Der Aufbau von Compliance Management Systemen

Der Aufbau von Compliance Management Systemen

Beitrag vom 23.07.2024

Zur Themenwelt Unternehmensführung

Compliance Management Systeme – warum sie so wichtig sind und was Unternehmen bei der Umsetzung beachten müssen

Um sicherzustellen, dass sie sich zu jedem Zeitpunkt regelkonform verhalten, brauchen Unternehmen ein Compliance Management System (CMS). Denn Gesetzesverstöße stellen nicht nur aus ethischen Gründen ein Problem dar. Sie können auch hohe Strafen nach sich ziehen. Zusätzlich droht je nach Art des Verstoßes ein folgenschwerer Imageschaden.

Wir haben uns mit Frank Machalz, Geschäftsführer der envigration GmbH und Spezialist für Compliance Management, darüber unterhalten,

  • was genau hinter einem CMS steckt,
  • was die Einführung der ISO 37301 für Unternehmen bedeutet und
  • welche Fehler bei der Umsetzung lauern.

Was ist ein Compliance Management System? – Definition

Ein Compliance Management System bündelt alle Strukturen, Prozesse und Maßnahmen in einer Organisation, die dazu dienen, Regelkonformität sicherzustellen. Anders ausgedrückt schafft es die Voraussetzungen dafür, dass Organisationen nicht gegen rechtsverbindliche externe Regeln und interne Vorgaben verstoßen.

Der Umfang eines Compliance Managements wird laut Frank Machalz gerne unterschätzt: „Wenn Sie heute Geschäftsführer von Unternehmen fragen, was Sie unter Compliance Management verstehen, erhalten Sie häufig die Antwort: Kartellrecht, Wettbewerbsrecht und Geldwäscheprävention.“ Falsch sei das nicht, aber nur ein kleiner Teil des großen Ganzen.

Frank Machalz veranschaulicht die vielen Facetten von Compliance Management gerne am Beispiel eines Notstromaggregats. Während Arbeitsschützer dieses „mit der Risikobrille des Individualschutzes“ betrachten, sähen andere vor allem die damit verbundenen Umweltrisiken, steuerliche Aspekte oder Risiken in Verbindung mit Beschaffungsprozessen. Ein Compliance Management decke alle Risiken ab.

Was ist das Steuerrad?

 

Das Abbild eines Steuerrades dient der Veranschaulichung für ein ganzheitliches, holistisches integriertes Managementsystem auf Basis des PDCA-Zyklus (äußerster Kreis), wie es idealerweise in jeder Organisation vorhanden sein sollte. So wie jedes Schiff nur ein Steuerrad hat, hat jede Organisation auch nur ein Managementsystem, mit dem es die unternehmerischen Risiken identifiziert und priorisiert sowie Maßnahmen zum Umgang mit den relevanten Risiken und zur Nutzung von Chancen ableitet.

Zentrum und Ausgangspunkt jedes Managementsystems ist das rechtlich verpflichtende Risikomanagement jeder Organisation (in der Abbildung innerer gelber Kreis). Dessen integraler Bestandteil ist wiederum das Nachhaltigkeitsmanagement (in der Abbildung orangefarbener Kreis) und die darin integrierten Naturgesetze sowie das Compliance Management (blauer Kreis) mit seinen segmentübergreifenden regulatorischen Aspekten (Legal Compliance). Das Compliance Management basiert auf den u. a. bereits durch den Gesetzgeber erfolgten Risikobewertungen, etwa im Bereich der Strafen und Bußgelder, und ist sowohl bei der Eintrittswahrscheinlichkeit, aber insbesondere bei der konkreten Schadenshöhe zu berücksichtigen. Mithin ist die Compliance-Risikoanalyse und Risikobewertung integraler Bestandteil des Risikomanagementsystems. Auch Nachhaltigkeit (ESG) wird stark durch regulatorische Rahmenbedingungen gelenkt und gesteuert. Seien es die im HGB verankerten Berichtspflichten für Nachhaltigkeitsberichte (nicht finanzielle Erklärung), die mit der Taxonomieverordnung kalibrierten Anforderungen an eine ökologisch nachhaltige Wirtschaftstätigkeit bis hin zum Thema strafbarer Kapitalanlagebetrug wegen fehlerhafter Angaben bei vermeintlich grünen / nachhaltigen Finanzprodukten. Alle drei bilden somit die Grundlage und Basis für die auf den äußeren Segmenten abgebildeten Risikofelder, die jeweils nur einzelne unternehmerische Risiken betrachten. Dabei ist die Abbildung nicht vollständig, sondern zeigt nur einige wesentliche Risikofelder.

Allen diesen „Subsystemen“ sind jedoch die gleichen Prozesse und Verfahren zur Ermittlung und zum Umgang mit Risiken und Chancen immanent und zugleich sind verschiedene Nachhaltigkeitsaspekte (u. a. verschiedene Ziele aus den 17 Zielen der Nachhaltigkeit der vereinten Nationen, z. B. Klimaschutz, 13. Ziel, nachhaltige Produktion und Konsumtion 12. Ziel)) enthalten. Außerdem gehören zu jedem dieser „Subsysteme“ auch die jeweils zu beachtenden regulatorischen und sonstigen Anforderungen. (z. B. Bundes-Immissionsschutzgesetz, Klimaschutzgesetz, Taxonomieverordnung, Kreislaufwirtschaftsgesetz, Arbeitsschutzgesetz, Datenschutzgrundverordnung etc.).

Warum ein Compliance Management System einführen? – Vorteile

Zwingend vorgeschrieben ist ein Compliance Management System in Deutschland bislang nur für Unternehmen aus der Finanz- und Versicherungsbranche.

Frank Machalz hält es aber auch in kleineren Unternehmen für unverzichtbar. Schließlich hat ein CMS entscheidende Vorteile:

  • Schafft Rechtssicherheit: Ein Compliance Management System verankert ein organisiertes Vorgehen, um Rechtskonformität in einer Organisation sicherzustellen. Es senkt die Gefahr hoher Strafen und Imageschäden durch Gesetzesverstöße.
  • Reduziert Haftungsrisiken: Kommt es trotzdem zu Verstößen, kann das Vorliegen einer Compliance-Organisation dem Vorwurf des Organisationsverschuldens vorbeugen. Das senkt die Haftungsrisiken für Verantwortliche erheblich.
  • Fördert Vertrauen: Compliance Management Systeme fördern das Vertrauen von Kunden und Geschäftspartnern. Große Konzerne verlangen es häufig sogar von ihren Zulieferern.
  • Optimiert Ressourcen: Als integriertes Managementsystem schafft ein CMS Synergien und erhöht die Effizienz vieler Prozesse.

Dabei geht es auch ohne Zertifizierung, obwohl diese natürlich Vorteile mit sich bringt. Kleine Unternehmen mit geringen Ressourcen können auf die damit verbundenen Ausgaben erst einmal verzichten.

Interview: Compliance Management System für KMUs

Astrid Meyer-Krumenacker ist Rechtsanwältin in München. Sie verfügt über langjährige Managementerfahrung in verschiedenen Funktionen, zum Beispiel als Abteilungsleiterin Recht und Versicherungen sowie Recht und Personal und als Chief Compliance Officer. Außerdem schreibt sie für einen süddeutschen Verlag zum Thema Lieferkettensorgfaltspflichtengesetz.

Als erfahrene Problemlöserin unterstützt Astrid Meyer-Krumenacker mittelständische Unternehmen dabei, durch die Einführung von Hinweisgebersystemen und Compliance-Management-Systemen sowie die Umsetzung der Anforderungen aus dem Hinweisgeberschutzgesetz und Lieferkettengesetz ihren unternehmerischen Erfolg zu sichern und Risiken zu minimieren. 

Stimmt der Eindruck, dass viele KMU auf ein Compliance Management System verzichten?

"Ja, der stimmt. Oft kommt das Argument: „Für Compliance sind wir zu klein.“ Das sagt mir, dass sich die Verantwortlichen in dem Unternehmen nie Gedanken darüber gemacht haben, was Compliance bedeutet."

Wie gehen Unternehmen mit begrenzten Ressourcen an die Einführung eines Compliance Management Systems heran?

"Zunächst müssen sie abklären, welche Compliance-Risiken vorhanden sind. Manche Themen, zum Beispiel die Steuer-Compliance oder der Datenschutz, betreffen jedes Unternehmen. Zusätzlich existieren je nach Tätigkeit weitere Risiken, zum Beispiel im Bereich Arbeitssicherheit. Wenn ein Unternehmen international tätig ist, spielt die Zoll-Compliance eine Rolle. Solche Themen erfordern allerdings Fachkompetenz, die sich KMU im Regelfall von außen einkaufen.  

Im nächsten Schritt geht es darum, Risiken einzuordnen und zu gewichten. Welche Risiken sind existenzbedrohend und welche kann ich vernachlässigen? Gibt es Themen, zum Beispiel das Kartellrecht, für die sich eine Schulung anbietet?"

Und wie sieht es mit Lieferanten aus?

"Es ist Teil der Lieferantenbewertung, ob ein Unternehmen ein Compliance Management System installiert, das Lieferkettengesetz umgesetzt hat usw. Wer da keine zufriedenstellenden Antworten geben kann, bekommt eine schlechte Bewertung. In der Automobilindustrie gibt es die A-, B- und C-Bewertung. Werden Mängel festgestellt, müssen Lieferanten diese beheben. Das betrifft inzwischen auch Compliance-Maßnahmen. Gelingt ihnen das nicht im festgesetzten Zeitraum, werden sie C-Lieferant und C-Lieferanten können nicht beauftragt werden."

Gibt es Fehler und Stolpersteine, die Sie häufiger bei der Umsetzung eines CMS beobachten?

"Einer muss die Verantwortung tragen. Diese muss schriftlich delegiert werden und die betreffende Person muss die notwendigen Fähigkeiten und das Budget haben, um die damit verbundenen Aufgaben zu erfüllen. Sonst verbleibt die Verantwortung bei der Geschäftsführung.  

Außerdem ist Compliance kein Papiertiger. Es kommt nicht darauf an, was man im Ordner, im Schrank oder im PC abgelegt hat. Compliance muss in wichtige Unternehmensprozesse integriert und gelebt werden. Dafür ist es auch wichtig, dass die Mitarbeitenden wissen, was von ihnen erwartet wird und warum man etwas so und nicht anders macht.  

Entscheidend ist : Es gibt kein Compliance Management von der Stange. Ein funktionierendes CMS ist immer maßgeschneidert für das jeweilige Unternehmen."

Warum sollten denn kleine Unternehmen ein CMS einführen?

"Compliance heißt, ich befähige die Organisation und die Mitarbeitenden im Unternehmen dazu, die geltenden Gesetze und internen Richtlinien einzuhalten. Das müssen Unternehmen jeder Größe machen. 

Ein Compliance Management System dient dazu, die Haftung des Unternehmensinhabers oder der angestellten Geschäftsführer:innen zu reduzieren. Denn die sind nach Legalitätsprinzip dafür verantwortlich, dass das Unternehmen so organisiert ist, dass alle Gesetze eingehalten werden. Geht etwas schief, haften sie mit ihrem Privatvermögen und im schlimmsten Fall mit ihrer Lebenszeit. Das wissen allerdings viele nicht."

Inwiefern brauchen KMU ein zertifiziertes CMS?

"Das ist eine spannende Frage. Im neuen Unternehmensstrafrecht wird eine Formulierung enthalten sein, die aussagt, dass Unternehmen nach einem Gesetzesverstoß straffrei bleiben, wenn sie ein „effizientes und wirksames Compliance Management System“ installiert haben. Punkt. Das Gesetz führt nicht auf, was „wirksam“ und „effizient“ bedeuten. Ein Zertifikat könnte ein Hinweis sein, muss es aber nicht. Und natürlich kommt es auf die Qualität des Zertifikats an. 

Für eine Zertifizierung nach ISO 37301 ist es aber ohnehin Voraussetzung, ein oder zwei Jahre ein Compliance Management System gelebt zu haben. Ich muss also erst einmal ein CMS installieren, bevor ich an eine Zertifizierung denke."

Kleine Unternehmen haben vergleichsweise wenig personelle Ressourcen. Wie bilden sie mit diesen begrenzten Ressourcen ein CMS ab?

"Die ISO-Normen sind so formuliert, dass alle Organisationen, die unternehmerisch am Wirtschaftsleben teilnehmen, Compliance Management Systeme nach ISO-Norm umsetzen können, vom Gartenbauverein bis zum DAX-Konzern. Natürlich kann ein Unternehmen eine Abteilung einrichten oder eine Person für Compliance freistellen. Man kann die Aufgaben aber auch in einer Art Round-Table-Lösung auf mehrere Personen in Unternehmen verteilen. Oder es macht jemand nebenbei. Dann ist es aber wichtig, dass das Volumen der Aufgaben das zulässt und die Person die Möglichkeit hat, sich zu informieren."

Die Einführung und Zertifizierung eines Compliance Management Systems

Die ISO 37301 – das ist neu

Die internationale Norm ISO 37301 wurde im April 2021 veröffentlicht. Sie löste die ISO 19600 ab.

Inhaltlich sind beide Normen weitgehend identisch. Allerdings gibt es einige zentrale Unterschiede im Detail:

  • Die ISO 19600 war ein Leitfaden. Bei der ISO 37301 handelt es sich dagegen um eine Zertifizierungsnorm. Das Zertifikat dürfen nur akkreditierte Zertifizierer ausstellen.
  • Die ISO 37301 folgt der High Level Structure und basiert auf einem Plan-Do-Check-Act-Zyklus (PDCA). Das hat den Vorteil, dass sie sich hervorragend in bereits bestehende Managementsysteme integrieren lässt.
  • Ein neues inhaltliches Element stellen die Best Practices für ein Hinweisgebersystem dar. Dieses muss unter anderem für alle Mitarbeiterinnen und Mitarbeiter und relevanten Parteien sichtbar sowie zugänglich sein.
  • Schließlich verlangt die Norm ausdrücklich, dass Unternehmen eine Compliance-Management-Beauftragte oder einen Compliance-Management-Beauftragten bestellen.

Wichtig: Frank Machalz betont die Vorteile integrierter Managementsysteme für Organisationen. Gemäß der Frage „Addierst du noch oder integrierst du schon?“ empfiehlt er Unternehmen, Synergieeffekte zu nutzen. So ließen sich die ISO 37301, die ISO 31000 und die ISO 26000 als äußerer Rahmen bereits vorhandener ISO-Managementsystemnormen einsetzen.

Compliance Management einführen – die ersten Schritte

Wo und wie also anfangen mit einem CMS nach ISO 37301?

Im Grunde gehen Unternehmen bei der Implementierung wie bei einem Risikomanagement vor. Zentral sind die folgenden Schritte:

  • Identifikation von Compliance-Risiken: Am Anfang steht die Frage nach den wichtigsten Risikofeldern. Je nach Unternehmen und Branche fallen diese unterschiedlich aus. Während Arbeitsschutz beispielsweise immer eine Rolle spielt, sind Themen wie Geldwäsche oder Kartellrecht nur in bestimmten Fällen relevant.
  • Risikobewertung: Im zweiten Schritt bewerten und priorisieren Unternehmen die identifizierten Compliance-Risiken. Entscheidend dafür sind wie im Risikomanagement die potenzielle Schadenhöhe und die Eintrittswahrscheinlichkeit.
  • Ableiten von Maßnahmen: Schließlich lassen sich ausgehend von Risikoanalyse und -bewertung geeignete Maßnahmen ableiten.

Ein häufiger Fehler beim Aufbau eines Compliance Management Systems im Unternehmen besteht laut Frank Machalz in einer unvollständigen Compliance-Risikoanalyse. So bilde diese häufig sogar in einer Organisation vorhandene Managementsysteme wie ein Umweltmanagementsystem nicht ab. Vollständigkeit aber sei entscheidend für ein CMS, das seine Ziele erfüllt.

TÜV NORD – Ihr Partner für berufliche Weiterbildungen

  • Über 900 qualifizierte Referentinnen und Referenten geben ihr Know-how in über 520 verschiedenen Seminarthemen täglich an Sie weiter.
  • Wir bieten Ihnen volle Flexibilität. Entscheiden Sie selbst, ob Sie an unserem OnlineCampus, einer Präsenzschulung oder an einer für Sie konzipierten Inhouse-Schulung teilnehmen möchten.
  • Wir stehen für Qualität. Unsere Zertifikate und Bescheinigungen sind Qualitätssiegel für Sie und Ihr Unternehmen.

Unsere Seminar-Empfehlungen für Sie

Compliance Officer (TÜV)

Erwerben Sie die Sach- und Fackunden nach ISO 37301 und erfahren Sie, wie Sie die Erfüllung operativer Compliance-Aufgaben professionell managen.

Compliance Management System implementieren

Sie wollen ein Compliance Management System einführen, um Ihren gesetzlichen Verpflichtungen nachzukommen, und möchten nun wissen, welche Compliance-Organisation bzw. welches Compliance Management System (CMS) Ihr Unternehmen benötigt?

Antworten auf diese Fragen erhalten Sie in unserer Compliance-Management-Fortbildung von erfahrenen Referentinnen und Referenten. Diese geben Ihnen einen praxisbezogenen Überblick über die notwendigen Inhalte eines Compliance Management Systems und die rechtlichen Rahmenbedingungen (HinSchG, LkSG, GwG).

Compliance Schulung für Führungskräfte

Mit der Compliance-Schulung für Führungskräfte lernen Sie die Grundlagen für Corporate Compliance kennen und verstehen die Zusammenhänge und Anknüpfungspunkte für die Rolle einer Führungskraft in der Compliance-Organisation Ihres Unternehmens. Compliance ist ein wesentlicher Bestandteil jeder Unternehmensorganisation. Sie berücksichtigt alle für Ihr Unternehmen relevanten Gesetze und Pflichten, die in den eigenen Strukturen umgesetzt werden müssen. In dieser Compliance-Weiterbildung entwickeln Sie ein Verständnis dafür, warum ein Compliance-Management-System (CMS) ein wesentlicher Bestandteil der Aufbau- und Ablauforganisation eines Unternehmens ist. Wir zeigen Ihnen, wie Sie Compliance-Strukturen einrichten, wie sie funktionieren und sich auf einzelne Rechtsbereiche auswirken.

Exkurs: wichtige Rollen im Compliance Management

Im Compliance Management gibt es drei Arten von zentralen Akteuren:

  • Die oder der Compliance-Management-Beauftragte beziehungsweise Compliance Officer befassen sich damit, ein Compliance Management System einzurichten, aufrechtzuerhalten und weiterzuentwickeln. Auch Schulungen für eine von allen Mitarbeiterinnen und Mitarbeitern gelebte Compliance-Kultur können in den Aufgabenbereich von Compliance-Beauftragten fallen.
  • Eine Ebene darunter sind andere Beauftragte im Unternehmen angesiedelt, zum Beispiel Datenschutzbeauftragte, Emissionsschutzbeauftragte oder Fachkräfte für Arbeitssicherheit. Als Expertinnen und Experten für jeweils einen Risikobereich unterstützen sie den Compliance Officer.
  • Die Verantwortung für Compliance Management Systeme trägt die Unternehmensleitung, zum Beispiel die Geschäftsführung.

Unternehmen können theoretisch auch externe Compliance Management Beauftragte bestellen. In der Praxis ist das aber meist wenig sinnvoll, denn Compliance Officer müssen ein Unternehmen gut kennen. Besser ist es, intern eine Person zu beauftragen, die die entsprechenden Voraussetzungen mitbringt und eine Compliance-Schulung absolviert.

Compliance Management ist kein verzichtbarer Luxus

Ob und in welchen Fällen eine Rechtspflicht zur Compliance besteht beziehungsweise sich herleiten lässt, ist unter Juristen umstritten. Einigkeit herrscht aber darüber, dass eine Compliance-Organisation eine essenzielle Rolle in Unternehmen verschiedener Größenordnungen spielt.

Dabei machen es neue Gesetzgebungen wie das Lieferkettengesetz noch wichtiger als früher, die Einhaltung von Gesetzen im gesamten Unternehmen sicherzustellen. Die ISO 37301 stellt den Rahmen dafür bereit und sie ermöglicht es Unternehmen durch ihre High Level Structure, von den Synergieeffekten eines integrierten Managementsystems zu profitieren.

Weil es in der Regel schon eine Reihe von Beauftragten für unterschiedliche Themenbereiche gebe, so Frank Machalz, existiere sogar bereits eine Compliance-Struktur, die sich durch einen Compliance Officer vervollständigen lasse. Unternehmen müssten also nicht bei null anfangen.

Ihre Ansprechpartnerin

Ihre Ansprechpartnerin: Natalie PätzelTÜV NORD Akademie GmbH & Co. KG
Portfoliomanagement
Große Bahnstraße 31, Hamburg

Tel.: +49 40 8557-1566
npaetzel@tuev-nord.de