Implementierung eines Compliance-Management-Systems

Der schwierigste Schritt bei der praktischen Umsetzung eines Compliance-Management-Systems (CMS) besteht in den meisten Fällen in der Überführung der theoretischen Grund­lagenarbeit („WAS“ und „WARUM“) in einen pragmatischen Regelbetrieb („WIE“).

Der im Nachfolgenden beschriebene Ansatz ist praktisch von jedem Unternehmen, gleichgültig aus welcher Branche, nutzbar. Er lässt so viel individuellen Gestaltungs­spielraum, dass ihr Unter­nehmen in die Lage versetzt wird, die mit dem Begriff „Compliance“ verbundenen, unternehmensspezifischen Zielsetzungen umzusetzen.

Vom Grundsatz her erfolgt die Implementierung eines CMS über ein Projekt, das letztendlich in den Regel­betrieb übergeben wird.

Es gibt keine gesetzliche Vorschrift, die die Struktur eines CMS grundsätzlich vorschreibt. Aus diesem Grund ist es wichtig, einen unternehmensspezifischen An­satz zu wählen, der im Unternehmen gelebt wird, nachdem er vom Projekt in den Regelbetrieb übergeben wurde.

 

Der CMS-Lifecycle

 Das IDW hat in seinem EPS 980 (Grundsätze ordnungsmäßiger Prüfung von Com­pliance-Management-Systemen) die Stützpfeiler, die ein Compliance-Management-System ausmachen, wie folgt festgelegt: Kultur, Ziele und Scope, Organisation, Risiken, Programm, Kommunikation, Überwachung und Verbesserung.

 Aus der Betrachtung des daraus ableitbaren Compliance-Management-Prozesses kann wiederum, wenn man den Zeitablauf mit einbezieht, ein Compliance-Management LifeCycle abgeleitet werden, der auch die Zusammenhänge der einzelnen Komponenten verdeutlicht:

 

 

CMSLS

Abbildung 1: CMS LifeCycle, © 2010 - compliance-net GmbH

 

(Die Definitionen und Inhalte der einzelnen Lifecycle-Komponenten entnehmen Sie bitte dem Beitrag "Elemente eines Compliance-Management-Systems".)

 

Das Prozessmodell zur Implementierung

Um diesen Lifecycle in Ihrem Unternehmen zu etablieren sind folgende Schritte, zusammengefasst und zugeordnet in einem Prozessmodell, sinnvoll:

 Prozessmodell

Abbildung 2: Prozessmodell zur Einführung eines CMS, © 2010 compliance-net GmbH

 

Die Prozessschritte im Einzelnen:

1. Definition des Unternehmensziels „Compliance“

Zu diesem Zweck sollten bei diesem Schritt u. a. vier wesentliche Sachverhalte, nachfolgend unter (A) bis (D) beschrieben, fest­ge­legt werden. Diese Sachverhalte bilden das Fundament des CMS – je besser das Fundament desto stabiler die darauf aufzubauende Konstruktion:

(A)         Entscheidung, dass ein CMS eingeführt wird

Zu diesem Sachverhalt wird durch das Aufsichtsorgan und/oder die Unter­nehmens­führung die klare Entscheidung getroffen, ein Compliance-Management-System einzuführen.

(B)         Definition „Compliance“ in Bezug auf das Unternehmen

Zu diesem Sachverhalt gehört es u.a. den Begriff „Compliance“ inhaltlich in Bezug auf das Unternehmen zu definieren und in den Statuten bzw. Leitsätzen des Unternehmens zu verankern. Die Ziele sollten dem Anspruch der Klarheit, Verständlichkeit und Messbarkeit genügen.

Dies ist ein sehr wichtiger und oft auch zeitintensiver Schritt, da er sowohl im Innen- als auch im Außenverhältnis die Positionierung des Unternehmens zu diesem Thema verdeutlicht und somit auch messbar macht.

(C)         Unternehmensbereiche definieren

Ein weiterer Sachverhalt besteht darin, diejenigen Unter­nehmensbereiche zu definieren, welche in den Fokus von „Compliance“ aufgenommen werden sollen. Als Grundlage hierfür sollte die Compliance-Risikomatrix genutzt werden (Herkunft typischerweise: Risikomanagementprozess).

(D)         Budgetbereitstellung und zeitlichen Rahmen festlegen

Auch wenn Details nicht bekannt sind, können in diesem Stadium bereits Entscheidungen in Bezug auf die Finanzierung des Projektes sowie des Regelbetriebes getroffen werden. Diese Werte definieren den finanziellen Verfügungsrahmen und somit auch die einsetzbaren Ressourcen.

Darüber hinaus ist eine zeitliche Komponente zu bestimmen, welche den Projektrahmen bildet. „Bis zum ….. ist das CMS in …. in den Regelbetrieb überführt“ und wird im Lagebericht der Gesellschaft gemäß § 289 (5) HGB erwähnt.

Damit wären zwei der drei wesentlichen Triangulationsfaktoren des Projekt­managements bestimmt. Die Erfüllung des dritten Faktors, Qualität, divergiert nicht nur in Ab­hängigkeit zu den ersten beiden Faktoren, sondern auch in Abhängigkeit zu den Compliance-Zielen/zum Compliance-Scope des Unternehmens.

 

2. Festlegung von Kompetenzen und einer Projektorganisation

Mit diesem Schritt des Prozessmodels erfolgen die ersten konkreten operativen Schritte in die Umsetzung eines CMS. Die beinhalten

(A) Projektauftragsbeschreibung durch den Auftraggeber

(B) Bestimmung eines Projektleiters  

(C) Festlegung von Kompetenzen und (Weisungs-) Befugnissen
      des Projektleiters

(D) Festlegung einer Projektstruktur/-organisation

(E) Festlegung eines Projektablaufplanes

(F) Festlegung eines Kommunikationsmanagements (intern/extern)

 

3. Dokumentationsmanagement/Reporting festlegen

In diesem Schritt sollte die Art und Weise des Dokumentationsmanagements definiert und festgeschrieben werden. Mögliche Lösungen reichen von einer einfachen Office-Ausstattung (z.B. ein Textverarbeitungsprogramm) mit entsprechenden Berichtstemplates bis hin zur Nutzung spezialisierter Compliance-Management-System-Applikationen.

Ferner sollten in diesem Schritt auch die Berichtsempfänger (wodurch der Aufbau des MIS maßgeblich festgelegt wird) sowie die Verantwortlichkeiten in Bezug auf das Reporting definiert werden. Hilfreich ist hierbei die Fragestellung: „Wer ist in den definierten Bereichen für die Einhaltung der entsprechenden Richtlinien und Gesetze verantwortlich?“.

Von der Größe eines Unternehmens abhängig können auch lokale Compliancemanager eingesetzt werden, welche die lokalen Berichte erstellen und zur Aggregation/Zusammenfassung an die zentrale Compliance-Einheit weiterleiten.

 

4. Change Management definieren/festlegen

Nichts ist so beständig wie die Veränderung! Dadurch wird das Change Management zu einem entscheidenden Erfolgsfaktor.

Gesetze und Richtlinien ändern sich schnell und manchmal auch sehr umfassend, mit weitreichenden Folgen. So hat z.B. die Veränderung zum §11 BDSG zu Neu­vereinbarungen im Bereich der Auftragsdatenverarbeitung, Softwarelieferung oder Wartung geführt, da die bestehenden Verträge nur in den allerseltensten Fällen die neuen Forderungen bereits abdeckten.  

Im Zusammenhang mit dem Change Management muss u. a. (A) ein Prozess, der die Gesetzesanpassungen und Neuerungen zu Richtlinien erfasst sowie (B) (mindestens) ein Prozess, der diese Informationen z.B. über das CMS in die entsprechenden Unternehmensbereiche transportiert, definert werden (diese Prozesse können auch wechselseitig definiert werden) und (C) sicher gestellt werden, dass die Auswirkungen der Richtlinien in den betroffenen Unternehmensbereiche erfasst und in den Geschäftsprozessen implementiert werden.

Aber es ändern sich nicht nur Gesetze und Richtlinien. Es sind auch die unternehmensinternen Veränderungen in der Aufbau- und Ablauforganisation zu berücksichtigen. Es muss gewährleistet sein, dass auch diese Sachverhalte zeitnah und vollständig abgebildet werden können.  

Aufgrund der notwendigen Anpassungen müssen ggf. auch Dokumentationsprozesse, Prüffragen, Testdokumentation und Testfälle angeglichen und im Compliance-Management-System hinterlegt werden. Welche dieser notwendigen Anpassungen konkret durchgeführt werden müssen kann im Vorhinein nicht abschließend beurteilt werden – es besteht zu diesem Zeitpunkt jedoch die Möglichkeit, die Abläufe für ggf. notwendige Anpassungen umfassend und durchgängig zu definieren.

 

5. Bestandsaufnahme

Zu diesem Zeitpunkt sollten die grundsätzlichen Strukturen für ein CMS geschaffen worden sein.

Die Bestandaufnahme basiert auf den zuvor festgelegten Rahmenbedinungen und umfasst mindestens die folgenden Punkte  

(A) Identifizierung und Aufnahme aller relevanten Richtlinien, Gesetze und sonstiger Compliance-Sachverhalte.

(B) Aufnahme des bestehenden Risiko- und Finanzmanagementsystems. Auf­nahme von hierin berücksichtigten Governance-Verfahren und -Frameworks wie z. B. GOBS, GDPdU, BCM, COSO, COBIT, ITIL und IKS-Verfahren.

(C) Zuordnen der compliancerelevanten Sachverhalte auf Geschäftsprozesse und/oder Unternehmensbereiche, die es nachvollziehbar zu dokumentieren gilt.

 

Die beiden größten Herausforderungen bestehen in diesem Prozessschritt in den folgenden Sachverhalten:

(A) Gemäß festgelegter Compliance-Definition alle relevanten nationalen und internationalen Richtlinien 
      und Gesetze vollständig zu ermitteln und

(B) diese gezielt den definierten Unternehmensbereichen bzw. -prozessen sowie Verantwortlichen
      zuzuordnen.

 

6. Identifizieren von Defiziten

Ist die Bestandsaufnahme erfolgt, kann mit der Identifizierung von Defiziten begonnen werden.

Hierbei sollte mittels einer SOLL/IST-Analyse überprüft werden, ob bisher alle notwendigen Richtlinien und gesetzlichen Maßgaben berücksichtigt und eingehalten wurden.

Ferner sollte geprüft werden, ob entsprechende Kontrollaktivitäten, in Bezug auf die Einhaltung notwendiger Richtlinien und gesetzlicher Maßgaben implementiert sind, oder waren bzw. wo diese noch nicht ausgereift sind, waren oder gar ganz fehlen.

 

7. Implementierung von Maßnahmen

Sollten Defizite ermittelt worden sein, so sind diese zu dokumentieren und im Rahmen des MIS oder eines Projektstatusberichtes an die Organe der Gesellschaft zu berichten.

Im weiteren Verlauf des Gesamtvorhabens „Compliance“ kann es zur schnelleren Aufdeckung von Defiziten durchaus hilfreich sein, Mitarbeitern die Möglichkeit zu eröffnen, Mitteilungen (ggf. auch anonym) über Defizite machen zu können.

Es sind diejenigen Maßnahmen zu formulieren, die eingeleitet werden sollen, um zukünftig Defizite zu vermeiden – dabei sollten auch die Verantwortlichkeiten für die Maßnahmen und die vorgesehenen Implementierungszeitpunkte festgelegt werden.

 Ggf. sind Kontrollmaßnahmen zu konzeptionieren, auszuarbeiten und zu imple­men­tieren, welche die Einhaltung der festgelegten Richtlinien sicher stellen. Diese sind im entsprechenden Umfang zu dokumentieren und mit Verantwortlichkeiten zu versehen.

Weitere Schritte könnten die Formulierung neuer bzw. die Erweiterung bereits bestehender Richtlinien und Verfahrensan­wei­sungen („Policies & Procedures“) sowie Verhaltenskodizes („Code-of-Conduct“), die grundsätzliche Regelungen treffen, sein.

 

8. Überführung in Betrieb als Regelprozess

Nach der Überführung des Projektes in den Regelbetrieb, u. a. mittels der Imple­mentierung von Maßnahmen zur Herstellung/Verbesserung einer Compliance (gemäß der Unternehmensde­finition) sind noch weitere Aufgaben zu erfüllen.

Eine entsprechend definierte Linienposition ist durch einen Compliance-Beauftragten/Verant­wortlichen für Compliance-Angelegenheiten zu besetzen, welcher die entsprechenden Kompetenzen (durch Beschluss und Veröffentlichung der Organe, Position im Unternehmen, ggf. Sanktionsmöglichkeiten, Fachkenntnisse sowie die Verfüg­barkeit von notwendigen Ressourcen) besitzt, die durchzuführenden Arbeiten umzu­setzen und weiterhin zu betreiben.

So gilt es z.B. das Geschaffene durch einen geeigneten Management-Prozess (Plan-Do-Check-Act) zu er­halten, zu überwachen und zu verbessern.

Es hat sich in der Praxis als vorteilhaft herausgestellt, durch ein Testmanagement reglmäßig die implementierten Kontrollfunktionalitäten zu validieren.

Schulungs- und Awareness-Maßnahmen sind zu konzipieren und durchzuführen, z.B. in den Bereichen des „Code of Conduct“, AGG oder BDSG, wodurch Synergie­effekte erzielt werden.

Das Reporting und (Compliance-)Controlling der einzelnen Unternehmensbereiche ist durch den Compliance-Beauftragten ggf. zu aggregieren und in einem Compliance-Report zusammen zu fassen, der den Organen in regelmäßigen Abständen zugeht.

Abhängig von den Compliance-Zielen/dem Compliance-Scope sollte das Compliance Programm im Regelbetrieb weitere Aspekte zur Einhaltung der Regeln umfassen (siehe hierzu Elemente eines Compliance-Management-Systems).

 

 

Zuordnung der Schritte des Prozessmodells zu den Anforderungen an ein
Compliance-Management-System gemäß EPS 980

Die nachfolgende Tabelle stellt die einzelnen Schritte des Prozessmodells den Anforderungen des EPS 980 gegenüber und verdeutlicht, welche Anforderungen des EPS 980 mit welchem Schritt des Prozessmodells erfüllt werden sollten.

 

 Zuordnungstabelle

 

Tabelle 1: Zuordnung des Prozessmodells zu den Anforderungen des EPS 980

 

Zusammenfassung

Die Gesellschafter, die Unternehmensführung oder die Aufsichtsgremien beschlies­sen, dass Ihr Unternehmen „compliant“ sein soll, sie definieren den Begriff „Compli­ance“ in ihren Unternehmensleitsätzen, ernennen eine dafür verantwortliche Person, statten diese mit entsprechenden Kompetenzen aus, gliedern ihr Unter­nehmen in compliancerelevante Org.-Einheiten/Geschäftsprozesse, bestimmen die jeweiligen gesetz­lichen und sonstigen intern und extern zu berücksichtigen Maßgaben, Richt­linien und Vorschriften (ggf. nach In- und Ausland geordnet), vom "A" wie AGG über "H" wie HGB, "G" wie GOBS und GDPdU sowie "U" wie Umweltschutzgesetz bis hin zu "Z" wie den Zollvorschriften, prüfen erstmalig und fortan regelmäßig deren vollum­fäng­liche Ein­hal­tung, lassen dies schriftlich von den verantwortlichen Personen be­stäti­gen, dokumentieren dies alles für Dritte nachvollziehbar  - nach der Überführung der ggf. neu geschaffenen Prozesse vom Projekt in den Regelbetrieb des Unter­nehmens -, um es Dritten oder unternehmens­internen Aufsichtsgremien im Fall einer Prüfung nachweisen zu können und nehmen bei der Formu­lierung des Lageberichtes deutlich Stellung zu diesen Punkten (gemäß BilMoG bzw. §§ 289a und 289 (5) HGB).

 

Fazit / Ausblick

Unternehmensberater und Wirtschaftsprüfer können ein Unternehmen bei der Einführung von Compliance-Management-Systemen unter­stützen. Die Verantwortung, „compliant“ zu sein, lässt sich nicht delegieren und obliegt immer der Unternehmensführung und dem Aufsichtsorgan.

Durch die Implementierung eines Compliance-Management-Systems können die aus Verstößen gegen Vorschriften resultierenden Risiken reduziert werden, was zum Fortbestand es Unternehmens nachhaltig beiträgt. 

Synergieeffekte lassen sich durch derartige Projekte in/aus den Bereichen Risiko­manage­ment, Business Continuity Management, Lieferanten- und Kunden­mana­gement, Finanz- und Shareholdermanagement erzielen.

Alle Stakeholder wie Lieferanten, Kunden, Shareholder, Geldgeber, Aufsichtsorgane, Aktionäre und nicht zuletzt die eigenen Mitarbeiter, das eigentliche und wichtigste Kapital eines Unternehmens, werden es der Unternehmensleitung danken.

 

Weitere Ausführungen zu diesem Thema:

- Compliance-Management, IdW Prüfungsstandard EPS 980

- Elemente eines Compliance-Management-Systems

 

Der Artikel ist nach bestem Wissen und Gewissen recherchiert. Der Artikel dient lediglich dazu, einen Anhaltspunkt zu setzen, um weitere Schritte zu prüfen. Der Ersteller übernimmt keinerlei Haftung, Für den Inhalt der verlinkten Webseiten und Dokumente sind die Beitreiber der Webseiten verantwortlich. Alle Angaben ohne Gewähr.

 

Quellen:

- ESP 980, Entwurf IDW Prüfungsstandard: Grundsätze ordnungsmäßiger Prüfung von Comliance-Management-Systemen, Hauptfachausschuß des IDW, Stand 11.03.2010

- Compliance Intelligence: Praxisorientierte Lösungsansätze für die risikobewusste Unternehmensführung, Autoren: Michael H. Brauer / Klaus-Dieter Steffen / Sven Biermann / Andreas H. Schuler, Schäffer-Poschel Verlag, ISBN: 978-3791028774

- Corporate Compliance-Checklisten: Rechtliche Risiken im Unternehmen erkennen und vermeide, Autor:  Karsten Umnuss, Beck Juristischer Verlag; Auflage: 1 (7. Juli 2008), ISBN: 978-3406576065

- Konzeption und Implementierung eines Compliance-Systems: Kernelemente und Handlungsempfehlungen, Autor:  Marco Schubert, Vdm Verlag Dr. Müller (Mai 2008), ISBN 978-3639024357