IT Compliance Beratung: Unser Verständnis

“Ein gutes Compliance Management System muss nicht teuer sein, keines zu haben kann die Existenz bedrohen.”

Wir empfinden Compliance Management primär als Instrument zur Unternehmenssteuerung mit besonderem Blick auf die Integration in Ihre Unternehmensprozesse. Nur so lässt sich ein integriertes Compliance Management System aufbauen, das mit wenigen, gezielten Ressourcen dazu dient, die Minimierung von Risiken in die Prozesse hinein zu „konstruieren“. Und nur so schafft ein Compliance Management System Akzeptanz und Handlungssicherheit bei den Menschen im Unternehmen.

Unser Service

Mit unserer besonderen Erfahrung rund um die IT bilden Datensicherheit und Datenschutz einen Schwerpunkt unserer Compliance Management Expertise.

Das Basis unseres Know-hows bildet unser Team: neben betriebswirtschaftlicher, juristischer und IT-Kompetenz rundet langjährige Erfahrung als operativer Chief Compliance Officer unsere Kenntnisse ab. Dies erlaubt uns Ihnen eine umfassende Beratungsleistung „rund um Compliance“ anzubieten, von spezifischem Einzelprozess über Schulungen bis zum Aufbau eines vollständigen Compliance Management Systems, z.B. nach den Regeln der ISO 19600.

Dies bedeutet unter anderem:

  • Aufbau und Implementierung von Compliance Management Systemen (CMS)
  • Bestandsaufnahme bestehender CMS Strukturen und Schließen von Lücken
  • Erstellung und Implementierung spezifischer Regelwerke
  • Schulung von Führungskräften und Mitarbeiterinnen/­Mitarbeitern
  • Coaching des/der Compliance Beauftragten
  • Externer Compliance Beauftragter

Im Rahmen unserer IT-Kompetenz bieten wir Ihnen auch die Funktion des externen Datenschutzbeauftragten an. Erfahren Sie mehr…

IT Compliance

Häufige Fragen (FAQ)

Nein, sicher ist der öffentliche Druck für solche großen Unternehmen durch die Transparenzanforderungen vordergründig größer, aber:

  • Die Regeln beispielsweise zur Korruptionsbekämpfung oder zum Wettbewerbsrecht betreffen alle Unternehmen
  • Die Haftungsrisiken und auch die strafrechtlichen Risiken aus Compliance Verstößen sind beispielsweise für einen GmbH Geschäftsführer grundsätzlich nicht anders als für einen Vorstand einer AG
  • Kunden und auch die Öffentlichkeit nehmen heute Korruption oder andere Compliance Verstöße nicht mehr als „Kavaliersdelikt“ wahr. Dabei spielt es keine Rolle, ob es sich um ein börsennotiertes Unternehmen handelt oder nicht. Wie Warren Buffet sagte: „Es dauert zwanzig Jahre, sich eine Reputation zu erwerben und fünf Minuten, sie zu verlieren.“
  • Wussten Sie, dass Bestechungszahlungen in Deutschland nicht nur die steuerliche Abzugsfähigkeit versagt bleibt, sondern die Finanzbehörden bei Korruptionsverdacht sogar die Ermittlungsbehörden unterrichten müssen?
  • Wussten Sie, dass die Wirtschafts- und Justizminister der Länder ein bundesweites Register schaffen wollen, in dem kleinere und größere Verfehlungen eingetragen werden sollen? Dies sieht vor, dass die zentrale Informationsstelle in dem Verzeichnis sogenannte schwere Verfehlungen einträgt, worunter neben korruptionsrelevanten Rechtsverstößen auch solche fallen, die im weiteren Sinne der Wirtschaftskriminalität zuzurechnen sind; namentlich etwa Geldwäsche, Steuerhinterziehung, Betrug, Untreue, Insolvenzstraftaten sowie Straftaten nach dem Schwarzarbeitsbekämpfungsgesetz. Auf das bundesweite Register sollen alle Vergabestellen – gemeint sind die öffentlichen Auftraggeber, wie Bund, Länder und Kommunen – zugreifen können, um darin gespeicherte Unternehmen von einer Ausschreibung ausschließen zu können. Nicht öffentliche „Korruptionsregister“ existieren bisher bereits in neun Bundesländern, darunter Hessen, Nordrhein-Westfalen, Baden-Württemberg, Bayern und Berlin.

Gerade das Kartellrecht ist ein gutes Beispiel. Dies betrifft keineswegs nur die großen, spektakulären Fälle, in denen Unternehmen beispielsweise in großem Stil systematisch Preise abgesprochen haben.

  • Sind Sie mit Ihrem Unternehmen Verbandsmitglied? Wenn ja, ist das eine gute Sache. Aber wissen Sie, ob dort auch über Vertriebsstrategien, Vertriebsgebiete oder Preispolitik gesprochen wird ? Dort sind die Grenzen des Erlaubten zum Teil sehr eng und Verstöße gegen das Wettbewerbsrecht geschehen unbeabsichtigt. Aber Verstoß ist Verstoß und das kann gerade im Kartellrecht sehr teuer werden.
  • Wissen Ihre Vertriebsmitarbeiter immer genau, wo die Grenzen zwischen erlaubter Diskussion und verbotener Absprache liegen?
    Ein gutes Compliance Management System mit vernünftigen Regeln schützt Ihr Unternehmen und auch Ihre Mitarbeiter vor unbeabsichtigten Regelverstößen. Es „übersetzt“ manchmal sehr komplexe und schwierige rechtliche Sachverhalte in allgemein verständliche Regeln und Hilfestellungen.
    Welcher Vertriebsmitarbeiter kennt sich schon genau mit den kartellrechtlichen Bestimmungen zu „Horizontal- und Vertikalvereinbarungen“ aus und kennen wirklich alle Einkaufsmitarbeiter die Fallstricke bei „Meistbegünstigungsklauseln“? All dies betrifft beileibe nicht nur Großunternehmen.
  • Neben den Strafen für Vergehen greifen die Gerichte bei Kartellverstößen mehr und mehr zum Mittel der Gewinnabschöpfung. Dies kann existenzbedrohend werden, insbesondere für mittelständische Unternehmen.
  • Wussten Sie, dass in 2013 erstmalig die Kartellstrafen der EU-Behörden mit 1,9 Mrd. Euro (!) mehr als doppelt so hoch waren als die der US-Behörden[1]?
  • Wussten sie, dass das Justizministerium des Landes NRW eine Gesetzesvorlage zur Einführung eines bundesweiten Unternehmens- und Verbandsstrafrechts über den Bundesrat in das Gesetzgebungsverfahren eingebracht hat?

[1] Quelle: Global Cartel Enforcement, 2013 Year in Review, Allen & Overy LLP 2014

Wenn Sie in Ihrem Unternehmen eine klare Position dazu haben, ist ein wesentlicher Schritt zur Compliance bereits getan, der so genannte „tone from the top“.

Aber auch hier gilt: alle Mitarbeiter müssen wissen, was erlaubt ist und was nicht und das Unternehmen muss hinreichende Kontrollmechanismen haben. Sonst wird es für den „Fall der Fälle“ sehr schwierig.

Gerade im Umgang mit Amtsträgern beispielsweise ist der „gesunde Menschenverstand“ nicht hinreichend. Was im Umgang mit Geschäftspartnern aus Unternehmen noch erlaubt und durchaus „normal“ ist, kann im Umgang mit Behördenvertretern schon zu empfindlichen Strafen führen.

Wussten Sie, dass wer in Deutschland einem Amtsträger einen Vorteil anbietet, verspricht oder gewährt, schlimmstenfalls mit Freiheitsstrafe bis zu drei Jahren bestraft wird? Und auch wenn dies nicht gleich zur Freiheitsstrafe führt, so ist auch schon die Einladung zum ganz normalen Abendessen ein Vorteil, der gegenüber einem Amtsträger sehr unangenehm werden kann. Und welches Unternehmen hat nicht von Zeit zu Zeit mit Behörden zu tun, sei es als Kunde oder auch nur bei der Einholung von Genehmigungen?

Schon einfache, aber klar definierte Verfahren zur internen Genehmigung und Abrechnung von Einladungen, Geschenken etc. können in dem Zusammenhang sehr hilfreich und effektiv sein, ohne große bürokratische Hürden aufzubauen.

Sehr große Compliance Bereiche entstehen meist in den Unternehmen, bei denen große und spektakuläre Compliance Vorfälle aufgetreten sind. In solchen Fällen entsteht durch die Rechtsprechung, aber auch durch Kunden und die Öffentlichkeit ein enormer Druck, zukünftig „alles richtig zu machen“. Dies resultiert dann häufig in dem Zwang, jeden Schritt zu regeln und zu kontrollieren.

Um diesem Druck nicht ausgesetzt zu sein, lautet die erste, trivial klingende Empfehlung: bauen Sie ein funktionierendes Compliance Management System auf, bevor „das Kind in den Brunnen gefallen“ ist.

Wussten Sie, dass die im Dezember 2014 veröffentlichte ISO 19600[1] erstmalig auf internationaler Basis umfassend beschreibt, wie ein Compliance Management System beschaffen sein sollte?
Auch wenn die ISO 19600 „nur“ Empfehlungen gibt, so erinnert dies an die Einführung der ISO 9001, Qualitätsmanagementsysteme – Anforderungen. Heute ist die ISO 9001 der Basisstandard für Qualitätsmanagementsysteme. Nach Angaben der International Organization for Standardization (ISO) wurden bis Ende 2009 mehr als eine Mio. Zertifikate basierend auf der Norm ISO 9001 international in über 170 Ländern erteilt[2]. In vielen Fällen betrachten heute Kunden den Nachweis eines solchen Qualitätsmanagement Systems als Voraussetzung für die Zusammenarbeit mit Lieferanten.

[1] ISO 19600: Compliance management systems – Guidelines

[2] Quelle: The ISO Survey of certifications 2009, 18. Ausgabe (2010), ISBN 978-92-67-10535-2

Einer unserer Grundsätze lautet:

Ein gutes Compliance Management System muss nicht teuer sein, keines zu haben kann die Existenz bedrohen.

Das Wichtigste aus unserer Sicht ist zunächst festzustellen, welche tatsächlichen wesentlichen Risiken im Unternehmen aus Compliance Sicht bestehen und was an Strukturen und Prozessen bereits vorhanden ist.
Auch die ISO 19600 stellt deshalb aus gutem Grund die Risikoanalyse an den Anfang.

Dazu müssen wir das Geschäftsmodell Ihres Unternehmens und Ihre Unternehmensprozesse verstehen. Und deshalb treten wir mit einem Team an, das über langjährige Erfahrung in Führungspositionen von Unternehmen verfügt

  1. Danach geht es daran festzustellen, welche Regeln und Kontrollmechanismen bereits vorhanden sind. Und da gibt es meist bereits eine ganze Menge, nicht nur in originären Bereichen wie Recht oder interne Revision.
    So haben Unternehmen in den Finanzbereichen Mitarbeiter, die – z.B. bei der Rechnungsprüfung – bereits wertvolle Compliance Funktionen erfüllen, auch wenn diese bisher nicht so genannt werden. Ein anders Beispiel sind Einkaufsteams, die auch Lieferantenprüfungen durchführen und Vertriebsorganisationen, die sich in ihrer Funktion auch mit Vertragsprüfung beschäftigen.
  2. Durch systematische Befragungen und deren Auswertung erstellen wir zunächst ein Profil der wesentlichen Risikotreiber.
    Ein Beispiel hierzu: Unternehmen arbeiten vielfach mit Vertriebsvermittlern, die ihre regionalen Märkte sehr gut kennen und diese erschließen. Aus Compliance Sicht ein erhöhtes Risiko, aber mit klaren Regeln und Strukturen durchaus sicher beherrschbar.
  3. Der nächste Schritt besteht nun darin, all die vorhandenen Regeln, Funktionen und Prozesse so zu verknüpfen, dass daraus ein durchgängiges System entsteht. Entlang des Risikoprofils werden dabei Bausteine ergänzt, wo erforderlich.
    Hier können Sie unsere Expertise nutzen, die aus vielen Organisationsprojekten, aber auch aus langjähriger operativer Compliance Management Verantwortung resultiert. 

So entsteht entlang der Risikostruktur des Unternehmens ein Compliance Management System, das unter bestmöglicher Nutzung bestehender Ressourcen und Prozesse Risiken minimiert. Und der oder die Compliance Beauftragte wird dabei mehr und mehr zum Manager und Integrator des Systems.

Wir verfahren dabei nach dem Prinzip: soviel Eigenverantwortung wie möglich und nur soviel Regelung, wie erforderlich.

Ist all dies geschafft, geht es daran, Compliance als festen Bestandteil der Unternehmensprozesse und der Unternehmenskultur zu verankern.
Hier bieten wir Ihnen nicht nur Hilfe bei der Implementierung von Systemen und Regelwerken an, sondern auch Unterstützung bei der internen und externen Kommunikation und ganz besonders auch bei der Schulung Ihrer Teams.

Und last but not least übernehmen wir auf Wunsch auch temporär die Funktion des Compliance Beauftragten.

Um den sehr unterschiedlichen Situationen und Anforderungen von Unternehmen gerecht zu werden, bieten wir neben spezifischen Leistungen wie Trainings, Erstellung von spezifischen Richtlinien oder auch der Funktion des externen Compliance Beauftragten sechs Leistungsmodule an.

  • CMS1 Systemprüfung
    • Prüfung auf Implementierung der wesentlichen Elemente eines Compliance Management Systems; „Health Check
  • CMS2 Systemprüfung und inhaltliche Prüfung
    • Zusätzlich zu CMS 1erfolgt eine inhaltliche Prüfung der Risikoanalyse sowie der wesentlichen Compliance relevanten Prozesse und internen Regelwerke
  • CMS3 Systemprüfung, inhaltliche Prüfung und Umsetzungsprüfung
    • Zusätzlich zu dem Umfang des Leistungsmoduls CMS2 erfolgt hier eine Prüfung der Umsetzung und Anwendung der Compliance Organisation, der wesentlichen Compliance Prozesse und der in Leistungsmodul CMS2 definierten internen Regelwerke
  • CMS4 Entwicklung eines Compliance Management Systems nach den Anforderungen der ISO 19600
    • Hier werden die wesentlichen Elemente des Compliance Management Systems – angepasst an das spezifische Risikoprofil und die Geschäftsprozesse Ihres Unternehmens – entwickelt
  • CMS5 Entwicklung und Implementierung eines Compliance Management Systems nach den Anforderungen der ISO 19600
    • Zusätzlich zu dem Umfang des Leistungsmoduls CMS4 erfolgt hier die Implementierung der wesentlichen Inhalte im Unternehmen
  • CMS6 Entwicklung und Implementierung eines Compliance Management Systems nach den Anforderungen der ISO 19600 sowie Begleitung bei der Umsetzung
    • Das Leistungsmodul CMS6 bietet einen nochmals gesteigerten Leistungsumfang. Zusätzlich zu dem Leistungsmodul CMS5 erfolgt hier die Begleitung des Unternehmens und besonders des Compliance Beauftragten bei der weiteren Umsetzung