Kurzbeschreibung
Der erste Schritt zur Implementierung eines Compliance Managementsystems (CMS) ist das Erstellen einer Compliance Policy. Denn sie enthält die Kernaussagen zur Compliance im Unternehmen: die Beschreibung der Haltung in Form einer kulturellen Ausrichtung im weitesten Sinne, die Strategie und den Prozess zur Einführung des CMS. Zugleich werden die Eckpunkte einer Compliance-Organisation im Unternehmen beschrieben. Mit Regelungen für eine Risikomanagement- und Compliance-Arbeitsgruppe.
Vorbemerkung
Zur Einführung eines Compliance Managementsystems (CMS) im Unternehmen sind mehrere Schritte notwendig, der erste Schritt ist das Verfassen einer Compliance Policy, denn sie gibt den Rahmen für das CMS vor. Im Kern geht es darum, in der Compliance Policy eine Antwort auf die folgenden Fragen zu geben:
- Was sind die Beweggründe für die Einführung eines CMS?
- Welche Compliance-Philosophie ist für unser Unternehmen maßgebend, welche Grundregeln verfolgen wir und welche Strategie?
- Wie sieht die Compliance Organisation in ihrer Struktur aus?
- Wie wird die Compliance Policy unser Geschäft, unsere Kunden, oder Dienstleister beeinflussen?
Von großer Bedeutung ist, dass sich die Unternehmensleitung eindeutig zu verantwortlichem und wertschätzendem Handeln im Sinne eines rechtstreuen Verhaltens bekennt. Damit ist die Compliance Policy in aller Regel auch eine Erklärung der Unternehmensleitung zur Ausrichtung des Unternehmens und zur Unternehmenskultur.
Der folgende Vorschlag für eine Compliance Policy soll eine Anregung sein, letztlich kommt es darauf an, die jeweils eigene Unternehmensphilosophie und eine Gesamtsicht auf das Projekt Compliance zu beschreiben. Denkbar ist, hierzu eine Arbeitsgruppe im Unternehmen zusammenzustellen, die sich bereits um die ersten Schritte für eine Einführung kümmert und die dann auch im weiteren Verlauf eine Verantwortung für wesentliche Inhalte des CMS übernimmt. Im nachfolgenden Text ist dementsprechend die Bildung einer Arbeitsgruppe mit Aufgaben im Risiko- und Compliancemanagement vorgesehen. Ihr kommt die Aufgabe zu, ein Verfahren zur Erfassung und Beurteilung von Compliance Risiken zu definieren, eine Risikoeinschätzung vorzunehmen, die Standardvorgaben und Maßnahmen zur Vermeidung und Reduzierung von Compliance Risiken zu konkretisieren, die Konzepte für die Mitarbeiterschulungen in Compliance relevanten Themen zu erarbeiten, zu beschreiben, wie mit Beschwerden oder Hinweisen umgegangen werden soll und schließlich laufend zu beobachten, ob die Maßnahmen im Rahmen des CMS auch greifen.
Muster für eine Compliance Policy
1. Unsere Zielsetzung
Die ... (Firma) ist eines der innovativsten Unternehmen auf den Gebieten ... .
Dieser Erfolg beruht nicht zuletzt auf dem Zusammenwirken von langfristigen Eigentümerinteressen, professioneller Geschäftsführung und individueller Zielorientierung der vielen Einheiten, die mittlerweile zur ... (Firma) gehören, vor dem Hintergrund gruppenweiter Service-, Steuerungs- und Kontrollfunktionen.
Diese Komponenten bilden zusammen mit dem Engagement, dem Können und der vertrauensvollen Zusammenarbeit unserer Mitarbeiter die Grundlage für den Erfolg der ... (Firma).
Aufgabe der Geschäftsleitung, der Gesellschafter, jeder Führungskraft und jedes Mitarbeiters ist es, unsere Leistung im Wettbewerb stets erneut unter Beweis zu stellen, dort, wo notwendig, die erforderlichen Anpassungen einzuleiten oder mitzutragen, um den weiteren Erfolg unserer ... (Firma) zu ermöglichen.
2. Die Bedeutung für Compliance
Compliance unterstützt die Unternehmensziele, das Unternehmen und dessen Mitarbeiter durch Verfahren und Maßnahmen zur Sicherung von Rechtskonformität und Redlichkeit bei Führung der Geschäfte.
Das gilt vor allem für die Einhaltung von Regeln, die im besonderen öffentlichen Interesse liegen und deren Verletzung deshalb mit Bußgeld oder Strafen bedroht ist oder zu erheblichen Rufschädigungen und Vermögensgefährdungen führen kann. Wer unredlich handelt oder Rechtsregeln verletzt, wird auf Dauer keinen wirtschaftlichen Erfolg haben.
Compliance trägt dazu bei, unsere Produkte und Lösungen besser zu machen, indem gesetzliche Anforderungen und Industriestandards als Mindestanforderungen bereits in der Entwicklung und dem Betrieb berücksichtigt werden und die Einhaltung der Mindestanforderungen durch Audits und Zertifizierungen nachgewiesen wird.
Durch die Einhaltung der einschlägigen Datenschutz- und Datensicherheitsbestimmungen (Verfahrensverzeichnisse, Sicherheitskonzepte), die vorausschauende Entwicklung unser internen Systeme wie auch Kunden-Lösungen (Compliance by Design, Datenschutz by Design), auch im Hinblick auf die Einhaltung der Anforderungen gemäß der Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen...