Vor allem die Führungskräfte sollten mit einem guten Beispiel voran gehen und Compliance „vorleben“.
Compliance Aufgaben
Compliance bedeutet wörtlich übersetzt „die Erfüllung von Anforderungen“. Im Deutschen wird es häufig gleichgesetzt mit „Rechtskonformität, Beachtung von Recht und Gesetz“ und „Integrität, Redlichkeit oder Geschäftsethik“. Mit der erwarteten Einhaltung externer Regeln wird die Rechtskonformität in den Vordergrund gestellt; mit dem Fortsatz „Einhaltung interner Regeln und Prinzipien“, wie z. B. Verhaltenskodex und Wertemanagementvorgaben, fallen auch Redlichkeit und Integrität in die Aufgabenstellung von Compliance.
Deshalb sollte innerhalb eines Unternehmens gemeinsam ein System mit Regeln und Richtlinien erarbeitet werden. Führungskräfte und Verantwortliche sollten dafür Sorge tragen, dass jeder Mitarbeiter diese Regeln und Vorschriften kennt und vor allem versteht, damit diese eingehalten und umgesetzt werden können. Es sollte keine Angst bestehen, Fehler zu melden und weiterzugeben. Ganz im Gegenteil, das „Wegsehen“ bei einem Verstoß, ist viel schlimmer, als diesen zu kommunizieren und eine Lösung zu finden.
Zusammenfassend lässt sich sagen, dass Compliance sowohl strukturelle als auch individuelle Anforderungen mit sich bringt.
Compliance Vorgaben und Standards
Bei der Einführung einer Compliance Struktur und einem damit verbundenen Compliance Management Systems ist jedes Unternehmen grundsätzlich frei von Weisungen. Jedes System ist individuell anpassbar und hängt von Faktoren wie Unternehmensgröße und der Unternehmensbranche ab. Wird jedoch eine Zertifizierung angestrebt, gibt es durchaus einige Anforderungen, die erfüllt werden müssen.
Die Einrichtung von Compliance Management Systemen (CMS) wurde bereits in verschiedenen Standards aufgegriffen: Der vom Institut der Wirtschaftsprüfer in Deutschland e. V. (IDW) 2011 verabschiedete IDW Prüfungsstandard (PS) 980 oder auch die im Dezember 2014 von der International Organization for Standardization (ISO) veröffentlichte Norm ISO 19600 bzw. die später veröffentlichte ISO 37001 (mit einem Fokus auf Anti-Korruption).
Die ISO 19600 gab bereits Best Practice-Leitlinien und Hilfestellungen vor – war jedoch als Level B-Norm keine Zertifizierungsnorm. Diesem Problem wurde mit der ISO 37301:2021 nun Abhilfe geschaffen, da diese als global geltende Level A-Norm die Zertifizierungslücke schließt und die damit ISO 19600 ablöst.
Anders als die ISO 19600 gibt die ISO 37301 nicht bloß Empfehlungen, sondern legt Anforderungen für Compliance Management Systeme fest und bietet Leitlinien und Praxisempfehlungen. Diese sind jedoch als anpassbar vorgesehen und ihre Implementierung kann je nach Größe und Reifegrad des Compliance Management Systems der einzelnen Organisation und des Kontextes sowie der Natur und Komplexität ihrer Aktivität und Ziele variieren. Der Standard kann schließlich auf jegliche Organisation angewendet werden – Unternehmen, aber auch öffentliche oder gemeinnützige Organisationen.
Compliance Anforderungen
Die ISO gibt für Compliance-Managementsysteme folgende Bestandteile vor:
- Compliance-Risikobeurteilung
- Compliance-Politik
- Schulung und Kommunikation
- Leistungsbewertung
- Compliance-Verpflichtungen
Im Rahmen der Compliance-Risikobeurteilung gilt es, die individuellen Compliance-Risiken zunächst zu identifizieren, zu analysieren und anschließend zu bewerten. Dieser Beurteilungsprozess muss regelmäßig stattfinden und wesentliche Veränderungen des Unternehmenskontextes berücksichtigen. Da die Risikobeurteilung das Fundament für weitere Maßnahmen bildet, bedarf es der entsprechenden Dokumentation und deren Aufbewahrung.
Mit der Compliance-Politik werden die übergeordneten Grundsätze und Verpflichtungen festgelegt, derer es für die Compliance im Unternehmen bedarf. [Vgl. ISO 37301, Pkt. A.5.2.1] Dazu zählt: Festlegung der Anwendung und des Kontextes, der Umfang und die Grundsätze des CMS. Die Berücksichtigung der internen Compliance-Vorgaben setzt voraus, dass die Mitarbeitenden eine angemessene Schulung erhalten.
Die ISO 37301 sieht daher vor, dass das (relevante) Personal ab Beginn des Arbeitsverhältnisses in regelmäßigen Abständen geschult wird. An die Inhalte und den Aufbau der Schulungen werden ebenfalls Anforderungen gestellt, die es regelmäßig zu überprüfen gilt. Hand in Hand mit dem Thema Schulung sollte auch das Thema Kommunikation gehen. Es gilt festzulegen, was wann an wen wie kommuniziert wird.
Beim Thema Leistungsbewertung geht es weniger um die Bewertung der individuellen Leistungen als vielmehr um die Überwachung zur Sicherstellung, dass die Compliance-Ziele erreicht werden [Vgl. ISO 37301, Pkt. 9]. In einem ersten Schritt sollte hierfür festgelegt werden, was überwacht und gemessen werden soll und wie dies wann geschehen soll. In manchen Bereichen bietet es sich an, Indikatoren zu entwickeln und zu definieren, die für eine einheitliche Bewertung herangezogen werden können. Die analysierten und bewerteten Ergebnisse sind zu dokumentieren und aufzubewahren.
Im Kapitel „Compliance Definition und Bedeutung für Unternehmen“ wurde bereits die Bedeutung des „Tone from the Top“ thematisiert. Es genügt jedoch nicht, wenn sich die Unternehmensleitung mit den Compliance-Verpflichtungen identifiziert – dies muss vielmehr durch die ganze Organisation erfolgen. Das bedeutet, dass die gesamte Organisation systematisch die individuellen Compliance-Verpflichtungen identifizieren, deren Auswirkungen auf den Betrieb beurteilen und sie in die Prozesse integrieren muss. [Vgl. ISO 37301, Pkt. 6.3]
Compliance Maßnahmen
Compliance kann durch verschiedene Maßnahmen unterstützt werden. Die wohl bedeutsamste Maßnahme ist das Erstellen eines internen Regel- und Richtlinien-Werkes, an dem sich Mitarbeiter orientieren können. Es bieten sich an, Richtlinien u.a. zu folgenden Themenbereichen zu erstellen:
- Compliance Organisation
- Verhaltenskodex
- Einladungen, Geschenke und andere persönliche Vorteile
- Spenden und Sponsoring
- Korruptionsprävention
- Geldwäscheprävention
Außerdem sollte sich die Organisation mit dem Thema „Compliance Verantwortung“ auseinandersetzen – die Besetzung durch eine verantwortliche Person, die sich ausschließlich mit dem Thema Compliance befasst und als zentraler Ansprechpartner fungiert, kann intern oder auch extern vorgenommen werden. Ergänzend könnte ein Gremium eingerichtet werden, durch das die Funktionsträger des Unternehmens als Gremiumsmitglieder direkt einbezogen werden und die Compliance Verantwortung entlasten können.
Welche Maßnahmen für ein Unternehmen angemessen und verhältnismäßig sind, muss dieses selbst feststellen. Wichtig ist, dass alle ergriffenen Maßnahmen entsprechend an die Mitarbeiterschaft und alle weiteren relevanten Parteien kommuniziert werden.
KPI: Compliance messen
Compliance Verantwortliche werden sich dem Druck, die Wirksamkeit des CMS und damit dessen Beitrag zum Unternehmenserfolg aufzuzeigen, nicht entziehen können. Dabei sehen sie sich jedoch mit der Frage konfrontiert, wie sich dies messen lässt – anders als im Vertrieb lassen sich schließlich hier nicht schlicht Zahlen, Daten und Fakten heranziehen, anhand derer konkrete Messungen und Rückschlüsse möglich wären.
Die ISO 37301 macht an dieser Stelle keine konkreten Vorgaben, indem sie lediglich vorgibt, dass eine Organisation geeignete Indikatoren entwickeln muss, die bei der Bewertung der Zielerreichung und Beurteilung der Compliance-Leistung unterstützt. [Vgl. ISO 37301, Pkt. 9.1.3]
Für die Compliance Organisation werden 3 Arten von KPIs benötigt
KPIs sind keine absoluten Maße, sondern erfordern den Abgleich mit vorab definierten Referenzwerten. Dabei kann zwischen verschiedenen KPI-Typen unterschieden werden:
- KPIs, die den Fortschritt der Umsetzung, also den Output des CMS (z. B. Teilnahmequoten an Schulungen, Anzahl von Beratungsfällen oder Hinweise im Zeitablauf) messen,
- KPIs, welche die Wirkung des CMS erfassen (etwa Fallzahlenentwicklung von Compliance Verstößen, Meldungen in Hinweisgebersystemen, Ergebnisse aus Mitarbeiterbefragungen zur Compliance Kultur, Feststellungen der Internen Revision bezüglich Integrität der Organisation),
- KPIs zur Messung des Ressourceneinsatzes (z. B. Compliance FTE/1.000 Mitarbeiter) im Verhältnis zu den erzeugten Dienstleistungen oder prozessleistungsbezogene Kennzahlen (wie etwa durchschnittliche Genehmigungsdauer, Anteil abgeschlossener Ermittlungen bezogen auf plausible Hinweise) geben weitere Hinweise auf Optimierungspotenziale im CMS.
Viel relevanter sind jedoch Rückschlüsse zur Wirksamkeit des Compliance Management Systems, da die Wirksamkeitskontrollen einen wesentlichen Bestandteil eines funktionierenden Compliance Management Systems darstellen. Die Frage, wie häufig Wirksamkeitskontrollen durchgeführt werden sollten, lässt sich pauschal nicht beantworten, da diese bedarfsorientiert und angemessen, also regelmäßig stattfinden sollten – ganz nach der Devise „So viele wie nötig, so wenig wie möglich.“ Wie die Wirksamkeitskontrollen durchgeführt werden, hängt ebenfalls vom Themen-/Unternehmensbereich ab. Häufig werden jedoch Stichproben, Kontrollfragen oder Diskussionsrunden zu einem Thema einer Richtlinie eingesetzt.