Ihr Unternehmen überzeugt durch Qualität, Professionalität, Innovationskraft und Wertstabilität? Prima! Damit das so bleibt, ist jeder einzelne Mitarbeiter gefragt. Denn in der freien Wirtschaft kann Fehlverhalten schwerwiegende Folgen wie Strafverfolgung oder Imageverlust haben. Ein Compliance Management System unterstützt Unternehmen dabei, Compliance-Risiken zu erkennen, Mitarbeiter zu schulen und strafbares Verhalten zu verhindern.
Wir erklären, warum es sich auch für mittelständische Unternehmen lohnt, ein Compliance Management System einzuführen. Und warum ein wirkungsvolles CMS kein Bürokratiemonster sein muss.
Compliance in Unternehmen
Compliance lässt sich mit Rechtstreue beziehungsweise Regelkonformität übersetzen. Dass man sich an geltende Gesetze halten muss, klingt zunächst logisch. Doch Unternehmen sehen sich zunehmend komplexeren Vorschriften ausgesetzt und sind dafür verantwortlich, dass sich ihre Mitarbeiter daran halten. Das bedeutet, sie müssen wirksame präventive Maßnahmen ergreifen, und zwar unabhängig von der Unternehmensart oder -größe.
Das kann zum Beispiel über die Implementierung und Etablierung eines Verhaltenskodex geschehen. Dieser legt für alle Mitarbeiter verbindliche Verhaltensstandards fest, um Rechtsbrüchen oder Regelverstößen vorzubeugen. Compliance Management setzt sich auch mit der Frage auseinander, wie Verstöße frühzeitig aufgedeckt werden können und wie das Unternehmen auf sie reagiert. Als Compliance Management System bezeichnet man schließlich alle Maßnahmen, die das Unternehmen vor Compliance-Risiken schützen: von der Risikoanalyse über die Etablierung von Compliance-Richtlinien und deren Schulung bis hin zu einem effektiven Hinweisgebersystem.
Zudem bietet ein wirksames Compliance Management System Mitarbeitern Handlungssicherheit im Arbeitsalltag sowie im Umgang mit Kunden, Lieferanten und Geschäftspartnern. Ein funktionierendes Compliance Management System schafft damit die Basis für eine verantwortungsvolle, moderne und wertebasierte Unternehmenspolitik.
Haftungsrisiken durch ein Compliance Management System senken
Unternehmen unterliegen enormen Haftungsrisiken, die sie durch ein effektives Compliance Management System minimieren können. Viele befürchten hierbei ein Bürokratiemonster. In Wirklichkeit stellt ein Compliance Management System eine Entlastung für Vorgesetzte und Mitarbeiter dar. Es entstehen Entfaltungsfreiräume, Freigabe- und Kontrollprozesse werden abgebaut, die Mitarbeiterzufriedenheit und Sicherheit steigt und insgesamt sorgt es für eine Stärkung der gesamten Prozessqualität. Die Transparenz von Informationsprozessen schafft Vertrauen bei allen Beteiligten. Diese Vorteile tragen für Unternehmen dazu bei, wettbewerbsfähig zu bleiben.
Erfolgreiche Umsetzung von Compliance
Compliance erfordert eine intensive Kommunikation mit allen Beteiligten: Unternehmensführung, Mitarbeiter, Stakeholder inkl. aller Kunden, Lieferanten, externe Mitarbeiter und Freelancer. Ein erfolgversprechendes CMS legt vorher für jede Abteilung im Unternehmen die spezifischen risikominimierenden Maßnahmen fest und kommuniziert und schult diese. Nur wenn die Regelungen verstanden und akzeptiert werden, kann eine erfolgreiche Umsetzung gelingen. Die Compliance zugrunde liegenden Werte – Verlässlichkeit, Kontinuität, Vertrauen – müssen verinnerlicht und gelebt werden und das Unternehmen muss sich deutlich zu ihnen bekennen.
Gefahren fehlender Compliance
Compliance betrifft vielfältige Themen und berührt fast alle Bereiche eines Unternehmens. Relevante Themen sind etwa Korruption, wettbewerbsrechtlich verbotene Preisabsprachen oder unzureichende Exportkontrolle im Außenhandel. Auch das Verhalten der Mitarbeiter untereinander kann – im Fall von Mobbing oder Diskriminierung – die Compliance eines Unternehmens gefährden. Zudem sind ungesicherte IT-Systeme, fehlende Informationssicherheit oder Verstöße gegen den Datenschutz sind häufige Compliance-Risiken.
Die folgenden Beispiele zeigen, welche Konsequenzen eine fehlende Compliance-Kultur im Unternehmen haben kann:
-
Immer mehr Firmen fordern ein nachgewiesenes Compliance Management von ihren Zulieferern und Dienstleistern. Somit wird Compliance zunehmend wettbewerbsrelevant.
-
Gerade in Pandemie-Zeiten können fehlende oder nicht vermittelte Regeln und Werte dazu führen, dass sich Mitarbeiter im Home-Office nicht unterstützt fühlen und unbewusst gegen die Unternehmensregeln verstoßen. Datenschutzverletzungen, Unproduktivität und fehlende Motivation können die Folge sein.
-
Fehlende IT-Sicherheit macht es potenziellen Angreifern leicht, Daten zu stehlen, das Unternehmensnetzwerk mit Schadsoftware zu infizieren oder Lösegeld zu erpressen.
-
Fehlende Regeln im Umgang mit Zuwendungen und Geschenken können zu Korruptionsvorwürfen führen.
-
Preisabsprachen mit einem Wettbewerber können erhebliche Sanktionen wie Strafverfahren oder hohe Geldbußen nach sich ziehen.
-
Bei fehlenden Arbeitsschutz-Unterweisungen droht eine erhöhte Verletzungsgefahr.
-
Werden Kundenbeziehungen und Transaktionen nicht sorgfältig überprüft, kann ein Unternehmen ungewollt zur Geldwäsche missbraucht werden. Es drohen Strafverfolgung und Imageverlust.
Compliance Management Systeme
Was macht ein gutes Compliance Management System aus?
Durch ein funktionierendes Compliance Management können solche Verstöße aufgedeckt oder im besten Fall sogar verhindert werden. Dazu werden alle Unternehmensbereiche analysiert und anhand eines festgelegten Regelwerks fortlaufend kontrolliert. Ein Compliance Management System ist also ein integriertes System, das aus Dokumenten (formunabhängig), Funktionen, Prozessen, Kontrollen und weiteren Komponenten besteht. Zu den Zielen gehören die Sicherstellung von Pflichtkonformität, Vermeidung und Minimierung von ökonomischen, rechtlichen und Reputationsschäden, Sicherung der Unternehmensexistenz, Implementierung eines Frühwarnsystems, Sensibilisierung und Schaffung von Aufmerksamkeit für Gefahren und Chancen, effiziente und sinnvolle Ressourcenverwendung, sowie Fokussierung auf die Compliance-Risiken.
Gemäß der ISO 19600 basiert ein Compliance Management System auf 5 Säulen:
-
Bewertung von Compliance-Risiken
-
Organisation: Rollen, Verantwortlichkeiten und Zuständigkeiten definieren
-
Prävention durch Steuerung – und Kontrollmaßnahmen
-
Training und Kommunikation
-
Monitoring
Ein CMS ist laut Gesetz in Form und Ausgestaltung nicht näher bestimmt. Die Mindestanforderungen sind in Deutschland in den "Grundsätzen ordnungsmäßiger Prüfung von Compliance-Management-Systemen" (IDW PS 980) geregelt. Die Elemente dienen als Hilfestellung und Grundlage für die individuelle Ausgestaltung.
Anwendungsbeispiele für die fünf Säulen eines Compliance Management Systems:
Situation
Mitarbeiter dürfen wegen Corona nicht im Unternehmen arbeiten und müssen ihre Arbeit ins Home-Office verlagern. Bei der Arbeit im Home-Office sind rechtliche Rahmenbedingungen für Mitarbeiter und Unternehmen einzuhalten.
-
Risikobewertung:
Viele Mitarbeiter haben nicht die Möglichkeit, ein separates Arbeitszimmer zu nutzen, sondern arbeiten in Räumen, die auch für private Zwecke genutzt werden. Dadurch erhalten Dritte leichter Zugriff auf firmeninterne Informationen. -
Organisation:
Die Geschäftsführung beauftragt zuständige Mitarbeiter, geeignete Maßnahmen und Regeln zu entwerfen und diese zu implementieren. Sie unterstützt zudem bei der Kommunikation. -
Steuerungs- und Kontrollmaßnahmen:
Der Datenschutzbeauftragte, der Compliance-Officer und die IT-Abteilung entwerfen eine Informationssicherheitsrichtlinie für das Home-Office und sorgen für eine sichere Infrastruktur. Über ein vertrauenswürdiges Hinweisgebersystem können Verstöße frühzeitig aufgedeckt und mit entsprechenden Maßnahmen gegengesteuert werden. -
Training und Kommunikation
Mitarbeiter erhalten durch das Compliance Management System dokumentiert die Unternehmensregeln über den Vorgesetzten sowie die Zugänge zu den Online Schulungen "Datenschutz" und "Code of Conduct".
-
Monitoring
Ein – möglichst automatisiertes – Teilnehmer-Management stellt sicher, dass alle Mitarbeiter die Schulungen absolvieren. Die integrierte Verständniskontrolle zeigt, ob und welche Inhalte wiederholt werden müssen.
Wie integriert man Compliance Management in Unternehmen?
Folgende Faktoren sind bei der Gestaltung eines Compliance Management Systems zu beachten:
-
Unternehmensgröße und -struktur
-
Regionen
-
Branche
-
Produktportfolio
-
Prozessabläufe
-
Anforderungswechsel im Umfeld
-
individuelle Risiken und Ziele eines Unternehmens
Risikoanalyse und Risikobewertung
Die Risikoanalyse ist ein zentraler Bestandteil eines jeden Compliance Management Systems. Sie richtet sich an den oben genannten Faktoren aus. Schauen wir uns einen Vergleich von Unternehmen zur Risikoanalyse an, werden wir schnell erkennen, wo die individuellen Unterschiede bei den Anforderungen vorliegen.
Unternehmen, die nur in einem begrenzten regionalen Raum agieren, benötigen andere Compliance-Regelungen als international tätige Unternehmen. Größe und Struktur der Unternehmen wirken sich auf die Prozessvielfalt aus. Beim Aufbau effizienter und rechtssicherer Compliance-Strukturen muss also immer die unternehmenseigene Struktur berücksichtigt werden.
Also gilt es anhand einer Risikoanalyse, Compliance-Handlungsfelder zunächst systematisch zu identifizieren und zu erfassen. Danach müssen relevante Gesetze identifiziert werden. Durch die Identifizierung der Risikobereiche werden bereits vorhandene Kontrollsysteme zusammengeführt.
Implementierung und Monitoring
Aus den Ergebnissen der Risikoanalyse ist das firmenindividuelle Compliance Programm zu erstellen. Je nach Größe des Unternehmens kann man nun ein Compliance-Team oder einen Compliance-Beauftragten für die Organisation der notwendigen Prozesse benennen. Verantwortlichkeiten und Befugnisse sollten geregelt und eine genaue Ressourcenplanung vorgenommen werden. Bereits im Vorfeld muss geklärt sein, wie mit Verstößen umgegangen werden soll, am besten lässt sich dies durch klare Compliance-Richtlinien festhalten. Nach der Implementierung stehen die Umsetzung und Überwachung sowie die regelmäßige Analyse an. Ein gutes Compliance Management System ist immer skalierbar und ist ein Prozess, der ständig beobachtet und angepasst werden muss. Denn Risikobereiche können sich verändern, Gesetzesänderungen erlassen werden oder das unternehmenseigene Umfeld sich wandeln.
Unternehmen sollten ihren individuellen Weg zu einem passenden Compliance Management System finden. Dieses sollte dann die positiven Auswirkungen auf alle Geschäftsprozesse nachweisen können und sich in einem passenden Kosten-Nutzen-Verhältnis bewegen.
Compliance sollte als organisatorische Klammer dienen, die bestehende Managementsysteme und Organisationsstrukturen in einem Unternehmen vereint und vernetzt.
Kommunikation "From the Top"
Um die Akzeptanz für die Wichtigkeit von Compliance im Unternehmen zu stärken, ist es wichtig, Compliance-Themen für alle Mitarbeiter verständlich zu vermitteln und zu leben. Nur was verstanden und gelebt wird, kann sich dauerhaft in Unternehmen zu einer Compliance-Kultur entwickeln. Der erfolgreiche Aufbau einer positiven Compliance-Kultur beginnt an der Spitze eines Unternehmens. Die Spitze muss mit Vorbildcharakter das Compliance Management System fördern und es nicht nur fordern. Eine Form der Vermittlung sind gute E-Learning-Kurse.
Compliance Schulungskonzept
Sie wollen Mitarbeiter effizient in Compliance-Themen unterweisen? Dann informieren Sie sich über unser Online-Compliance-Training.
Ein zentraler Baustein für ein funktionierendes Compliance Management ist eine regelmäßige und bedarfsgerechte Schulung von Mitarbeitern. E-Learnings bieten hier eine kosten- und ressourcenschonende Möglichkeit, alle Mitarbeiter zu den für sie relevanten Themen zu unterweisen und die absolvierten Schulungen rechtssicher zu dokumentieren.
Neben Standardthemen wie Allgemeines Gleichbehandlungsgesetz oder auch der Code of Conduct, die für alle Mitarbeiter relevant sind, bieten unsere Trainings die Möglichkeit, Mitarbeiter bedarfsgerecht zu unterschiedlichen Compliance-Themen wie Korruptionsprävention, Geldwäscheprävention oder auch Kartellrecht zu schulen.
Compliance-Projekt: Open Grid Europe & WEKA MEDIA erhalten den eLearning Award 2021
Mit unserem Gemeinschaftsprojekt, einem zielgruppengenau auf die Mitarbeiter zugeschnittenen Online-Trainingsprogramm zum Thema Compliance, haben wir mit unserem Kunden Fernleitungsnetzbetreiber OpenGrid Europe GmbH (OGE) gemeinsam den vom eLearning Journal verliehenen eLearning AWARD 2021 in der Kategorie „Lernmotivation“ gewonnen.
Die Herausforderung des Fernleitungsnetzbetreibers OpenGrid Europe GmbH (OGE): Mit neuen Compliance-Kursen spannend und nachhaltig schulen – weg von der lästigen, abstrakten Pflicht, hin zum ansprechenden Szenario, mit dem die Mitarbeitenden wirklich gern lernen.
"Zusammen mit Open Grid Europe haben wir nicht nur ein
innovatives Compliance-E-Learning entwickelt, dass den Lernenden Spaß macht,
sondern auch eine wirksame Kampagne aufgesetzt,
die die Lerninhalte über mehrere Wochen nachhaltig vermittelt.", sagt Silke Krick, Blended Learning Designerin bei WEKA MEDIA GmbH.
Mehr Infos zum Projekt & zum Award: Siegerprojekte 2021 – Kategorie Lernmotivation.
