Was gehört zu einem Compliance-Management-System?

3 Expertenantworten: Foto von Prof. Dr. Peter Fissenewert Foto von Dr. Christoph Schmidt Foto von Jürgen Möthrath

Antworten:

Foto von Prof. Dr. Peter Fissenewert
Antwort von Prof. Dr. Peter Fissenewert .
Partner Buse Heberer Fromm Berlin

Unter einem CMS versteht man alle Maßnahmen und Prozesse im Unternehmen, die der Regelkonformität dienen. Hierbei handelt es sich nicht nur um gesetzliche Anforderungen; es kann sich auch um rechtsverbindliche oder ethische Regeln handeln. Aufgabe eines CMS ist esinsbesondere, Risiken frühzeitig durch eine sog. Risikoanalyse zu erkennen und auszuschließen bzw. zu minimieren. Ebenso gilt es, erfolgte Regelverletzungenjederzeit schnell zu erkennen und Gegenmaßnahmen zu treffen.

Eine Bestimmung, wie genau ein Compliance Management-System auszusehen hat bzw. aus welchen Elementen dies zu bestehen hat, gibt es nicht. Für ein Unternehmen besteht -abhängig von Größe, Struktur, Aktivitäten, Produkte, spezifische Risiken etc.- Flexibilität und Individualität bei der Ausgestaltung. Das Unternehmen kann interne Regeln aufstellen, alle CMS-Komponenten umfassend einführen oder aber in individuell zugeschnittenen Komponenten. Für den Aufbau des CMS empfiehlt das Institut der Wirtschaftsprüfer in Deutschland sieben Grundelementeanhand derer ein CMS organisiert und beschrieben werden kann:

  • Compliance Kultur
  • Compliance Ziele
  • Compliance Risiken
  • Compliance Programm
  • Compliance Organisation
  • Compliance Kommunikation und Information
  • Compliance Überwachung und Verbesserung

Auch die im Jahr 2014 veröffentlichte Norm DIN ISO 19600 definiert Grundelemente eines effektiven und effizienten CMS wie folgt:

  • Unterstützung und Bekenntnis durch die Organisationsleitung
  • Umfassende Erfassung der Informationen über die Organisation, darunter Compliance Risk Assessment
  • Erstellung der Compliance-Politik mit Festlegung des Anwendungsbereichs
  • Zuweisung der Rollen und Zuständigkeiten für Compliance, darunter Ausbringung der Compliance-Funktion (Compliance-Officer)
  • Betriebliche Planung
  • Durchführung von Unterstützungsmaßnahmen, darunter Kommunikation inkl. Schulung oder Einrichtung eines Verhaltenskodexes
  • Überwachung und Evaluation, darunter Einrichtung von Hinweisgebersystemen
  • Ständige Verbesserung, darunter Krisenmanagement

Die Implementierung eines CMS gliedert sich in eine Entscheidungsphase (Beschlussfassung), eine Analysephase (Erfassung der Compliance-Risiken und -Chancen) und eine Umsetzungsphase. In letzterer werden verschiedene Bausteine eines CMS in das Unternehmen integriert. Diese Bausteine können gesamt oder auch nur teilweise implementiert werden.Hierbei handelt es sich um:

  • Compliance-Handbuch: Dieses sollte unternehmensweit gelten und stellt als eine Art „Verfassung“ die Mindeststandards für das Agieren des Unternehmens und seiner Mitarbeiter dar.
  • Verhaltenskodex (Code of Conduct, Code of Ethiks): hierbei handelt es sich um ein für Leitungsebene und Mitarbeiter gleichermaßen geltender und deren Selbstverantwortung stärkender individueller interner Kodex. Dieser wird gerade vom Führungspersonal vorgelebt.
  • Compliance-Officer: Dieser berät die Geschäftsleitung und überwacht, ob das Unternehmen, Geschäftsleitung und Mitarbeiter alle Gesetze, sonstigen internen und externen Regelungen und branchenüblichen Verfahren sowie die Regelungen des Code of Conduct einhalten. Er ist Ansprechpartner für alle compliance-relevanten Fragestellungen und Sachverhalte.
  • Spezielle Compliance-Programme: Diese gestalten sich individuell je nach besonders haftungsrelevanten Bereichen eines Unternehmens. Ein spezielles Programm ist das sog. Hinweisgebersystem. Dieses ist ein probates Mittel, frühzeitig Informationen über kritische oder risikoträchtige Vorgänge zu erlangen. Hierdurch wird Mitarbeitern die Möglichkeit gegeben, diskret und vertraulich Fehlverhalten zu melden und dadurch Abhilfemaßnahmen zu erreichen. Ein solches System ist sinnvoll, wenn sich die Mitarbeiter nicht auf dem üblichen Wege offenbaren wollen. Die Gründe hierfür können vielfältig sein. Das System kann durch das Einrichten einer speziellen Hotline oder Emailadresse ausgestaltet sein.
  • Organisationsanweisungen, Arbeitshandbücher, interne Regelungen: Diese werden nach der Risikoanalyse -soweit erforderlich- als unternehmensinterne Regelung erstellt und dienen der klaren Organisation und Risikominimierung. Es handelt sich um Leitfäden für die jeweilig betroffenen Mitarbeiter zum Zwecke einer einheitlichen und transparenten Organisation der Arbeitsabläufe.
  • Schulungen der Führungskräfte und Mitarbeiter

1 Nutzer fand diese Antwort hilfreich. Loggen Sie sich ein um diese Antwort als hilfreich zu markieren.

3 passende Publikationen von Prof. Dr. Peter Fissenewert

Cover zu Compliance für den Mittelstand
Cover zu Compliance kompakt
Cover zu Manager haften stärker
Foto von Dr. Christoph Schmidt
Antwort von Dr. Christoph Schmidt .
One More Consulting Viechtach

Die Bestandteile eine Compliance-Management-Systems (CMS) können unter anderem aus IDW PS 980 abgeleitet werden. Demnach besteht ein CMS aus folgenden Komponenten:

Compliance Kultur

Compliance Ziele

Compliance Risiken

Compliance Programm

Compliance Organisation

Compliance Kommunikation

Compliance Überwachung

Loggen Sie sich ein um diese Antwort als hilfreich zu markieren.

2 passende Publikationen von Dr. Christoph Schmidt

Cover zu Beeinflussung Interner Revisoren durch Führungskräfte und andere Parteien.
Cover zu Compliance Management – Grundlagen für eine effektive Compliance-Funktion
Foto von Jürgen Möthrath
Antwort von Jürgen Möthrath .
Fachanwalt für Strafrecht Jürgen Möthrath Worms

Zunächst einmal gehört zu einem Compliance-Management-System, die Erstellung einer Bedarfs- und Risikoanalyse. Im weiteren muss geklärt werden, welche Unternehmensphilosophie zu Grunde gelegt werden soll.

Auf dieser Grundlage kann dann der Rahmen der zu beachtenden Regelwerke festgelegt werden. Je nach Umfang macht hier dann der Einsatz einer speziellen Software Sinn, die automatisiert einen Aktuallisierungsabgleich vornimmt, damit man auf Regeländerungen entsprechend reagieren kann.

In Abhängigkeit von der Unternehmensgröße und der Branche ist es auch sinnvoll, eine Software zur Prozess-Steuerung einzusetzen. 

Sofern im Rahmen der Compliance auch die Geldwäscheprävention zu berücksichtigen ist, kommt auch hierzu noch eine spezielle Software zur Abfrage der Präventionslisten im Rahmen der Gefahr der Terrorismusfinanzierung in Betracht, sowie möglicherweise zum Abgleich des Transparenzregisters.

Auch für eine etwaige Whistleblowing-Stelle gibt es Software-Systeme. Eine andere Lösung ist hier die des Complianceberater.Teams, welches die Vertraulichkeit über die anwaltliche Berufsverschwiegenheit organisiert.

Der genaue Umfang hängt also davon ab, in welcher Branche das CMS installiert werden soll, wie groß das Unternehmen ist und wie das Ergebnis der Risikoanalyse ausfällt.

Loggen Sie sich ein um diese Antwort als hilfreich zu markieren.

1 passende Publikation von Jürgen Möthrath

Cover zu Neue Herausforderungen für Geldwäsche-Compliance


Weitere Fragen zum Thema Compliance