MENU
Der Aufbau eines Compliance Management Systems

Der Aufbau eines Compliance Management Systems

Beitrag vom 03.03.2022

Zur Themenwelt Unternehmensführung

Compliance Management System – warum es so wichtig ist und was Unternehmen bei der Umsetzung beachten müssen

Um sicherzustellen, dass sie sich zu jedem Zeitpunkt regelkonform verhalten, brauchen Unternehmen ein Compliance Management System (CMS). Denn Gesetzesverstöße stellen nicht nur aus ethischen Gründen ein Problem dar. Sie können auch hohe Strafen nach sich ziehen. Zusätzlich droht je nach Art des Verstoßes ein folgenschwerer Imageschaden.

Wir haben uns mit Frank Machalz, Geschäftsführer der envigration GmbH und Spezialist für Compliance Management, darüber unterhalten,

  • was genau hinter einem CMS steckt,
  • was die Einführung der ISO 37301 für Unternehmen bedeutet und
  • welche Fehler bei der Umsetzung lauern.

Was ist ein Compliance Management System? – Definition

Ein Compliance Management System bündelt alle Strukturen, Prozesse und Maßnahmen in einer Organisation, die dazu dienen, Regelkonformität sicherzustellen. Anders ausgedrückt schafft es die Voraussetzungen dafür, dass Organisationen nicht gegen rechtsverbindliche externe Regeln und interne Vorgaben verstoßen.

Der Umfang eines Compliance Managements wird laut Frank Machalz gerne unterschätzt: „Wenn Sie heute Geschäftsführer von Unternehmen fragen, was Sie unter Compliance Management verstehen, erhalten Sie häufig die Antwort: Kartellrecht, Wettbewerbsrecht und Geldwäscheprävention.“ Falsch sei das nicht, aber nur ein kleiner Teil des großen Ganzen.

Frank Machalz veranschaulicht die vielen Facetten von Compliance Management gerne am Beispiel eines Notstromaggregats. Während Arbeitsschützer dieses „mit der Risikobrille des Individualschutzes“ betrachten, sähen andere vor allem die damit verbundenen Umweltrisiken, steuerliche Aspekte oder Risiken in Verbindung mit Beschaffungsprozessen. Ein Compliance Management decke alle Risiken ab.

Warum ein Compliance Management System einführen? – Vorteile

Zwingend vorgeschrieben ist ein Compliance Management System in Deutschland bislang nur für Unternehmen aus der Finanz- und Versicherungsbranche.

Frank Machalz hält es aber auch in kleineren Unternehmen für unverzichtbar. Schließlich hat ein CMS entscheidende Vorteile:

  • Schafft Rechtssicherheit: Ein Compliance Management System verankert ein organisiertes Vorgehen, um Rechtskonformität in einer Organisation sicherzustellen. Es senkt die Gefahr hoher Strafen und Imageschäden durch Gesetzesverstöße.
  • Reduziert Haftungsrisiken: Kommt es trotzdem zu Verstößen, kann das Vorliegen einer Compliance-Organisation dem Vorwurf des Organisationsverschuldens vorbeugen. Das senkt die Haftungsrisiken für Verantwortliche erheblich.
  • Fördert Vertrauen: Ein Compliance Management System fördert das Vertrauen von Kunden und Geschäftspartnern. Große Konzerne verlangen es häufig sogar von ihren Zulieferern.
  • Optimiert Ressourcen: Als integriertes Managementsystem schafft ein CMS Synergien und erhöht die Effizienz vieler Prozesse.

Dabei geht es auch ohne Zertifizierung, obwohl diese natürlich Vorteile mit sich bringt. Kleine Unternehmen mit geringen Ressourcen können auf die damit verbundenen Ausgaben erst einmal verzichten.

Die Einführung und Zertifizierung eines CMS

Die ISO 37301 – das ist neu

Die internationale Norm ISO 37301 wurde im April 2021 veröffentlicht. Sie löste die ISO 19600 ab.

Inhaltlich sind beide Normen weitgehend identisch. Allerdings gibt es einige zentrale Unterschiede im Detail:

  • Die ISO 19600 war ein Leitfaden. Bei der ISO 37301 handelt es sich dagegen um eine Zertifizierungsnorm. Das Zertifikat dürfen nur akkreditierte Zertifizierer ausstellen.
  • Die ISO 37301 folgt der High Level Structure und basiert auf einem Plan-Do-Check-Act-Zyklus (PDCA). Das hat den Vorteil, dass sie sich hervorragend in bereits bestehende Managementsysteme integrieren lässt.
  • Ein neues inhaltliches Element stellen die Best Practices für ein Hinweisgebersystem dar. Dieses muss unter anderem für alle Mitarbeiterinnen und Mitarbeiter und relevanten Parteien sichtbar sowie zugänglich sein.
  • Schließlich verlangt die Norm ausdrücklich, dass Unternehmen eine Compliance-Management-Beauftragte oder einen Compliance-Management-Beauftragten bestellen.

Wichtig: Frank Machalz betont die Vorteile integrierter Managementsysteme für Organisationen. Gemäß der Frage „Addierst du noch oder integrierst du schon?“ empfiehlt er Unternehmen, Synergieeffekte zu nutzen. So ließen sich die ISO 37301, die ISO 31000 und die ISO 26000 als äußerer Rahmen bereits vorhandener ISO-Managementsystemnormen einsetzen.

CMS einführen – die ersten Schritte

Wo und wie also anfangen mit einem CMS nach ISO 37301?

Im Grunde gehen Unternehmen bei der Implementierung wie bei einem Risikomanagement vor. Zentral sind die folgenden Schritte:

  • Identifikation von Compliance-Risiken: Am Anfang steht die Frage nach den wichtigsten Risikofeldern. Je nach Unternehmen und Branche fallen diese unterschiedlich aus. Während Arbeitsschutz beispielsweise immer eine Rolle spielt, sind Themen wie Geldwäsche oder Kartellrecht nur in bestimmten Fällen relevant.
  • Risikobewertung: Im zweiten Schritt bewerten und priorisieren Unternehmen die identifizierten Compliance-Risiken. Entscheidend dafür sind wie im Risikomanagement die potenzielle Schadenhöhe und die Eintrittswahrscheinlichkeit.
  • Ableiten von Maßnahmen: Schließlich lassen sich ausgehend von Risikoanalyse und -bewertung geeignete Maßnahmen ableiten.

Ein häufiger Fehler beim Aufbau eines Compliance Management Systems besteht laut Frank Machalz in einer unvollständigen Compliance-Risikoanalyse. So bilde diese häufig sogar in einer Organisation vorhandene Managementsysteme wie ein Umweltmanagementsystem nicht ab. Vollständigkeit aber sei entscheidend für ein CMS, das seine Ziele erfüllt.

Exkurs: wichtige Rollen im Compliance Management

Im Compliance Management gibt es drei Arten von zentralen Akteuren:

  • Die oder der Compliance-Management-Beauftragte beziehungsweise Compliance Officer befassen sich damit, ein Compliance Management System einzurichten, aufrechtzuerhalten und weiterzuentwickeln. Auch Schulungen für eine von allen Mitarbeiterinnen und Mitarbeitern gelebte Compliance-Kultur können in den Aufgabenbereich von Compliance-Beauftragten fallen.
  • Eine Ebene darunter sind andere Beauftragte im Unternehmen angesiedelt, zum Beispiel Datenschutzbeauftragte, Emissionsschutzbeauftragte oder Fachkräfte für Arbeitssicherheit. Als Expertinnen und Experten für jeweils einen Risikobereich unterstützen sie den Compliance Officer.
  • Die Verantwortung für Compliance Management Systeme trägt die Unternehmensleitung, zum Beispiel die Geschäftsführung.

Unternehmen können theoretisch auch externe Compliance Management Beauftragte bestellen. In der Praxis ist das aber meist wenig sinnvoll, denn Compliance Officer müssen ein Unternehmen gut kennen. Besser ist es, intern eine Person zu beauftragen, die die entsprechenden Voraussetzungen mitbringt und eine Compliance-Schulung absolviert.

Compliance ist kein verzichtbarer Luxus

Ob und in welchen Fällen eine Rechtspflicht zur Compliance besteht beziehungsweise sich herleiten lässt, ist unter Juristen umstritten. Einigkeit herrscht aber darüber, dass eine Compliance-Organisation eine essenzielle Rolle in Unternehmen verschiedener Größenordnungen spielt.

Dabei machen es neue Gesetzgebungen wie das Lieferkettengesetz noch wichtiger als früher, die Einhaltung von Gesetzen im gesamten Unternehmen sicherzustellen. Die ISO 37301 stellt den Rahmen dafür bereit und sie ermöglicht es Unternehmen durch ihre High Level Structure, von den Synergieeffekten eines integrierten Managementsystems zu profitieren.

Weil es in der Regel schon eine Reihe von Beauftragten für unterschiedliche Themenbereiche gebe, so Frank Machalz, existiere sogar bereits eine Compliance-Struktur, die sich durch einen Compliance Officer vervollständigen lasse. Unternehmen müssten also nicht bei null anfangen.

Unsere Empfehlungen für Sie

Seminar

Compliance Officer (TÜV)

Erwerben Sie die Sach- und Fachkunde nach ISO 37301 und erfahren Sie, wie Sie die Erfüllung operativer Compliance-Aufgaben professionell managen.
Zu den Veranstaltungen
Webinar

Ihr Hinweisgebersystem

Sie möchten ein (digitales) Hinweisgebersystem in Ihrem Unternehmen einführen? Wie Ihnen das einfach und rechtssicher gelingt, erklären wir im Webinar zum Hinweisgebersystem.
Zum Webinar
Seminar | Webinar

Geldwäscheprävention

Sie erhalten umfangreiche Kenntnisse über rechtliche Grundlagen und sich daraus ergebende Handlungserfordernisse im Risikobereich der Geldwäscheprävention.
Zu den Veranstaltungen

Haben Sie Fragen?

Oliver Wolter

Oliver Wolter

TÜV NORD Akademie GmbH & Co. KG
Produktmanagement
Am TÜV 1, 30519 Hannover

+49 511 998-62270

owolter@tuev-nord.de

Diese Seite weiterempfehlen