Der schwierigste Schritt bei der praktischen Umsetzung eines Compliance-Management-Systems (CMS) besteht in den meisten Fällen in der Überführung der theoretischen Grundlagenarbeit („WAS“ und „WARUM“) in einen pragmatischen Regelbetrieb („WIE“).
Der im Nachfolgenden beschriebene Ansatz ist praktisch von jedem Unternehmen, gleichgültig aus welcher Branche, nutzbar. Er lässt so viel individuellen Gestaltungsspielraum, dass Ihr Unternehmen in die Lage versetzt wird, die mit dem Begriff „Compliance“ verbundenen, unternehmensspezifischen Zielsetzungen umzusetzen. Vom Grundsatz her erfolgt die Implementierung eines CMS über ein Projekt, das letztendlich in den Regelbetrieb übergeben wird.
Es gibt keine gesetzliche Vorschrift, die die Struktur eines CMS grundsätzlich vorschreibt. Aus diesem Grund ist es wichtig, einen unternehmensspezifischen Ansatz zu wählen, der im Unternehmen gelebt wird, nachdem er vom Projekt in den Regelbetrieb übergeben wurde.
Der CMS-Lifecycle
Das IDW hat in seinem EPS 980 (Grundsätze ordnungsmäßiger Prüfung von Compliance-Management-Systemen) die Stützpfeiler, die ein Compliance-Management-System ausmachen, wie folgt festgelegt: Kultur, Ziele und Scope, Organisation, Risiken, Programm, Kommunikation, Überwachung und Verbesserung.
Aus der Betrachtung des daraus ableitbaren Compliance-Management-Prozesses kann wiederum, wenn man den Zeitablauf mit einbezieht, ein Compliance-Management LifeCycle abgeleitet werden, der auch die Zusammenhänge der einzelnen Komponenten verdeutlicht:
Abbildung 1: CMS LifeCycle, © 2010 - compliance-net GmbH
(Die Definitionen und Inhalte der einzelnen Lifecycle-Komponenten entnehmen Sie bitte dem Beitrag "Elemente eines Compliance-Management-Systems".)
Das Prozessmodell zur Implementierung
Um diesen Lifecycle in Ihrem Unternehmen zu etablieren, sind folgende Schritte, zusammengefasst und zugeordnet in einem Prozessmodell, sinnvoll:
Abbildung 2: Prozessmodell zur Einführung eines CMS, © 2010 compliance-net GmbH
Die Prozessschritte im Einzelnen:
1. Definition des Unternehmensziels „Compliance“
Zu diesem Zweck sollten bei diesem Schritt u. a. vier wesentliche Sachverhalte, nachfolgend unter (A) bis (D) beschrieben, festgelegt werden. Diese Sachverhalte bilden das Fundament des CMS – je besser das Fundament desto stabiler die darauf aufzubauende Konstruktion:
(A) Entscheidung, dass ein CMS eingeführt wird
Zu diesem Sachverhalt wird durch das Aufsichtsorgan und/oder die Unternehmensführung die klare Entscheidung getroffen, ein Compliance-Management-System einzuführen.
(B) Definition „Compliance“ in Bezug auf das Unternehmen
Zu diesem Sachverhalt gehört es u.a. den Begriff „Compliance“ inhaltlich in Bezug auf das Unternehmen zu definieren und in den Statuten bzw. Leitsätzen des Unternehmens zu verankern. Die Ziele sollten dem Anspruch der Klarheit, Verständlichkeit und Messbarkeit genügen.
Dies ist ein sehr wichtiger und oft auch zeitintensiver Schritt, da er sowohl im Innen- als auch im Außenverhältnis die Positionierung des Unternehmens zu diesem Thema verdeutlicht und somit auch messbar macht.
(C) Unternehmensbereiche definieren
Ein weiterer Sachverhalt besteht darin, diejenigen Unternehmensbereiche zu definieren, welche in den Fokus von „Compliance“ aufgenommen werden sollen. Als Grundlage hierfür sollte die Compliance-Risikomatrix genutzt werden (Herkunft typischerweise: Risikomanagementprozess).
(D) Budgetbereitstellung und zeitlichen Rahmen festlegen
Auch wenn Details nicht bekannt sind, können in diesem Stadium bereits Entscheidungen in Bezug auf die Finanzierung des Projektes sowie des Regelbetriebes getroffen werden. Diese Werte definieren den finanziellen Verfügungsrahmen und somit auch die einsetzbaren Ressourcen.
Darüber hinaus ist eine zeitliche Komponente zu bestimmen, welche den Projektrahmen bildet. „Bis zum ….. ist das CMS in …. in den Regelbetrieb überführt“ und wird im Lagebericht der Gesellschaft gemäß § 289 (5) HGB erwähnt.
Damit wären zwei der drei wesentlichen Triangulationsfaktoren des Projektmanagements bestimmt. Die Erfüllung des dritten Faktors, Qualität, divergiert nicht nur in Abhängigkeit zu den ersten beiden Faktoren, sondern auch in Abhängigkeit zu den Compliance-Zielen/zum Compliance-Scope des Unternehmens.
2. Festlegung von Kompetenzen und einer Projektorganisation
Mit diesem Schritt des Prozessmodells erfolgen die ersten konkreten operativen Schritte in die Umsetzung eines CMS. Die beinhalten
(A) Projektauftragsbeschreibung durch den Auftraggeber
(B) Bestimmung eines Projektleiters
(C) Festlegung von Kompetenzen und (Weisungs-) Befugnissen
des Projektleiters
(D) Festlegung einer Projektstruktur/-organisation
(E) Festlegung eines Projektablaufplanes
(F) Festlegung eines Kommunikationsmanagements (intern/extern)
3. Dokumentationsmanagement/Reporting festlegen
In diesem Schritt sollte die Art und Weise des Dokumentationsmanagements definiert und festgeschrieben werden. Mögliche Lösungen reichen von einer einfachen Office-Ausstattung (z.B. ein Textverarbeitungsprogramm) mit entsprechenden Berichtstemplates bis hin zur Nutzung spezialisierter Compliance-Management-System-Applikationen.
Ferner sollten in diesem Schritt auch die Berichtsempfänger (wodurch der Aufbau des MIS maßgeblich festgelegt wird) sowie die Verantwortlichkeiten in Bezug auf das Reporting definiert werden. Hilfreich ist hierbei die Fragestellung: „Wer ist in den definierten Bereichen für die Einhaltung der entsprechenden Richtlinien und Gesetze verantwortlich?“.
Von der Größe eines Unternehmens abhängig können auch lokale Compliancemanager eingesetzt werden, welche die lokalen Berichte erstellen und zur Aggregation/Zusammenfassung an die zentrale Compliance-Einheit weiterleiten.
4. Change Management definieren/festlegen
Nichts ist so beständig wie die Veränderung! Dadurch wird das Change Management zu einem entscheidenden Erfolgsfaktor.
Gesetze und Richtlinien ändern sich schnell und manchmal auch sehr umfassend, mit weitreichenden Folgen. So hat z.B. die Veränderung zum §11 BDSG zu Neuvereinbarungen im Bereich der Auftragsdatenverarbeitung, Softwarelieferung oder Wartung geführt, da die bestehenden Verträge nur in den allerseltensten Fällen die neuen Forderungen bereits abdeckten.
Im Zusammenhang mit dem Change Management muss u. a. (A) ein Prozess, der die Gesetzesanpassungen und Neuerungen zu Richtlinien erfasst sowie (B) (mindestens) ein Prozess, der diese Informationen z.B. über das CMS in die entsprechenden Unternehmensbereiche transportiert, definert werden (diese Prozesse können auch wechselseitig definiert werden) und (C) sicher gestellt werden, dass die Auswirkungen der Richtlinien in den betroffenen Unternehmensbereiche erfasst und in den Geschäftsprozessen implementiert werden.
Aber es ändern sich nicht nur Gesetze und Richtlinien. Es sind auch die unternehmensinternen Veränderungen in der Aufbau- und Ablauforganisation zu berücksichtigen. Es muss gewährleistet sein, dass auch diese Sachverhalte zeitnah und vollständig abgebildet werden können.
Aufgrund der notwendigen Anpassungen müssen ggf. auch Dokumentationsprozesse, Prüffragen, Testdokumentation und Testfälle angeglichen und im Compliance-Management-System hinterlegt werden. Welche dieser notwendigen Anpassungen konkret durchgeführt werden müssen kann im Vorhinein nicht abschließend beurteilt werden – es besteht zu diesem Zeitpunkt jedoch die Möglichkeit, die Abläufe für ggf. notwendige Anpassungen umfassend und durchgängig zu definieren.
5. Bestandsaufnahme
Zu diesem Zeitpunkt sollten die grundsätzlichen Strukturen für ein CMS geschaffen worden sein. Die Bestandaufnahme basiert auf den zuvor festgelegten Rahmenbedinungen und umfasst mindestens die folgenden Punkte
(A) Identifizierung und Aufnahme aller relevanten Richtlinien, Gesetze und sonstiger Compliance-Sachverhalte.
(B) Aufnahme des bestehenden Risiko- und Finanzmanagementsystems. Aufnahme von hierin berücksichtigten Governance-Verfahren und -Frameworks wie z. B. GOBS, GDPdU, BCM, COSO, COBIT, ITIL und IKS-Verfahren.
(C) Zuordnen der compliancerelevanten Sachverhalte auf Geschäftsprozesse und/oder Unternehmensbereiche, die es nachvollziehbar zu dokumentieren gilt.
Die beiden größten Herausforderungen bestehen in diesem Prozessschritt in den folgenden Sachverhalten:
(A) Gemäß festgelegter Compliance-Definition alle relevanten nationalen und internationalen Richtlinien
und Gesetze vollständig zu ermitteln und
(B) diese gezielt den definierten Unternehmensbereichen bzw. -prozessen sowie Verantwortlichen
zuzuordnen.
6. Identifizieren von Defiziten
Ist die Bestandsaufnahme erfolgt, kann mit der Identifizierung von Defiziten begonnen werden. Hierbei sollte mittels einer SOLL/IST-Analyse überprüft werden, ob bisher alle notwendigen Richtlinien und gesetzlichen Maßgaben berücksichtigt und eingehalten wurden. Ferner sollte geprüft werden, ob entsprechende Kontrollaktivitäten, in Bezug auf die Einhaltung notwendiger Richtlinien und gesetzlicher Maßgaben implementiert sind, oder waren bzw. wo diese noch nicht ausgereift sind, waren oder gar ganz fehlen.
7. Implementierung von Maßnahmen
Sollten Defizite ermittelt worden sein, so sind diese zu dokumentieren und im Rahmen des MIS oder eines Projektstatusberichtes an die Organe der Gesellschaft zu berichten. Im weiteren Verlauf des Gesamtvorhabens „Compliance“ kann es zur schnelleren Aufdeckung von Defiziten durchaus hilfreich sein, Mitarbeitern die Möglichkeit zu eröffnen, Mitteilungen (ggf. auch anonym) über Defizite machen zu können. Es sind diejenigen Maßnahmen zu formulieren, die eingeleitet werden sollen, um zukünftig Defizite zu vermeiden – dabei sollten auch die Verantwortlichkeiten für die Maßnahmen und die vorgesehenen Implementierungszeitpunkte festgelegt werden. Ggf. sind Kontrollmaßnahmen zu konzeptionieren, auszuarbeiten und zu implementieren, welche die Einhaltung der festgelegten Richtlinien sicher stellen. Diese sind im entsprechenden Umfang zu dokumentieren und mit Verantwortlichkeiten zu versehen. Weitere Schritte könnten die Formulierung neuer bzw. die Erweiterung bereits bestehender Richtlinien und Verfahrensanweisungen („Policies & Procedures“) sowie Verhaltenskodizes („Code-of-Conduct“), die grundsätzliche Regelungen treffen, sein.
8. Überführung in Betrieb als Regelprozess
Nach der Überführung des Projektes in den Regelbetrieb, u. a. mittels der Implementierung von Maßnahmen zur Herstellung/Verbesserung einer Compliance (gemäß der Unternehmensdefinition) sind noch weitere Aufgaben zu erfüllen. Eine entsprechend definierte Linienposition ist durch einen Compliance-Beauftragten/Verantwortlichen für Compliance-Angelegenheiten zu besetzen, welcher die entsprechenden Kompetenzen (durch Beschluss und Veröffentlichung der Organe, Position im Unternehmen, ggf. Sanktionsmöglichkeiten, Fachkenntnisse sowie die Verfügbarkeit von notwendigen Ressourcen) besitzt, die durchzuführenden Arbeiten umzusetzen und weiterhin zu betreiben.
So gilt es z.B. das Geschaffene durch einen geeigneten Management-Prozess (Plan-Do-Check-Act) zu erhalten, zu überwachen und zu verbessern. Es hat sich in der Praxis als vorteilhaft herausgestellt, durch ein Testmanagement regelmäßig die implementierten Kontrollfunktionalitäten zu validieren. Schulungs- und Awareness-Maßnahmen sind zu konzipieren und durchzuführen, z.B. in den Bereichen des „Code of Conduct“, AGG oder BDSG, wodurch Synergieeffekte erzielt werden.
Das Reporting und (Compliance-)Controlling der einzelnen Unternehmensbereiche ist durch den Compliance-Beauftragten ggf. zu aggregieren und in einem Compliance-Report zusammen zu fassen, der den Organen in regelmäßigen Abständen zugeht. Abhängig von den Compliance-Zielen/dem Compliance-Scope sollte das Compliance Programm im Regelbetrieb weitere Aspekte zur Einhaltung der Regeln umfassen (siehe hierzu Elemente eines Compliance-Management-Systems).
Zuordnung der Schritte des Prozessmodells zu den Anforderungen an ein Compliance-Management-System gemäß EPS 980
Die nachfolgende Tabelle stellt die einzelnen Schritte des Prozessmodells den Anforderungen des EPS 980 gegenüber und verdeutlicht, welche Anforderungen des EPS 980 mit welchem Schritt des Prozessmodells erfüllt werden sollten.
Tabelle 1: Zuordnung des Prozessmodells zu den Anforderungen des EPS 980
Zusammenfassung
Die Gesellschafter, die Unternehmensführung oder die Aufsichtsgremien beschliessen, dass Ihr Unternehmen „compliant“ sein soll, sie definieren den Begriff „Compliance“ in ihren Unternehmensleitsätzen, ernennen eine dafür verantwortliche Person, statten diese mit entsprechenden Kompetenzen aus, gliedern ihr Unternehmen in compliancerelevante Org.-Einheiten/Geschäftsprozesse, bestimmen die jeweiligen gesetzlichen und sonstigen intern und extern zu berücksichtigen Maßgaben, Richtlinien und Vorschriften (ggf. nach In- und Ausland geordnet), vom "A" wie AGG über "H" wie HGB, "G" wie GOBS und GDPdU sowie "U" wie Umweltschutzgesetz bis hin zu "Z" wie den Zollvorschriften, prüfen erstmalig und fortan regelmäßig deren vollumfängliche Einhaltung, lassen dies schriftlich von den verantwortlichen Personen bestätigen, dokumentieren dies alles für Dritte nachvollziehbar - nach der Überführung der ggf. neu geschaffenen Prozesse vom Projekt in den Regelbetrieb des Unternehmens -, um es Dritten oder unternehmensinternen Aufsichtsgremien im Fall einer Prüfung nachweisen zu können und nehmen bei der Formulierung des Lageberichtes deutlich Stellung zu diesen Punkten (gemäß BilMoG bzw. §§ 289a und 289 (5) HGB).
Fazit /Ausblick
Unternehmensberater und Wirtschaftsprüfer können ein Unternehmen bei der Einführung von Compliance-Management-Systemen unterstützen. Die Verantwortung, „compliant“ zu sein, lässt sich nicht delegieren und obliegt immer der Unternehmensführung und dem Aufsichtsorgan. Durch die Implementierung eines Compliance-Management-Systems können die aus Verstößen gegen Vorschriften resultierenden Risiken reduziert werden, was zum Fortbestand es Unternehmens nachhaltig beiträgt. Synergieeffekte lassen sich durch derartige Projekte in/aus den Bereichen Risikomanagement, Business Continuity Management, Lieferanten- und Kundenmanagement, Finanz- und Shareholdermanagement erzielen.
Alle Stakeholder wie Lieferanten, Kunden, Shareholder, Geldgeber, Aufsichtsorgane, Aktionäre und nicht zuletzt die eigenen Mitarbeiter, das eigentliche und wichtigste Kapital eines Unternehmens, werden es der Unternehmensleitung danken.
Weitere Ausführungen zu diesem Thema:
- Compliance-Management, IdW Prüfungsstandard EPS 980
- Elemente eines Compliance-Management-Systems
Der Artikel ist nach bestem Wissen und Gewissen recherchiert. Er dient lediglich dazu, einen Anhaltspunkt zu setzen, um weitere Schritte zu prüfen. Der Ersteller übernimmt keinerlei Haftung. Für den Inhalt der verlinkten Webseiten und Dokumente sind die Betreiber der Webseiten verantwortlich. Alle Angaben ohne Gewähr.
Quellen:
[1] ESP 980, Entwurf IDW Prüfungsstandard: Grundsätze ordnungsmäßiger Prüfung von Comliance-Management-Systemen, Hauptfachausschuß des IDW, Stand 11.03.2010
[2] Compliance Intelligence: Praxisorientierte Lösungsansätze für die risikobewusste Unternehmensführung, Autoren: Michael H. Brauer / Klaus-Dieter Steffen / Sven Biermann / Andreas H. Schuler, Schäffer-Poschel Verlag, ISBN: 978-3791028774
[3] Corporate Compliance-Checklisten: Rechtliche Risiken im Unternehmen erkennen und vermeide, Autor: Karsten Umnuss, Beck Juristischer Verlag; Auflage: 1 (7. Juli 2008), ISBN: 978-3406576065
[4] Konzeption und Implementierung eines Compliance-Systems: Kernelemente und Handlungsempfehlungen, Autor: Marco Schubert, Vdm Verlag Dr. Müller (Mai 2008), ISBN 978-3639024357