternehmensführung in Familienunternehmen.

Kleine und mittlere Unternehmen (KMU): KMU sind nicht verpflichtet, Compliance-Regeln umzusetzen. Sie sollten sich jedoch der wesentlichen Praktiken bewusst sein und vermeiden, Aspekte wie IT-Compliance, Cybersicherheit und mobile Sicherheit zu vernachlässigen.

Abschweifung: "Whistleblowing-Richtlinie"

Die "Whistleblowing-Richtlinie" bezieht sich auf die am 23. Oktober 2019 angenommene Richtlinie des Europäischen Parlaments und des Rates zum Schutz von Personen, die Verstöße gegen das EU-Recht melden. Mit dieser Richtlinie soll eine einheitliche Definition von Mindeststandards festgelegt werden, um eine bessere Durchsetzung des Unionsrechts zu ermöglichen.

Die Richtlinie verpflichtet Unternehmen mit mehr als 50 Mitarbeitern, ein Hinweisgebersystem einzurichten. Idealerweise sollte das Whistleblower-System über einen gut funktionierenden internen Meldemechanismus verfügen, über den Mitarbeiter Compliance-Verstöße umgehend und anonym melden können. Darüber hinaus müssen Finanzdienstleistungsunternehmen unabhängig von ihrer Größe ein Hinweisgebersystem als Teil des CMS einführen.

Wie man ein Compliance-Management-System einrichtet und umsetzt

1) Bestimmen Sie die für Ihre Compliance-Bemühungen relevanten Stakeholder und Kontaktpersonen. Dazu gehören externe Aufsichtsbehörden, Behörden, Geschäftspartner und interne Mitarbeiter.

2) Entwickeln und etablieren Sie umfassende Richtlinien und Prozesse, um die kontinuierliche Einhaltung der Vorschriften im Unternehmen zu gewährleisten.

3) Führen Sie regelmäßige Schulungs- und Kommunikationsmaßnahmen durch, um sicherzustellen, dass alle Mitarbeiter die Compliance-Anforderungen kennen und verstehen. Wiederholen Sie diese Aktivitäten in angemessenen Abständen, um die Einhaltung der Vorschriften zu verstärken.

4) Sichern Sie sich die Zustimmung und Unterstützung des Managements, um eine Compliance-Kultur in der gesamten Organisation zu fördern. Die Führungsebene muss die Einhaltung der Vorschriften vorleben und den Mitarbeitern ein Beispiel geben.

5) Einführung regelmäßiger Überprüfungen und Kontrollmechanismen zur Bewertung und Überwachung der Wirksamkeit der Compliance. Dadurch wird sichergestellt, dass das Compliance-Management-System keine vorübergehende Maßnahme ist, sondern ein nachhaltiger Ansatz zur Aufrechterhaltung der Compliance.

6) Ergreifen Sie umgehend und konsequent Maßnahmen gegen Compliance-Verstöße. Untersuchen Sie alle gemeldeten Fälle gründlich und ziehen Sie die betreffenden Personen für ihre Handlungen zur Rechenschaft. Es ist wichtig, Schwachstellen im System zu beseitigen und Korrekturmaßnahmen zu ergreifen, um künftige Verstöße zu verhindern.