DQS im Dialog
DQS Website Abonnieren

Compliance Management im Mittelstand – Pflicht oder Kür?

Compliance bedeutet „Regeltreue“ – ganz unerheblich, welcher Art die Regel ist und wer sie aufstellt. Bei Verstößen dagegen ist die oberste Leitung des Unternehmens direkt in der Haftung. Organisationen müssen also entscheiden, ob sie zur Sicherung der Regeltreue ein unternehmensübergreifendes Compliance Managementsystem (CMS) einführen. Doch dabei endet es nicht. Wie genau überprüft man die Wirksamkeit eines CMS?
© Fotolia Compliance Management im Mittelstand

Auf den ersten Blick mag die Konzeption und Durchsetzung eines Compliance Managementsystems (CMS) eine zeitliche und wirtschaftliche Belastung für jedes Unternehmen sein. Wer jedoch tiefer blickt, gelangt zu interessanten Perspektiven: Unterstützt durch das Leitungsorgan, aber auch durch eine Überprüfung der Angemessenheit und Wirksamkeit des CMS durch interne und externe Prüfer wächst die Compliance-Kultur nachhaltig und eröffnet die Chance für steigenden Unternehmenserfolg und damit auf die Erhöhung des Unternehmenswertes.

Wo liegen die Hauptmotive für die Einrichtung eines CMS?

Der Großteil der mittelständischen Unternehmen sieht die Haftungsvermeidung und die Prävention von Korruption als wichtigste Beweggründe für die Einrichtung eines CMS an. Zunehmend sind aber auch Anforderungen von Geschäftspartnern und die Reputationssicherung auslösende Motive. Bei den relevanten Compliance-Themen rangieren Korruption, Wettbewerbsdelikte und Datenschutz regelmäßig vorne. Weitere Top-Themen sind Arbeits- und Sozialstandards im Unternehmen.

Auf der anderen Seite fürchtet der Mittelstand die mit Compliance assoziierte zusätzliche Belastung der Organisation in Form einer so genannten Compliance-Bürokratie. Ein sinnvoller Ansatz für mittlere Unternehmen wird sich daher deutlich von dem für Konzerne unterscheiden müssen.

Gefährdungen identifizieren

Wichtig ist zunächst, dass sich das Unternehmen im Wege einer Risikoanalyse über seine individuellen Compliance-Gefährdungen klar wird. Nur in diesen wichtigen identifizierten Risikobereichen sollten dann vorhandene Regelungen und Verhaltensweisen überprüft und bei Bedarf ergänzt werden. Ein Beispiel: Unternehmen können zunächst betrachten, ob kritische Teilbereiche im Unternehmen (z.B. Datenschutz im Personalwesen) oder einzelne Arten von Compliance abgedeckt sind, zum Beispiel die Einhaltung rechtlicher Verpflichtungen im Arbeitsschutz. Anders formuliert: Compliance-Maßnahmen sind letztlich dann zumutbar und erforderlich, wenn sie passgenau auf diesem Risk Assessment aufbauen.

Audits zur Sicherstellung der Wirksamkeit?

Gerade angesichts der Leitungspflicht der gesetzlichen Vertreter muss dem eigentlichen CMS eine kontinuierliche Wirksamkeitsprüfung an die Seite gestellt werden. Der Grund dafür liegt in der Rechtsprechung. Hier hat die Geschäftsleitung als Teil ihrer Überwachungspflicht zwei Aufgaben zu erfüllen: Zum einen muss sie die im Unternehmen eingerichteten Maßnahmen zur Sicherstellung von Compliance überwachen. Zum anderen hat sie deren Wirksamkeit kritisch zu kontrollieren – und zwar regelmäßig, nicht nur anlassbezogen. Diese Verpflichtung gilt für Vorstände von Aktiengesellschaften ebenso wie für GmbH-Geschäftsführer.

„Die Wirksamkeitsprüfung des CMS durch einen unabhängigen Dritten ist der objektivierte Nachweis, dass Überwachungspflichten erfüllt werden.“

Eine Überwachung soll sicherstellen, dass die eingeführten Grundsätze (Verhaltensleitfäden, Richtlinien etc.) und Maßnahmen (Schulungen, Kontrollen etc.) des CMS geeignet sind, Regelverstöße im Sinne des CMS zu verhindern, wesentlich zu erschweren oder rechtzeitig zu erkennen. Die Wirksamkeit des CMS kann durch interne und externe Kontrollen überprüft werden:

  • Wirksamkeitskontrolle durch interne Kontrollen: Eine systeminterne Überwachung wird als „interne Kontrolle“ bezeichnet. Diese Kontrolle ist eine wesentliche Komponente eines CMS, die auch als Qualitätsmanagement (QM) bezeichnet werden kann. Das QM beinhaltet somit alle Maßnahmen, die vorbereitend, begleitend und nachgelagert dazu beitragen, eine zuvor definierte Qualität des CMS zu schaffen oder zu erhalten.
  • Wirksamkeitskontrolle durch externe Kontrollen: Eine systemexterne Überwachung wird als „Prüfung“ oder „Audit“ bezeichnet. Bei dieser Form der Überwachung ist die Prüfungsinstanz systemunabhängig und nicht an der Herbeiführung des Ist-Zustands beteiligt. Hier besteht somit ein Vorteil in der Unabhängigkeit. Die Prüfung des CMS wird durch unternehmensexterne Prüfungsinstanzen durchgeführt (z.B. Rechtsanwälte, Wirtschaftsprüfer, akkreditierte Zertifizierer wie die DQS oder sonstige unternehmensexterne Gutachter und Sachverständige).

Whitepaper

ISO 45001 – Arbeitsschutz und Compliance

  • Vier wichtige Unterschiede zwischen BS OHSAS und ISO 45001
  • Compliance Konzentration auf SGA-relevante Themen!
  • Was tun bei Nicht-Compliance?
  • Sieben Schritte zur Umsetzung von ISO 45001
Jetzt herunterladen!

Regelmäßige Überprüfungen – gut geplant

Um die Wirksamkeit systemunabhängiger Überprüfungen sicherzustellen, sollten die Intervalle gut geplant sein. Eine Überprüfung kann immer dann hilfreich sein, wenn ein CMS neu eingeführt wird. Darüber hinaus sollte die externe Prüfung regulär alle drei bis fünf Jahre wiederholt werden. Nach festgestellten Compliance-Verstößen werden anlassbezogene Überprüfungen durchgeführt. Aber auch bei gefestigten CMS ist zunehmend festzustellen, dass turnusmäßigen Prüfungen als faktisch verpflichtend angesehen werden. Zusätzlich zu prozessbezogenen Kontrollen sollte regelmäßig die Konzeption, Angemessenheit und Wirksamkeit von CMS zu prüfen sein und unabhängige Systemprüfungen bzw. Zertifizierungen im Idealfall einmal jährlich und mindestens alle drei Jahre stattfinden.

Vorteile von Compliance Audits

Grundsätzlich können Mehrwerte durch Compliance Audits wie folgt erwartet werden:

  • Optimierung bestehender Prozesse
  • Wahrnehmung von Schwächen im CMS
  • Erhöhung der Effizienz und Effektivität des CMS
  • Einführung moderner Standards
  • Etablierung einer Compliance Kultur
  • Steigerung der Wettbewerbsfähigkeit
  • Sicherheit für das operative Geschäft
  • Sicherung des nachhaltigen Unternehmenserfolges
  • Erhöhung des Unternehmenswertes


DER RICHTIGE PRÜFER –
Die wichtigsten Entscheidungskriterien:


Wirksamkeitsprüfungen des CMS bringen multidisziplinäre Anforderungen mit sich.
Deshalb muss die fachliche Expertise der Prüfer an erster Stelle stehen.

→ So muss der Prüfer über relevante rechtliche und betriebswirtschaftliche Kenntnisse sowie über Branchenerfahrung verfügen.

→ Die Unabhängigkeit des Prüfers muss gewährleistet sein (Independence in facts aber auch im Hinblick auf die Öffentlichkeit Independence in Appearance).

→ Schließlich ist es wichtig, dass die Prüfung eine hohe Marktreputation besitzt.

→ Ein Beispiel für etablierte Prüfungs- und Zertifizierungsstandards ist z.B. der IDW Prüfungsstandard „Grundsätze ordnungsmäßiger Prüfungen von Compliance Management Systemen“ (IDW PS 980).

→ Die Ergebnisse unternehmensexterner Prüfungen des CMS können zur „Zertifizierung“ eines geprüften CMS genutzt werden. Das zu erteilende Zertifikat stellt dabei den nach außen gerichteten Nachweis der Einhaltung definierter Anforderungen an das CMS dar. Es definiert Geltungsdauer und Geltungsbereich des Zertifikats, Sollobjekt und Prüfungsvorgehen (Gegenstand, Art und Umfang der Prüfung) sowie Anforderungen an die Unabhängigkeit und Kompetenz der Prüfungsinstanz („Akkreditierung“).

Mehr über Compliance Audits mit der DQS

  • valide Analyse von Compliance-Risiken in Ihrem Unternehmen
  • systematische Einhaltung der Rechtsvorschriften
  • wirksame Reduzierung von Haftungsrisiken
  • verbessertes Unternehmensimage
Jetzt informieren

Fazit

Die Steuerung eines effizienten und wirtschaftlichen Compliance Management Systems kann auch durch eine externe Prüfung unterstützt und weiterentwickelt werden. Der Prüfer unterstützt die Unternehmensleitung bei der Etablierung und Festigung der Compliance Kultur.

Voraussetzung ist die gewissenhafte Auswahl des externen Experten. Mit übergeordneten Vergleichsmöglichkeiten, Erfahrungen aus anderen Unternehmen und seiner Sicht der Dinge als neutraler Dritter muss er einen wertvollen Diskussionspartner darstellen können. Wichtig ist auch die Auswahl eines geeigneten Regelwerks als Grundlage für externe Audits.