Compliance Management-System und Hinweis­ge­ber­sys­tem – Praxishinweise zur Einführung unter Nachhaltig­­keits­­ge­sichts­punkten

PrintMailRate-it

zuletzt aktualisiert am 13. September 2023 | Lesedauer ca. 6 Minuten


Gesetze, Verordnungen, Richtlinien – die stetig wachsende Regelungsdichte betrifft auch und gerade Fragen der Nachhaltigkeit. Da es die Aufgabe eines Compliance Management Systems (CMS) ist, regelkonformes Handeln des Unternehmens zu gewährleisten und die dafür erforderlichen Voraussetzungen zu schaffen, haben die zahlreichen auf Nachhaltigkeit ausgerichteten Gesetzgebungsaktivitäten einen wesentlichen Einfluss für die Einrichtung und Weiterentwicklung eines CMS. Die gute Nachricht ist: Auch wenn ein formales CMS noch nicht bestehen sollte, so sind häufig doch schon eine Vielzahl der wichtigen Bausteine im Unternehmen vorhanden. Das Erkennen und Untersuchen möglicher Compliance-Verstöße ist Kernbestandteil eines CMS. Durch das Hinweisgeberschutzgesetz (HinSchG) wie auch durch die Pflicht zur Einrichtung eines Beschwerdeverfahrens im Lieferkettensorgfaltspflichtengesetz (LkSG) rückt die Frage nach dem geeigneten Hinweisgebersystem aktuell in den Fokus der Aufmerksamkeit. Das sollte jedoch nicht zu dem Trugschluss führen, dass mit einem Hinweisgebersystem allein bereits ein vollständiges CMS eingerichtet ist. Vielmehr handelt es sich um einen wesentlichen Baustein im Rahmen der Ge­samt­be­trach­tung. Wir stellen Ihnen diesen Baustein nachfolgend und in Bezug zu den anderen Bausteinen eines erfolgreichen CMS vor.
 


Nachhaltigkeitsziele wie Geschlechtergerechtigkeit, Klimaschutz oder menschenwürdige Arbeit sind häufig in der nationalen Gesetzgebung abgebildet. Ergänzend dazu gibt es gerade auf internationaler Ebene akzeptierte Normen und Standards, zu denen Unternehmen sich freiwillig bekennen (können). Um dieses Bekenntnis auch zu erfüllen, werden oftmals Konkretisierungen in Form interner Richtlinien definiert. Allerdings ist ein Unter­nehmen immer auch ein komplexer, arbeitsteiliger Organismus. Dessen regelkonformes Verhalten kann nicht allein dadurch erreicht werden, dass „jeder in bester Absicht“ handelt. Deswegen ist Compliance zugleich auch eine Managementherausforderung. 

Besteht noch kein formales CMS, stellt sich immer die Frage nach dem geeigneten Projektvorgehen. Die erforderlichen Schritte sollten unter weitestmöglicher Nutzung vorhandener Assets geplant und umgesetzt werden. Gleichzeitig sollte sichergestellt sein, für den jeweiligen Folgeschritt alle notwendigen Grundlagen geschaffen zu haben. Zugleich sollte von Anfang an auf eine sinnvolle und gut strukturierte Dokumentation geachtet werden, um später den Nachweis über die geeignete Konzeption, die Implementierung und die Wirk­sam­keit des CMS führen zu können.



Besteht ein einheitliches Verständnis über Compliance?

Bei dem Begriff „Compliance“ handelt es sich um eine scheinbare Selbstverständlichkeit. Niemand bestreitet, dass es zu den Nebenzielen des Unternehmens gehört, regelkonform, also „compliant“ zu handeln. Aber inwieweit ist das auch zum Common Sense in der Unternehmenskultur geworden und woran macht sich das konkret fest? Wie gut kennen die Beschäftigten die qualitativen Unternehmensziele? Wird in diesen Zielen der Anspruch regelkonformen Verhaltens als Nebenbedingung formuliert? Spiegelt sich das darin wider, wie das Handeln des Top Managements und des mittleren Managements von den Beschäftigten im Unternehmensalltag erlebt wird? Eine Ist-Aufnahme tut Not, denn ein gesundes Selbstbewusstsein sollte nicht dazu führen, dass kulturelle Defizite oder Diskrepanzen, die aus Mitarbeitersicht bestehen können, übersehen werden. Im An­schluss an die „Gretchenfragen“ der Unternehmenskultur und die Compliancekultur gilt es, sobald wie möglich die organisatorische Zuständigkeit für das Managementsystem CMS festzulegen und diejenigen Mitarbeitenden zu identifizieren, die die spätere Verantwortung für das System (mit)übernehmen können und sollen. Ein ty­pi­sches Missverständnis bei der Einrichtung eines CMS ist dabei z.B. die spontane Gleichsetzung von „Comp­liance“ und dem CMS als System. Es ist wichtig, so früh wie möglich zu vermitteln: „Being Compliant“ ist un­trenn­bar mit jeder Führungsverantwortung verbunden und daher eine persönliche Aufgabe für buchstäblich jeden in der Organisation. Aufgabe des Managementsystems als solches ist demgegenüber, Transparenz und günstige Rahmenbedingungen für Compliance in der Organisation zu schaffen. Es geht also in dieser Funktion darum, die Compliance-Risiken zu erkennen und die darauf ausgerichteten Risikokontrollen zu überwachen. Daneben sollen Compliance-Verstöße durch eine geeignete Kommunikation vorgebeugt und – falls erforderlich – angemessene Reaktionen auf derartige Verstöße veranlasst werden. Für das Erkennen von Compliance-Verstößen ist ein geeignetes Hinweisgebersystem essenziell.


Vom Projekt zur dauerhaften Organisation

Um mit einem weiteren Missverständnis aufzuräumen, sei an dieser Stelle hervorzuheben, dass die Einführung eines CMS zwar nach einem Projektplan verläuft, allerdings kann man nach Abschluss der Implementierung nicht davon ausgehen, „compliant zu sein“. Compliance kann zu keiner Zeit als Zustand mit völliger Sicherheit gewährleistet werden. Es ist im besten Fall ein Anspruch, für dessen Einhaltung ideale Grundlagen geschaffen wurden. Deswegen ist es Kernaufgabe jedes Compliance-Projekts, regelmäßige Compliance-Prozesse zu be­schreiben und diese in den existierenden Kernprozessen zu verankern. Regelprozesse der Compliance-Prä­vention und -Überwachung sowie auch der Sanktionierung von Compliance-Verstößen müssen praxisgerecht aufgesetzt, eingeführt und dokumentiert werden. Erst dann besteht die Möglichkeit, die gewünschte haftungs­recht­li­che Entlastung zu erzielen und bei Bedarf ein Prüfungsurteil eines Wirtschaftsprüfers nach dem IDW PS 980 zu erhalten. Darüber hinaus gibt dieses Vorgehen den Mitarbeitenden Sicherheit im Umgang mit dem System. Aktuell ist hinzugekommen, dass Unternehmen gem. § 8 Abs.2 LkSG eine Verfahrensordnung für ein Beschwerdeverfahren in Textform festlegen und dieses öffentlich zugänglich machen müssen.


Transparenz durch Dokumentation

Erfolgskritisch für das CMS ist damit eine gleichermaßen praxisgerechte wie konkrete Systembeschreibung, beispielsweise im CMS-Handbuch. Darin sollte sowohl die Compliance-Kultur und ihre Verankerung in der Unternehmenskultur beschrieben sein als auch die Aufbau- und Ablauforganisation des CMS. Um vorhandene Bausteine sinnvoll zu nutzen, ist das Beschreiben von Schnittstellen zu relevanten anderen Management­systemen wie z.B. Risikomanagement und internes Kontrollsystem (IKS) sehr sinnvoll. Darüber hinaus sollte eine Definition der Kernprozesse des Compliance Managements enthalten sein, also Rechtskataster und Rechtsmonitoring, Identifikation und Bewertung der Compliance-Risiken, Risikobehandlung, Compliance-Kommunikation und -Reporting.

Transparenz bedeutet aber auch: Regeltransparenz ist erfolgskritisch für ein CMS. Die Normen, deren Ein­hal­tung von den Mitarbeitenden gefordert wird, müssen für diese leicht auffindbar sein. Macht man sich bewusst, dass dieses Auffinden auch für Mitarbeitende zuverlässig möglich sein muss, die erst ganz neu im Unter­neh­men begonnen haben, wird deutlich: Eine lediglich Experten verständliche Regelstruktur verhindert ein wirksames CMS.


Compliance Management ist vor allem auch Risikomanagement

Das Risikomanagementsystem ist für die Einrichtung eines CMS ein Schlüsselbaustein. Eine Schnittstelle zum CMS ist deswegen erforderlich, weil sich das CMS mit den Compliance-Risiken systematisch beschäftigen muss. Wenn allerdings vorher das relevante Gesetzes- und Normenumfeld nicht sorgfältig bestimmt und dokumentiert wurde, unterliegt die Identifikation der Compliance-Risiken der Gefahr der Unvollständigkeit. Andererseits wird die umfassende Aufstellung der Compliance-Risiken und vor allem deren Bewertung benö­tigt, um unter den zahllosen denkbaren Risikomaßnahmen diejenigen zu identifizieren, die tatsächlich er­for­der­lich und zugleich hinreichend effizient sind.


Nur Kommunikation schafft geeignete Compliance-Voraussetzungen

Das „Being Compliant“ ist nur unter Mitwirkung aller Mitarbeitenden zu erreichen. Folglich muss die dauer­hafte Sensibilisierung aller Mitarbeitenden für die Belange von Compliance immer wieder aufgefrischt werden. Auch hier drohen unter Umständen Missverständnisse: Mitarbeiterinnen und Mitarbeiter nehmen für sich grundsätzlich in Anspruch, bei der Ausübung ihrer Tätigkeit schon immer nach bestem Wissen und Gewissen regelkonform zu handeln. Deshalb könnten sie die Einrichtung eines CMS leicht als Ausdruck des Misstrauens missdeuten. Innerhalb der Kommunikation ist es also wichtig zu verdeutlichen, dass die Einführung eines CMS keinesfalls die Abkehr von einer Vertrauenskultur bedeutet.


Das Hinweisgeberschutzgesetz (HinSchG)

Die Aufdeckung von Fällen der Non-Compliance ist ebenfalls notwendige Aufgabe des CMS. Durch das HinSchG stehen die erforderlichen Hinweisgebersysteme im Blickpunkt. Ziel des Gesetzes ist der Schutz von Beschäftigten vor Benachteiligungen, die ihnen wegen der Meldung über einen Gesetzesverstoß drohen und sie davon abschrecken können.

Kern des HinSchG sind daher arbeitsrechtliche Schutzmaßnahmen. Voraussetzung für die Wirksamkeit dieser Schutzzusage ist allerdings, dass die betreffende Person versucht hat, ihren Hinweis zunächst über den internen Meldekanal des Arbeitgebers abzusetzen. Unternehmen mit 250 oder mehr Beschäftigten unterliegen seit dem 2. Juli 2023 der Pflicht zur Einrichtung einer internen Meldestelle, an die sich Hinweisgeber wenden können. Für Unternehmen zwischen 50 und 249 Beschäftigten gilt diese Verpflichtung ab dem 17. Dezember 2023. Die Nichteinrichtung einer Meldestelle kann ab Dezember 2023 mit einem Bußgeld belegt werden. Auf Grund der weit gefassten Definition des Begriffs „Beschäftigungsgeber“ gilt das Gesetz für alle juristischen Personen des öffentlichen und des privaten Rechts, soweit diese mindestens einen Beschäftigten haben.

Das Unternehmen muss eine umfassende Vertraulichkeit für den Hinweisgebenden gewährleisten. Meldungen müssen laut den Vorgaben des HinSchG innerhalb von sieben Tagen bestätigt und zeitnah, spätestens inner­halb von drei Monaten, bearbeitet sein. Das eingesetzte Personal muss unabhängig handeln können und über nachweisliche Fachkunde verfügen.

Die gleichwertige Bearbeitung anonymer Meldungen ist im Eigeninteresse des Unternehmens unbedingt zu empfehlen, auch wenn hier lediglich eine „Soll“-Regelung gilt. Denn die Alternative für Hinweisgebende – wenn eine anonyme Meldung unbeantwortet bleibt – ist in jedem Fall die Einschaltung staatlicher Stellen (sog. externe Meldestelle) oder die Offenlegung des Hinweises gegenüber der Öffentlichkeit. Und Praxisfälle zeigen auf, dass die Chancen, einen aufgedeckten Rechtsverstoß mit dennoch begrenztem Reputationsschaden aufzuklären, um ein Vielfaches höher liegen, wenn das unternehmenseigene CMS die Chance erhält, den Verdachtsfall selbst zu prüfen und damit zu agieren statt zu reagieren.

Hinzu kommt: Im Falle eines schwerwiegenden Verstoßes werden Hinweisgebende wahrscheinlich ohnehin nur dann einen Hinweis direkt an das Unternehmen geben, wenn sie die Option auf vollständige Anonymität haben. Deshalb ist ein webbasiertes System, das von einem unabhängigen Anbieter bereitgestellt wird, in jedem Fall zu empfehlen, die einfache Mail-Adresse („compliance@musterfirma.de“) greift dafür zu kurz.

Dass es mit der schnellen Einrichtung einer solchen Plattform bereits getan wäre, ist allerdings ein weiterer häufiger Irrtum. Vielmehr müssen zahlreiche Prozessfragen gelöst sein, bevor das System an den Start gehen kann. Es müssen personenunabhängige Lösungen eingerichtet werden, bei denen sichergestellt ist, dass eingehende Hinweise jederzeit kurzfristig und von entsprechend qualifiziertem Personal bearbeitet werden. Neben der direkten Fallbearbeitung kann es kurzfristig erforderlich werden, weitere umfangreiche und quali­fi­zier­te Personalressourcen für die unabhängige und schnelle Aufklärung eines Sachverhaltes einsetzen zu können. Einrichtung und Betrieb des notwendigen Hinweisgebersystems werden damit zu einer gleichermaßen technischen wie organisatorischen Herausforderung für das CMS. Diese Herausforderung sollte von Anfang an im CMS-Projekt bearbeitet werden.

Kontakt

Contact Person Picture

Christoph Naucke

Betriebswirt (Berufsakademie), Zertifizierter Compliance Officer, Datenschutzbeauftragter DSB-TÜV, Prüfer für Interne Revisionssysteme (DIIR), Datenschutzauditor (TÜV), IT-Auditor IDW

Associate Partner

+49 911 9193 3628

Anfrage senden

Contact Person Picture

Norman Lenger-Bauchowitz, LL.M.

Mediator & Rechtsanwalt, Wirtschaftsmediator, Fachanwalt für Steuerrecht, Fachberater für Restrukturierung & Unternehmensplanung (DStV e.V.)

Partner

+49 911 9193 3713

Anfrage senden

Profil

Unternehmer­briefing

Kein Themen­special verpas­sen mit unserem Newsletter!

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu