Das Compliance-Management-System: Grundelemente und Bedeutung für Unternehmen

Icon Good to know

Unter Compliance versteht man die Einhaltung sämtlicher Regeln und Richtlinien im Unternehmen – unabhängig davon, ob sie interner Natur oder gesetzliche Vorgaben sind. Compliance Management sorgt dafür, dass sich Management und Team regelkonform verhalten. Das minimiert nicht nur das Haftungsrisiko, sondern schützt auch vor Reputationsschäden.


Was ist ein Compliance-Management-System?

Compliance Management beschreibt sowohl den Umgang mit rechtlichen Vorgaben und Gesetzen, als auch die Verpflichtung zu integrem und ethischen Geschäftsgebaren.

Denn auch das ist eine Komponente von guter Geschäftsführung und regelgetreuem Verhalten. Ein Compliance-Management-System (CMS) bezeichnet die Gesamtheit aller Compliance-Maßnahmen und Prozesse, um Haftungsrisiken zu mindern und den wachsenden rechtlichen Anforderungen gerecht zu werden.


Grundelemente eines Compliance-Management-Systems

Das sind die maßgeblichen Elemente eines Compliance-Management Systems:

Die Compliance-Risikoanalyse
Der erste Schritt für ein erfolgreiches CMS ist eine Analyse, um die für das eigene Unternehmen relevanten Risiken zu ermitteln, regelmäßig zu überprüfen, bewerten und zu dokumentieren. Faktoren sind unter anderem die Branche, Größe und Struktur des Unternehmens, sich ändernde gesetzliche Anforderungen oder auch bisherige Vorfälle in der Compliance.

Das Compliance-Programm
Aus den Ergebnissen der Risikoanalyse im ersten Schritt werden individuelle Prozesse und Instrumente festgelegt, die dabei helfen, interne und externe Regeln umzusetzen und zu befolgen. Hier geht es um die Eckpfeiler des Compliance-Management-Systems – umgesetzte meist über digitale Tools, um transparente Kommunikation zu gewährleisten.

Die Compliance Organisation
Das Compliance-Management braucht Verantwortliche. Grundsätzlich unterliegt Compliance in den meisten Unternehmen der Geschäftsleitung, denn Vorstand und Geschäftsführung sind dafür verantwortlich, dass Vorschriften eingehalten werden. In einigen Fällen ist das auch mit persönlicher Haftung verbunden.

Das heißt allerdings nicht, dass alle Compliance-Vorgänge nur von der Geschäftsführung gesteuert werden müssen. Compliance kann durchaus auch von ausgewählten und befähigten Mitarbeitenden verantwortet werden. Verantwortlichkeiten müssen nur geklärt und die betreffenden Mitarbeitenden mit den entsprechenden Ressourcen ausgestattet werden.

Die Compliance-Richtlinien
In diesem Schritt geht es um die Erstellung der individuellen Compliance-Richtlinien, die Ziele und wesentliche Prozesse des CMS festgehalten sind. Unter anderem kann sie aus diesen Bestandteilen zusammengestellt werden:

  • Managementrichtlinien, die wesentliche Prozesse wie Hinweisgeberstelle und Berichtsform festlegen
  • Ein Verhaltenskodex für die Mitarbeitenden, der die wichtigsten Grundsätze und Ziele der Compliance-Grundsätze und Erwartungen aufschlüsselt
  • Ein Kodex für Lieferanten, der Compliance-Erwartungen festhält


Die Compliance-Schulung
Mitarbeitende, die regelkonform agieren sollen, müssen wissen, was sie dürfen und was nicht. Neben der transparenten Kommunikation der aktuellen Richtlinien gehören auch Compliance-Schulungen dazu.

Für die meisten Unternehmen ist eine Mischung aus E-Learning für Mitarbeitende und leichte Themen und eine Präsenzschulung für Führungskräfte dienlich. So können die Vorbildfunktion besser ausgeübt und auch unternehmensspezifische Themen entlang der Risiko-Analyse genauer betrachtet werden. Mögliche Themen für Schulungen sind der Umgang mit Bestechung, Daten- und Informationsschutz, Antikorruption, Kartellrecht oder auch branchenbezogene Themen. Schulungen sollten in regelmäßigen Abständen wiederholt und auch dokumentiert werden.

Das Hinweisgebersystem
Für mögliche Compliance-Verstöße oder Vorfälle sollte eine interne Kontaktstelle, eine Hinweisgebermeldestelle oder eine Whistleblowing-Hotline eingerichtet werden. Hier gibt es die Möglichkeit, anonyme Meldungen zu hinterlassen. Wichtig ist dabei, den Hinweisgebern absoluten Schutz und Vertraulichkeit zuzusichern.

Die Compliance-Partnerprüfung
Auch durch Geschäftspartner können Compliance-Risiken entstehen. Vor jeder Zusammenarbeit mit potentiellen Partnern sollte daher eine Compliance-Partnerprüfung durchgeführt werden und daraufhin basierend eine Zusammenarbeit erfolgen.

Die regelmäßige Überwachung des Compliance-Management-Systems
Wie jeder Managementprozess müssen auch das Compliance-Management und das zugehörige System regelmäßig überprüft und angepasst werden. Dazu gehören geeignete Monitoring-Prozesse oder Tools, und auch interne oder auch externe Compliance-Audits. Auch die Risikoanalyse aus dem ersten Schritt sollte regelmäßig wiederholt werden.


Warum brauchen Unternehmen ein Compliance-Management-System?

Zunächst die dringendste Frage: Ist ein CMS verpflichtend?

Es besteht keine gesetzlich geregelte Pflicht für die Einrichtung eines Compliance-Management-Systems. Allerdings gibt es ein Urteil vom OLG Nürnberg vom 30.03.2022 – 12 U 1520/19 – das klarstellt, dass die Einrichtung eines Compliance-Management-Systems zu den Pflichten eines Geschäftsführers zählt. Auch international tätige Unternehmen können unter Umständen zur Einrichtung eines CMS verpflichtet sein.

Für die Versicherungs- und Finanzbranche gibt es in vielen Ländern eine gesetzliche Pflicht ein CMS zu implementieren und zu führen. Sie soll sicherstellen, dass die Unternehmen gesetzliche Vorschriften und Richtlinien einhalten, um so das Risiko von Rechtsverstößen und deren Folgen zu minimieren. Zu den relevanten Gesetzen zählen unter anderem der Digital Operational Resilience Act (DORA) und die Solvency II-Richtlinie in der Europäischen Union sowie der Sarbanes-Oxley Act (SOX) in den USA.

Es gibt einige Richtlinien und Zertifizierungen für Compliance-Management-System, an denen Unternehmen sich orientieren, oder sogar ein standardisiertes Zertifikat erlangen können.

  • Im Deutschen Corporate Governance Kodex wurde der Begriff Compliance im Jahr 2007 definiert. Enthalten sind Vorschriften für börsennotierte deutsche Unternehmen und deren Überwachung. Der Kodex ist auch die Basis für ethisches Handeln.
  • Die ISO19600 für Compliance-Management-Systeme wurde durch die internationale ISO 37001 ersetzt. Letztere legt den Fokus auf ein Antikorruptions-Managementsystem. Zentrale Punkte sind ethisches Handeln, fairer Wettbewerb und ordnungsgemäße Geschäftsabläufe.
  • Außerdem gibt es noch länderspezifische Normen wie den BS 10500 – der britische Standard für Antikorruption-Management

Unabhängig von der Zertifizierung und den Richtlinien hat der Aufbau eines Compliance-Management-Systems für alle Unternehmen erhebliche Vorteile:

  • Rechtssicherheit: Ein CMS hilft Unternehmen auf organisierte Weise Rechtskonformität sicherzustellen. Das Risiko von Strafzahlungen oder Imageschäden kann minimiert werden.
  • Geringeres Haftungsrisiko: Ein professionelles CMS-Tool ist revisionssicher und kann auf Knopfdruck Dokumentationen und Reports erstellen. Das kann dem Vorwurf von Organisationsverschulden vorbeugen und das Haftungsrisiko senken.
  • Fördert Vertrauen: Vor allem, wenn eine CMS Zertifizierung vorliegt, kann das Vertrauen in das Unternehmen durch Kund:innen und Partner:innen gesteigert werden.
  • Wettbewerbsvorteil: Viele Konzerne oder Aufträge aus öffentlicher Hand werden nur an Zuliefernde oder Dienstleistende mit Compliance-Management-System vergeben. Das CMS ist häufig Teil der Vertragsbedingungen.
  • Optimierung: Ein optimiertes CMS schafft interne Synergien und kann die Effizienz erhöhen.