Compliance Management richtig umsetzen

Wir zeigen, was man unter Compliance Management versteht und wie Unternehmen Regelverstöße mit Hilfe von Compliance Management wirksam unterbinden können. [...]

Compliance Management bedeutet, alle Unternehmensbereiche zu analysieren und nach einem klaren Regelwerk zu kontrollieren (c) pixabay.com

umschreibt die Anforderung an Unternehmen, sich nach Recht und Redlichkeit zu verhalten. Damit ist also einerseits die strikte Vermeidung von Gesetzesverstößen und Regeln gemeint. Andererseits zielt Compliance auch auf die Einhaltung von selbstgewählten Leitlinien und Werten, dem sich eine Organisation freiwillig verpflichtet und die sich meist aus allgemeinen ethischen Richtlinien ableiten.

Verstöße gegen Gesetze, Verordnungen sowie selbst auferlegte Kodizes und Regeln werden von Geschäftspartnern und der Öffentlichkeit eventuell mit Reputationsverlust geahndet. Gesetzesuntreue wird zudem oft strafrechtlich verfolgt.

Compliance ist mehr als Gesetzestreue

Werte wie Verlässlichkeit, Kontinuität und Vertrauen in eine Organisation können nur dann bestehen, wenn sich ein Unternehmen deutlich zu bekennt, die Umsetzung konkreter Maßnahmen erfolgreich gelingt und zudem die Regeltreue dauerhaft sichergestellt wird. Gelebte Compliance-Kultur ist demnach eine zentrale Voraussetzung für nachhaltigen Erfolg.

Voraussetzungen für eine erfolgreiche Implementierung

Neben einer klaren, unternehmensbezogenen Definition von Compliance sowie dem deutlichen Bekenntnis der Geschäftsführung, muss ein Unternehmen zunächst eine umfassende erstellen.

Es gilt zunächst, Compliance-Handlungsfelder systematisch zu identifizieren und zu erfassen. Dazu gehört das Erkennen möglicher Risiken, wie zum Beispiel Korruption, Kartellverstöße und vor allem die komplexen Vorgänge und Auflagen beim Schutz von und internen Informationen.

In einem nächsten Schritt müssen relevante Gesetze identifiziert werden, wie zum Beispiel die gesetzlich geregelten Aufbewahrungsfristen von handels- und steuerrechtlichen Dokumenten. Gerade in diesem Bereich gibt es bereits eine Vielzahl an Softwaresystemen, die deren Einhaltung unterstützen.

Die Risiken in Unternehmen sind abhängig von deren Größe, dem Absatzmarkt und der Organisationsstruktur. Manche Branchen, wie zum Beispiel öffentliche Verwaltungen, die Lebensmittel- und Pharmaproduktion oder Krankenhäuser obliegen bei der Archivierung von Unterlagen zudem gesonderten Vorschriften. Zu den wichtigsten Risikobereichen gehören

  • Wirtschafts- und Steuerrecht,
  • Arbeitsrecht,
  • Gesellschaftsrecht,
  • IT-Recht,
  • Öffentliches Recht,
  • Kartell- und Wettbewerbsrecht sowie
  • P-Recht (gewerbliche Schutzrechte u. Urheberrecht).

Weitere Handlungsfelder ergeben sich in der Regel aus den individuellen Richtlinien und Standards, die sich ein Unternehmen freiwillig auferlegt.

Ein Compliance Management System kann unterstützen

Unternehmen sollten ihren individuellen, goldenen Mittelweg finden zwischen übertriebenem Kontrolleifer und Laisser-faire. Unterstützen kann dabei ein Compliance System (CMS), das positive Auswirkungen auf sämtliche Geschäftsprozesse hat und sich dennoch in einem angemessenen Kosten-Nutzen-Rahmen bewegen sollte.

In der Praxis existieren bereits häufig interne Kontrollsysteme, die meist ein Zusammenspiel von organisatorischen Sicherungsmaßnahmen, Kontrollen und Revisionen sind. Ein modernes Management System integriert vorhandene Kontrollsysteme und ergänzt sie um weitere wichtige Handlungsfelder. Einen guten Leitfaden für Unternehmen und Organisationen bietet die 2014 veröffentliche Compliance-Management Norm ISO 19600, deren Empfehlungen unabhängig von der Unternehmensgröße skalierbar sind.

Erfolgreiche Implementierung eines CMS

Durch die Identifizierung der Risikobereiche werden bereits vorhandene Kontrollsysteme zusammengeführt, gleichzeitig muss auch die theoretische Grundlagenarbeit in einen pragmatischen und effizienten Regelbetrieb überführt werden. Je nach Unternehmensgröße erfolgt dann die Aufstellung eines Compliance Teams beziehungsweise die Ernennung eines Compliance-Beauftragten, der sich mit der Organisation notwendiger Prozesse befasst. Im Zuge dessen sollte auch eine genaue Ressourcenplanung vorgenommen und Verantwortlichkeiten sowie Befugnisse geklärt werden.

Eine große Herausforderung für Unternehmen ist zweifelsohne die Organisation und Etablierung von Mechanismen zur Kontrolle und Dokumentation von Regelverstößen. Schließlich gilt es hier rechtliche Vorschriften in konkrete Aufgaben umzuwandeln. Sie umfassen in der Regel einen Verhaltenskodex, Prozessbeschreibungen und Handlungsanweisungen und sollten gezielt im Hinblick auf einzelne Compliance-Risiken gestaltet werden.

In der Praxis arbeiten Compliance-Beauftragte eng mit den Kollegen aus dem Qualitätsmanagement zusammen. Zudem sollte im Vorfeld festgelegt werden, wie intern mit Compliance-Verstößen umgegangen wird und welche Konsequenzen beziehunsweise Sanktionen daraus erfolgen.
Dass schwerwiegende Regel- und Gesetzesverstöße weitreichende wirtschaftliche Folgen haben können, ist unbestritten. Häufig wird bei Compliance-Verstößen auch der Verlust des Versicherungsschutzes riskiert, bei einem fehlenden CMS kann es in manchen Fällen zu Haftungsansprüchen gegenüber der Geschäftsführung kommen.

Wichtig ist auch die Kommunikation von Compliance-Anforderungen innerhalb des Unternehmens. Nicht jeder Regelverstoß erfolgt vorsätzlich, das heißt, Aufklärung, Trainings und Schulungsmaßnahmen für Mitarbeiter sind oft unumgänglich, um eine Compliancekultur im Unternehmen zu etablieren. Kommunikation ist aber auch in umgekehrter Richtung notwendig: Es müssen regelmäßige Berichterstattungen an die Geschäftsführung beziehunsweise an den Vorstand und den Aufsichtsrat eingeplant werden.

Überwachung und regelmäßige Analyse des CMS

Ein Compliance-Management-System wird niemals abgeschlossen sein. Es ist vielmehr ein Prozess, der ständiger Beobachtung und Anpassung bedarf. Unsere schnelllebige Geschäftswelt erfordert eine kontinuierliche und regelmäßige Überwachung und Analyse:

  • Haben sich zwischenzeitlich neue Risikobereiche ergeben?
  • Gab es Gesetzesänderungen oder andere neue Gegebenheiten im Umfeld des Unternehmens?
  • Hat sich etwas an den internen Leitlinien geändert?

Allein wegen neuer, rechtlich bindender Auflagen und Vorschriften müssen CMS Regeln immer wieder angepasst und aktualisiert werden. Monitoring und interne Audits helfen hier, am Ball zu bleiben. Bei Regelverstößen kommt es zu festgelegten Reaktionen, wie Dokumentation, Korrekturmaßnahmen und Aktion, die einen weiteren Vorfall in Zukunft verhindern sollen.

*Stefan Grotehans: Nach seiner Promotion in Theoretischer Physik begann Stefan Grotehans seine Karriere in der IT-Industrie als Pre-Sales Manager bei SiliconGraphics. Später übte er dann weitere Manager Positionen in Enterprise Software Umfeld für IBM, Microsoft, Brainloop und Box aus. Seit September 2015 ist er bei MarkLogic Director Sales Engineering für die DACH und Nordics Region zuständig.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*