compliance-header-blog-säulen gerichtsgebäude

Compliance Management im Mittelstand – Pflicht oder Kür?

Viola Beecken

DQS-Auditorin
März 31 , 2022

Compliance bedeutet „Regeltreue“ – ganz unerheblich, welcher Art die Regel ist und wer sie aufstellt. Bei Verstößen dagegen ist die oberste Leitung des Unternehmens direkt in der Haftung. Organisationen müssen also entscheiden, ob sie zur Sicherung der Regeltreue ein unternehmensübergreifendes Compliance Managementsystem (CMS) einführen. Doch dabei endet es nicht. Wie genau überprüft man die Wirksamkeit eines CMS?

Inhalt

Mit Blick auf Compliance Management im Mittelstand mag die Konzeption und Durchsetzung eines Compliance Managementsystems (CMS) auf den ersten Blick eine zeitliche und wirtschaftliche Belastung für jedes Unternehmen sein. Wer jedoch tiefer blickt, gelangt zu interessanten Perspektiven: Unterstützt durch das Leitungsorgan, aber auch durch eine Überprüfung der Angemessenheit und Wirksamkeit des CMS durch interne und externe Prüfer wächst die Compliance-Kultur nachhaltig und eröffnet die Chance für steigenden Unternehmenserfolg und damit auf die Erhöhung des Unternehmenswertes.

 

Wo liegen die Hauptmotive für die Einrichtung eines CMS?

Der Großteil der mittelständischen Unternehmen sieht die Haftungsvermeidung und die Prävention von Korruption als wichtigste Beweggründe für die Einrichtung eines CMS an. Zunehmend sind aber auch Anforderungen von Geschäftspartnern und die Reputationssicherung auslösende Motive. Bei den relevanten Compliance-Themen rangieren Korruption, Wettbewerbsdelikte und Datenschutz regelmäßig vorne. Weitere Top-Themen sind Arbeits- und Sozialstandards im Unternehmen.

Auf der anderen Seite fürchtet der Mittelstand die mit Compliance assoziierte zusätzliche Belastung der Organisation in Form einer so genannten Compliance-Bürokratie. Ein sinnvoller Ansatz für mittlere Unternehmen wird sich daher deutlich von dem für Konzerne unterscheiden müssen.

 

Gefährdungen identifizieren

Wichtig ist zunächst, dass sich das Unternehmen im Wege einer Risikoanalyse über seine individuellen Compliance-Gefährdungen klar wird. Nur in diesen wichtigen identifizierten Risikobereichen sollten dann vorhandene Regelungen und Verhaltensweisen überprüft und bei Bedarf ergänzt werden. Ein Beispiel: Unternehmen können zunächst betrachten, ob kritische Teilbereiche im Unternehmen (z.B. Datenschutz im Personalwesen) oder einzelne Arten von Compliance abgedeckt sind, zum Beispiel die Einhaltung rechtlicher Verpflichtungen im Arbeitsschutz. Anders formuliert: Compliance-Maßnahmen sind letztlich dann zumutbar und erforderlich, wenn sie passgenau auf diesem Risk Assessment aufbauen.

 

Compliance Management im Mittelstand: relevante Normen

Im April 2021 erschienen, ist hier natürlich als erstes ISO 37301:2021-04 zu nennen. Die Norm formuliert Anforderungen an Compliance-Managementsysteme mit Leitlinien zur Anwendung. Die Norm ist bei Beuth erhältlich. Mittlerweile zurückgezogen ist DIN ISO 19600:2016-12 (Compliance-Managementsysteme – Leitlinien).

Unter dem Aspekt der Risikoorientierung ist auch DIN ISO 31000:2018-10 interessant. Die Norm legt Leitlinien für den Umgang mit Risiken fest, denen sich Unternehmen gegenübersehen. Die Norm ist bei Beuth erhältlich.

 

Audits zur Sicherstellung der Wirksamkeit?

Gerade angesichts der Leitungspflicht der gesetzlichen Vertreter muss dem eigentlichen CMS eine kontinuierliche Wirksamkeitsprüfung an die Seite gestellt werden. Der Grund dafür liegt in der Rechtsprechung. Hier hat die Geschäftsleitung als Teil ihrer Überwachungspflicht zwei Aufgaben zu erfüllen: Zum einen muss sie die im Unternehmen eingerichteten Maßnahmen zur Sicherstellung von Compliance überwachen. Zum anderen hat sie deren Wirksamkeit kritisch zu kontrollieren – und zwar regelmäßig, nicht nur anlassbezogen. Diese Verpflichtung gilt für Vorstände von Aktiengesellschaften ebenso wie für GmbH-Geschäftsführer.

„Die Wirksamkeitsprüfung des CMS durch einen unabhängigen Dritten ist der objektivierte Nachweis, dass Überwachungspflichten erfüllt werden.“

Eine Überwachung soll sicherstellen, dass die eingeführten Grundsätze (Verhaltensleitfäden, Richtlinien etc.) und Maßnahmen (Schulungen, Kontrollen etc.) des CMS geeignet sind, Regelverstöße im Sinne des CMS zu verhindern, wesentlich zu erschweren oder rechtzeitig zu erkennen. Die Wirksamkeit des CMS kann durch interne und externe Kontrollen überprüft werden:

  • Wirksamkeitskontrolle durch interne Kontrollen: Eine systeminterne Überwachung wird als „interne Kontrolle“ bezeichnet. Diese Kontrolle ist eine wesentliche Komponente eines CMS, die auch als Qualitätsmanagement (QM) bezeichnet werden kann. Das QM beinhaltet somit alle Maßnahmen, die vorbereitend, begleitend und nachgelagert dazu beitragen, eine zuvor definierte Qualität des CMS zu schaffen oder zu erhalten.
  • Wirksamkeitskontrolle durch externe Kontrollen: Eine systemexterne Überwachung wird als „Prüfung“ oder „Audit“ bezeichnet. Bei dieser Form der Überwachung ist die Prüfungsinstanz systemunabhängig und nicht an der Herbeiführung des Ist-Zustands beteiligt. Hier besteht somit ein Vorteil in der Unabhängigkeit. Die Prüfung des CMS wird durch unternehmensexterne Prüfungsinstanzen durchgeführt (z.B. Rechtsanwälte, Wirtschaftsprüfer, akkreditierte Zertifizierer wie die DQS oder sonstige unternehmensexterne Gutachter und Sachverständige).
arbeitsschutz-und-compliance-dqs-whitepaper-kostenfrei

Whitepaper

ISO 45001 – Arbeitsschutz und Compliance

  • Vier wichtige Unterschiede zwischen BS OHSAS und ISO 45001
  • Compliance Konzentration auf SGA-relevante Themen!
  • Was tun bei Nicht-Compliance?
  • Sieben Schritte zur Umsetzung von ISO 45001
Jetzt herunterladen

Regelmäßige Überprüfungen – gut geplant

Um die Wirksamkeit systemunabhängiger Überprüfungen sicherzustellen, sollten die Intervalle gut geplant sein. Eine Überprüfung kann immer dann hilfreich sein, wenn ein CMS neu eingeführt wird. Darüber hinaus sollte die externe Prüfung regulär alle drei bis fünf Jahre wiederholt werden. Nach festgestellten Compliance-Verstößen werden anlassbezogene Überprüfungen durchgeführt. Aber auch bei gefestigten CMS ist zunehmend festzustellen, dass turnusmäßigen Prüfungen als faktisch verpflichtend angesehen werden. Zusätzlich zu prozessbezogenen Kontrollen sollte regelmäßig die Konzeption, Angemessenheit und Wirksamkeit von CMS zu prüfen sein und unabhängige Systemprüfungen bzw. Zertifizierungen im Idealfall einmal jährlich und mindestens alle drei Jahre stattfinden.

 

Vorteile von Compliance Audits

Beim Compliance Management im Mittelstand können Mehrwerte durch Compliance Audits grundsätzlich wie folgt erwartet werden:

  • Optimierung bestehender Prozesse
  • Wahrnehmung von Schwächen im CMS
  • Erhöhung der Effizienz und Effektivität des CMS
  • Einführung moderner Standards
  • Etablierung einer Compliance Kultur
  • Steigerung der Wettbewerbsfähigkeit
  • Sicherheit für das operative Geschäft
  • Sicherung des nachhaltigen Unternehmenserfolges
  • Erhöhung des Unternehmenswertes

Der richtige Prüfer – Die wichtigsten Entscheidungskriterien:

 

Wirksamkeitsprüfungen des CMS bringen multidisziplinäre Anforderungen mit sich.
Deshalb muss die fachliche Expertise der Prüfer an erster Stelle stehen.

→ So muss der Prüfer über relevante rechtliche und betriebswirtschaftliche Kenntnisse sowie über Branchenerfahrung verfügen.

→ Die Unabhängigkeit des Prüfers muss gewährleistet sein (Independence in facts aber auch im Hinblick auf die Öffentlichkeit Independence in Appearance).

→ Schließlich ist es wichtig, dass die Prüfung eine hohe Marktreputation besitzt.

→ Ein Beispiel für etablierte Prüfungs- und Zertifizierungsstandards ist z.B. der IDW Prüfungsstandard „Grundsätze ordnungsmäßiger Prüfungen von Compliance Management Systemen“ (IDW PS 980).

→ Die Ergebnisse unternehmensexterner Prüfungen des CMS können zur „Zertifizierung“ eines geprüften CMS genutzt werden. Das zu erteilende Zertifikat stellt dabei den nach außen gerichteten Nachweis der Einhaltung definierter Anforderungen an das CMS dar. Es definiert Geltungsdauer und Geltungsbereich des Zertifikats, Sollobjekt und Prüfungsvorgehen (Gegenstand, Art und Umfang der Prüfung) sowie Anforderungen an die Unabhängigkeit und Kompetenz der Prüfungsinstanz („Akkreditierung“).

baretton-gerber-2-dqs

Mehr über Compliance Audits mit der DQS

  • valide Analyse von Compliance-Risiken in Ihrem Unternehmen
  • systematische Einhaltung der Rechtsvorschriften
  • wirksame Reduzierung von Haftungsrisiken
  • verbessertes Unternehmensimage
Jetzt informieren

Fazit

Die Steuerung eines effizienten und wirtschaftlichen Compliance Management Systems kann auch durch eine externe Prüfung unterstützt und weiterentwickelt werden. Der Prüfer unterstützt die Unternehmensleitung bei der Etablierung und Festigung der Compliance Kultur.

Voraussetzung ist die gewissenhafte Auswahl des externen Experten. Mit übergeordneten Vergleichsmöglichkeiten, Erfahrungen aus anderen Unternehmen und seiner Sicht der Dinge als neutraler Dritter muss er einen wertvollen Diskussionspartner darstellen können. Wichtig ist auch die Auswahl eines geeigneten Regelwerks als Grundlage für externe Audits.

 

DQS: das können wir für Sie tun

Als international anerkannter Zertifizierer für Managementsysteme und Prozesse auditiert die DQS an mehr als 30.000 Audittagen im Jahr. Unser Anspruch beginnt dort, wo Auditchecklisten enden: Nehmen Sie uns beim Wort! Wir freuen uns auf das Gespräch mit Ihnen und zeigen Ihnen gerne, worauf die Leistungsstärke und Qualität unserer Audits beruht. Nämlich auf

  • kompetenten und integren, branchenerfahrenen Auditorinnen und Auditoren
  • maßgeschneiderten Lösungen, die Ihrer Organisation und Ihrem Managementsystem angemessen sind
  • gezielter Identifikation möglicher Schwachstellen und Risiken
  • objektiven, nachvollziehbaren Ergebnissen und substantiellen Entscheidungshilfen
  • international anerkannten Zertifikaten mit hoher Marktakzeptanz
  • der Nachverfolgung von Audit-/Analyseergebnissen inklusive Wirksamkeitsprüfung getroffener Maßnahmen
  • der individuellen Erarbeitung und Erstellung von Kriterienkatalogen und Bewertungssystemen
fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch

Sie haben Fragen?

Kontaktieren Sie uns – ganz unverbindlich und kostenfrei.

 

Wir freuen uns auf das Gespräch mit Ihnen.
Autor
Viola Beecken

Viola Beecken ist Wirtschaftsprüferin und Steuerberaterin in eigner Praxis in Hamburg sowie Auditorin der DQS GmbH in Frankfurt/M. für den Wirtschaftsprüfungsstandard IDW PS 980 „Grundsätze ordnungsmäßiger Prüfung von Compliance Management Systemen“. Weiterhin ist sie im Bereich der Qualitätssicherungssysteme für Wirtschaftsprüfer („Peer Review“) und Steuerberater ISO 9000:2015 tätig.

Sie haben Fragen?

Wir sind für Sie da.
Kontaktieren Sie uns