Was ist ein Compliance Management System (CMS)?
Alle Grundsätze und Maßnahmen, die ein Unternehmen festlegt, um die Einhaltung von Gesetzen und unternehmensspezifischen Regeln sicherzustellen, sind Bestandteil des Compliance Management Systems (CMS).
Es umfasst Kontrollmechanismen zur Prävention, frühzeitigen Aufdeckung und Verhinderung von Verstößen, die Dokumentation der Abläufe und einzelner Vorfälle, die Berichterstattung an Aufsichtsgremien sowie die Schulung von Mitarbeitern auf unterschiedlichen Ebenen. Dabei bedürfen das Risikoumfeld des Unternehmens und die Wirksamkeit der eingerichteten Maßnahmen einer fortlaufenden Überprüfung.
Die konkrete Ausgestaltung eines CMS erfolgt individuell und ist von folgenden Faktoren abhängig:
- Größe und Struktur des Unternehmens
- Art der Tätigkeit
- Regionen, in denen das Unternehmen tätig ist
- angebotene Produkte
- angewandte Prozesse
- Umfeld und den sich verändernden Anforderungen
- spezifische Risiken, mit denen das Unternehmen konfrontiert ist
- besondere Ziele des Unternehmens
Das CMS liegt in der Verantwortung der obersten Leitungsebene und weist Berührungspunkte mit anderen Management-Systemen auf, wie etwa Corporate Governance, Risikomanagement, Qualitätsmanagement, Umweltmanagement oder Nachhaltigkeitsmanagement.
Vernachlässigung von Compliance in Unternehmen
Obwohl sich mittlerweile viele Unternehmen der Dringlichkeit des Themas bewusst sind – immer wieder geraten Regelverstöße prominenter Konzerne aufgrund von Preisabsprachen oder Korruption ans Licht der Öffentlichkeit – sind CMS-Systeme oft nicht vorhanden.
Zu diesem Ergebnis kommt eine aktuelle Studie der Hochschule für angewandte Wissenschaften Aalen aus dem Jahr 2020.
Demnach schätzt die Hälfte der befragten Unternehmen die Bedeutung des Themas Compliance als hoch oder sehr hoch ein. Ein Compliance-Management-System existiert allerdings nur in 37 % der Unternehmen. Bei weiteren 15 % ist eine entsprechende Umsetzung zumindest in Planung.
Und obwohl es mittlerweile eine Reihe anerkannter Rahmenwerke zur Entwicklung eines Compliance-Management-Systems gibt – mehr dazu in Abschnitt 4 – werden diese nur von 11 % der befragten Unternehmen genutzt.
Dabei bergen Compliance-Verstöße enorme Risiken:
- Für das Unternehmen: Bußgelder, Schadensersatz, Imageschaden, Umsatzeinbußen, Rücknahme von Genehmigungen, etc.
- Für Unternehmensangehörige: Bußgelder, Schadensersatz, Haftstrafe, Jobverlust, Gesichtsverlust, etc.
- Für andere Personen: Gefahr für Eigentum sowie Leib und Leben von Kollegen und Dritten (Kunden, Geschäftspartner, Passanten, etc.)
Nutzen eines effektiven Compliance Management Systems (CMS)
Ziel des CMS ist es, in einem Unternehmen systematisch die Voraussetzungen dafür zu schaffen, dass die definierten Compliance-Anforderungen in allen relevanten Geschäftsprozessen eingehalten und so Regelverstöße vermieden werden.
Zudem sorgt es dafür, dass dennoch eingetretene Verstöße rechtzeitig erkannt und gezielt behandelt werden können.
Ein CMS ist demnach auf drei Säulen aufgebaut: Vermeidung, Früherkennung und Reaktion. Dieses Modell hat sich als Rahmen für die Umsetzung von Compliance in Unternehmen durchgesetzt.
Ein CMS schafft eine Kultur, die ein rechtskonformes und an den Unternehmenswerten orientiertes Verhalten von Führungskräften und Mitarbeitern fördert.
Zudem erlaubt ein CMS, gegenüber Geschäftspartnern und Stakeholdern den Nachweis zu erbringen, dass entsprechende Strukturen zur Einhaltung gesetzlicher Regelungen und ethischer Werte geschaffen wurden.
Aus der wirksamen Umsetzung und transparenten Kommunikation eines CMS innerhalb des Unternehmens und nach außen hin ergeben sich zudem weitere Chancen:
Das erzeugte Vertrauen bei Stakeholdern kann sich positiv auf die Geschäftsbeziehungen auswirken und etwa die Kundenbindung oder die Mitarbeitermotivation erhöhen.
Mit dem Einsatz eines professionellen CMS liefern Unternehmen den Beweis dafür, dass sie ihren Pflichten nachkommen möchten, und verringern so ihr Haftungsrisiko enorm.
So urteilte der Bundesgerichtshof (BGH) im Mai 2017, dass ein effizientes Compliance-Management-System bei der Zumessung einer Sanktion strafmildernd berücksichtigt werden sollte.
Anforderungen an Ihr Compliance Management System (CMS)
Das CMS ist in Form und Ausgestaltung vom Gesetz her nicht näher bestimmt. In den vergangenen Jahren wurden allerdings zahlreiche nationale und internationale Standards entwickelt:
Die wesentlichen Mindestanforderungen an ein CMS im deutschsprachigen Raum sind in den „Grundsätzen ordnungsmäßiger Prüfung von Compliance-Management-Systemen“ (IDW PS 980) geregelt, die 2011 vom Institut der Wirtschaftsprüfer veröffentlicht wurde.
Unternehmen, die ein CMS implementieren möchten, sollten sicherstellen, dass die 7 Grundelemente des Prüfungsstandards berücksichtigt werden. Die Art und Weise der Umsetzung ist dabei nicht festgelegt.
Vielmehr sollen die Elemente als Arbeitsgrundlage und Hilfestellung für die individuelle Ausgestaltung des unternehmenseigenen CMS dienen. Die Prüfung des CMS durch einen externen Wirtschaftsprüfer ist freiwillig.
Seit April 2021 ermöglicht es die internationale Norm ISO 37301 – welche auf der mittlerweile zurückgezogenen ISO 19600 beruht – CMS einheitlich zu zertifizieren. Sie ist unabhängig von Unternehmensgröße, Unternehmensform, Branche oder Aufgabenstellung anwendbar.
Sie macht die Leistungserbringung transparenter und schafft somit Vertrauen in deren Qualität. Mit dieser Zertifizierung kann ein Unternehmen gegenüber seinen Geschäftspartnern weltweit belegen, dass es seine Prozesse auf Regelkonformität ausgerichtet hat.
So implementieren Sie ein Compliance Management System (CMS)
Compliance-Maßnahmen erfolgen nicht isoliert. Vielmehr müssen sie in die administrativen und operativen Abläufe des Unternehmens integriert werden. Dies erfordert eine systematische Herangehensweise.
Die Verantwortung für die Einrichtung, Aufrechterhaltung, Bewertung und ständige Verbesserung des CMS liegt bei der Geschäftsleitung.
Eine Möglichkeit, Compliance-Maßnahmen zu entwickeln, ist die Orientierung an den Grundpfeilern eines effektiven Compliance Management Systems (Vermeidung, Früherkennung, Reaktion).
Versuchen Sie präventiv und zielgerichtet zu handeln, in dem Sie Fehlverhalten ausschließen, Risikofaktoren für Ihre Compliance-Strukturen frühzeitig identifizieren, und passende Reaktionen bei Regelverstößen gegen Compliance-Regeln entwickeln.
Die Umsetzung dieser Grundpfeiler in den Arbeitsprozess erfolgt fließend. Im Folgenden haben wir 10 Regeln zusammengestellt, die Ihnen helfen können, ein funktionierendes Compliance Management System zu integrieren.
1. Legen Sie Compliance als Unternehmensziel fest
Bekennen Sie sich ausdrücklich zu rechtskonformem Handeln und treffen Sie die klare Entscheidung, ein CMS einzuführen. Dieser so genannte Tone from the Top prägt das Bewusstsein der Mitarbeiter.
Er trägt zur Verfestigung einer auf Compliance ausgerichteten Unternehmenskultur bei und verringert so die Wahrscheinlichkeit von Compliance-Verstößen.
Formulieren Sie zudem in den Unternehmensleitsätzen eine eigene Definition des Begriffs Compliance und gliedern Sie das Unternehmen in compliance-relevante Organisationseinheiten.
Auch wenn Details noch nicht festgelegt sind, können Sie in diesem Stadium bereits Entscheidungen über die Finanzierung und den zeitlichen Rahmen des Projektes treffen. Diese Richtwerte erlauben Ihnen eine erste Einschätzung zu den einsetzbaren Ressourcen.
2. Identifizieren Sie die Compliance-Pflichten und -Risiken
Bestimmen Sie, welche gesetzlichen und sonstigen intern und extern zu berücksichtigenden Gesetze, Vorschriften und Richtlinien einzuhalten sind.
Je nach geschäftlichem Umfeld sollten Sie zunächst die Compliance-Risiken in Bereichen wie Korruption, Kartellabsprachen, Arbeitssicherheit und Umweltschutz möglichst vollständig und strukturiert erfassen.
3. Legen Sie Projektorganisation und Kompetenzen fest
Im nächsten Schritt legen Sie eine Beschreibung des Projektauftrags vor und benennen einen Projektleiter. Legen Sie dabei auch fest, welche (Weisungs-)Befugnisse der Projektleiter hat.
Zudem gilt es zu bestimmen, wie das Projekt strukturiert und wie der Ablaufplan gestaltet sein soll. Treffen Sie auch Aussagen über den geplanten Charakter des internen und externen Kommunikationsmanagements.
4. Formulieren Sie Compliance-Standards
Zu den Maßnahmen von zentraler Bedeutung gehört weiterhin die Einführung interner Regelwerke, wie Verhaltenskodizes, Prozessbeschreibungen und Handlungsanweisungen.
Diese sollten Sie in Abhängigkeit von den Ergebnissen der Risikoanalyse ausarbeiten und gezielt in Hinblick auf einzelne Compliance-Risiken formulieren.
5. Informieren und schulen Sie Ihre Mitarbeiter
Ein weiterer wichtiger Punkt ist die Kommunikation der festgelegten Regeln. Compliance kann nur dann erfolgen, wenn alle Unternehmensangehörigen Kenntnis Ihrer Vorgaben erlangen.
Die ISO 37301 fordert regelmäßige arbeitsplatzspezifische Schulungsmaßnahmen, im Rahmen derer die Mitarbeiter Compliance-Anforderungen kennenlernen, damit sie danach handeln können. So wird eine Unternehmenskultur geschaffen und aufrechterhalten, in welcher Compliance eine allgemeine Regel darstellt.
6. Führen Sie Kontrollen durch
Das CMS ist im laufenden Betrieb ständig zu beobachten. Richten Sie eine interne Kontrollinstanz ein, die im Rahmen einer internen Revision regelmäßig und stichprobenhaft (oder auch anlassbezogen) prüft, ob die Compliance-Vorgaben eingehalten werden.
7. Richten Sie ein Dokumentations- und Berichtsmanagement ein
Um festzustellen, ob das Unternehmen über ein wirksames CMS verfügt, ist eine umfassende Dokumentation der Ergebnisse interner Kontrollen unabdingbar. Sie dient zudem als Nachweis dafür, dass Sie Ihre Sorgfaltspflicht erfüllen.
Legen Sie in diesem Schritt auch die Dokumentationsform fest: Mögliche Lösungen reichen von einer einfachen Office-Anwendung (z.B. einem Textverarbeitungsprogramm) mit entsprechenden Berichtstemplates bis hin zur Nutzung spezialisierter CMS-Applikationen.
Erstatten Sie ausgehend von der Dokumentation regelmäßig Bericht gegenüber dem Vorstand und Aufsichtsrat. Hierfür müssen Sie zudem bestimmen, wer in den compliance-relevanten Unternehmensbereichen für das Reporting zuständig sein soll.
Je nach Größe des Unternehmens können Sie auch lokale Compliance-Manager einsetzen, welche die Berichte für ihren jeweiligen Verantwortungsbereich verfassen.
8. Führen Sie eine Erfolgskontrolle durch
Alle Aktionen, die im Rahmen der Umsetzung von Compliance im Unternehmen stattfinden, müssen Sie zeitnah visualisieren, sodass die einzelnen Aufgabenverantwortlichen sich jederzeit ein aktuelles Bild davon machen können, inwiefern sie der Erfüllung ihrer Compliance-Pflichten nachkommen.
9. Etablieren Sie einen standardisierten Umgang mit Compliance-Verstößen
Sobald Sie von Compliance-Verstößen Kenntnis erlangen, müssen Sie umgehend reagieren. Dazu gehören die Untersuchung des Vorfalls, die Festlegung der Konsequenzen des Fehlverhaltens sowie die Entscheidung über das weitere Vorgehen.
Zudem sind Maßnahmen zu entwickeln, die eine Schadensbegrenzung ermöglichen und eine Wiederholung in der Zukunft verhindern.
10. Entwickeln Sie einen Change-Management-Prozess
Gesetze und Richtlinien unterliegen mitunter kurzfristigen und umfassenden Änderungen. Das kann weitreichende Folgen für das Aufrechterhalten der Compliance im Unternehmen haben.
Im Zusammenhang mit dem Change Management müssen Sie daher einen Prozess festlegen, der die rechtlichen Änderungen erfasst und diese Informationen z.B. über das CMS in die entsprechenden Unternehmensbereiche transportiert.
Weiterhin müssen Sie sicherstellen, dass die Neuerung von den betroffenen Unternehmensbereichen wahrgenommen und in den Geschäftsprozessen berücksichtigt wird.
Auch unternehmensinterne Veränderungen können eine Anpassung notwendig machen. Diese sind daher zeitnah und vollständig abzubilden. In jedem Fall müssen Sie alle Elemente des CMS jeweils entsprechend aktualisieren.
Software vereinfacht die Umsetzung von Management Systemen
Der Implementierungsprozess eines CMS scheint auf den ersten Blick mit einem hohen organisatorischen Aufwand verbunden zu sein. Es existieren jedoch bereits vielfältige Software-Lösungen, die Ihnen die Einführung eines professionellen CMS in Ihrem Unternehmen erleichtern:
Diese reichen von diversen E-Learning-Tools für Mitarbeiterschulungen bis hin zu spezieller E-Discovery-Software für die interne Revision. Eine Übersicht bestehender Angebote finden Sie bei der Software-Suchmaschine Capterra.
E-Learning schlägt Präsenztraining
Um Ihre Mitarbeiter so in das Thema Compliance und Compliance Management einzuweisen, benötigen Sie ein nachhaltiges und nachweisbares Schulungskonzept. Compliance Management ist ein umfangreiches Gebiet und beginnt schon mit der Auswahl der richtigen Themenkomplexe wie Arbeitssicherheit, Datenschutz oder Produkthaftung.
Die Entwicklung von Schulungskonzepten kann in Eigenregie erfolgen oder durch Dienstleister, die die entsprechenden Lösungen anbieten. Die Schulungen gestalten sich unterschiedlich:
- Sie schicken Ihre Mitarbeiter zu externen Schulungen.
- Sie halten Inhouse-Schulungen ab – mit oder ohne externem Dienstleister.
- Sie etablieren E-Learning Lösungen für Compliance-Schulungen. Entweder als reine E-Learning Lösung oder als Blended Learning Konzept kombiniert mit Inhouse-Schulungen.
Da Compliance-Training häufig aus Frontal-Belehrungen besteht, ist der Mehrwert eines Präsenzseminars begrenzt. Inhouse verursacht häufig enorme Kosten, weil die gesamte Belegschaft in Präsenzveranstaltungen versammelt werden muss.
Das trifft besonders dann zu, wenn sie auf verschiedene Standorte verteilt ist.
Daher haben E-Learning Lösungen wesentliche Vorteile bei Compliance-Schulungen. Neben den wegfallenden Kosten für Transport und Tagungen bietet E-Learning eine hohe Flexibilität mit wenig Aufwand. Video-Trainings bieten hierbei eine einfache und optisch ansprechende Form des E-Learnings.
Online-Compliance-Training für Ihr Unternehmen
Bei Lecturio finden Sie hochqualitative Online-Video-Schulungen zu allen relevanten Compliance-Themen. Über Ihre eigene Online-Akademie, die individuell auf den Trainingsbedarf in Ihrem Unternehmen zugeschnitten ist, können Sie Ihre gesamte Belegschaft schnell, kosteneffizient und nachhaltig in alle wichtigen Compliance Bereiche einweisen.
Sie können mit Lecturio sicherstellen, die wichtigsten Compliance Themen zu kennen und an den richtigen Stellen anzusetzen. Darüber hinaus gibt es ergänzendes Lernmaterial zum Herunterladen, welches in Kombination mit den angebotenen Videos das Thema Compliance zugänglicher macht.
Quellen
- Martin Schwarzbartl, Andreas Pyrcek: Compliance Management: Ein Praxisleitfaden zur erfolgreichen Umsetzung, Linde Verlag, Wien 2013.
- Compliance Management System via VRight
- Implementierungsstand des Compliance-Managements in der Unternehmenspraxis via HTW Aalen
- ISO 37301: Compliance-Managementsystem (CMS) via TÜV Rheinland
- ISO 37301:2021(en) Compliance management systems — Requirements with guidance for use via ISO Online Browsing Platform
- Urteil des 1. Strafsenats vom 9.5.2017 – 1StR 265/16 via JURIS
- Anforderungen an ein Compliance-Management-System via VRight
- Aufbau eines Compliance Management Systems via Intersoft Consulting