Compliance-Management-Systeme werden in einem sechsstufigen Prozess in den Regelbetrieb überführt

In unserer Serie zum Compliance-Management hatten wir zunächst Compliance-Management-Systeme (CMS) definiert sowie deren Grundelemente erläutert (bdp aktuell 65). Wir haben dann beschrieben, wie die einzelnen Elemente eines CMS entwickelt werden (bdp aktuell 66). Wir stellen Ihnen nun die Schritte zur Einführung eines CMS detaillierter vor. Sie finden hier ferner einen Compliance-Selbsttest, der Ihnen eine erste Orientierung geben kann, ob ein Handlungsbedarf besteht oder nicht.

Ein Compliance-Management-System wird in sechs Schritten eingeführt:

  • Definition des Unternehmensziels „Compliance“ (Grundsatzbeschluss)
  • Bestimmung von Verantwortlichkeiten (Zeit und Budget)
  • Festlegung von Berichterstattungen und Dokumentationen
  • Bestandsaufnahme und Stärken- und Schwächen-Analyse
  • Einführung von Maßnahmen und Prozessen
  • Überführung in den Regelbetrieb

Schritt 1: „Aller Anfang ist schwer …“
Definition des Unternehmensziels „Compliance“

Voraussetzung für die Einführung eines Compliance-Management-Systems ist der Grundsatzbeschluss der Geschäftsleitung und ggf. des Aufsichtsorgans. Wenn die Unternehmensleitung sich zur Einführung eines CMS entscheidet, dann können im Weiteren Umsetzungsschritte beschlossen und vorgenommen werden.

Um ein auf das jeweilige Unternehmen zugeschnittenes CMS zu erhalten, ist zunächst die Definition von Compliance-Zielen der Unternehmung vorzunehmen. So sieht beispielsweise ein Compliance-Ziel in einem gastronomischen Betrieb gänzlich anders aus als in einem Produktionsunternehmen.

Die ermittelten Compliance-Ziele sind dann mit den Oberzielen der Unternehmung abzustimmen und in Einklang zu bringen.

Schritt 2: „Was nichts kostet, ist auch nichts wert.“
Bestimmung von Verantwortlichkeiten (Zeit und Budget)

Nach den grundsätzlichen Entscheidungen und der Definition des Compliance-Ziels der Unternehmung ist in der Regel eine Projektgruppe mit einem oder mehreren Verantwortlichen ins Leben zu rufen. Weil ohne klare Vorgaben und Kontrolle der Projektschritte meist der notwendige „Druck“ für die Umsetzung des Projektes fehlt, sind Kompetenzen, Weisungsbefugnisse, Projektstruktur und Projektablauf sowie Zeit und Zielerreichungsgrade vorzugeben.

Die Umsetzung kostet in aller Regel Zeit und Geld. Somit ist Projektverantwortlichen Zeit einzuräumen und ein vorher vereinbartes Budget zur Verfügung zu stellen.

Schritt 3: „Melden macht frei und wer schreibt, der bleibt.“
Festlegung von Berichterstattungen und Dokumentationen

In einem Schritt 3 sind die Zielerreichungsgrade mittels Berichterstattungen, klaren Kommunikationswegen und -intervallen sowie einer entsprechenden Dokumentation des Erreichten beispielsweise in Projektsitzungen zu kontrollieren und zu hinterfragen. Als Dokumentation sind beispielsweise Compliance-Berichte in einem festgelegten Rhythmus (jeden Monat, alle 2 Monate, alle 3 Monate) zu nennen.

Schritt 4: „Was ich nicht weiß, macht mich nicht heiß.“
Bestandsaufnahme und Stärken- und Schwächen-Analyse

Vor Übernahme des CMS in den sogenannten Regelbetrieb sind in zuvor bestimmten Unternehmensbereichen, wie beispielsweise Arbeits- und Sozialversicherungsrecht, Bank-Kasse-Treasury, Einkauf und Verkauf/Vertrieb, IT/EDV, Forschung und Entwicklung (Schutz des Know-hows), Umweltrecht etc., Bestandsaufnahmen vorzunehmen, inwieweit bereits Kontrollen bestehen und wo Stärken bzw. Schwächen liegen. Die Bestandsaufnahme umfasst in der Regel folgende Aspekte:

  • Aufnahme und Feststellung aller bestehenden Regelungen, Richtlinien, Anweisungen, Gesetze und übriger Compliance-Sachverhalte,
  • Bestandsaufnahme des bestehenden Finanzmanagementsystems,
  • Bestandsaufnahme des bisherigen Risikomanagementsystems und
  • Aufnahme bisheriger Governance-Verfahren, wie z. B. COSO, COBIT, IKS-Verfahren.
  • Abschließend erfolgt die Zuordnung dieser compliance-relevanten Sachverhalte auf Geschäftsprozesse und Unternehmensbereiche.

Wichtig ist die Begegnung von Defiziten. Erkennt man, dass es akuten Handlungsbedarf gibt, beispielsweise im Bank- oder Kassenbereich aufgrund nicht  eingerichteter Kontrollen, so sind umgehend vorläufige Maßnahmen (Verschließen der Handkasse, Vier-Augenprinzip, Versicherung des Kassenbestandes, Begrenzung der Verfügungshöhe für einzelne Bankkontobevollmächtigte) zu ergreifen (vgl. auch Schritt 5.)

Schritt 5: „Nur das Genie beherrscht das Chaos.“
Einführung von Maßnahmen und Prozessen

Die identifizierten Defizite sind im Rahmen der vorgenannten Projektsitzungen oder sofort (ad hoc) an die Organe der Unternehmung zu melden. Eine Möglichkeit zur schnellen Aufdeckung von Compliance-Defiziten wäre die Einbeziehung mehrerer Mitarbeiter, die Mitteilungen (ggf. auch anonym) machen können.

Nach Abschluss der Aufnahme aller Defizite sind Maßnahmen zu definieren, zu dokumentieren und einzuführen. Dabei sind Kontrollmaßnahmen zu konzeptionieren, auszuarbeiten (z. B. für die Bereiche Ein- und Verkauf - Lieferanten, Kunden) und in die Prozesse einzuführen. Für die jeweiligen Kontrollen sind Verantwortliche zu bestimmen, um die Funktionalität im Regelbetrieb sicherzustellen.

Abschließend könnten weitergehende Richtlinien und Verhaltensanweisungen verabschiedet und eingeführt werden. Zur Schaffung von klaren Vorgaben wäre beispielsweise eine einfache Regelung über Reisekosten, Bewirtungen von Geschäftspartnern, Spesenabrechnungen, Bestellungen, Einladungen, Freigaben etc. denkbar.

Schritt 6: „Wasser marsch!“
Überführung in den Regelbetrieb (inkl. Anpassungsprozess)

Sind die Schritte 1 bis 5 umgesetzt worden, kann das Projekt in den Regelbetrieb überführt werden. Dieses erfolgt durch die Einführung von Maßnahmen zur Schaffung und/oder Verbesserung einer Compliance entsprechend der in Schritt 1 vorgenommenen Unternehmensdefinition.

Ganz entscheidend für die Wirksamkeit des CMS im Regelbetrieb sind noch drei Aspekte, die es umzusetzen gilt:

  • Einführung eines Compliance-Beauftragten für Compliance-Angelegenheiten, der über entsprechende Befugnisse und Kompetenzen verfügt
  • Schaffung eines Änderungsmanagements in Fällen von Veränderungen der Unternehmensstruktur und bei Gesetzesänderungen
  • Schulung und Bewusstseins-Schaffung bei allen Mitarbeitern in Bezug auf Compliance- und Non-Compliance-Sachverhalte
  • Unser Selbsttest gibt eine erste Standortbestimmung und regt an, sich auf unkomplizierte Art und Weise der Thematik „Compliance“ zu nähern. Für weitergehende Beratung stehen Ihnen die Autoren dieser Serie selbstverständlich zur Verfügung.

Compliance-Selbsttest

  • Sind in Ihrem Unternehmen Vermögensschädigungen möglich, weil kein ausreichender Zugriffsschutz oder keine ausreichende Kontrolle vorhanden ist?
  • Haben Sie bereits einmal Erfahrungen mit Non-Compliance-Sachverhalten, d. h.. Verstößen gehabt?
  • Wurden diese Verstöße sanktioniert oder „so geregelt“?
  • Ist es möglich, dass Sie von Vermögensschädigungen erst viel, viel später Kenntnis erhalten, weil es keine routinemäßig wiederkehrenden Kontrollen und Berichte gibt?

Diese und andere Fragen können Ihnen eine erste Orientierung geben, ob ein Handlungsbedarf besteht oder nicht. Verantwortlich für die Compliance bleiben stets die Unternehmensführung und das Aufsichtsorgan.

Wir haben deshalb für Sie einen Fragebogen mit einem Compliance-Selbsttest entwickelt, den Sie sich hier herunterladen können. Viel Spaß bei der Beantwortung der Fragen.