Compliance Management System aufbauen

Compliance Management Systeme – warum sie so wichtig sind und was Unternehmen bei der Umsetzung beachten müssen

Um sicherzustellen, dass sie sich zu jedem Zeitpunkt regelkonform verhalten, brauchen Unternehmen ein Compliance Management System (CMS). Denn Gesetzesverstöße stellen nicht nur aus ethischen Gründen ein Problem dar. Sie können auch hohe Strafen nach sich ziehen. Zusätzlich droht je nach Art des Verstoßes ein folgenschwerer Imageschaden.

Wir haben uns mit Frank Machalz, Geschäftsführer der envigration GmbH und Spezialist für Compliance Management, darüber unterhalten,

was genau hinter einem CMS steckt,
was die Einführung der ISO 37301 für Unternehmen bedeutet und
welche Fehler bei der Umsetzung lauern.

Was ist ein Compliance Management System? – Definition

Ein Compliance Management System bündelt alle Strukturen, Prozesse und Maßnahmen in einer Organisation, die dazu dienen, Regelkonformität sicherzustellen. Anders ausgedrückt schafft es die Voraussetzungen dafür, dass Organisationen nicht gegen rechtsverbindliche externe Regeln und interne Vorgaben verstoßen.

Der Umfang eines Compliance Managements wird laut Frank Machalz gerne unterschätzt: „Wenn Sie heute Geschäftsführer von Unternehmen fragen, was Sie unter Compliance Management verstehen, erhalten Sie häufig die Antwort: Kartellrecht, Wettbewerbsrecht und Geldwäscheprävention.“ Falsch sei das nicht, aber nur ein kleiner Teil des großen Ganzen.

Frank Machalz veranschaulicht die vielen Facetten von Compliance Management gerne am Beispiel eines Notstromaggregats. Während Arbeitsschützer dieses „mit der Risikobrille des Individualschutzes“ betrachten, sähen andere vor allem die damit verbundenen Umweltrisiken, steuerliche Aspekte oder Risiken in Verbindung mit Beschaffungsprozessen. Ein Compliance Management decke alle Risiken ab.

Zur Infografik

Was ist das Steuerrad?

Das Abbild eines Steuerrades dient der Veranschaulichung für ein ganzheitliches, holistisches integriertes Managementsystem auf Basis des PDCA-Zyklus (äußerster Kreis), wie es idealerweise in jeder Organisation vorhanden sein sollte. So wie jedes Schiff nur ein Steuerrad hat, hat jede Organisation auch nur ein Managementsystem, mit dem es die unternehmerischen Risiken identifiziert und priorisiert sowie Maßnahmen zum Umgang mit den relevanten Risiken und zur Nutzung von Chancen ableitet.

Zentrum und Ausgangspunkt jedes Managementsystems ist das rechtlich verpflichtende Risikomanagement jeder Organisation (in der Abbildung innerer gelber Kreis). Dessen integraler Bestandteil ist wiederum das Nachhaltigkeitsmanagement (in der Abbildung orangefarbener Kreis) und die darin integrierten Naturgesetze sowie das Compliance Management (blauer Kreis) mit seinen segmentübergreifenden regulatorischen Aspekten (Legal Compliance). Das Compliance Management basiert auf den u. a. bereits durch den Gesetzgeber erfolgten Risikobewertungen, etwa im Bereich der Strafen und Bußgelder, und ist sowohl bei der Eintrittswahrscheinlichkeit, aber insbesondere bei der konkreten Schadenshöhe zu berücksichtigen. Mithin ist die Compliance-Risikoanalyse und Risikobewertung integraler Bestandteil des Risikomanagementsystems. Auch Nachhaltigkeit (ESG) wird stark durch regulatorische Rahmenbedingungen gelenkt und gesteuert. Seien es die im HGB verankerten Berichtspflichten für Nachhaltigkeitsberichte (nicht finanzielle Erklärung), die mit der Taxonomieverordnung kalibrierten Anforderungen an eine ökologisch nachhaltige Wirtschaftstätigkeit bis hin zum Thema strafbarer Kapitalanlagebetrug wegen fehlerhafter Angaben bei vermeintlich grünen / nachhaltigen Finanzprodukten. Alle drei bilden somit die Grundlage und Basis für die auf den äußeren Segmenten abgebildeten Risikofelder, die jeweils nur einzelne unternehmerische Risiken betrachten. Dabei ist die Abbildung nicht vollständig, sondern zeigt nur einige wesentliche Risikofelder.

Allen diesen „Subsystemen“ sind jedoch die gleichen Prozesse und Verfahren zur Ermittlung und zum Umgang mit Risiken und Chancen immanent und zugleich sind verschiedene Nachhaltigkeitsaspekte (u. a. verschiedene Ziele aus den 17 Zielen der Nachhaltigkeit der vereinten Nationen, z. B. Klimaschutz, 13. Ziel, nachhaltige Produktion und Konsumtion 12. Ziel)) enthalten. Außerdem gehören zu jedem dieser „Subsysteme“ auch die jeweils zu beachtenden regulatorischen und sonstigen Anforderungen. (z. B. Bundes-Immissionsschutzgesetz, Klimaschutzgesetz, Taxonomieverordnung, Kreislaufwirtschaftsgesetz, Arbeitsschutzgesetz, Datenschutzgrundverordnung etc.).

Warum ein Compliance Management System einführen? – Vorteile

Zwingend vorgeschrieben ist ein Compliance Management System in Deutschland bislang nur für Unternehmen aus der Finanz- und Versicherungsbranche.

Frank Machalz hält es aber auch in kleineren Unternehmen für unverzichtbar. Schließlich hat ein CMS entscheidende Vorteile:

Schafft Rechtssicherheit: Ein Compliance Management System verankert ein organisiertes Vorgehen, um Rechtskonformität in einer Organisation sicherzustellen. Es senkt die Gefahr hoher Strafen und Imageschäden durch Gesetzesverstöße.
Reduziert Haftungsrisiken: Kommt es trotzdem zu Verstößen, kann das Vorliegen einer Compliance-Organisation dem Vorwurf des Organisationsverschuldens vorbeugen. Das senkt die Haftungsrisiken für Verantwortliche erheblich.
Fördert Vertrauen: Compliance Management Systeme fördern das Vertrauen von Kunden und Geschäftspartnern. Große Konzerne verlangen es häufig sogar von ihren Zulieferern.
Optimiert Ressourcen: Als integriertes Managementsystem schafft ein CMS Synergien und erhöht die Effizienz vieler Prozesse.

Dabei geht es auch ohne Zertifizierung, obwohl diese natürlich Vorteile mit sich bringt. Kleine Unternehmen mit geringen Ressourcen können auf die damit verbundenen Ausgaben erst einmal verzichten.

Info-Webinar KI in der Arbeitswelt – Chancen für die Zukunft

Wir geben Ihnen einen umfassenden Einblick in die Auswirkungen von künstlicher Intelligenz auf die Arbeitswelt. Erfahren Sie von unseren KI-Expertinnen und -Experten, wie sich auch Ihr Berufsalltag durch den Einfluss künstlicher Intelligenz grundlegend verändert.

Jetzt für 0,- Euro teilnehmen

Die Einführung und Zertifizierung eines Compliance Management Systems

Die ISO 37301 – das ist neu

Die internationale Norm ISO 37301 wurde im April 2021 veröffentlicht. Sie löste die ISO 19600 ab.

Inhaltlich sind beide Normen weitgehend identisch. Allerdings gibt es einige zentrale Unterschiede im Detail:

Die ISO 19600 war ein Leitfaden. Bei der ISO 37301 handelt es sich dagegen um eine Zertifizierungsnorm. Das Zertifikat dürfen nur akkreditierte Zertifizierer ausstellen.
Die ISO 37301 folgt der High Level Structure und basiert auf einem Plan-Do-Check-Act-Zyklus (PDCA). Das hat den Vorteil, dass sie sich hervorragend in bereits bestehende Managementsysteme integrieren lässt.
Ein neues inhaltliches Element stellen die Best Practices für ein Hinweisgebersystem dar. Dieses muss unter anderem für alle Mitarbeiterinnen und Mitarbeiter und relevanten Parteien sichtbar sowie zugänglich sein.
Schließlich verlangt die Norm ausdrücklich, dass Unternehmen eine Compliance-Management-Beauftragte oder einen Compliance-Management-Beauftragten bestellen.

Wichtig: Frank Machalz betont die Vorteile integrierter Managementsysteme für Organisationen. Gemäß der Frage „Addierst du noch oder integrierst du schon?“ empfiehlt er Unternehmen, Synergieeffekte zu nutzen. So ließen sich die ISO 37301, die ISO 31000 und die ISO 26000 als äußerer Rahmen bereits vorhandener ISO-Managementsystemnormen einsetzen.

Compliance Management einführen – die ersten Schritte

Wo und wie also anfangen mit einem CMS nach ISO 37301?

Im Grunde gehen Unternehmen bei der Implementierung wie bei einem Risikomanagement vor. Zentral sind die folgenden Schritte:

Identifikation von Compliance-Risiken: Am Anfang steht die Frage nach den wichtigsten Risikofeldern. Je nach Unternehmen und Branche fallen diese unterschiedlich aus. Während Arbeitsschutz beispielsweise immer eine Rolle spielt, sind Themen wie Geldwäsche oder Kartellrecht nur in bestimmten Fällen relevant.
Risikobewertung: Im zweiten Schritt bewerten und priorisieren Unternehmen die identifizierten Compliance-Risiken. Entscheidend dafür sind wie im Risikomanagement die potenzielle Schadenhöhe und die Eintrittswahrscheinlichkeit.
Ableiten von Maßnahmen: Schließlich lassen sich ausgehend von Risikoanalyse und -bewertung geeignete Maßnahmen ableiten.

Ein häufiger Fehler beim Aufbau eines Compliance Management Systems im Unternehmen besteht laut Frank Machalz in einer unvollständigen Compliance-Risikoanalyse. So bilde diese häufig sogar in einer Organisation vorhandene Managementsysteme wie ein Umweltmanagementsystem nicht ab. Vollständigkeit aber sei entscheidend für ein CMS, das seine Ziele erfüllt.

Exkurs: wichtige Rollen im Compliance Management

Im Compliance Management gibt es drei Arten von zentralen Akteuren:

Die oder der Compliance-Management-Beauftragte beziehungsweise Compliance Officer befassen sich damit, ein Compliance Management System einzurichten, aufrechtzuerhalten und weiterzuentwickeln. Auch Schulungen für eine von allen Mitarbeiterinnen und Mitarbeitern gelebte Compliance-Kultur können in den Aufgabenbereich von Compliance-Beauftragten fallen.
Eine Ebene darunter sind andere Beauftragte im Unternehmen angesiedelt, zum Beispiel Datenschutzbeauftragte, Emissionsschutzbeauftragte oder Fachkräfte für Arbeitssicherheit. Als Expertinnen und Experten für jeweils einen Risikobereich unterstützen sie den Compliance Officer.
Die Verantwortung für Compliance Management Systeme trägt die Unternehmensleitung, zum Beispiel die Geschäftsführung.

Unternehmen können theoretisch auch externe Compliance Management Beauftragte bestellen. In der Praxis ist das aber meist wenig sinnvoll, denn Compliance Officer müssen ein Unternehmen gut kennen. Besser ist es, intern eine Person zu beauftragen, die die entsprechenden Voraussetzungen mitbringt und eine Compliance-Schulung absolviert.

Compliance Management ist kein verzichtbarer Luxus

Ob und in welchen Fällen eine Rechtspflicht zur Compliance besteht beziehungsweise sich herleiten lässt, ist unter Juristen umstritten. Einigkeit herrscht aber darüber, dass eine Compliance-Organisation eine essenzielle Rolle in Unternehmen verschiedener Größenordnungen spielt.

Dabei machen es neue Gesetzgebungen wie das Lieferkettengesetz noch wichtiger als früher, die Einhaltung von Gesetzen im gesamten Unternehmen sicherzustellen. Die ISO 37301 stellt den Rahmen dafür bereit und sie ermöglicht es Unternehmen durch ihre High Level Structure, von den Synergieeffekten eines integrierten Managementsystems zu profitieren.

Weil es in der Regel schon eine Reihe von Beauftragten für unterschiedliche Themenbereiche gebe, so Frank Machalz, existiere sogar bereits eine Compliance-Struktur, die sich durch einen Compliance Officer vervollständigen lasse. Unternehmen müssten also nicht bei null anfangen.

Unsere Empfehlungen für Sie

Compliance Officer (TÜV)

Erwerben Sie die Sach- und Fachkunde nach ISO 37301 und erfahren Sie, wie Sie die Erfüllung operativer Compliance-Aufgaben professionell managen.

Zu den Veranstaltungen

Ihr Hinweisgebersystem

Sie möchten ein (digitales) Hinweisgebersystem in Ihrem Unternehmen einführen? Wie Ihnen das einfach und rechtssicher gelingt, erklären wir im Webinar zum Hinweisgebersystem.

Zum Webinar

Compliance-Schulung für Führungskräfte

Erwerben Sie Grundlagenwissen, für erfolgreiche Compliance-Maßnahmen im Unternehmen.