So sollte ein Compliance-Management-System aussehen

Bei der Frage nach den Anforderungen an ein Compliance-Management-System kommt der TÜV zur Hilfe. Denn der TÜV Rheinland hat im März 2011 einen „Standard für Compliance-Management-Systeme“ als Technische Regel (TR CMS 101) veröffentlicht.

TÜV-Standard für Compliance-Management-Systeme

Der Standard beschreibt die Elemente, die ein funktionsfähiges und wirksames Compliance-Management-System ausmachen. Er zeigt auf, welche nachprüfbaren Maßnahmen zu treffen sind, um eine Compliance-Organisation systematisch einzurichten, aufrechtzuerhalten, zu überwachen und ständig zu verbessern. Dies dient dem Ziel, alle relevanten Compliance-Anforderungen zu erfüllen.

Laut Standard müssen Compliance-Management-Systeme nicht einheitlich gestaltet sein, sondern können ausdrücklich den Besonderheiten der Organisation – wie Größe, Struktur, Aktivitäten, Produkte, spezifische Risiken etc. – Rechnung tragen.

Vergleichbar mit den Standards für Qualitätsmanagementsysteme, Umweltmanagementsysteme, Arbeitssicherheitssysteme oder für Risikomanagementsysteme enthält der Compliance-Standard Aussagen über die Festlegung von Compliance-Verantwortlichkeiten, die Bereitstellung von Ressourcen, die Durchführung von Audits und die Umsetzung der kontinuierlichen Verbesserung.

Darüber hinaus führt er die spezifischen Merkmale auf, die ein wirksames und von Einzelpersonen unabhängiges Compliance-Management-System aufweisen muss. Im Sinne einer ganzheitlichen Sichtweise von Compliance berücksichtigt der Standard auch die Aspekte „Organisationskultur“ und „Kommunikation“.

Verstöße vermeiden und erkennen

Ziel jedes Compliance-Management-Systems ist hiernach, im Unternehmen systematisch die Voraussetzungen zu schaffen, dass Verstöße gegen definierte Pflichten vermieden bzw. wesentlich erschwert werden und eingetretene Verstöße erkannt und behandelt werden können.

Damit die Anforderungen des Compliance-Standards erfüllt werden können, muss ein Unternehmen eine systematische Compliance-Organisation, also ein Compliance-Management-System, einführen, dokumentieren, verwirklichen und aufrechterhalten.

Notwendige Maßnahmen bei der Einführung einer Compliance-Organisation

Dazu sind – ganz allgemein formuliert – folgende Maßnahmen notwendig:

  • die einzuhaltenden Prozesse sind festzulegen,
  • die erforderlichen Ressourcen und Informationen sind festzulegen und deren Verfügbarkeit sicherzustellen,
  • die Prozesse sind zu überwachen, zu messen und zu analysieren.

Diese Anforderungen umzusetzen ist ein weiterer wesentlicher Schritt zu einer wirksamen Compliance.

Geschäftsleitung in der Verantwortung

Im Einklang mit den gesetzlichen Organisations- und Aufsichtspflichten liegt ein Schwerpunkt des Standards auf der besonderen Verantwortung der Geschäftsleitung, die diese für die Einrichtung, Aufrechterhaltung, Bewertung und ständige Verbesserung des Compliance-Management-Systems trägt.

Der Geschäftsleitung obliegt es auch, den Mitarbeitern die Bedeutung von Compliance-Anforderungen und ihrer Erfüllung zu vermitteln. Von ihr wird ausdrücklich verlangt, ein Bekenntnis zur Schaffung einer Compliance-Kultur abzugeben. Dies beinhaltet, dass sie ihre Erwartung zum Ausdruck bringt, dass die Compliance-Anforderungen auch tatsächlich eingehalten werden.

Wenn man die bisherigen Anforderungen – auch des TÜV – zusammenfasst, kommen folgende Voraussetzungen heraus, die ein Compliance-Management-System erfüllen muss:

Anforderungen an ein Compliance-Management-System

1) Es muss alle Regeln, Pflichten und Maßnahmen enthalten, die für das Unternehmen relevant sind und die von ihm umgesetzt bzw. erfüllt werden müssen, um „compliant“ zu sein.

2) Es muss tagesaktuell sein.

3) Es muss zentral kontrollierbar sein.

4) Es muss steuerbar sein.

5) Es muss die Steuerung, den Verlauf und das aktive Management dokumentieren, um auch nachweisen zu können, dass das Unternehmen „compliant“ ist.

6) Es müssen alle für die Erfüllung der Compliance-Regeln notwendigen Mitarbeiter strukturell und aktiv eingebunden sein.

Alle Arbeitsabläufe sollten dabei im Unternehmen so ausgestaltet werden, dass diese Compliance-Anforderungen problemlos erfüllt werden können. Interessenskonflikte müssen identifiziert und organisatorisch nach Möglichkeit ausgeschlossen werden. Alle relevanten Vorkommnisse sind zu dokumentieren.

Es dürfte einleuchten, dass Sie eine solche Compliance-Organisation nicht mehr mit den guten alten Excel-Tabellenblättern managen können. Es bedarf vielmehr der Unterstützung durch eine Compliance-Management-Software.

Zentrale Übersicht über die Compliance

Hierbei sollte die Möglichkeit bestehen, über eine zentrale Übersichtsfunktion jederzeit im Blick zu haben, wenn in Ihrem Unternehmen etwas im Argen liegt.

Eskalations-Organisation festlegen

Alle Organisations- und Compliance-Verantwortlichen müssen zudem rechtzeitig – etwa per E-Mail – informiert werden, wenn Pflichten nicht fristgemäß erfüllt werden. Dabei sind Abstufungen möglich, die die Höhe des Risikos bzw. des einzutretenden Schadens berücksichtigen.

Bei weniger großen Risiken sind „seichtere“ Eskalations-Organisationen und Erinnerungsintervalle möglich, bei Risiken für Leib und Leben sollten sofort alle !Alarmglocken schrillen“, wenn Aufgaben nicht termingerecht durchgeführt werden.

Doch welche Pflichten und Aufgaben gibt es überhaupt? Welche müssen im Compliance-Management-System enthalten sein? Wie werden diese ausgewählt und definiert?

In 5 Schritten von der Rechtsquelle bis zur Durchführung der Aufgabe

Der Weg ist – grob skizziert – der folgende:

1. Aufbau eines Rechtsquellenregisters

Aufbau eines Rechtsquellenregisters durch Identifizierung der anzuwendenden Regelwerke, wobei dies sowohl gesetzliche als auch interne und sonstige Regelwerke sein können, z. B. sogenannte Codes of Conduct, aber auch Verträge, Genehmigungsbescheide, etc.

Die einschlägigen Texte sind zu verlinken oder in einer Datenbankstruktur abzulegen und über ein Cockpit oder ähnliches zentral darzustellen.

2. Definition der relevanten Regeln

Aus dem Rechtsquellenregister sind die Regeln zu selektieren und zu definieren, die Ihr Unternehmen betreffen.

3. Festlegung der Pflichten

Aus den Regeln werden dann die Pflichten abgeleitet.

Diese müssen mit