Conrisco  >>  Compliance

Was bedeutet Compliance?

Compliance steht für Regelkonformität. Compliance in Unternehmen bezeichnet heutzutage die Beachtung von Recht und Gesetz und die Einhaltung allgemeiner und branchenspezifischer externer und interner Regeln, Normen und Vorschriften durch das Unternehmen und seine Beschäftigten sowie die dazu eingeführten Maßnahmen.

Im Kontext von Compliance-Management kann „Compliance“ sehr weitreichenden Bedeutungsinhalt haben. Häufig spielen unter dem Überbegriff „Compliance“ auch Themen der Ethik, Corporate Social Responsibility (CSR), Nachhaltigkeit sowie Corporate Governance eine Rolle. So umfasst er meistens auch ein freiwilliges Bekenntnis zu eigenen Werten, die sich das Unternehmen über einen Verhaltenskodex und Regeln auferlegt hat.
RiskNET- The Risk Management Network- beschriebt beispielsweise den Begriff Compliance/Regelüberwachung u.a. als die Gesamtheit aller zumutbaren Maßnahmen, die das regelkonforme Verhalten eines Unternehmens, seiner Organisationsmitglieder und seiner Mitarbeiter im Hinblick auf alle gesetzlichen Ge- und Verbote begründen. Darüber hinaus soll die Übereinstimmung des unternehmerischen Geschäftsgebarens auch mit allen gesellschaftlichen Richtlinien und Wertvorstellungen, mit Moral und Ethik gewährleistet werden. (Quelle: www.risknet.de/wissen/glossar, Febr. 2021)

Die Pflicht zur Einhaltung von Compliance betrifft jeden im Unternehmen: Organe und Beschäftigte gleichermaßen. Die Geschäftsleitung trifft die Legalitätspflicht, d.h. die Pflicht der obersten Leitungsebene, Präventionsstrukturen zur Verhinderung von Regel- oder Gesetzesverstößen zu errichten und aufrecht zu erhalten.

Warum Compliance - warum Compliance-Management?

Gesunder Menschenverstand und Handschlag reichen nicht mehr aus, um die Anforderungen an die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters zu erfüllen. Nicht nur die großen Konzerne, auch mittelständische Unternehmen sehen sich einem immer größer werdenden Dschungel aus Gesetzen und anderen einzuhaltenden Regeln ausgesetzt.

Zur Erfüllung der Legalitäts- und Legalitätskontrollpflicht wird heutzutage ein der Größe und den Verhältnissen des Unternehmens entsprechendes Compliance-Management-System als zentraler Bestandteil einer funktionierenden Corporate Governance angesehen. Basierend auf einer guten Compliance-Kultur soll ein Compliance-Management durch präventive, kontrollierende und reaktive Maßnahmen regelwidriges Verhalten im Unternehmen verhindern und somit das Unternehmen vor Vermögens- und Reputationsschäden bewahren sowie ihre Organe vor zivil- und strafrechtlichen Folgen schützen.

Was ist ein Compliance-Management-System?

Compliance-Management dient der Sicherstellung regelkonformen und normgerechten Verhaltens eines Unternehmens. Ein Compliance-Management-System organisiert die Sicherstellung von Compliance im Unternehmen durch geeignete Vorgaben und Maßnahmen, mit dem Ziel der Herstellung und Erhaltung einer integren und regeltreuen Unternehmensführung.
Ein Compliance-Management-System ist daher die Gesamtheit der aufbau- und ablauforganisatorischen Vorgaben, Maßnahmen und Prozesse, die ein Unternehmen einrichtet, um die Einhaltung der Rechtskonformität und der internen und externen Vorgaben zu gewährleisten.
Für Compliance-Management-Systeme gibt es keine gesetzliche Norm, jedoch verschiedene Leitfäden, Hilfestellungen oder Standards. Die bekanntesten Standards sind der IDW PS 980, der den Prüfstandard für Wirtschaftsprüfer vorgibt, sowie die DIN ISO Norm 19600. Im April 2021 wurde die ISO 19600 durch den neuen Standard für Compliance-Management-Systeme DIN ISO 37301 abgelöst, der die tragenden Säulen eines Compliance-Management-Systems vorgibt und als Typ A Standard zertifizierbar ist. Die ISO Standards für Compliance- Management-Systeme folgen dem Regelkreis-Prinzip als Deming Circle PDCA (Plan, Do, Check, Act), benannt nach William Edwards Deming.
Ein Compliance-Management-System (CMS) nach dem ISO 37301 Standard folgt dem folgenden Aufbau:

Compliance-Management dient der Sicherstellung regelkonformen und normgerechten Verhaltens eines Unternehmens. Ein Compliance-Management-System organisiert die Sicherstellung von Compliance im Unternehmen durch geeignete Vorgaben und Maßnahmen, mit dem Ziel der Herstellung und Erhaltung einer integren und regeltreuen Unternehmensführung.  Ein Compliance-Management-System ist daher die Gesamtheit der aufbau- und ablauforganisatorischen Vorgaben, Maßnahmen und Prozesse, die ein Unternehmen einrichtet, um die Einhaltung der Rechtskonformität und der internen und externen Vorgaben zu gewährleisten.  Für Compliance-Management-Systeme gibt es keine gesetzliche Norm, jedoch verschiedene Leitfäden, Hilfestellungen oder Standards. Die bekanntesten Standards sind der IDW PS 980, der den Prüfstandard für Wirtschaftsprüfer vorgibt, sowie die ISO Norm 19600, die (noch) als Typ B – Standard die tragenden Säulen eines Compliance-Management-Systems vorgibt. In Kürze soll ISO 19600 durch den neuen Standard für Compliance-Management-Systeme ISO 37301 abgelöst werden und dann als Typ A Standard zertifizierbar sein. Die ISO Standards für Compliance- Management-Systeme folgen dem Regelkreis-Prinzip als Deming Circle PDCA (Plan, Do, Check, Act), benannt nach William Edwards Deming.  Ein Compliance-Management-System (CMS) nach ISO Standard folgt dem folgenden Aufbau: Zoom (71KB)

Funktionen des Compliance-Management-Systems Prevent, Detect, Respond

Prävention (Prevent)
Schwerpunkt eines Compliance-Managements sollte die Förderung integren Verhaltens sowie präventive Maßnahmen zur Vermeidung und Verhinderung von Fehlverhalten im Unternehmen sein. Eine aktiv kommunizierte und vorbildlich vorgelebte Compliance-Kultur sollte die Basis der präventiven Maßnahmen bilden.

Zur Prävention gehören z.B. die Identifikation und Bewertung der Compliance-Risiken, die Aufstellung von Compliance-Vorgaben und Regeln, Schulungen, die Festschreibung der aufbau- und ablauforganisatorischen Maßnahmen, die Integration von Compliance in die Arbeitsprozesse und vieles mehr.

Aufdeckung (Detect)
Regelwerke und präventive Maßnahmen können Fehlverhalten nicht komplett ausschließen. Die zweite Säule des Compliance-Managements besteht daher aus Kontrollmaßnahmen zur frühzeitigen Entdeckung und Aufdeckung von Missständen und Fehlverhalten. Hierzu gehören unter anderem Delegationskontrollen sowie regelmäßige (teilweise unangekündigte) Kontrollen der Einhaltung und Umsetzung der Präventivmaßnahmen. Auch das Monitoring von automatisierten Prüfungen, Werten und Kennzahlen (z.B. Inventurdifferenzen, Überschreiten von Schwellenwerten, Gewährleistungskosten, Reklamationen etc.) kann helfen, Compliance-Schwachstellen im Unternehmen frühzeitig zu identifizieren.

Wichtiger Baustein der Aufdeckungsfunktion ist ein geeignetes Verfahren zur Meldung von Missständen im Unternehmen. Die Implementierung eines Hinweisgebersystems (auch Whistleblower System genannt), durch das Beschäftigte und externe Personen regelwidriges Verhalten oder Missstände auf vertraulicher oder anonymer Basis melden können, ist ein grundlegendes Element der Risiko-Früherkennung und Aufdeckung. Weitere Informationen zu Hinweisgebersystemen finden Sie hier: Hinweisgebersysteme

Reaktion (Respond oder React)
Das unternehmerische Bekenntnis zu Compliance darf kein Papiertiger sein. Die Reaktion, also das aktive Handeln im Fall von Verdachtsfällen und konkreten Compliance-Verstößen, ist die dritte Funktion eines guten Compliance-Managements.
      
Zur Reaktion gehören die faire Falluntersuchung und Aufklärung ebenso wie ein konsequentes und transparentes Verfahren zur Sanktionierung von Verstößen und angemessene Konsequenzen. Nur aktives Einschreiten unterstreicht die Glaubwürdigkeit eines „Null Toleranz“- Bekenntnisses der Unternehmensleitung. Letzteres bedeutet, Verstöße auch dann nicht zu tolerieren, wenn sie aus der Sicht des Mitarbeiters im vermeintlichen „Unternehmensinteresse“ erfolgt sind.
Eine weitere wichtige Reaktionsmaßnahme ist die Überprüfung der Präventiv-Maßnahmen, um die entsprechende Compliance-Schwachstelle zukünftig zu beseitigen. „Lessons Learned“-Erkenntnisse sollten für die strukturelle oder organisatorische Anpassung bestehender Prozesse dienen. Mit der regelmäßigen Überprüfung und Anpassung der Prävention schließt sich der Kreislauf und führt im Laufe der Zeit zu einer kontinuierlichen Verbesserung des Compliance-Managements.

Welche Vorteile bringt ein Compliance-Managementsystem?

Wiederkehrend wird Compliance von Unternehmensleitern oder Mitarbeitern mit Bürokratie gleichgesetzt, daher nachteilig gesehen und folglich abgelehnt. Dabei kann ein der Größe und Komplexität des Unternehmens angemesseneres Compliance-Managementsystem dem Unternehmen sehr viele Vorteile bringen. Compliance-Management kann

  • Compliance-Risiken frühzeitig erkennen, überwachen und bewusst managen
  • Compliance-Schwachstellen minimieren
  • die Einhaltung gesetzlicher, regulatorischer und interner Vorgaben sicherstellen
  • Transparenz und Vertrauen bei Mitarbeitern, Kunden und Lieferanten schaffen
  • die Mitarbeitermotivation durch klare Vorgaben erhöhen
  • die Unternehmenskultur nachhaltig stärken
  • die Teilnahme an Auftragsvergaben, Ausschreibungen und Kooperationen erleichtern
  • die Widerstandsfähigkeit und Zukunftsfähigkeit des Unternehmens stärken
  • die Reputation und Wettbewerbsfähigkeit erhöhen
  • die Erfüllung der Geschäftsleiterpflichten dokumentieren
  • die Gefahr von Bußgeldern, Strafen und Sanktionen verringern
  • Haftungsrisiken der Geschäftsleitung aus Organisationsverschulden vermeiden
  • nachhaltig das Vermögen, die Existenz und den Unternehmenserfolg sichern.

Was ist der „Tone from the Top“ und warum ist er wichtig?

Unter dem Tone from the Top versteht man nicht nur das verbale Bekenntnis der Unternehmensleitung zu einer guten Unternehmens- und Compliance-Kultur, sondern vor allem auch das vorbildliche Vorleben dieser Inhalte durch das Management. Warum das so wichtig ist, lesen Sie hier: Compliance fängt von oben an

Was ist ein Compliance Officer?

Der Compliance Officer (oder Compliance Manager oder auch Compliance Beauftragter) ist zentraler Ansprechpartner, Organisator und Koordinator für alle Compliance Fragen im Unternehmen. Er wird von der Geschäftsleitung durch Pflichtendelegation eingesetzt. Damit überträgt die Geschäftsleitung festgelegte Aufgaben und Pflichten zur Umsetzung und Weiterentwicklung des Compliance-Managements auf einen (oder mehrere) Compliance Officer. Die Geschäftsleitung ist dadurch nicht von der Compliance-Verantwortung entbunden, sondern übt diese über Sekundär-Pflichten, d.h. Organisations-, Kontroll- und Aufsichtspflichten weiterhin aus.

Welche Aufgaben hat ein Compliance Officer?

Die genauen Zuständigkeiten, Aufgaben und Kompetenzen der Compliance Officer sind von der Geschäftsleitung unternehmensindividuell zu bestimmen und schriftlich festzuhalten.
 
Häufige Aufgabenschwerpunkte sind beispielsweise:

  • die operative Implementierung,
  • das Monitoring,
  • die Weiterentwicklung des Compliance-Managementsystems, sowie
  • die Beratung zu Compliance-relevanten Fragestellungen.

Zu wichtigen Aufgaben zählen unter anderem z.B.

  • die Koordination oder die Durchführung der Risikoanalysen- und Maßnahmenbewertung,
  • die Koordination der Compliance-Richtlinien sowie der Einbindung in die Prozesse,
  • die Compliance-Bewusstseinsförderung durch Kommunikation und Schulungen,
  • die Überprüfung der Wirksamkeit des Compliance-Managementsystems,
  • das Compliance-Reporting,
  • die Compliance-Dokumentation.

Welche Kompetenzen brauchen Compliance Officer

Compliance Officer müssen fachlich und persönlich für ihre Aufgaben geeignet sein. In fachlicher Hinsicht müssen sie über die notwendigen rechtlichen als auch (betriebs-)wirtschaftlichen Kenntnisse verfügen und sehr gute Kenntnisse der Unternehmensprozesse haben. Gleichzeitig sind die Anforderungen an die Persönlichkeit hoch, insbesondere Integrität, Objektivität, Durchsetzungskraft und Kommunikationsstärke sind wichtige Persönlichkeitsmerkmale erfolgreicher Compliance Officer.

Compliance Officer sollen weisungsfrei und unabhängig sowie in ihrer Compliance-Funktion direkt der Geschäftsleitung unterstellt sein. An welcher Stelle sie im Unternehmen angesiedelt sind, ob es als Haupt- oder Zusatzfunktion etabliert wird oder gegebenenfalls eine eigene Compliance Abteilung besteht, ist von Größe, Struktur und den individuellen Compliance-Risiken des Unternehmens abhängig.

Sie haben Fragen zum Thema Compliance, benötigen Beratung oder möchten konkret an die Umsetzung gehen?

Sprechen Sie uns gerne dazu an:

Conrisco GmbH
Beuelsweg 20
50733 Köln

Gabriele Krämer
Tel. +49 151 2897 1212

Christoph Charpentier
Tel. +49 173 248 7457

E-Mail: info(at)conrisco.de
Web: www.conrisco.de