Menschen, die zusammen in einem Betrieb arbeiten, folgen bestimmten Verhaltensregeln, halten Gesetze und Normen ein. Diese sind nicht immer in ein festes Regelwerk gepresst. Einige von diesen ergeben sich ganz von selbst. Andere müssen und sollen aufgeschrieben werden, damit für jeden Mitarbeiter ersichtlich ist, nach welchen Grundsätzen das Unternehmen handelt. Mehr noch: Das Unternehmen ist nach den Paragraphen 9, 30 und 130 OWiG (Gesetz über Ordnungswidrigkeiten) dazu verpflichtet, geeignete Maßnahmen zu ergreifen, damit aus dem Unternehmen heraus keine Straftaten begangen werden. Handelt ein Mitarbeiter entgegen die Gesetze, macht sich auch das Unternehmen strafbar.

Kurzgefasste Definition von Compliance

Unter Compliance im betriebswirtschaftlichen Sinn versteht man die Summe der gesetzlichen Bestimmungen und Richtlinien in einem Unternehmen. Die meisten dieser Standards legt das Unternehmen selbst fest. Daneben gibt es gesetzliche Vorschriften und ethische Richtlinien, an die sich das Unternehmen und alle seine Mitarbeiter halten müssen.

Ein Compliance Management System etablieren

Die Regeln und Vorschriften innerhalb einer Firma können sehr umfangreich sein, sodass man leicht den Überblick verliert. In diesem Fall ist es sinnvoll, ein Compliance Management System zu etablieren. Es soll dem Unternehmen helfen, die eigenen Vorschriften und die gesetzlichen Vorgaben einzuhalten. Der Umfang eines CMS ist unterschiedlich und hängt von der Firmengröße ab.

Bei einem CMS müssen bestimmte Firmenprozesse festgelegt werden, die ausgelöst werden, wenn bestimmte Probleme in einer Firma auftreten oder Gegebenheiten von der Norm abweichen:

• Risikoanalyse: Hier sollen Probleme erkannt und benannt werden. Dann können diese frühzeitig geklärt und abgestellt werden, bevor sie sich zu einem größeren Problem entwickeln.
• Abweichungsanalyse: Diese Prozesse werden etabliert, um Abweichungen von den Vorgaben sofort zu erkennen. Für jeden CMSrelevanten Vorgang gibt es einen bestimmten Sollwert. Wenn dieser von den Vorgaben abweicht, tritt der Prozess der Abweichungsanalyse in Gang.
• Umgang mit Extremsituationen: Obwohl es das Ziel jeder CMS ist, die Ausnahmesituationen zu vermeiden, werden sie sich niemals ganz verhindern lassen. Für diesen Fall ist es notwendig, bestimmte Abläufe festzuhalten, die dann durchgeführt werden, wenn das befürchtete Ereignis eintritt.
• Eskalation: Zu einem guten CMS gehören auch Vorgänge, welche den Ausgangszustand wiederherstellen. Die geschieht am besten durch eine offene Kommunikation mit den Vorgesetzten und den verantwortlichen Mitarbeitern.

Zertifizierung eines CMS nach ISO 37301

Die Wichtigkeit eines CMS wird durch die Möglichkeit einer Zertifizierung nach den Vorgaben der International Organization for Standardization (ISO) unterstrichen. Bis Anfang 2021 galt ISO 19600 als Standard. Seit April 2021 wurden diese Rahmenvorgaben durch die neue ISO 37301 ersetzt.

Das CMS nach ISO 37301 besteht aus mehreren Bausteinen:

• Anforderungen an ein Compliance System: Dazu gehören unter anderem die Analyse des Unternehmensumfeldes, Compliance Strategie, Zielsetzung, Rechtsvorschriften
• Compliance Risikoanalyse: Dazu gehören umfangreiche Interviews mit Mitarbeitern, Durchführen von Risikoabfragen.
• Compliance Organisation: Unter anderem soll ein Verantwortlicher für die Prozesse genannt werden und ein Ansprechpartner in der Firma vorhanden sein. Wichtig ist außerdem ein regelmäßiges Compliance Reporting.
• Compliance eigene Prozesse: In diesem Baustein geht es um die Erstellung eigener Prozesse innerhalb des CMS.
• Integration der Compliance in bereits vorhandene Fachprozesse: Notfalls müssen die Richtlinien des jeweiligen Fachgebiets an die Compliance Prozesse angepasst werden.

Vorteile einer CMS Zertifizierung

• Eine Zertifizierung erhöht das Vertrauen zwischen den Geschäftspartnern: Bei der Anbahnung neuer Geschäftskontakte ist es üblich, dass im Rahmen von Due Diligence umfangreiche Fragebögen ausgefüllt werden. Weist ein Geschäftspartner eine CMSZertifizierung vor, ist das für das Vertrauen förderlich.
• Da durch die ISONorm ein einheitlicher Standard definiert wird, ist es nicht ausgeschlossen, dass das zukünftig bei Ausschreibungen verlangt wird. Wer also eine CMS Zertifizierung durchführt, hat bei größeren Projekten eine bessere Chance, den Zuschlag zu erhalten.
• Eine Zertifizierung ist bei Gerichtsverhandlungen nützlich. Immer wieder kommt es vor, dass Unternehmen aufgrund des Gesetzes über Ordnungswidrigkeiten vor Gericht zitiert werden. Durch eine Zertifizierung kann der Unternehmer nachweisen, dass er seine Sorgfaltspflicht erfüllt hat.
• Das neue Lieferkettengesetz ist für Unternehmer ein nicht unerheblicher Aufwand, denn sie müssen die Lieferketten auf die Einhaltung der Menschenrechte überprüfen. Das kann unter Umständen vereinfacht werden, wenn der Unternehmer von den beteiligten Firmen eine CMS Zertifizierung einfordert. Ob das allerdings in der Praxis so möglich ist, lässt sich gegenwärtig noch nicht sagen.

Eine Zertifizierung durchführen

Eine Zertifizierung wird durch eine unabhängige Zertifizierungsorganisation durchgeführt. Das hat den Vorteil, dass ein unvoreingenommener Blick eines Dritten oft mehr enthüllt als der Unternehmer selbst und seine Mitarbeiter sehen.

Die Zertifizierung wird nach ISO/IEC 170211 durchgeführt. Zunächst werden im Erst Zertifizierungsverfahren zwei Audis durchgeführt. Zunächst wird das gesamte CMS einer genaueren Betrachtung unterzogen. Im zweiten Audit wird die genaue Umsetzung des CMS untersucht. Danach wird die Zertifizierung erteilt. Im ersten und zweiten Jahr folgt ein Überwachungsaudit. Im dritten Jahr schließlich ein Rezertifizierungsaudit.

Fazit

Gesetze und Regelungen für die Compliance zu erlassen ist für jeden Unternehmer wichtig. Immer wieder kommt es vor, dass ein Mitarbeiter entgegen der gesetzlichen Bestimmungen handelt, was schnell zu einer kostspieligen Verhandlung führen kann, was im schlimmsten Fall den Bestand des gesamten Unternehmens gefährdet.

Mit der Einführung des CMS ist dem Unternehmer ein Werkzeug gegeben, mit dem er anhand genauer Vorschriften Regelungen für die Compliance und eine genaue Vorgehensweise bei Verstößen erlassen kann.