Kapitel

Damit Compliance in einem Unternehmen funktionieren kann, müssen alle Mitarbeiter und Verantwortliche gewisse Anforderungen erfüllen. Welche Anforderungen sind das? Compliance Management Standards können helfen.

Vor allem die Führungskräfte sollten mit einem guten Beispiel voran gehen und Compliance „vorleben“.

Compliance Aufgaben

Wenn sich die Führungskräfte nicht an Regeln und Richtlinien halten – seien es interne oder gesetzliche Vorgaben – können sie das auch nicht von ihren Mitarbeitern erwarten.

Deshalb sollte innerhalb eines Unternehmens gemeinsam ein System mit Regeln und Richtlinien erarbeitet werden. Führungskräfte und Verantwortliche sollten dafür Sorge tragen, dass jeder Mitarbeiter diese Regeln und Vorschriften kennt und vor allem versteht, damit diese eingehalten und umgesetzt werden können.

Es sollte keine Angst bestehen, Fehler zu melden und weiter zu geben. Ganz im Gegenteil, das „Wegsachauen“ bei einem Verstoß ist viel schlimmer, als diesen zu kommunizieren und eine Lösung zu finden. Auf der anderen Seite sollten Führungskräfte Verstöße aber auch angemessen sanktionieren. Insbesondere dann, wenn diese vorsätzlich entstehen und sogar vermeidbar gewesen wären.

Zusammenfassend lässt sich sagen, dass Compliance sowohl strukturelle als auch individuelle Anforderungen mit sich bringt.

Compliance Vorgaben und Standards

Bei der Einführung einer Compliance Struktur und einem damit verbundenen Compliance Management Systems ist jedes Unternehmen grundsätzlich frei von Weisungen. Jedes System ist individuell anpassbar und hängt von Faktoren wie Unternehmensgröße und der Unternehmensbranche ab.

Für die Einrichtung von Compliance Management Systemen (CMS) wurden verschiedene Standards entwickelt. Diejenigen, denen Compliance-Verantwortliche heute am häufigsten begegnen, sind der vom Institut der Wirtschaftsprüfer in Deutschland e. V. (IDW) 2011 verabschiedete IDW Prüfungsstandard (PS) 980 und die im Dezember 2014 von der International Organization for Standardization (ISO) veröffentlichte Norm ISO 19600 bzw. die später veröffentlichte ISO 37001 (mit einem Fokus auf Anti-Korruption). Inhaltlich werden in allen Normen ähnliche Grundelemente eines CMS geprüft.

Bei der ISO 19600 Compliance-Managementsysteme handelt es sich um einen internationalen Leitfaden, der Anforderungen an den Aufbau von Compliance Management Systemen enthält. Der Leitfaden enthält Vorgaben, die für Unternehmen von Vorteil sein können, da diese sich daran orientieren können.

Compliance Anforderungen

Die ISO 19600 Compliance-Managementsysteme enthält folgende Anforderungen:

Zunächst sollten Compliance Risiken bewertet werden. Dabei wird das rechtliche Umfeld des Unternehmens analysiert und entsprechende Compliance Verpflichtungen identifiziert. Dadurch erhält das Unternehmen einen Überblick darüber, bei welchen Aktivitäten im Unternehmen Risiken entstehen können oder sogar schon bestehen. Somit wird ein Überblick über risikohohe Bereiche geschaffen. Diese Risikoanalyse bildet das Fundament für alle weiteren Maßnahmen. Das Compliance Management System und die dort enthaltenen Regelungen und Maßnahmen basieren demnach auf der Risikoanalyse.

Des Weiteren werden Verantwortlichkeiten im Unternehmen definiert. Die Unternehmensleitung muss die Entscheidung treffen, dass ein Compliance Management System eingeführt wird und entsprechende Ziele festgesetzt werden und dafür benötigte Ressourcen zur Verfügung gestellt werden.

Bekennt sich die Geschäftsleitung zu einer rechtskonformen und sauberen Compliance Struktur, wird damit gleichzeitig eine wichtige Voraussetzung geschaffen, dass eine Compliance Struktur funktioniert und umgesetzt werden kann.

Außerdem müssen entsprechende Kontrollmaßnahmen getroffen werden. Dazu gehören systematische Maßnahmen wie ein Verhaltenskodex mit Handlungsanweisungen und internen Regelungen. Diese sollten mit Hilfe der Risikoanalyse erarbeitet und aufgestellt werden. Solche Maßnahmen erleichtern die Umsetzung von Compliance im Unternehmen und verringern die Wahrscheinlichkeit von Verstößen.

Ferner muss kommuniziert werden. Dazu gehört die Kommunikation untereinander, aber auch die Kommunikation von Regeln und Verhaltensweisen. Als letztes sollte jedes Geschehen im Unternehmen kontrolliert, beobachtet und bewertet werden. Das soll nicht dazu führen, dass sich einzelne Mitarbeiter beobachtet fühlen. Im Gegenteil, es soll dazu beitragen, dass Verstöße vermieden werden und die Mitarbeiter unterstützt werden.

Das Compliance Management System sollte regelmäßig überprüft und aktualisiert werden, damit es sich immer auf dem neusten Stand befindet.

Compliance Maßnahmen

Compliance kann durch verschiedene Maßnahmen unterstützt werden. Die wohl bedeutsamste Maßnahme ist das Erstellen eines internen Regeln und Richtlinien Werkes. An diesem können sich Mitarbeiter orientieren, umso Compliance einzuhalten. Eine Compliance Richtlinie kann beispielsweise folgende Themen enthalten:

  • Einladungen, Geschenke und andere persönliche Vorteile
  • Verhalten gegenüber Wettbewerbern
  • Gleichbehandlung
  • Konsequenzen bei Compliance Verstößen
  • Allgemeine Verhaltensanforderungen 

Außerdem könnte eine geeignete Maßnahme sein, dass ein Compliance Beauftragter eingestellt wird. Dieser befasst sich dann ausschließlich mit dem Thema Compliance und fungiert als zentraler Ansprechpartner.

Welche Maßnahmen angemessen und verhältnismäßig sind für ein Unternehmen, muss das Unternehmen nach einer erfolgten Risikoanalyse selber feststellen. Wichtig ist, dass alle im Unternehmen über festgelegte Maßnahmen informiert werden und von diesen Kenntnis erlangen.

KPI: Compliance messen

Compliance Verantwortliche werden sich dem Druck, ihren eigenen Beitrag zum Unternehmenserfolg aufzuzeigen, nicht entziehen können. Dabei werden sie zunehmend auf Zahlen, Daten, Fakten und statistische Auswertungen zurückgreifen müssen und die Entwicklung ihrer Arbeit damit aufzeigen. Sie sollten sich mit dieser Entwicklung anfreunden und ihre Prozesse möglichst frühzeitig auf Möglichkeiten und Schnittstellen durchforsten, wo sie sinnvolle Daten erheben können und diese regelmäßig auswerten und ihre Anstrengungen daran ausrichten. Denn früher oder später werden sie daran von anderen gemessen werden.

Die Erfolgsfaktoren hängen vom zugrunde gelegten Rahmenkonzept, der Unternehmensumwelt und von unternehmensspezifischen Einflüssen ab. Die Kernfrage zur Formulierung der kritischen Erfolgsfaktoren lautet: Was muss die Organisation leisten können und über welche Eigenschaften muss sie verfügen, um die Compliance Management Strategie im Unternehmen umsetzen zu können und die formulierten Ziele zu erreichen?

Die Compliance Organisation muss auf die bedeutsamen Risiken im Konzern zugeschnitten sein. Daraus resultieren konkrete Organisationsanforderungen im Sinne von klaren Grundsätzen zur Gestaltung der Compliance Organisation.

Aufbauend darauf können mit Blick auf die spätere Messung der Zielerreichung und Performance Indikatoren zur Erfolgskontrolle definiert und der Grad der Zielerreichung dadurch messbar gemacht werden (KPIs). Mit den qualitativen und quantitativen Kennzahlen und definierten Zielwerten wird die Effizienz bzw. die Effektivität der Zielerreichung gemessen.

Für die Compliance Organisation werden 3 Arten von KPIs benötigt

KPIs sind keine absoluten Maße, sondern erfordern den Abgleich mit vorab definierten Referenzwerten. Dabei kann zwischen verschiedenen KPI-Typen unterschieden werden:

  1. KPIs, die den Fortschritt der Umsetzung, also den Output des CMS (z. B. Teilnahmequoten an Schulungen, Anzahl von Beratungsfällen oder Hinweise im Zeitablauf) messen,
  2. KPIs, welche die Wirkung des CMS erfassen (etwa Fallzahlenentwicklung von Compliance Verstößen, Meldungen in Hinweisgebersystemen, Ergebnisse aus Mitarbeiterbefragungen zur Compliance Kultur, Feststellungen der Internen Revision bezüglich Integrität der Organisation),
  3. KPIs zur Messung des Ressourceneinsatzes (z. B. Compliance FTE/1.000 Mitarbeiter) im Verhältnis zu den erzeugten Dienstleistungen oder prozessleistungsbezogene Kennzahlen (wie etwa durchschnittliche Genehmigungsdauer, Anteil abgeschlossener Ermittlungen bezogen auf plausible Hinweise) geben weitere Hinweise auf Optimierungspotenziale im CMS.
Schlagworte zum Thema:  Compliance