• EQS IR COCKPIT
  • Whistleblowing Software
  • Hinweisgebersystem
  • Policy Management Software
  • Insider Management
  • Meldepflichten erfüllen
  • Digitaler Geschäftsbericht
  • IR Website
  • ESEF Service
  • LEI beantragen
  • Partnerschaften
  • Karriere bei EQS
Zurück zur Übersicht

Das Compliance Management System: Tipps für die erfolgreiche Compliance-Arbeit

Ein Compliance Management System etabliert Standards für regelkonformes Verhalten im Unternehmen.

Moritz Homann Moritz Homann

    Ein Compliance-Beauftragter allein garantiert noch nicht die Einhaltung der Legalitätspflicht in einem Unternehmen: Dafür sind die Aufgaben zu umfangreich: Sie reichen vom Überblick über nationale und internationale Gesetzeslagen sowie selbst gesetzte Unternehmensstandards über die Etablierung eines internen Regelsystems, Kontrolle der Standards bis hin zur Schulung von Mitarbeitern und Kommunikation der Maßnahmen. Um Compliance im gesamten Unternehmen zu integrieren und sie zu leben, ist die Einführung eines Compliance Management Systems notwendig.

    Was ist ein Compliance Management System?

    Eine wichtige Säule jedes Unternehmens ist regelkonformes Verhalten: Compliance bedeutet, dass sich Unternehmen an Gesetze und selbstgesetzte Regeln halten, um Rechtsverstöße, Haftungs- und Imageschäden zu vermeiden. Sie wirkt deshalb in alle Unternehmensbereiche hinein.

    Das Compliance Management System umfasst sämtliche Maßnahmen, Strukturen und Prozesse, die ein Unternehmen oder eine Organisation einrichtet, um Gesetzestreue und Regelkonformität sicherzustellen.

    Eine Pflicht zur Einrichtung eines Compliance Management Systems besteht in Deutschland bisher nur für Unternehmen der Finanz- und Versicherungsbranche. Börsennotierten Unternehmen wird im Deutschen Corporate Governance Kodex (DCGK) bisher nur rechtlich unverbindlich empfohlen, ein entsprechendes System einzurichten.

    Ultimativer Leitfaden: Compliance-Risikoanalyse leicht gemacht

    Dieser Leitfaden erklärt übersichtlich, wie Sie erfolgreich eine Analyse der Compliance-Risiken in Ihrem Unternehmen durchführen. 

    Kostenlos herunterladen

    Welche Elemente gehören zu einem Compliance Management System?

    Der DCGK macht nur sehr allgemeine Vorgaben zur Ausgestaltung eines Compliance Management Systems. Im Ausland gibt es dagegen schon detailliertere Empfehlungen, welche Elemente ein Compliance-Programm abdecken sollte. Als Richtlinien können zum Beispiel die Empfehlungen des US Department of Justice (DOJ) und die Erläuterungen im U.S. Foreign Corrupt Practices Act herangezogen werden. Auch der britische Bribery Act definiert Prinzipien für erfolgreiche Compliance.

    Zu den wichtigsten Elementen eines Compliance Management Systems gehören:

    Compliance-Risikoanalyse:

    Sie ist der Ausgangspunkt für jedes Compliance-Programm. Hier werden Risiken erfasst und analysiert, um auf diesen Ergebnissen ein explizit auf das Unternehmen zugeschnittenes Compliance-Programm aufzubauen.

    Compliance-Programm:

    Ein Zusammenspiel aus Werkzeugen und Prozessen, die sicherstellen, dass sich Ihr Unternehmen an Regeln und Gesetze hält. Es deckt sowohl die Regelkonformität externer Vorgaben (Gesetze und Richtlinien) als auch interne Standards und Weisungen ab. Mithilfe digitaler Tools lassen sich Verstöße erkennen und Risiken identifizieren. Auch für den internen und externen Umgang mit Verstößen sind im Compliance-Programm Prozesse definiert. Für das Compliance-Programm müssen mehrere Grundlagen geschaffen werden:

    • Compliance-Kultur und Kommunikation: Stellen Sie sicher, dass Integrität fester Bestandteil der Firmenkultur ist. Auf diese Weise sind Unternehmensethik und Gesetzesvorgaben keine leeren Punkte auf einer Checkliste, sondern gelebte Compliance-Kultur. Setzen Sie von der obersten Ebene herab ein Beispiel für das gesamte Unternehmen („Tone from the Top“) und stellen Sie sicher, dass von der Führungskraft bis zum Fachspezialisten alle verstehen, warum ein Compliance-Programm wichtig ist.
    • Compliance-Richtlinien: Falls noch nicht geschehen, definieren Sie interne Richtlinien, die Ihren Mitarbeitern Leitlinien für das Verhalten am Arbeitsplatz an die Hand geben. Damit wird auch für die Arbeitnehmer transparent, welche Selbstverpflichtungen sich Ihr Unternehmen auferlegt. Die Richtlinien können je nach Unternehmensbranche variieren, zu den wichtigsten gehören aber ein Verhaltenskodex (Code of Conduct), eine Datenschutzrichtlinie, Vorgaben für die Gesundheit und Sicherheit am Arbeitsplatz, die Regelung von Arbeitszeiten, Abwesenheiten und Urlaub, Richtlinien zur Gleichberechtigung und zur Nutzung von Social Media.
    • Compliance-Ziele: Definieren Sie klar den Zweck des Compliance-Programms und was es abdecken soll. Das dient nicht nur der offenen und transparenten internen Kommunikation und trägt zur Compliance-Kultur bei. Im Falle eines Verstoßes kann es Strafbehörden auch dazu dienen zu prüfen, ob das unternehmenseigene Compliance-Programm ausreichend ist – was sich wiederum strafmildernd auswirken kann.
    • Compliance-Organisation: Legen Sie personelle Verantwortlichkeiten fest: Die Gesamtverantwortung für Compliance liegt zwar bei der Geschäftsführung. Es ist aber ratsam, eine Compliance-Abteilung einrichten, die einem Compliance-Officer untersteht. Die Abteilung braucht die nötigen Mittel (Budget, Personal, Weiterbildungen, Software und Tools), um die Etablierung von Compliance im gesamten Unternehmen zu gewährleisten.
    • Compliance-Geschäftspartnerprüfungen: Nicht nur intern muss eine Risikoanalyse durchgeführt werden – auch durch Geschäftspartner können Ihrem Unternehmen Compliance- und Haftungsrisiken entstehen. Prüfen Sie deshalb auch Geschäftsbeziehungen und definieren auf Basis der Ergebnisse Richtlinien für die Zusammenarbeit.
    • Compliance-Überwachung und Verbesserung: Um den Erfolg des Compliance-Programms zu gewährleisten, sollten Sie es regelmäßig überprüfen und nachbessern. Denn neue nationale und internationale Richtlinien oder interne Vorgaben können zusätzliche Prüfprozesse erfordern. Insgesamt ist es ratsam, das System regelmäßig auf Schwachstellen oder übersehene Risiken zu überprüfen.Die Überwachung und Prüfung werden leichter durch:
      • Ein Compliance-Schulungskonzept: Führen Sie regelmäßig zielgruppengerechte Mitarbeiter-Schulungen durch. In vielen Bereichen reicht ein E-Learning, in denen z.B. über Regeln für Geschenke und Einladungen aufgeklärt wird. Für sensible Bereiche für Vertrieb oder Finanzen sowie für Führungskräfte lohnen sich fachbereichsspezifische Schulungen und Präsenzschulungen. Die Schulungen sollten regelmäßig aufgefrischt werden.
      • Die Einführung eines Hinweisgeberschutzsystems: Richten Sie ein Tippsystem für Mitarbeiter ein, in dem sie auf Missstände hinweisen können. Anonyme Meldefunktionen erhöhen die Chancen, dass wertvolle Meldungen eingehen. Mit der EU-Whistleblowing-Richtlinie und deren Umsetzung in nationales Recht bis Ende 2021 werden Hinweisgeberschutzsysteme für Unternehmen ab 250 Mitarbeitern vorgeschrieben, Unternehmen mit 50-249 haben eine Übergangsfrist bis 2023.
      • Nutzen Sie ein Compliance-Management-Tool: Eine Software erleichtert Ihnen das Compliance Management, in dem es alle wichtigen Workflows auf einer digitalen Plattform bündelt – vom Hinweisgebersystem bis zum Approval-Manager, in dem Geschenke und Einladungen freigegeben werden.
    Leitfaden zur Einführung von Hinweisgebersystemen

    Wie Sie erfolgreich ein Hinweisgebersystem in Ihrer Organisation einführen.

    Kostenfrei herunterladen

    Wann lohnt sich ein digitales Compliance Management System?

    Um Compliance-Officern und den Mitarbeitern in Compliance-Abteilungen die Arbeit zu erleichtern, hilft eine Software, die wichtige Prozesse an zentraler Stelle bündelt. Ob sich eine Compliance-Software für ein Unternehmen lohnt, hängt vor allem von den jeweiligen individuellen Compliance-Anforderungen ab: Verschiedene Branchen haben unterschiedlich komplexe Vorschriften – in manchen Industrien ändern sich diese Vorschriften regelmäßig, in anderen seltener.

    Je komplexer die Compliance-Vorgaben in einer Branche, umso mehr lohnt sich eine Software. Vor allem auch dann, wenn die Gewährleistung von Compliance innerhalb des Unternehmens vom Kerngeschäft abzulenken droht. Auch die Vertrauenswürdigkeit kann mithilfe einer Compliance-Software gesteigert werden, weil Banken oder Geschäftspartner ihr Engagement unter Umständen vom Vorhandensein einer Compliance-Struktur abhängig machen.

    Abhängig davon, wie viele Bereiche abgedeckt werden müssen, können auch nur einzelne Module statt eines gesamten Compliance Management Systems zum Einsatz kommen. Wichtig ist, dass die einzelnen Applikationen flexibel auf die Bedürfnisse des Unternehmens angepasst werden können. Ein Team von qualifizierten Beratern beim Softwareanbieter hilft bei der Integration und Bedienung – vor allem aber sollten Tools und Software für Mitarbeiter intuitiv bedienbar sein.

    Wie hilft eine Software beim Compliance-Management?

    Mithilfe einer digitalen Plattform können die Mitarbeiter der Compliance-Abteilung Berichte und Listen ohne großen Aufwand erstellen, um die Compliance-Arbeit regelmäßig zu prüfen, Risikoanalysen durchzuführen und das Programm wenn nötig nachzubessern.

    Ein digitales Compliance Management System sorgt für lückenlose und revisionssichere Dokumentation aller Informationen, Richtlinien und Dokumente. Auf diese Weise wird die Compliance-Arbeit des Unternehmens transparent und nachvollziehbar – ein wichtiger Umstand für den Fall, dass es doch zu einem Verstoß kommt und die Compliance-Bemühungen von Behörden geprüft werden. Zudem schützt die revisionssichere Dokumentation vor Regressansprüchen.

    Weitere wichtige Informationen zum internationalen Standard für Compliance Management Systeme finden Sie hier: ISO 37301

    Leitfaden für ein effektives Richtlinienmanagement

    Erfahren Sie, wie Sie Richtlinien im Unternehmen über den gesamten Lebenszyklus effizient managen.

    Kostenfrei herunterladen

    Welche Tools bringt ein Compliance Management System mit sich?

    Das EQS Compliance COCKPIT wurde als digitale Compliance-Plattform entwickelt, das mit diversen Applikationen die Compliance-Prozesse erleichtert: Mit der EQS Integrity Line können Unternehmen ein Hinweisgebersystem etablieren, das auf einem geschützten Kanal, anonym und DSGVO-konform aufgesetzt ist. Der EQS Policy Manager versammelt alle Richtlinien in einer zentralen Bibliothek, auf die Mitarbeiter jederzeit zugreifen können. Mit dem EQS Approval Manager können individuelle Wertgrenzen für Geschenke und Einladungen je nach Land definiert werden.

    In naher Zukunft wird das EQS Compliance COCKPIT um einen Risk Manager erweitert, der Compliance-Risiken aus verschiedenen Unternehmensbereichen erfasst und managt. Der Third Party Manager hilft bei der Geschäftspartner-Prüfung und EQS Intelligence trackt künftig Compliance-Ziele und erstellt aussagekräftige Berichte.

    Wichtige Gebote für das Compliance Management System

    Bei der Einführung eines Compliance Management Systems hilft es, sich einige Grundregeln vor Augen zu halten:

    • Grundsatzfragen klären: Informieren Sie sich, ob Sie aus rechtlicher Sicht ein Compliance Management System brauchen, welche Inhalte es abdecken und wie es ausgestaltet werden sollte – und natürlich, wie Sie sicherstellen, dass es wirkt.
    • Das Aufgabenfeld klar definieren: Compliance-Officer können nicht einfach Ausgaben aus der Rechtsabteilung übernehmen oder ersetzen. Legen Sie deshalb Verantwortungsbereiche und Berichtswege klar fest, um Ihr Compliance-Management transparent und verständlich zu definieren.
    • Grundbewusstsein statt Paragrafenreiten: Es ist nicht Aufgabe der Mitarbeiter, jeden einzelnen Rechtsparagrafen zu kennen. Formulieren Sie die Richtlinien knapp und verständlich genug, um ein Grundbewusstsein für Compliance zu schaffen.
    • Prozessintegration: Betten Sie Compliance-Prozesse in ihre Geschäftsprozesse ein – etwa indem Vorgaben zur Annahme von Geschenken und Einladungen auf den dazu genutzten Formularen vermerkt werden. Integrieren Sie die Compliance-Abteilung als Anlaufstelle, die bei Compliance-Fragen Auskunft geben kann.
    • Regelmäßiger Austausch: Gutes Compliance-Management entsteht nicht nur aus ständig neu ausgegebenen Vorgaben, sondern im Austausch mit Mitarbeitern über Schulungen, Alltagsprozesse etc. So erhalten Sie einen Einblick, ob die Compliance im Unternehmen Akzeptanz findet und wie sich Vorgaben oder Richtlinien auf die praktische Umsetzung auswirken. Auch der Austausch mit Branchenorganisationen und Rechtsexperten kann Ihrem Unternehmen helfen, Praxistipps und Best Practices zu definieren.
    • Unternehmensinterne Ressourcen nutzen: Bei der Ausgestaltung und dem Ausrollen der Compliance hilft der Austausch mit internen Abteilungen: Ihre Kommunikationsfachleute helfen bei der richtigen Ansprache der Mitarbeiter (zum Beispiel bei Richtlinien), die IT stellt den technischen Rahmen für E-Learning-Schulungen her, die Rechtsabteilung prüft kritische Themen. Vergessen Sie nicht, Ihren Betriebsrat einzubinden.
    • Transparenz und Dokumentation: Transparenter Umgang mit kritischen Themen oder Verstößen nimmt ihnen schnell die Brisanz. Verbunden mit umfangreicher Dokumentation schützen Sie Ihr Unternehmen außerdem für den Fall, dass es nach einem Verstoß zu Prüfungen kommt.
    • Effekte messen: Kurze, regelmäßige Umfragen unter den Mitarbeitern geben Ihnen ein Bild von der Akzeptanz Ihrer Compliance-Maßnahmen. Auf diese Weise können Sie Effekte messen und Teile des Programms nachbessern oder feinjustieren, wenn nötig.

    Alle Compliance-Lösungen an einem Ort

    Das EQS Compliance COCKPIT vereint die wichtigsten Compliance-Workflows in einer integrierten Plattform. 

    Moritz Homann
    Moritz Homann

    Managing Director Corporate Compliance – EQS Group | Moritz Homann verantwortet beim Münchner Technologieanbieter EQS Group den Produktbereich Corporate Compliance. In dieser Funktion betreut er die strategische Entwicklung digitaler Workflow-Lösungen, die auf die Bedürfnisse von Compliance-Beauftragten auf der ganzen Welt zugeschnitten sind.

    Contact