compliance-header-blog-säulen gerichtsgebäude

Com­pli­ance Ma­nage­ment im Mit­tel­stand – Pflicht oder Kür?

Viola Beecken

DQS-Au­di­to­rin
März 31 , 2022

Com­pli­ance bedeutet „Regeltreue“ – ganz un­er­heb­lich, welcher Art die Regel ist und wer sie auf­stellt. Bei Verstößen dagegen ist die oberste Leitung des Un­ter­neh­mens direkt in der Haftung. Or­ga­ni­sa­tio­nen müssen also ent­schei­den, ob sie zur Si­che­rung der Re­gel­treue ein unternehmensübergreifendes Com­pli­ance Ma­nage­ment­sys­tem (CMS) einführen. Doch dabei endet es nicht. Wie genau überprüft man die Wirk­sam­keit eines CMS?

Inhalt

Mit Blick auf Compliance Management im Mittelstand mag die Konzeption und Durchsetzung eines Compliance Managementsystems (CMS) auf den ersten Blick eine zeitliche und wirtschaftliche Belastung für jedes Unternehmen sein. Wer jedoch tiefer blickt, gelangt zu interessanten Perspektiven: Unterstützt durch das Leitungsorgan, aber auch durch eine Überprüfung der Angemessenheit und Wirksamkeit des CMS durch interne und externe Prüfer wächst die Compliance-Kultur nachhaltig und eröffnet die Chance für steigenden Unternehmenserfolg und damit auf die Erhöhung des Unternehmenswertes.

 

Wo liegen die Hauptmotive für die Einrichtung eines CMS?

Der Großteil der mittelständischen Unternehmen sieht die Haftungsvermeidung und die Prävention von Korruption als wichtigste Beweggründe für die Einrichtung eines CMS an. Zunehmend sind aber auch Anforderungen von Geschäftspartnern und die Reputationssicherung auslösende Motive. Bei den relevanten Compliance-Themen rangieren Korruption, Wettbewerbsdelikte und Datenschutz regelmäßig vorne. Weitere Top-Themen sind Arbeits- und Sozialstandards im Unternehmen.

Auf der anderen Seite fürchtet der Mittelstand die mit Compliance assoziierte zusätzliche Belastung der Organisation in Form einer so genannten Compliance-Bürokratie. Ein sinnvoller Ansatz für mittlere Unternehmen wird sich daher deutlich von dem für Konzerne unterscheiden müssen.

 

Gefährdungen identifizieren

Wichtig ist zunächst, dass sich das Unternehmen im Wege einer Risikoanalyse über seine individuellen Compliance-Gefährdungen klar wird. Nur in diesen wichtigen identifizierten Risikobereichen sollten dann vorhandene Regelungen und Verhaltensweisen überprüft und bei Bedarf ergänzt werden. Ein Beispiel: Unternehmen können zunächst betrachten, ob kritische Teilbereiche im Unternehmen (z.B. Datenschutz im Personalwesen) oder einzelne Arten von Compliance abgedeckt sind, zum Beispiel die Einhaltung rechtlicher Verpflichtungen im Arbeitsschutz. Anders formuliert: Compliance-Maßnahmen sind letztlich dann zumutbar und erforderlich, wenn sie passgenau auf diesem Risk Assessment aufbauen.

 

Compliance Management im Mittelstand: relevante Normen

Im April 2021 erschienen, ist hier natürlich als erstes ISO 37301:2021-04 zu nennen. Die Norm formuliert Anforderungen an Compliance-Managementsysteme mit Leitlinien zur Anwendung. Die Norm ist bei Beuth erhältlich. Mittlerweile zurückgezogen ist DIN ISO 19600:2016-12 (Compliance-Managementsysteme – Leitlinien).

Unter dem Aspekt der Risikoorientierung ist auch DIN ISO 31000:2018-10 interessant. Die Norm legt Leitlinien für den Umgang mit Risiken fest, denen sich Unternehmen gegenübersehen. Die Norm ist bei Beuth erhältlich.

 

Audits zur Sicherstellung der Wirksamkeit?

Gerade angesichts der Leitungspflicht der gesetzlichen Vertreter muss dem eigentlichen CMS eine kontinuierliche Wirksamkeitsprüfung an die Seite gestellt werden. Der Grund dafür liegt in der Rechtsprechung. Hier hat die Geschäftsleitung als Teil ihrer Überwachungspflicht zwei Aufgaben zu erfüllen: Zum einen muss sie die im Unternehmen eingerichteten Maßnahmen zur Sicherstellung von Compliance überwachen. Zum anderen hat sie deren Wirksamkeit kritisch zu kontrollieren – und zwar regelmäßig, nicht nur anlassbezogen. Diese Verpflichtung gilt für Vorstände von Aktiengesellschaften ebenso wie für GmbH-Geschäftsführer.

„Die Wirksamkeitsprüfung des CMS durch einen unabhängigen Dritten ist der ob­jek­ti­vier­te Nach­weis, dass Überwachungspflichten erfüllt werden.“

Eine Überwachung soll sicherstellen, dass die eingeführten Grundsätze (Verhaltensleitfäden, Richtlinien etc.) und Maßnahmen (Schulungen, Kontrollen etc.) des CMS geeignet sind, Regelverstöße im Sinne des CMS zu verhindern, wesentlich zu erschweren oder rechtzeitig zu erkennen. Die Wirksamkeit des CMS kann durch interne und externe Kontrollen überprüft werden:

  • Wirksamkeitskontrolle durch interne Kontrollen: Eine systeminterne Überwachung wird als „interne Kontrolle“ bezeichnet. Diese Kontrolle ist eine wesentliche Komponente eines CMS, die auch als Qualitätsmanagement (QM) bezeichnet werden kann. Das QM beinhaltet somit alle Maßnahmen, die vorbereitend, begleitend und nachgelagert dazu beitragen, eine zuvor definierte Qualität des CMS zu schaffen oder zu erhalten.
  • Wirksamkeitskontrolle durch externe Kontrollen: Eine systemexterne Überwachung wird als „Prüfung“ oder „Audit“ bezeichnet. Bei dieser Form der Überwachung ist die Prüfungsinstanz systemunabhängig und nicht an der Herbeiführung des Ist-Zustands beteiligt. Hier besteht somit ein Vorteil in der Unabhängigkeit. Die Prüfung des CMS wird durch unternehmensexterne Prüfungsinstanzen durchgeführt (z.B. Rechtsanwälte, Wirtschaftsprüfer, akkreditierte Zertifizierer wie die DQS oder sonstige unternehmensexterne Gutachter und Sachverständige).
arbeitsschutz-und-compliance-dqs-whitepaper-kostenfrei

White­pa­per

ISO 45001 – Ar­beits­schutz und Com­pli­ance

  • Vier wichtige Un­ter­schie­de zwischen BS OHSAS und ISO 45001
  • Com­pli­ance Kon­zen­tra­ti­on auf SGA-re­le­van­te The­men!
  • Was tun bei Nicht-Com­pli­ance?
  • Sie­ben Schritte zur Um­set­zung von ISO 45001
Jetzt herunterladen

Regelmäßige Überprüfungen – gut geplant

Um die Wirksamkeit systemunabhängiger Überprüfungen sicherzustellen, sollten die Intervalle gut geplant sein. Eine Überprüfung kann immer dann hilfreich sein, wenn ein CMS neu eingeführt wird. Darüber hinaus sollte die externe Prüfung regulär alle drei bis fünf Jahre wiederholt werden. Nach festgestellten Compliance-Verstößen werden anlassbezogene Überprüfungen durchgeführt. Aber auch bei gefestigten CMS ist zunehmend festzustellen, dass turnusmäßigen Prüfungen als faktisch verpflichtend angesehen werden. Zusätzlich zu prozessbezogenen Kontrollen sollte regelmäßig die Konzeption, Angemessenheit und Wirksamkeit von CMS zu prüfen sein und unabhängige Systemprüfungen bzw. Zertifizierungen im Idealfall einmal jährlich und mindestens alle drei Jahre stattfinden.

 

Vorteile von Compliance Audits

Beim Compliance Management im Mittelstand können Mehrwerte durch Compliance Audits grundsätzlich wie folgt erwartet werden:

  • Optimierung bestehender Prozesse
  • Wahrnehmung von Schwächen im CMS
  • Erhöhung der Effizienz und Effektivität des CMS
  • Einführung moderner Standards
  • Etablierung einer Compliance Kultur
  • Steigerung der Wettbewerbsfähigkeit
  • Sicherheit für das operative Geschäft
  • Sicherung des nachhaltigen Unternehmenserfolges
  • Erhöhung des Unternehmenswertes

Der richtige Prüfer – Die wich­tigs­ten Entscheidungskriterien:

 

Wirksamkeitsprüfungen des CMS bringen multidisziplinäre An­for­de­run­gen mit sich.Des­halb muss die fach­li­che Ex­per­ti­se der Prüfer an erster Stelle stehen.→ So muss der Prüfer über relevante recht­li­che und be­triebs­wirt­schaft­li­che Kenntnisse sowie über Branchenerfahrung verfügen.→ Die Unabhängigkeit des Prüfers muss gewährleistet sein (In­de­pen­dence in facts aber auch im Hinblick auf die Öffentlichkeit In­de­pen­dence in Appearance).→ Schließlich ist es wichtig, dass die Prüfung eine hohe Marktreputation besitzt.→ Ein Beispiel für etablierte Prüfungs- und Zertifizierungsstandards ist z.B. der IDW Prüfungsstandard „Grundsätze ordnungsmäßiger Prüfungen von Com­pli­ance Ma­nage­ment Systemen“ (IDW PS 980).→ Die Er­geb­nis­se un­ter­neh­mens­exter­ner Prüfungen des CMS können zur „Zertifizierung“ eines geprüften CMS genutzt werden. Das zu er­tei­len­de Zer­ti­fi­kat stellt dabei den nach außen ge­rich­te­ten Nachweis der Ein­hal­tung de­fi­nier­ter An­for­de­run­gen an das CMS dar. Es de­fi­niert Gel­tungs­dau­er und Gel­tungs­be­reich des Zer­ti­fi­kats, Soll­ob­jekt und Prüfungsvorgehen (Ge­gen­stand, Art und Umfang der Prüfung) sowie An­for­de­run­gen an die Unabhängigkeit und Kom­pe­tenz der Prüfungsinstanz („Akkreditierung“).

baretton-gerber-2-dqs

Mehr über Com­pli­ance Audits mit der DQS

  • va­li­de Analyse von Com­pli­ance-Ri­si­ken in Ihrem Un­ter­neh­men
  • sys­te­ma­ti­sche Ein­hal­tung der Rechts­vor­schrif­ten
  • wirk­sa­me Re­du­zie­rung von Haf­tungs­ri­si­ken
  • ver­bes­ser­tes Un­ter­neh­mens­image
Jetzt informieren

Fazit

Die Steuerung eines effizienten und wirtschaftlichen Compliance Management Systems kann auch durch eine externe Prüfung unterstützt und weiterentwickelt werden. Der Prüfer unterstützt die Unternehmensleitung bei der Etablierung und Festigung der Compliance Kultur.

Voraussetzung ist die gewissenhafte Auswahl des externen Experten. Mit übergeordneten Vergleichsmöglichkeiten, Erfahrungen aus anderen Unternehmen und seiner Sicht der Dinge als neutraler Dritter muss er einen wertvollen Diskussionspartner darstellen können. Wichtig ist auch die Auswahl eines geeigneten Regelwerks als Grundlage für externe Audits.

 

DQS: das können wir für Sie tun

Als international anerkannter Zertifizierer für Managementsysteme und Prozesse auditiert die DQS an mehr als 30.000 Audittagen im Jahr. Unser Anspruch beginnt dort, wo Auditchecklisten enden: Nehmen Sie uns beim Wort! Wir freuen uns auf das Gespräch mit Ihnen und zeigen Ihnen gerne, worauf die Leistungsstärke und Qualität unserer Audits beruht. Nämlich auf

  • kompetenten und integren, branchenerfahrenen Auditorinnen und Auditoren
  • maßgeschneiderten Lösungen, die Ihrer Organisation und Ihrem Managementsystem angemessen sind
  • gezielter Identifikation möglicher Schwachstellen und Risiken
  • objektiven, nachvollziehbaren Ergebnissen und substantiellen Entscheidungshilfen
  • international anerkannten Zertifikaten mit hoher Marktakzeptanz
  • der Nachverfolgung von Audit-/Analyseergebnissen inklusive Wirksamkeitsprüfung getroffener Maßnahmen
  • der individuellen Erarbeitung und Erstellung von Kriterienkatalogen und Bewertungssystemen
fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch

Sie haben Fragen?

Kon­tak­tie­ren Sie uns – ganz un­ver­bind­lich und kostenfrei.

 

Wir freuen uns auf das Gespräch mit Ihnen.
Autor
Viola Beecken

Viola Beecken ist Wirtschaftsprüferin und Steu­er­be­ra­te­rin in eigner Praxis in Hamburg sowie Au­di­to­rin der DQS GmbH in Frank­furt/M. für den Wirtschaftsprüfungsstandard IDW PS 980 „Grundsätze ordnungsmäßiger Prüfung von Com­pli­ance Ma­nage­ment Systemen“. Wei­ter­hin ist sie im Bereich der Qualitätssicherungssysteme für Wirtschaftsprüfer („Peer Review“) und Steu­er­be­ra­ter ISO 9000:2015 tätig.

Re­le­van­te Artikel und Ver­an­stal­tun­gen

Das könnte Sie auch in­ter­es­sie­ren.
Blog
a green paintbrush with some green paint, on a pale green background with some blank space on the le

Green­wa­shing – Risiken erkennen und ver­mei­den

Weiterlesen
Blog
dqs-informiert-header-blog-dqs-viele bunte buecher in regalen in bibliothek

Was bedeutet Com­pli­ance?

Weiterlesen
Blog
compliance-header-blog-säulen gerichtsgebäude

IDW PS 980: Der Prü­fungs­stan­dard für Com­pli­ance Ma­nage­ment

Weiterlesen

Sie haben Fragen?

Wir sind für Sie da.
Kontaktieren Sie uns