Compliance im Unternehmen

Compliance im Unternehmen

Wer es mit der Compliance nicht so ernst nimmt, verstößt beispielsweise gegen Gesetze, aufsichtsrechtliche Anforderungen, internen Richtlinien oder Kodizes. Diese Verstöße können schwere Folgen für das Unternehmen haben. Korruption bei der Auftragsvergabe, Insidergeschäfte im Wertpapierhandel oder Unregelmäßigkeiten in der Finanzbuchhaltung ziehen Straf- oder Ordnungswidrigkeitenverfahren, Bußgelder, Gerichtskosten und Schadensersatzansprüche nach sich. Weitere Folgen können Reputationseinbußen, Vorwürfe eines OrganisationsverschuldensAktienkursverluste, Haftung von Unternehmensleitung oder Mitarbeitern, Bedrohung von Arbeitsplätzen und Wettbewerbsnachteile sein.

 

In schweren Fällen kann es in manchen Branchen wie im Finanzdienstleistungssektor sogar zur Einstellung des Geschäftsbetriebs kommen. Mit einem ganzheitlichen Compliance Management System (CMS) können Sie diese Risiken minimieren und Sicherheit für Mitarbeiter, Unternehmensleitung, Kunden und Geschäftspartner schaffen. Ein effizientes CMS ist ein wesentlicher Bestandteil des betrieblichen Risikomanagements.

 

Stellenwert von Compliance im Unternehmen stärken

 

Unter Compliance wird Regeltreue hinsichtlich der externen und internen Normen verstanden, denen Ihr Unternehmen unterliegt. Ihre Unternehmensleitung muss diese Grundeinstellung aktiv vorleben. Dieser sogenannte „Tone from the Top“ ist entscheidend für die Akzeptanz und den Erfolg des Compliance Management Systems (CMS).

 

Durch die Beachtung der Compliance-Regeln erhalten sowohl Führungskräfte wie auch Mitarbeiter Rechts- und Verhaltenssicherheit. Viele große Unternehmen und Konzerne verpflichten auch ihre Geschäftspartner, zum Beispiel Lieferanten, auf ihre Compliance-Regelungen. Diese Regelungen können auch Prüfungsgegenstand von internen Revisoren und externen Wirtschaftsprüfern sein.

 

Bausteine eines ganzheitlichen Compliance Management Systems (CMS)

 

Ein strukturiertes und ganzheitliches (CMS) soll die Einhaltung von Gesetzen sowie internen Richtlinien und Kodizes im Unternehmen sicherstellen, Risiken minimieren, Transparenz und Effizienz durch Kontrollen unterstützen. Daher umfasst das (CMS) alle Maßnahmen, mit denen Verstöße gegen Regeln verhindert, gemeldet, aufgedeckt, untersucht und sanktioniert werden. Es enthält in der Regel folgende Elemente, die aufeinander aufbauen und voneinander abhängig sind:

 

  • Risiko- bzwGefährdungsanalysen
  • ComplianceRichtlinien
  • Kontrollmaßnahmen
  • Schulungen der Führungskräfte und Mitarbeiter
  • Melde- und Eskalationswege
  • Maßnahmenpläne bei Verstößen
  • Berichtswesen für die Unternehmensleitung

 

Das CMS muss so ausgestaltet werden, dass es der Risikostruktur Ihres Unternehmens angemessen ist. Es gibt kein CMS, das für jedes Unternehmen unabhängig von seiner Größe, seiner Branche und seinen spezifischen Risiken passt. Zur Orientierung bei der Ausgestaltung eines CMS können Ihnen verschiedene Standards aus der Compliance-Welt dienen, zum Beispiel:

 

  • IDW Prüfungsstandard (PS) 980
  • ISO 19600 und ISO 37001
  • Standard für Compliance-Management-Systeme (TR CMS 101:2015)

 

Risikoanalyse als Basis des Compliance Managements

 

Am Anfang der Implementierung oder Erneuerung eines CMS steht eine Analyse der Risiken, denen das Unternehmen unterliegt – auch Risk Assessment genannt. Hier setzt sich das Unternehmen bzw. dessen Leitung strukturiert mit seinen Risiken auseinander, identifiziert und bewertet die Risiken und leitet daraus Maßnahmen zur Risikominimierung ab.

 

Risiken bestehen in der Verletzung von rechtlichen Vorgaben und internen Richtlinien. Das können strafbare Handlungen wie Bestechlichkeit/ Korruption, Betrug oder Urkundenfälschungen sein. Ebenso wie Verstöße gegen Wettbewerbsvorschriften oder das Markenrecht. Die Missachtung von betrieblichen Anweisungen und Regelungen, die zum Schutz gegen Verstöße aufgestellt wurden, gehören ebenso dazu. Das Unternehmen muss diese Risiken möglichst lückenlos auflisten und die jeweilige Eintrittswahrscheinlichkeit eines solchen Ereignisses bewerten. Zum Beispiel ist die Wahrscheinlichkeit für Korruption bei der Vergabe von Aufträgen in erheblicher Größenordnung ziemlich hoch, wenn sonst keine Kontrollmaßnahmen bestehen.

 

Die Auswirkungen bewerten

 

Im zweiten Schritt bewertet man die Auswirkungen eines solchen Ereignisses. Das können finanzielle Folgen aufgrund von Strafverfahren, Bußgeldern oder Schadensersatzansprüchen sein. Aber auch Reputationsschäden in der Öffentlichkeit und bei den Marktteilnehmern gehören dazu, Auswirkungen auf den Aktienkurs oder Eingriffe von Aufsichtsbehörden in das Unternehmen. Abschließend werden – abhängig vom jeweiligen Risiko – angemessene Maßnahmen abgeleitet. Dabei kann sich herausstellen, dass man bereits bestehende Maßnahmen modifizieren oder ergänzen muss. Diese Maßnahmen können zum Beispiel in der Implementierung des Vier-Augen-Prinzips in verschiedene Geschäftsprozesse bestehen oder in nachgelagerten Prüfungen. Anhand der Risikoanalyse können gegenüber der Unternehmensleitung eventuell anstehende Kosten begründet werden, da die Aufwendungen analytisch hergeleitet wurden.

 

Bei der erstmaligen Erstellung einer Risikoanalyse kann es – je nach den eigenen Vorkenntnissen – sinnvoll sein, externes Methodenwissen zur Unterstützung heranzuziehen. Dies können einschlägig erfahrene Unternehmensberatungen oder IT-Tools für das Risk Assessment sein. Wichtig ist, dass die Risikoanalyse regelmäßig durchgeführt wird, zum Beispiel jährlich, weil sich die Risikosituation des Unternehmens durch neue geschäftliche oder rechtliche Entwicklungen verändern kann.

 

Compliance-Richtlinien, -Kontrollen und -Schulungen

 

Die Maßnahmen, die aus der Risikoanalyse abgeleitet werden, schlagen sich nieder in den Richtlinien. An der Spitze einer Hierarchie von Regelungen steht häufig ein Ethik- oder Verhaltens-Kodex (Code of Conduct), mit dem sich das Unternehmen und seine Mitarbeiter bestimmten Werten und Standards verpflichtet. Diese stellen insbesondere auf die für das Unternehmen geltenden Rechtsnormen, grundsätzliche Verfahrensweisen und die Verantwortlichkeiten von Führungskräften und Mitarbeitern ab. Hier finden sich Aussagen zu den Themen

 

  • Kommunikation mit Kunden und Geschäftspartnern
  • Umgang mit vertraulichen Informationen, Geschäftsgeheimnissen und anvertrauten Vermögenswerten
  • Interessenkonflikte
  • Geschenke und Einladungen
  • Meldung bei Verdacht auf Verstöße

 

Der Kodex enthält häufig bereits die Ansprechpartner, an die man einen Verdacht auf einen Verstoß gegen den Kodex melden kann. In der Regel werden Hinweisgebersysteme (Whistleblowing) eingesetzt, die auch anonyme Meldungen zulassen und Anonymität garantieren. Für ein Hinweisgebersystem bieten sich folgende Alternativen an:

 

  • Telefon-Hotline
  • externe Ombudsleute (zum Beispiel Rechtsanwälte)
  • IT- oder webbasierte Systeme

 

Welche Kontrollmöglichkeiten gibt es?

 

In weiteren Anweisungen oder Richtlinien werden die aus der Risikoanalyse als notwendig identifizierten Kontrollen aufgenommen. Hierzu gehören die Prüfung von bestimmten Anzeige- und Dokumentationspflichten (zum Beispiel zu Geschenken und Einladungen von Geschäftspartnern), die Anwendung des Vier-Augen-Prinzips innerhalb von gefährdeten Geschäftsprozessen (zum Beispiel bei der Vergabe von Aufträgen an externe Dienstleister) oder die nachträglichen Prüfungen von bestimmten Geschäftsaktivitäten (zum Beispiel die Kontrolle von Reisekostenabrechnungen).

 

Aber Richtlinien alleine gewährleisten noch keine gelebte Compliance-Kultur. Ebenso wichtig ist ein Schulungskonzept innerhalb des Unternehmens, das die wesentlichen Inhalte der Richtlinien an die Zielgruppen Führungskräfte und Mitarbeiter transportiert. In besonders risikobehafteten Bereichen sind Präsenzschulungen durch Compliance-Beauftragte sinnvoll. In allen anderen Bereichen reichen in der Regel webbasierte Trainings am Bildschirm aus, um die Mitarbeiter zu sensibilisieren. Die Trainings muss man regelmäßig überprüfen und aktualisieren, ebenso wie die Quote der abgeschlossenen Trainings. Der Lernerfolg wird durch einen erfolgreich absolvierten Online-Test bescheinigt. Das verhindert ein nur oberflächliches „Durchklicken“ durch das Training.

 

Compliance-Meldewege, –Maßnahmenpläne und –Berichtswesen

 

ComplianceDie Benennung von Ansprechpartnern oder des Hinweisgebersystems bei einem Verdacht auf Verstöße reicht aber noch nicht aus. Es muss auch klar geregelt sein, was mit einer Meldung passiert. Wen informiert man darüber? Wie verläuft das weitere Vorgehen? Die Verdachtsmeldung muss auf jeden Fall von einer unabhängigen Instanz weiter verfolgt werden, die hinsichtlich der beteiligten Personen nicht in einem Interessenkonflikt befangen ist. Diese Instanz muss weitere Schritte durchführen:

 

  • Meldung auswerten
  • eigene Recherchen betreiben
  • Ergebnisse bewerten
  • Zeugen und Betroffene befragen

 

Am Ende muss die Frage beantwortet sein, ob tatsächlich ein Verstoß oder eine unberechtigte Meldung vorlag. Wird die Meldung bestätigt, sind weitere Funktionsträger hinzuzuziehen, wie die Personalabteilung und ggf. der Betriebsrat. Durch entsprechende Maßnahmenpläne sollten der Ablauf der Untersuchungen und die zu beteiligenden Personen von vornherein klar sein. Dann kann man in brisanten Notfällen auch sehr schnell agieren. Zum Anschluss einer Untersuchung ist die Analyse zweckmäßig, ob sich aus dem Verdachtsfall der Anlass für Prozessverbesserungen ergibt (Lessons Learned).

 

Der verantwortliche Compliance-Beauftragte/ –Officer berichtet an die Unternehmensleitung. Dies können Ad-hoc-Meldungen über aufgetretene Verdachtsfälle sein als auch turnusmäßige Berichte. Die letzteren können eine Gesamtübersicht aus dem Berichtszeitraum über eingegangene Meldungen und den Status ihrer Bearbeitung enthalten, den Stand der durchgeführten Schulungen, fortgeschriebene Risikoanalysen oder Optimierungen in den Geschäftsprozessen.

No Comments

Sorry, the comment form is closed at this time.