Zum Inhalt springen

Unternehmensführung

Der Aufbau von Compliance Management Systemen

Ein Compliance Management System nach ISO 37301 schützt Unternehmen vor folgenschweren Gesetzesverstößen.

Zum Blog Wissen kompakt
Zwei Kolleg:innen unterhalten sich freundlich im Büroflur mit Tablet und Kaffeebecher
23. Juli 2024

Compliance Management Systeme – warum sie so wichtig sind und was Unternehmen bei der Umsetzung beachten müssen

Um sicherzustellen, dass sie sich zu jedem Zeitpunkt regelkonform verhalten, brauchen Unternehmen ein Compliance Management System (CMS). Denn Gesetzesverstöße stellen nicht nur aus ethischen Gründen ein Problem dar. Sie können auch hohe Strafen nach sich ziehen. Zusätzlich droht je nach Art des Verstoßes ein folgenschwerer Imageschaden.

Wir haben uns mit Frank Machalz, Geschäftsführer der envigration GmbH und Spezialist für Compliance Management, darüber unterhalten,

  • was genau hinter einem CMS steckt,
  • was die Einführung der ISO 37301 für Unternehmen bedeutet und
  • welche Fehler bei der Umsetzung lauern.
Grafik eines Steuer­rads mit den Elementen des PDCA-Zyklus (Plan, Do, Check, Act) und Themen wie Umwelt­schutz, Daten­schutz, Qualitätssicherung und Informations­sicherheit. TÜV NORD Akademie Compliance & Risk Management.

Was ist ein Compliance Management System? – Definition

Ein Compliance Management System bündelt alle Strukturen, Prozesse und Maßnahmen in einer Organisation, die dazu dienen, Regelkonformität sicherzustellen. Anders ausgedrückt schafft es die Voraussetzungen dafür, dass Organisationen nicht gegen rechtsverbindliche externe Regeln und interne Vorgaben verstoßen.

Der Umfang eines Compliance Managements wird laut Frank Machalz gerne unterschätzt: „Wenn Sie heute Geschäftsführer von Unternehmen fragen, was Sie unter Compliance Management verstehen, erhalten Sie häufig die Antwort: Kartellrecht, Wettbewerbsrecht und Geldwäscheprävention.“ Falsch sei das nicht, aber nur ein kleiner Teil des großen Ganzen.

Frank Machalz veranschaulicht die vielen Facetten von Compliance Management gerne am Beispiel eines Notstromaggregats. Während Arbeitsschützer dieses „mit der Risikobrille des Individualschutzes“ betrachten, sähen andere vor allem die damit verbundenen Umweltrisiken, steuerliche Aspekte oder Risiken in Verbindung mit Beschaffungsprozessen. Ein Compliance Management decke alle Risiken ab.

Zur Infografik

TÜV NORD – Ihr Partner für berufliche Weiterbildungen

Vielfalt

Über 900 qualifizierte Referentinnen und Referenten geben ihr Know-how in über 520 verschiedenen Seminarthemen täglich an Sie weiter.

Flexibilität

Wir bieten Ihnen volle Flexibilität. Entscheiden Sie selbst, ob Sie an unserem OnlineCampus, einer Präsenzschulung oder an einer für Sie konzipierten Inhouse-Schulung teilnehmen möchten.

Qualität

Wir stehen für Qualität. Unsere Zertifikate und Bescheinigungen sind Qualitätssiegel für Sie und Ihr Unternehmen.

Was ist das Steuerrad?

Das Abbild eines Steuerrades dient der Veranschaulichung für ein ganzheitliches, holistisches integriertes Managementsystem auf Basis des PDCA-Zyklus (äußerster Kreis), wie es idealerweise in jeder Organisation vorhanden sein sollte. So wie jedes Schiff nur ein Steuerrad hat, hat jede Organisation auch nur ein Managementsystem, mit dem es die unternehmerischen Risiken identifiziert und priorisiert sowie Maßnahmen zum Umgang mit den relevanten Risiken und zur Nutzung von Chancen ableitet.

Zentrum und Ausgangspunkt jedes Managementsystems ist das rechtlich verpflichtende Risikomanagement jeder Organisation (in der Abbildung innerer gelber Kreis). Dessen integraler Bestandteil ist wiederum das Nachhaltigkeitsmanagement (in der Abbildung orangefarbener Kreis) und die darin integrierten Naturgesetze sowie das Compliance Management (blauer Kreis) mit seinen segmentübergreifenden regulatorischen Aspekten (Legal Compliance). Das Compliance Management basiert auf den u. a. bereits durch den Gesetzgeber erfolgten Risikobewertungen, etwa im Bereich der Strafen und Bußgelder, und ist sowohl bei der Eintrittswahrscheinlichkeit, aber insbesondere bei der konkreten Schadenshöhe zu berücksichtigen. Mithin ist die Compliance-Risikoanalyse und Risikobewertung integraler Bestandteil des Risikomanagementsystems. Auch Nachhaltigkeit (ESG) wird stark durch regulatorische Rahmenbedingungen gelenkt und gesteuert. Seien es die im HGB verankerten Berichtspflichten für Nachhaltigkeitsberichte (nicht finanzielle Erklärung), die mit der Taxonomieverordnung kalibrierten Anforderungen an eine ökologisch nachhaltige Wirtschaftstätigkeit bis hin zum Thema strafbarer Kapitalanlagebetrug wegen fehlerhafter Angaben bei vermeintlich grünen / nachhaltigen Finanzprodukten. Alle drei bilden somit die Grundlage und Basis für die auf den äußeren Segmenten abgebildeten Risikofelder, die jeweils nur einzelne unternehmerische Risiken betrachten. Dabei ist die Abbildung nicht vollständig, sondern zeigt nur einige wesentliche Risikofelder.

Allen diesen „Subsystemen“ sind jedoch die gleichen Prozesse und Verfahren zur Ermittlung und zum Umgang mit Risiken und Chancen immanent und zugleich sind verschiedene Nachhaltigkeitsaspekte (u. a. verschiedene Ziele aus den 17 Zielen der Nachhaltigkeit der vereinten Nationen, z. B. Klimaschutz, 13. Ziel, nachhaltige Produktion und Konsumtion 12. Ziel)) enthalten. Außerdem gehören zu jedem dieser „Subsysteme“ auch die jeweils zu beachtenden regulatorischen und sonstigen Anforderungen. (z. B. Bundes-Immissionsschutzgesetz, Klimaschutzgesetz, Taxonomieverordnung, Kreislaufwirtschaftsgesetz, Arbeitsschutzgesetz, Datenschutzgrundverordnung etc.).

Info-Webinar zur Omnibus-Verordnung

In unserem Info-Webinar erhalten Sie einen kompakten Überblick über die aktuellen Änderungen der Berichtsstandards durch die Omnibus-Initiative und erfahren, welche Auswirkungen diese auf Ihre künftige Berichtspflicht haben.

Jetzt für 0,- Euro teilnehmen

Warum ein Compliance Management System einführen? – Vorteile

Zwingend vorgeschrieben ist ein Compliance Management System in Deutschland bislang nur für Unternehmen aus der Finanz- und Versicherungsbranche.

Frank Machalz hält es aber auch in kleineren Unternehmen für unverzichtbar. Schließlich hat ein CMS entscheidende Vorteile:

  • Schafft Rechtssicherheit: Ein Compliance Management System verankert ein organisiertes Vorgehen, um Rechtskonformität in einer Organisation sicherzustellen. Es senkt die Gefahr hoher Strafen und Imageschäden durch Gesetzesverstöße.
  • Reduziert Haftungsrisiken: Kommt es trotzdem zu Verstößen, kann das Vorliegen einer Compliance-Organisation dem Vorwurf des Organisationsverschuldens vorbeugen. Das senkt die Haftungsrisiken für Verantwortliche erheblich.
  • Fördert Vertrauen: Compliance Management Systeme fördern das Vertrauen von Kunden und Geschäftspartnern. Große Konzerne verlangen es häufig sogar von ihren Zulieferern.
  • Optimiert Ressourcen: Als integriertes Managementsystem schafft ein CMS Synergien und erhöht die Effizienz vieler Prozesse.

Dabei geht es auch ohne Zertifizierung, obwohl diese natürlich Vorteile mit sich bringt. Kleine Unternehmen mit geringen Ressourcen können auf die damit verbundenen Ausgaben erst einmal verzichten.

Alternative Text

Interview: Compliance Management System für KMUs

Astrid Meyer-Krumenacker ist Rechtsanwältin in München. Sie verfügt über langjährige Managementerfahrung in verschiedenen Funktionen, zum Beispiel als Abteilungsleiterin Recht und Versicherungen sowie Recht und Personal und als Chief Compliance Officer. Außerdem schreibt sie für einen süddeutschen Verlag zum Thema Lieferkettensorgfaltspflichtengesetz.

Als erfahrene Problemlöserin unterstützt Astrid Meyer-Krumenacker mittelständische Unternehmen dabei, durch die Einführung von Hinweisgebersystemen und Compliance-Management-Systemen sowie die Umsetzung der Anforderungen aus dem Hinweisgeberschutzgesetz und Lieferkettengesetz ihren unternehmerischen Erfolg zu sichern und Risiken zu minimieren. 

Sieben Fragen an Astrid Meyer-Krumenacker

"Ja, der stimmt. Oft kommt das Argument: „Für Compliance sind wir zu klein.“ Das sagt mir, dass sich die Verantwortlichen in dem Unternehmen nie Gedanken darüber gemacht haben, was Compliance bedeutet."

"Zunächst müssen sie abklären, welche Compliance-Risiken vorhanden sind. Manche Themen, zum Beispiel die Steuer-Compliance oder der Datenschutz, betreffen jedes Unternehmen. Zusätzlich existieren je nach Tätigkeit weitere Risiken, zum Beispiel im Bereich Arbeitssicherheit. Wenn ein Unternehmen international tätig ist, spielt die Zoll-Compliance eine Rolle. Solche Themen erfordern allerdings Fachkompetenz, die sich KMU im Regelfall von außen einkaufen.  

Im nächsten Schritt geht es darum, Risiken einzuordnen und zu gewichten. Welche Risiken sind existenzbedrohend und welche kann ich vernachlässigen? Gibt es Themen, zum Beispiel das Kartellrecht, für die sich eine Schulung anbietet?"

"Es ist Teil der Lieferantenbewertung, ob ein Unternehmen ein Compliance Management System installiert, das Lieferkettengesetz umgesetzt hat usw. Wer da keine zufriedenstellenden Antworten geben kann, bekommt eine schlechte Bewertung. In der Automobilindustrie gibt es die A-, B- und C-Bewertung. Werden Mängel festgestellt, müssen Lieferanten diese beheben. Das betrifft inzwischen auch Compliance-Maßnahmen. Gelingt ihnen das nicht im festgesetzten Zeitraum, werden sie C-Lieferant und C-Lieferanten können nicht beauftragt werden."

"Einer muss die Verantwortung tragen. Diese muss schriftlich delegiert werden und die betreffende Person muss die notwendigen Fähigkeiten und das Budget haben, um die damit verbundenen Aufgaben zu erfüllen. Sonst verbleibt die Verantwortung bei der Geschäftsführung.  

Außerdem ist Compliance kein Papiertiger. Es kommt nicht darauf an, was man im Ordner, im Schrank oder im PC abgelegt hat. Compliance muss in wichtige Unternehmensprozesse integriert und gelebt werden. Dafür ist es auch wichtig, dass die Mitarbeitenden wissen, was von ihnen erwartet wird und warum man etwas so und nicht anders macht.  

Entscheidend ist : Es gibt kein Compliance Management von der Stange. Ein funktionierendes CMS ist immer maßgeschneidert für das jeweilige Unternehmen."

"Compliance heißt, ich befähige die Organisation und die Mitarbeitenden im Unternehmen dazu, die geltenden Gesetze und internen Richtlinien einzuhalten. Das müssen Unternehmen jeder Größe machen.

Ein Compliance Management System dient dazu, die Haftung des Unternehmensinhabers oder der angestellten Geschäftsführer:innen zu reduzieren. Denn die sind nach Legalitätsprinzip dafür verantwortlich, dass das Unternehmen so organisiert ist, dass alle Gesetze eingehalten werden. Geht etwas schief, haften sie mit ihrem Privatvermögen und im schlimmsten Fall mit ihrer Lebenszeit. Das wissen allerdings viele nicht."

"Das ist eine spannende Frage. Im neuen Unternehmensstrafrecht wird eine Formulierung enthalten sein, die aussagt, dass Unternehmen nach einem Gesetzesverstoß straffrei bleiben, wenn sie ein „effizientes und wirksames Compliance Management System“ installiert haben. Punkt. Das Gesetz führt nicht auf, was „wirksam“ und „effizient“ bedeuten. Ein Zertifikat könnte ein Hinweis sein, muss es aber nicht. Und natürlich kommt es auf die Qualität des Zertifikats an.

Für eine Zertifizierung nach ISO 37301 ist es aber ohnehin Voraussetzung, ein oder zwei Jahre ein Compliance Management System gelebt zu haben. Ich muss also erst einmal ein CMS installieren, bevor ich an eine Zertifizierung denke."

"Die ISO-Normen sind so formuliert, dass alle Organisationen, die unternehmerisch am Wirtschaftsleben teilnehmen, Compliance Management Systeme nach ISO-Norm umsetzen können, vom Gartenbauverein bis zum DAX-Konzern. Natürlich kann ein Unternehmen eine Abteilung einrichten oder eine Person für Compliance freistellen. Man kann die Aufgaben aber auch in einer Art Round-Table-Lösung auf mehrere Personen in Unternehmen verteilen. Oder es macht jemand nebenbei. Dann ist es aber wichtig, dass das Volumen der Aufgaben das zulässt und die Person die Möglichkeit hat, sich zu informieren."

Die Einführung und Zertifizierung eines Compliance Management Systems

Die ISO 37301 – das ist neu

Die internationale Norm ISO 37301 wurde im April 2021 veröffentlicht. Sie löste die ISO 19600 ab.

Inhaltlich sind beide Normen weitgehend identisch. Allerdings gibt es einige zentrale Unterschiede im Detail:

  • Die ISO 19600 war ein Leitfaden. Bei der ISO 37301 handelt es sich dagegen um eine Zertifizierungsnorm. Das Zertifikat dürfen nur akkreditierte Zertifizierer ausstellen.
  • Die ISO 37301 folgt der High Level Structure und basiert auf einem Plan-Do-Check-Act-Zyklus (PDCA). Das hat den Vorteil, dass sie sich hervorragend in bereits bestehende Managementsysteme integrieren lässt.
  • Ein neues inhaltliches Element stellen die Best Practices für ein Hinweisgebersystem dar. Dieses muss unter anderem für alle Mitarbeiterinnen und Mitarbeiter und relevanten Parteien sichtbar sowie zugänglich sein.
  • Schließlich verlangt die Norm ausdrücklich, dass Unternehmen eine Compliance-Management-Beauftragte oder einen Compliance-Management-Beauftragten bestellen.

Wichtig: Frank Machalz betont die Vorteile integrierter Managementsysteme für Organisationen. Gemäß der Frage „Addierst du noch oder integrierst du schon?“ empfiehlt er Unternehmen, Synergieeffekte zu nutzen. So ließen sich die ISO 37301, die ISO 31000 und die ISO 26000 als äußerer Rahmen bereits vorhandener ISO-Managementsystemnormen einsetzen.

Compliance Management einführen – die ersten Schritte

Wo und wie also anfangen mit einem CMS nach ISO 37301?

Im Grunde gehen Unternehmen bei der Implementierung wie bei einem Risikomanagement vor. Zentral sind die folgenden Schritte:

  • Identifikation von Compliance-Risiken: Am Anfang steht die Frage nach den wichtigsten Risikofeldern. Je nach Unternehmen und Branche fallen diese unterschiedlich aus. Während Arbeitsschutz beispielsweise immer eine Rolle spielt, sind Themen wie Geldwäsche oder Kartellrecht nur in bestimmten Fällen relevant.
  • Risikobewertung: Im zweiten Schritt bewerten und priorisieren Unternehmen die identifizierten Compliance-Risiken. Entscheidend dafür sind wie im Risikomanagement die potenzielle Schadenhöhe und die Eintrittswahrscheinlichkeit.
  • Ableiten von Maßnahmen: Schließlich lassen sich ausgehend von Risikoanalyse und -bewertung geeignete Maßnahmen ableiten.

Ein häufiger Fehler beim Aufbau eines Compliance Management Systems im Unternehmen besteht laut Frank Machalz in einer unvollständigen Compliance-Risikoanalyse. So bilde diese häufig sogar in einer Organisation vorhandene Managementsysteme wie ein Umweltmanagementsystem nicht ab. Vollständigkeit aber sei entscheidend für ein CMS, das seine Ziele erfüllt.

Exkurs: wichtige Rollen im Compliance Management

Im Compliance Management gibt es drei Arten von zentralen Akteuren:

  • Die oder der Compliance-Management-Beauftragte beziehungsweise Compliance Officer befassen sich damit, ein Compliance Management System einzurichten, aufrechtzuerhalten und weiterzuentwickeln. Auch Schulungen für eine von allen Mitarbeiterinnen und Mitarbeitern gelebte Compliance-Kultur können in den Aufgabenbereich von Compliance-Beauftragten fallen.
  • Eine Ebene darunter sind andere Beauftragte im Unternehmen angesiedelt, zum Beispiel Datenschutzbeauftragte, Emissionsschutzbeauftragte oder Fachkräfte für Arbeitssicherheit. Als Expertinnen und Experten für jeweils einen Risikobereich unterstützen sie den Compliance Officer.
  • Die Verantwortung für Compliance Management Systeme trägt die Unternehmensleitung, zum Beispiel die Geschäftsführung.

Unternehmen können theoretisch auch externe Compliance Management Beauftragte bestellen. In der Praxis ist das aber meist wenig sinnvoll, denn Compliance Officer müssen ein Unternehmen gut kennen. Besser ist es, intern eine Person zu beauftragen, die die entsprechenden Voraussetzungen mitbringt und eine Compliance-Schulung absolviert.

Compliance Management ist kein verzichtbarer Luxus

Ob und in welchen Fällen eine Rechtspflicht zur Compliance besteht beziehungsweise sich herleiten lässt, ist unter Juristen umstritten. Einigkeit herrscht aber darüber, dass eine Compliance-Organisation eine essenzielle Rolle in Unternehmen verschiedener Größenordnungen spielt.

Dabei machen es neue Gesetzgebungen wie das Lieferkettengesetz noch wichtiger als früher, die Einhaltung von Gesetzen im gesamten Unternehmen sicherzustellen. Die ISO 37301 stellt den Rahmen dafür bereit und sie ermöglicht es Unternehmen durch ihre High Level Structure, von den Synergieeffekten eines integrierten Managementsystems zu profitieren.

Weil es in der Regel schon eine Reihe von Beauftragten für unterschiedliche Themenbereiche gebe, so Frank Machalz, existiere sogar bereits eine Compliance-Struktur, die sich durch einen Compliance Officer vervollständigen lasse. Unternehmen müssten also nicht bei null anfangen.

Unsere Seminar-Empfehlungen für Sie

Webinar

Korruptionsprävention DIN EN ISO 37001

Unsere Antikorruptions-Schulung ist speziell darauf ausgerichtet, Ihnen einen umfassenden und praxisnahen Einblick in die Welt der Antikorruption zu geben. So versetzen wir Sie in die Lage, die wesentlichen Korruptionstatbestände des Strafrechts zu erkennen und effektiv in Ihrem Arbeitsalltag zu vermeiden.
Zum Webinar "Korruptionsprävention DIN EN ISO 37001"
Webinar

Compliance Management System einführen

Sie möchten ein Compliance Management System implementieren, um gesetzlichen Verpflichtungen nachzukommen? In unserer Fortbildung erhalten Sie praxisbezogene Antworten und einen Überblick über die erforderlichen Inhalte eines CMS sowie relevante rechtliche Rahmenbedingungen (HinSchG, LkSG, GwG).
Zum Weiterbildung "Compliance Management System implementieren"
Webinar

Compliance-Schulung für Führungskräfte

Mit der Compliance-Schulung für Führungskräfte lernen Sie die Grundlagen für Corporate Compliance kennen und verstehen die Zusammenhänge und Anknüpfungspunkte für die Rolle einer Führungskraft in der Compliance-Organisation Ihres Unternehmens.
Zum Webinar "Compliance-Schulung für Führungskräfte"

Weitere Artikel lesen

Zwei IT-Fachkräfte stehen im Serverraum und besprechen Daten auf einem Laptop vor einem Serverschrank
Informationssicherheit & Cyber-Security

So funktioniert ein ISMS

Erfahren Sie, wie ein ISMS aufgebaut ist, welche Vorteile es hat und warum es für Unternehmen an Bedeutung gewinnt.
Mehr über "ISMS" erfahren
Mann spricht vor einer Gruppe von Teilnehmern in einem modernen Seminarraum mit Leinwand.
Personalentwicklung

Ältere Mitarbeiter & Digitalisierung

Ältere Mitarbeiter & Digitalisierung – erfahren Sie hier, wie Sie sie motivieren und ihre digitale Kompetenz fördern.
Informieren Sie sich über ältere Mitarbeiter & Digitalisierung
Frau mit lockigem Haar telefoniert mit dem Smartphone und blickt nachdenklich aus dem Fenster
Unternehmensführung

Die EU-Whistleblower-Richtlinie

Neue Anforderungen ab Herbst 2022: So müssen Unternehmen in Zukunft Hinweisgeber schützen.
Erhalten Sie einen Überblick über die EU-Whistleblower-Richtlinie
Junger Mann mit Headset nimmt an einem Online-Meeting über Laptop teil.
Unternehmensführung

Rechtsgrundlagen des Homeoffice

Neue Arbeitsformen rechtssicher umsetzen – lesen Sie hier mehr zu den gesetzlichen Regelungen rund um Homeoffice & Co.
Mehr über Rechtsgrundlagen des Homeoffice erfahren
Fachwissen für Ihre berufliche Weiterbildung

Wissen kompakt

Berufliche Weiterbildung hat viele Gesichter und trägt maßgeblich zum Erfolg der Mitarbeitenden sowie des ganzen Unternehmens bei. In unserem Blog "Wissen kompakt" lesen Sie Fachbeiträge zu aktuellen Fragestellungen, die jetzt und in der Zukunft Ihre Arbeitswelt bestimmen.

Unser Blog richtet sich an Fach- und Führungskräfte jeden Alters und jeder Unternehmensgröße, an berufliche Einsteiger genauso wie an erfahrene Arbeitskräfte.

Unser Podcast ist die Antwort auf den Wunsch, unsere Inhalte in einem modernen Format zugänglich zu machen, das bequem nebenbei konsumiert werden kann.

Alle Themen von Wissen kompakt finden Sie hier im Überblick

Ihre Ansprechpartnerin

Natalie Pätzel trägt einen Blumen-Schal und ein graues Sakko, mit einem Lächeln im Gesicht.

Natalie Pätzel

Portfoliomanagement, TÜV NORD Akademie GmbH & Co. KG
Große Bahnstraße 31, Hamburg
Tel.: +49 40 8557-1566 / npaetzel@tuev-nord.de