Ab welcher Unternehmensgröße sollte ein Compliance-Management-System aufgebaut werden?

3 Expertenantworten: Foto von Jürgen Möthrath Foto von Prof. Dr. Peter Fissenewert Foto von Dr. Christoph Schmidt

Antworten:

Foto von Jürgen Möthrath
Antwort von Jürgen Möthrath .
Fachanwalt für Strafrecht Jürgen Möthrath Worms

Eine Faustregel für die Unternehmensgröße gibt es nicht. Wichtiger als die Größe ist die Risikoanalyse. Je größer die Risiken, bzw. je risikogeneigter der Unternehmensgegenstand, je eher sollte man ein CMS einführen.  Hierbei zeigt der neue ISO-Standard, dass ein CMS flexibel sein muss, so dass es im Prinzip keine starren Regel gibt, die an die Unternehmensgröße anknüpfen.

In der Literratur wird die CMS-Frage für KMU diskutiert, so dass man aus der Definition von KMU im Prinzip auf die Unternehmensgröße schließen könnte. Das Problem ist nur, dass es auch hier unterschiedliche Größen gibt, die der Definition zu Grunde gelegt werden. 

Für Kleinstbetriebe findet sich keine Diskussion oder Empfehlung, obwohl auch diese Risiken haben, oder in entsprechenden Geschäftsbereich tätig sind.

Dieser Umstand dürfte aber mehr dem Umstand geschuldet sein, dass diese selten Kostenplanung betreiben und Kosten für Beratung und Planung vorhalten, so dass diese für den Compliance-Bereich kein lukrativer Markt sind. 

Unabhängig davon lässt sich auch bei Kleinstbetrieben CMS sinnvoll betreiben. Es genügt hier ja eine Risikoanalyse vorzunehmen, durch Checklisten das Regelwerk aufzustellen und den Chef oder einen Mitarbeiter mit der Kontrolle zu betrauen.

Ausschlien würde ich es beim Freiberufler oder Unternehmer, die allein ohne Personal arbeiten.

Loggen Sie sich ein um diese Antwort als hilfreich zu markieren.

1 passende Publikation von Jürgen Möthrath

Cover zu Neue Herausforderungen für Geldwäsche-Compliance
Foto von Prof. Dr. Peter Fissenewert
Antwort von Prof. Dr. Peter Fissenewert .
Partner Buse Heberer Fromm Berlin

Die konkrete Ausgestaltung eines Compliance Management Systems (CMS) erfolgt individuell. Ein CMS muss nicht einheitlich gestaltet sein, sondern trägt ausdrücklich den Besonderheiten der Organisation/des Unternehmens – wie Größe, Struktur, Aktivitäten, Produkte, spezifische Risiken etc. – Rechnung.

Galt vor einigen Jahren noch die These, nur Konzerne oder große Unternehmen benötigen ein CMS, so hat sich dies heute grundlegend geändert. Auch für den Mittelstand und kleine Unternehmen werden die verschiedenen Anforderungen von Banken, Geschäftspartnern, Lieferanten und nicht zuletzt der Judikative immer größer. Dies liegt darin begründet, dass ein CMS als Grundlage notwendig immer eine Risikoanalyse und eine Risikominimierung erfordert. Dieses Erfordernis wird zunehmend als Standard verlangt und daher erforderlich.

Neben der Unternehmensgröße spielt insbesondere auch das Geschäftsfeld des Unternehmens eine Rolle. Arbeitet das Unternehmen z.B. mit medizinisch sensiblen Daten, ist es eher geboten, auch bei nur wenigen Mitarbeitern ein CMS einzurichten, welches einen besonderen Bezug zu diesem Risikobereich aufweist. Seit Mai 2018 haben sich zudeminsbesondere die Anforderungen an den Datenschutz in Unternehmen drastisch verschärft. Verstöße können mit immens hohen Bußgeldern sanktioniert werden. Im Zuge dieses Wandels ist es daher empfehlenswert, im Rahmen eines CMS ein Datenschutz-System zu integrieren. Diese Problematik betrifft heute jedes Unternehmen gleich welcher Größe.

Vor diesem Hintergrund kann daher nicht pauschal angegeben werden, dass ein Unternehmen ab einer Größe von X Mitarbeitern ein CMS erfordert. Grundsätzlich gilt: Je mehr Mitarbeiter mit compliance-relevanten Tätigkeiten betraut sind, desto eher empfiehlt sich die Implementierung eines CMS. Auch kleinen Unternehmen, die Risikobereiche aufweisen, ist  ein CMS -angepasst an Größe und Struktur des Unternehmens- zu empfehlen; zumal ein solches auch wesentliche Vorteile -Transparenz im Marktauftritt, Imagevorteil, geprüfte und dokumentierte Organisationsstruktur, Risikoanalyse und Risikominimierung und damit verbunden verbessertes Rating bei Banken, Versicherungen, Geschäftspartnern etc.-mit sich bringt. Ein CMS kann daher auch schon bei einem Unternehmen ab 5 Mitarbeitern empfehlenswert sein.

Loggen Sie sich ein um diese Antwort als hilfreich zu markieren.

3 passende Publikationen von Prof. Dr. Peter Fissenewert

Cover zu Compliance für den Mittelstand
Cover zu Compliance kompakt
Cover zu Manager haften stärker
Foto von Dr. Christoph Schmidt
Antwort von Dr. Christoph Schmidt .
One More Consulting Viechtach

Eine Pflicht zur Einführung eines Compliance-Management-Systems ist im deutschen Recht grundsätzlich nicht verankert.

Allerdings gibt es Branchen, wie Banken- und Finanzdienstleistungsinstitute, die ein Compliance-Management-System nach § 25a KWG und den Mindestanforderungen an das Risikomanage- ment (kurz "MaRisk") vorschreiben und als Bestandteil einer Ordnungsgemäßen Geschäftsorganisation ansehen.

Die Notwendigkeit kann jedoch für andere Branchen aus der Unternehmensgröße abgeleitet werden. So wird ab einer bestimmten Unternehmensgröße, bspw. für börsennotierte Gesellschaften, die Einführung und der Aufbau eines Compliance-Management-Systems als notwendig erachtet. Dies ergibt sich insbesondere daraus, dass ein wirksames Compliance-Management-System in der Praxis als Bestandteil eines Risikofrüherkennungssystems nach § 91 Abs. 2 AktG angesehen werden kann. Zudem muss die Geschäftleitung gemäß § 93 Abs. 1 S. 2 AktG nachweisen, ein wirksames Compliance-Management-Systems vorzuhalten.

Loggen Sie sich ein um diese Antwort als hilfreich zu markieren.

2 passende Publikationen von Dr. Christoph Schmidt

Cover zu Beeinflussung Interner Revisoren durch Führungskräfte und andere Parteien.
Cover zu Compliance Management – Grundlagen für eine effektive Compliance-Funktion


Weitere Fragen zum Thema Compliance